通信网络安全防护定级备案(通保)——符合性评测
本文相关的标准、报告模板、符合性评测表都放网盘里了,需要的自取。
百度网盘:https://pan.baidu.com/s/1elJTHnVdjruYfGXv84VF0A?pwd=f6jn
符合性评测
不同符合性评测表适用的网络单元类型
完成网络单元定级之后就要开展符合性评测,这是通保中比较花费时间和精力的工作,需要按照定级阶段确定的网络单元类型和安全等级(网络单元类型和安全等级划分请参考上一篇文章《划分网元类型&定级》)参照对应的符合性评测表进行检查,不同类型的网络单元有对应的符合性评测表,符合性评测表适用的网络单元类型对应关系如下表所示(依据各符合性评测表整理):
符合性评测表 | 适用网络属性 |
通信网络安全防护符合性评测表-固定通信网 | PSTN |
省内长途网 | |
省际长途网 | |
软交换 | |
国际长途网 | |
本地网--汇接局 | |
本地网--关口局 | |
本地网--端局 | |
本地网 | |
通信网络安全防护符合性评测表-移动通信网 | 移动通信网 |
通信网络安全防护符合性评测表-5G核心网 | 5G SA架构核心网 |
通信网络安全防护符合性评测表-5G多接入边缘计算平台 | 5G边缘计算平台 |
通信网络安全防护符合性评测表-增值业务网—消息网 | 增值业务网消息网 |
短消息网 | |
通信网络安全防护符合性评测表-增值业务网-智能网 | 增值业务网智能网 |
通信网络安全防护符合性评测表-接入网 | 接入网 |
通信网络安全防护符合性评测表-公众无线局域网 | 公众无线局域网 |
通信网络安全防护符合性评测表-传送网 | PTN |
OTN | |
PDH | |
ASON | |
WDM | |
MSTP | |
SDH | |
ASON | |
WDM | |
微波接力传送网 | |
卫星传送网 | |
通信网络安全防护符合性评测表-IP承载网 | IP骨干网 |
IP城域网 | |
通信网络安全防护符合性评测表-信令网 | 信令网 |
通信网络安全防护符合性评测表-同步网 | 同步网 |
通信网络安全防护符合性评测表-支撑网 | 业务运营支撑系统 |
网管系统 | |
通信网络安全防护符合性评测表-非核心生产单元 | 公司办公系统 |
公司门户网站 | |
客服呼叫中心 | |
通信网络安全防护符合性评测表-域名解析系统 | 权威域名解析系统 |
递归域名解析系统 | |
通信网络安全防护符合性评测表-网上营业厅 | 网上营业厅 |
通信网络安全防护符合性评测表-域名查询系统 | 域名查询系统接入服务 |
域名查询系统域名服务 | |
在线数据处理与交易处理 | |
域名查询系统数据中心(IDC) | |
域名查询系统虚拟专用网服务 | |
域名查询系统信息服务 | |
移动域名查询系统应用商店 | |
域名查询系统内容分发网络(CDN) | |
通信网络安全防护符合性评测表-域名注册系统 | 注册管理机构域名注册系统 |
注册服务机构域名注册系统 | |
通信网络安全防护符合性评测表-互联网数据中心 | 互联网数据中心 |
通信网络安全防护符合性评测表-互联网接入服务系统 | 互联网接入服务系统 |
通信网络安全防护符合性评测表-互联网云服务平台 | 互联网云服务平台 |
通信网络安全防护符合性评测表-互联网内容分发网络 | 互联网内容分发网络 |
通信网络安全防护符合性评测表-移动互联网联网应用 | 移动互联网联网应用 |
通信网络安全防护符合性评测表-移动定位系统 | 移动定位系统接入服务 |
移动定位系统域名服务 | |
在线数据处理与交易处理 | |
移动定位系统数据中心(IDC) | |
移动定位系统虚拟专用网服务 | |
移动定位系统信息服务 | |
移动移动定位系统应用商店 | |
移动定位系统内容分发网络(CDN) | |
通信网络安全防护符合性评测表-信息服务业务系统 | 门户综合网站业务系统 |
搜索系统 | |
即时通信业务系统 | |
信息社区服务系统 | |
即时通信业务系统信息社区服务系统 | |
通信网络安全防护符合性评测表-互联网网络交易系统 | 互联网网络交易系统系统 |
