测评在线
测评在线系统主要提供快速测评、标准指导、格式输出。用户通过测评在线系统节省现场测评记录、交付报告,归档项目过程文档的交付时间,平均可节省2天/项目系统,节约人工60%工作量,提升效率;同时,质量监督通过PDCA持续提升标准指导,通过源头控制现场测评记录、交付报告和归档项目过程文档,满足测评工作合规性同时潜移默化提升人员的能力水平,兼顾网络安全测评的合规性和高效性。
获取测评在线
方式一:发送主题为“获取测评在线”的邮件至support_eva@163.com,正常情况下将在12小时内回复带有测评在线文件包的邮件。
方式二:CSDN资源下载。
运行测评在线
解压测评在线并打开“EVA测评在线”文件夹,双击运行“EVA测评在线”,运行成功后将自动打开浏览器跳转到测评在线页面。
右下角会出现测评在线小图标,点击鼠标左键可打开浏览器,点击鼠标右键可退出。
测评在线仅分系统管理权限、普通用户权限、审计用户权限,对于项目权限不作管控,新注册普通用户的权限完全相同,以操作系统的权限控制为限制。
普通用户
用户注册和登录
用户注册后即可登录,日常使用注册的用户+口令登录,若忘记口令直接注册新用户即可。
点击右上角“注册”,注册时输入用户名、口令、重复口令、邮件地址,点击“注册”或“Enter”,即可完成注册,注册完成后自动登录并进入主页,默认自动登录为普通用户权限。
激活
在未激活情况下,点击“等级测评”默认会进入激活页面,根据激活提示进行激活。
获取固定信息,将固定信息文件“info.dat”发送至support_eva@163.com,正常情况下在12小时内发送激活文件。
获取到“active.dat”后将其上传,校验成功后将自动跳转至主页。
添加单位
点击“等级测评”-“添加单位”-输入信息-“提交”即可添加单位,建议首先添加自己单位名称,然后添加被测单位名称。
添加系统
点击“等级测评”-“添加系统”-输入“备案单位”、“S”、“A”、“G”、“依据标准”、“测评采用指标”,测评采用指标按住Ctrl即可多选-“提交”,必填项未填写时会提示需要填写,创建过程的数据量较大,等待秒为正常现象,创建完成后动跳转至系统列表页面。
编辑系统
点击“编辑”-输入“委托单位”、“备案单位”为编辑时的必填项,其余可在测评报告导出之前进行详细编辑和核对,“Ctrl+S”或“提交”保存,等待时会提示黄色提示框,成功时会提示绿色提示框,失败时会提示红色提示框。
编辑系统可随意调动安全保护等级SAG和依据标准,前期数据库逻辑设置为调整安全保护等级SAG和依据标准时不会产生数据错位。
测评目录
点击系统名称即可进入测评目录。
左侧“机房测评人员”、“网络节点测评人员”、“主机节点测评人员”、“应用节点测评人员”、“管理测评人员”、“验证测试人员”、“项目经理”为各方面人员,质量监督人员监督各节点的情况。
机房测评人员:填写“物理机房”资产对象和测评记录。
网络节点测评人员:填写“安全通信网络”、“安全区域边界”、“安全管理中心”测评记录,上传“网络拓扑图”、“工业接入点示意图”,图片上传支持多选或逐张上传,图片过大时会限制上传,填写“网络结构说明”、“业务和采用的技术”,若涉及“测评边界”可填写。
主机节点测评人员:填写“存储设备”、“数据库管理系统”、“现场设备”、“系统管理平台”、“感知终端”、“移动终端”、“工业控制设备”资产对象和测评记录,填写“业务和采用的技术”。
应用节点测评人员:填写“业务应用软件”、“系统管理平台”、“数据资源”资产对象和测评记录,填写“业务与系统承载情况”、“业务和采用的技术”,若涉及“系统总体结构图”、“业务数据流程图”可填写。
管理测评人员:填写“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”、“安全运维管理”测评记录,填写“安全相关人员”、“安全管理文档”测评对象,若涉及“服务厂商情况”可填写。
验证测试人员:填写“测评工具”、“测评工具接入点”,填写或上传漏洞扫描、渗透测试内容,“风险确认书”、“特殊情况确认书”为上传图片,需将扫描的pdf转为图片格式,图片上传支持多选或逐张上传,图片过大时会限制上传。
项目经理:确认项目信息、填写“上次测评问题整改情况”,若涉及云扩展安全要求指标则上传附录图片,需将扫描的pdf转为图片格式,图片上传支持多选或逐张上传,图片过大时会限制上传。
资产对象和测评记录
方式一:填写“名称”,并选择“指导书”后,执行Ctrl+S、Enter即可创建对象,成功时下方提示绿色提示框,其后双击名称即可跳转至测评记录。
方式二:从已有测评对象中粘贴
支持整列复制,但若有回车符、换行符、空格符均会被识别为换行,故在表格或文档中需要先替换p回车符、l换行符、空格符后方复制粘贴。
粘贴后选择指导书,执行Ctrl+S、Enter即可创建对象,成功时下方提示绿色提示框,其后双击名称即可跳转至测评记录。
方式三:通过上传下载的方式创建或编辑
点击“↓”下载当前已创建资产对象,可编辑所有已创建的资产对象,所有类型的对象通过表格子表进行分区,根据提示复制即可,以ID值作为唯一标识,不可编辑或创建ID值,否则可能出现期待以外的结果
在已有数据位置可编辑现有资产对象的详细信息等情况,,点击“↑”上传当前已编辑表格中的数据,上传完成后将会跳转至测评目录,上传失败时将提示红色提示框。
编辑资产对象
编辑方法一:编辑资产对象
点击“编辑”可以编辑物理环境的详细信息,执行Enter、Tab、Ctrl+S、Space或鼠标划动即可保存,成功时会在返回右侧提示绿色提示框,名称带*位置表示测评报告中直接展现的项,在资产对象详细信息编辑页面点击“返回”会返回资产对象界面。
编辑方法二:通过上传下载的方式创建或编辑
点击“↓”下载当前已创建资产对象,可编辑所有已创建的资产对象,所有类型的对象通过表格子表进行分区,根据提示复制即可,以ID值作为唯一标识,不可编辑或创建ID值,否则可能出现期待以外的结果
在已有数据位置可编辑现有资产对象的详细信息等情况,,点击“↑”上传当前已编辑表格中的数据,上传完成后将会跳转至测评目录,上传失败时将提示红色提示框
“资产/对象”一列为1时代表对象,为0时代表资产,即资产是否被抽选为测评对象的意思
编辑测评记录
方式一:编辑测评记录
绿色:符合、黄色:部分符合、红色:不符合、灰色:不适用,实际显示颜色即为最终符合程度。
两种填写方法:传统的方式、新式三段式。
可采用传统的方式填写“现场描述”、“符合记录/不适用”、“不符合记录/不适用理由”中的任一项,手动选择符合程度。
可采用新式三段式描述,现场描述、符合记录、不符合记录,通过理论组合。
符合记录/不适用部分,若需填写符合记录则直接填写即可,若该项希望自动判别为不适用,则输入“不适用”三个字,并在不符合记录/不适用理由部分填写不适用理由,执行Ctrl+Shift+V则自动填充模板内容,避免人工复制粘贴操作更快速。
在非不适用情况时,符合记录有内容且不符合记录无内容时,为符合,符合记录有内容且不符合记录有内容时,为部分符合,符合记录无内容且不符合记录有内容时,为不符合,均无内容时将判断为不适用,同时该框主要填写不符合记录,建议在不同问题间以分号;作为分隔符,以便于系统自动将相同问题进行合并后,仍能以方便阅读的方式展示,执行Ctrl+Shift+V则自动填充模板内容,避免人工复制粘贴操作更快速。
体现符合程度,无颜色为未填写,绿色为符合,黄色为部分符合,红色为不符合,灰色为不适用。
三段式描述为方便在测评师填写完现场记录后无须对安全问题进行整合即可自动判断符合情况,并自动生成安全问题,为解决测评记录描述与符合程度判断因操作失误而误判的问题,但仍然保留传统的填写方式,采用人工的方式选择符合情况,可选符合、部分符合、不符合、不适用,为空时则为自动判断,若采用人工的方式选择,则其后均为人工选择,除非将其人工修订为空使其自动判断。
执行Enter、Tab、Ctrl+S、Space或鼠标划动即可保存,保存成功时提示绿色提示框,保存失败时提示红色提示框。
方式二:从已有记录中粘贴
复制测评报告中的已有记录,粘贴至“现场描述”中,执行Enter、Tab、Ctrl+S、Space或鼠标划动即可保存,并将根据内容识别测评项,但要注意的是,该功能仅用于节省大量的复制粘贴时间,测评人员仍需自动内容识别的校验报告记录和符合程度,且同时建议将结果记录拆分为符合部分、不符合部分。
方式三:从已有测评对象中粘贴
点击“Copy”位置并选择复制源记录即可快速复制已有测评对象的报告记录。
编辑实测记录
测评记录位置为实测记录,该内容结合指导书、测评要求、每个测评对象在现场时的主要访谈、核查、测试等过程,主要用于更加详细地反映现场情况,在小白块□位置双击点击即可变成小黑块■,其余根据文字要求填写。
执行Enter、Tab、Ctrl+S、Space或鼠标划动即可保存,保存成功时提示绿色提示框,保存失败时提示红色提示框。
查看指导
双击左侧第二格“测评要求”位置即可跳转查看该测评项的详细指导。
安全问题
单击上方“安全问题”,可编辑安全问题,左侧第二格“问题对象列表”为根据测评记录中判定为不符合/部分符合的测评项自动生成的安全问题对象,右侧第一格“自动生成”为根据测评记录中判定为不符合/部分符合的测评项自动生成的安全问题。
中间“手动重构”可手动填写该安全问题的安全问题对象,但要注意的是,在此处填写安全问题对象并不会改变测评记录及结果,该位置若不填写则代表认可自动生成该安全问题的问题对象,该位置若有异议建议修改测评对象的测评记录内容。
中间“手动重构”可手动填写该安全问题的安全问题,但要注意的是,在此处填写安全问题对象并不会改变测评记录及结果,该位置若不填写则代表认可自动生成的安全问题,也可用于当测评对象或问题过多时的文字精简,修订该位置并不会改变测评记录及结果。
执行Enter、Tab、Ctrl+S、Space或鼠标划动即可保存,保存成功时提示绿色提示框,保存失败时提示红色提示框。
整体测评
单击上方“整体测评”,可编辑整体测评,若在“安全问题”位置手动重构了安全问题和安全问题对象,则该位置为手动重构的内容,若未手动重构,则左侧第二格“问题对象列表”为根据测评记录中判定为不符合/部分符合的测评项自动生成的安全问题对象,左侧第三格“自动生成”为根据测评记录中判定为不符合/部分符合的测评项自动生成的安全问题,整体测评位置不可编辑安全问题和安全问题对象,需在安全问题位置编辑。
左侧第一格“测评项”双击可跳转至该测评项的“风险评估”,快速查看风险等级情况。
中间“修正层面”、“严重程度变化”、“修正标题”、“修正理由”按需修正。
右侧“修正模板”作为指导内容。
执行Enter、Tab、Ctrl+S、Space或鼠标划动即可保存,保存成功时提示绿色提示框,保存失败时提示红色提示框。
风险评估
单击上方“风险评估”,可编辑风险评估,若在“安全问题”位置手动重构了安全问题和安全问题对象,则该位置为手动重构的内容,若未手动重构,则左侧第二格“问题对象列表”为根据测评记录中判定为不符合/部分符合的测评项自动生成的安全问题对象,左侧第三格“自动生成”为根据测评记录中判定为不符合/部分符合的测评项自动生成的安全问题,风险评估位置不可编辑安全问题和安全问题对象,需在安全问题位置编辑。
左侧第一格“测评项”双击可跳转至该测评项的“整体测评”,快速查看整体测评情况。
中间“风险分析”手动重构、“整改建议”手动重构,根据安全问题情况进行针对性的风险分析和整改建议。
右侧“风险分析”、“整改建议”作为指导内容,若未手动重构则以指导内容为准 。
执行Enter、Tab、Ctrl+S、Space或鼠标划动即可保存,保存成功时提示绿色提示框,保存失败时提示红色提示框。
综合结论
单击上方“综合结论”,即可查看综合得分和综合结论。
备注:对于未填写测评记录的情况统一作为不适用项进行得分计算,即不计算。
快速搜索
执行Enter、Tab、Ctrl+S、Space或鼠标划动即可搜索。
上传报告图
网络拓扑图、工具接入点示意图、风险确认书、特殊情况确认书、云计算附录图、系统总体结构图、业务数据流程图可上传jpg、png格式的图片,图片上传支持多选或逐张上传,图片过大时会限制上传。
漏洞扫描
漏洞扫描根据接入点分别上传csv格式的数据,nessus扫描数据可直接上传,若为其他漏洞扫描需要修改其列名为“Name”、“Host”、“Risk”、“Protocol”、“Port”、“Synopsis”、“Solution”。
渗透测试
点击“渗透测试”,输入漏洞名称,执行Enter、Ctrl+S即可创建,创建成功时提示绿色提示框,保存失败时提示红色提示框。
创建完成后双击漏洞名称即可编辑详情,漏洞验证、修复情况位置可插入图片,文字内容无须设置格式、无须首行缩进,因为导出后均为纯文本。
下载项目数据
在项目经理位置点击“下载”即可下载项目数据。
导出测评报告
在测评目录页面点击”等级测评报告”即可导出测评报告,导出时间约为1分钟,根据项目数据情况不定。
导出项目过程文档
在测评目录页面点击”项目过程文件”,点击需要下载的项目过程文件后静待即可。
因各机构的项目过程文件模板不同,可自由编辑项目过程文件模板,模板文件位置:EVA测评在线-templates-hierarchical_protection-process,导出项目过程文件时会遍历该路径下的所有文件并进行数据输出。
系统管理
使用创建的第一个用户口令,以用户名superuser的权限进入,即可编辑威胁库、基准库、标准库、指导库。
备注:要创建新的标准基准项(测评项)时不得在原有的数据上编辑,要采用“添加标准基准项”,已有的标准基准项中空置的735项为后续测评在线内置库更新预留。
测评在线内置库更新
发送主题为“获取最新内置库”的邮件至support_eva@163.com,正常情况下将在12小时内回复带有测评在线最新内置库的邮件。
下载测评在线内置更新库,以用户名superuser的权限进入,点击“更新数据”并上传文件。
测评在线系统版本更新
发送主题为“获取测评在线”的邮件至support_eva@163.com,正常情况下将在12小时内回复带有测评在线文件包的邮件。
数据目录位于/data、/importdata,将其复制到新的测评在线目录即可。
运行须知
1、使用Firefox浏览器浏览测评在线用户体验更佳,其他浏览器可使用基础功能,但未完全兼容;
2、测评在线Windows基于Windows10开发,支持Windows操作系统、Linux操作系统、macOS操作系统,但未完全兼容;
3、测评在线为单机版,只允许本地访问,以操作系统的权限控制为限制,须注意数据安全;
4、如遇问题或建议反馈至support_eva@163.com。
FAQ
初始用户口令是什么
无初始用户,点击右上角“注册”创建新用户。
测评数据是否支持导入导出
支持
情况一:整个系统上传
系统列表-上传数据
情况二:固定系统上传
系统列表-系统-项目经理-上传
用不到实测记录,是否可以在界面中删除
支持,发送主题为“获取测评在线”的邮件至support_eva@163.com,正常情况下将在12小时内回复带有替换文件和替换方法的邮件。
数据资源的测评记录在填写时有大量的不适用,是否应将其删除
考虑不同机构的安全计算环境的不适用(非测评对象)存在差异,测评在线不考虑内置需填写的测评项,由机构编辑指导书时自行定义。
内置了指导书“数据资源”,创建数据资源作为测评对象时须合理选择指导书,其后点击“未记录”即可快速筛选数据资源应填写的测评记录。
是否支持定制功能
支持,发送主题为“关于定制功能需求的费用预评估”的邮件至support_eva@163.com,在正文中明确需求内容、期望费用等内容,正常情况下将在12小时内回复,最终解释权归测评在线所有。
备注:如遇问题或建议反馈至support_eva@163.com,先预估判断其是问题或是需求,若确定为需求再判断是否进行费用预评估。
测评在线什么时候会优惠活动
发送主题为“获取最新优惠”的邮件至support_eva@163.com,正常情况下将在12小时内回复优惠活动邮件。
测评在线能否有更多类型的指导书
测评在线内置指导库作为附属品而非售品,希望获得更多指导书可以反馈至support_eva@163.com,众志成城,相同反馈较多也将优先更新,同时也希望收到指导书内容或意见的反馈,供进一步完善内置库。
项目过程文档不知道怎么匹配到测评在线,是否能够给予支持
支持,反馈至support_eva@163.com。
如遇问题或建议反馈至support_eva@163.com。
其他功能正在充电中……
8174
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