通信网络安全防护符合性评测表-邮件系统 | 邮件系统 |
通信网络安全防护符合性评测表-移动互联网应用商店 | 移动互联网移动互联网应用商店 |
通信网络安全防护符合性评测表-网络预约出租汽车服务平台 | 网络预约出租汽车服务平台 |
通信网络安全防护符合性评测表-网络产品安全漏洞收集平台 | 网络产品安全漏洞收集平台 |
通信网络安全防护符合性评测表-WAP网关系统 | WAP网关系统 |
通信网络安全防护符合性评测表-大数据平台 | 大数据平台 |
通信网络安全防护符合性评测表-集中化安全管理系统 | 集中化安全管理系统 |
通信网络安全防护符合性评测表-4A系统 | 4A系统 |
通信网络安全防护符合性评测表-信息安全管理系统 | 信息安全管理平台 |
通信网络安全防护符合性评测表-IPTV平台 | IPTV平台 |
通信网络安全防护符合性评测表-RCS融合通信平台 | RCS融合通信平台 |
通信网络安全防护符合性评测表-融合网络 | IMS |
通信网络安全防护符合性评测表-物联网平台 | 物联网平台 |
通信网络安全防护符合性评测表-工业互联网平台 | 工业互联网平台 |
标识解析平台 | |
通信网络安全防护符合性评测表-其他 | 门户综合网站业务系统 |
搜索系统 | |
即时通信业务系统 | |
信息社区服务系统 | |
即时通信业务系统信息社区服务系统 | |
其他 | |
通信网络安全防护符合性评测表-骨干直联点 | IP骨干网 |
IP城域网 |
不同安全等级的评测项
与等级保护不同的是,通保的符合性评测是对等级以内的全部评测项进行检查(除了要满足当前安全等级的要求以外,还要满足低于该等级的要求),而等级保护中不同安全级别有分别对应的评测项,通保是类似于向下包含的方式,下面举两个例子:
假设《通信网络安全防护符合性评测表-互联网网络交易系统》中第3级有评测项a、b、c,第2级有评测项d、e,第1级有评测项f。
某个系统所属网络单元的类型划分为互联网网络交易系统,其安全等级确定为第3级。那么该系统需要对《通信网络安全防护符合性评测表-互联网网络交易系统》中第3级、第2级、第1级所有的全部评测项进行检查,即对评测项a、b、c、d、e、f进行检查。
如果是2级的网络单元,则只对《通信网络安全防护符合性评测表-互联网网络交易系统》中第2级、第1级所有的全部评测项进行检查,即只对评测项d、e、f进行检查。
开展符合性评测
在进行符合性评测时,要参照报告模板最后的 “评测表注意事项” 的要求进行填写。要按照定级的范围进行符合性评测,例如定级范围包含了网站前台、APP、小程序以及该信息系统在企业内部网络中的管理后台,那么网站、APP、小程序、后台都要对适用的评测项做符合性评估。
符合性评测表与《符合性评测报告》中的符合性评测结果表附件存在一点区别,符合性评测表多了“备注”和“分析建议”两列,多出来的这两列不用管。
建议先在符合性评测表中填写 “答案” 和 “答案说明”,同步整理相关的证明材料并对证明材料进行编号(以便于后续撰写报告),最后再把符合性评测表中除“备注”和“分析建议”两列以外的内容粘贴到符合性评测报告的符合性评测结果表附件中。
上海这边对符合性评测要求:二级的网络单元符合性评测可以存在“否”(即,可以存在不符合的评测项),但是要列整改计划并在《符合性评测报告》的 “四、评测结果” 部分对不符合项的情况进行说明,而三级的网络单元符合性评测不能存在“否”(即,不能存在不符合的评测项)。如果符合性评测工作中发现三级网络单元存在不符合评测项的情况要进行整改,整改完成后再进行符合性评测。
如果对检查内容有不理解的地方,可以查阅符合性评测表中 “填写说明”部分提到的检查内容依据的标准文件(例如《通信网络安全防护符合性评测表-互联网网络交易系统》中依据的是《YD/T 3163-2016 互联网网络交易系统系统安全防护要求》、《YD/T 3164-2016 互联网网络交易系统系统安全防护检测要求》),也可以借助AI解答。
在进行符合性评测时,除了要填写“答案”和“答案说明”,还需要提供证明材料(包括但不限于各类截图、电子或纸质的工作记录等),证明材料要提供有效期在一年以内的(例如一年内的漏洞修复记录、漏扫记录、系统日志),但并不是每个评测项都要提供证明材料,只提供必要的、能进行有力佐证的即可(例如登录界面、账号锁定告警、日志截图、代码审计记录、相关工作的邮件、安全配置、攻击告警、漏扫记录、备份记录等)。
建议证明材料放在单独的文档中,按照 序号+检查内容 的方式进行命名并给序号设置目录级别,以提高报告的可读性,证明材料示例如下:
撰写《符合性评测报告》
填写好前面的符合性评测表之后,按照模板要求撰写《符合性评测报告》。
报告封面
模板中报告封面上方的 XX公司XX系统 ,“XX公司”写企业的全名,“XX系统”写 核心业务系统名字+划分的网络单元类型,例如 吃什么信息科技有限公司 的核心业务系统叫 烤布丁 ,该系统的网络单元类型划分为 域名注册系统,那么这里就要写 吃什么信息科技有限公司烤布丁域名注册系统。
评测对象 写 核心业务系统名字+划分的网络单元类型+安全等级,例如 烤布丁域名注册系统(三级)。
评测单位 写企业的全名。
评测日期 写报告完成的时间(xxxx年xx月xx日)。
评测机构 部分,如果是企业自评估,写 企业全名+(自评估) 并加盖企业公章,例如 吃什么信息科技有限公司(自评估) ,如果是第三方评估则写评估机构的全名并加盖评估机构公章。
基本信息表
网元名称 和封面的 评测对象 内容一样,写核心业务系统名字+划分的网络单元类型+安全等级。
单位名称 写企业全名。
ICP证号/备案号 写系统的ICP备案号,可以在ICP/IP地址/域名信息备案管理系统(https://beian.miit.gov.cn)中查询。
评测地址 写企业实际的办公地址。
评测结论 部分,适用项的数量写适用于该网络单元安全等级的评测项数量,而不是写符合性评测表中所有评测项的数量。
报告正文部分
网络拓扑图要和《定级报告》中保持一致,各类设备的数量要和拓扑图以及资产表一致。
符合性评测主要依据 即符合性评测表的全称,截止至文章发布,最新的符合性评测表是2024年10月更新的版本,因此此处应该写 2024年度通信网络安全防护符合性评测表—XXXX,例如某个系统划分的网络单元类型是网络预约出租汽车服务平台,那么这里应该写 2024年度通信网络安全防护符合性评测表—网络预约出租汽车服务平台。
附件:XX公司XX系统符合性评测结果表 部分,把按照要求和建议填写好的符合性评测表粘贴过来就行(从“序号、使用范围、检查类型”这一行开始粘贴)。
其他部分参照模板的要求撰写即可。
《符合性评测报告》常见问题
未按照模板要求编写报告
符合性评测报告中的拓扑图与其他报告中的拓扑图不一致,设备数量无法与拓扑图对应
符合性评测依据文件引用错误,引用了错误的符合性评测表(网络单元对应的符合性评测表错误,或使用了旧的符合性评测表)
符合性评测项答案说明模糊/答非所问/过于简单
对不适用项的解释不合理/不充分/太牵强
答案说明照搬评测问题(即,复制了符合性评测表中的检查内容,没有说明企业和系统的实际情况)
符合性评测范围覆盖不全(例如,登录保护措施中只写了APP相关的内容,但未说明管理后台的情况)
部分评测项提到了XX设备/XX系统,但在拓扑图和设备清单中没有体现
部分评测项的答案说明与系统的实际情况不符(例如,具备登录功能,但答案说明中却写“没有用户登录功能”)
评测项的答案说明前后矛盾(例如,评测项A写不具备登录功能,但是评测内容有关联的评测项B中写登录时对账号密码进行加密存储)
证明材料图片过于模糊
缺失必要的证明材料
将等保报告作为证明材料
证明材料和评测项没有关联,证明材料不能对评测项进行佐证,证明材料与评测项相互矛盾
证明材料显示的时间在报告的评测日期和评测时间之后(例如,报告的评测日期是6月20日,但是证明材料里日志的截图显示是7月4日)
证明材料超过1年(例如,报告在今年7月提交,但是提供了去年3月的漏扫记录)
报告中存在不符合项但未提供整改说明
不适用项与符合项的数量之和与符合性评测表中的评测项总数不匹配(例如,某个网元类型的符合性评测表共有104个评测项,但是报告中不适用项数量和符合项数量的和只有90,说明是不适用项数量和符合项数量计算错误或符合性评测存在遗漏)
未按报告模板编写(或缺失)符合性评测表,符合性评测表示例如下: