信息安全工程师-测评核心知识框架与关键流程（上篇）

一、引言

网络安全测评是指参照国家或行业标准规范，通过技术检测、管理核查、模拟验证等综合手段，全面采集评估对象的安全状态信息，最终给出客观、可量化的安全状况判定与改进建议的过程，是软考信息安全工程师考试中风险管理、等级保护、安全运维三大模块的交叉核心考点，历年考试占比约 8%-12%。
该技术领域发展经历三个关键阶段：2007 年《信息安全等级保护管理办法》发布标志着等级测评体系初步建立；2017 年《网络安全法》实施明确了测评的法定地位；2019 年等保 2.0 系列标准实施将测评范围从传统信息系统扩展到云计算、物联网、工业控制系统等新兴领域。本文围绕软考大纲要求，系统梳理网络安全测评的核心定义、分类体系、关键流程等知识点，为考生构建完整的测评知识框架。

二、网络安全测评核心定义与测评对象

（一）核心定义内涵

网络安全测评的核心构成要素包括四点：一是标准依据，测评活动必须遵循公开、统一的技术标准或管理规范，不得随意设定判定规则；二是实施主体，通常由具备相应资质的第三方测评机构、内部安全团队或监管部门实施；三是实施手段，覆盖技术检测、管理核查、模拟攻击三类方法；四是输出成果，需形成具备法律效力或指导价值的测评报告，明确安全状态、存在问题与改进路径。

（二）两大测评对象

1. 信息技术产品安全测评
   信息技术产品安全测评的对象是信息系统中使用的基础软硬件、网络设备与安全专用产品，核心目标是验证产品的安全功能、安全性强度是否符合相应标准要求。
   （1）常见测评产品范畴：包括基础软件（Windows、Linux 等操作系统，Oracle、MySQL 等数据库管理系统）、网络设备（交换机、路由器、无线接入点等）、安全专用产品（防火墙、入侵检测系统、VPN、网闸、终端防护软件等）三类。
   （2）典型测评类型：产品分级评估依据标准对产品的安全保障能力进行等级划分，如防火墙依据 GB/T 20281-2006《信息安全技术 防火墙技术要求和测试评价方法》分为五个安全等级；认定测评是对产品是否符合特定准入要求的验证，如国家网络安全专用产品认证；自主原创测评验证产品核心技术的自主可控程度；源代码风险评估对产品源代码进行全量扫描，识别编码缺陷、后门、敏感信息泄露等问题；选型测试针对特定采购需求，对多个同类产品的功能、性能、安全性进行横向对比。
   （3）典型成果示例：中国国家信息安全产品认证证书，如某厂商下一代防火墙依据 GB/T 20281-2006 标准通过第三级认证，可在三级及以下等级保护信息系统中部署使用。
2. 信息系统安全测评
   信息系统安全测评的对象是由软硬件、人员、管理流程共同构成的完整信息系统，核心目标是评估系统整体的安全防护能力、风险可控水平是否符合既定要求。
   （1）核心测评内容：覆盖技术安全（物理、网络、主机、应用、数据五个层面）与管理安全（管理制度、安全机构、人员管理、建设管理、运维管理五个层面）两大维度。
   （2）典型测评类型：安全风险评估从风险管理角度识别系统面临的威胁、存在的脆弱性，评估风险等级并提出控制措施；等级保护测评依据国家等级保护标准对非涉密系统进行合规性检测；安全验收测评在信息系统建设项目竣工时验证安全功能是否满足设计要求；渗透测试通过模拟黑客攻击验证系统的抗攻击能力；安全保障能力评估对系统全生命周期的安全管理体系有效性进行综合判定。

网络安全测评对象分类及典型成果示意图

三、网络安全测评分类体系

（一）基于测评目标分类（核心分类）

该分类是软考考试的高频考点，三类测评的核心区别如下：

1. 网络信息系统安全等级测评
   等级测评是具有法定强制属性的合规性测评，依据《网络安全法》《网络安全等级保护条例》要求，对已定级的非涉密信息系统是否符合相应等级的安全保护要求进行检测评估，目前依据等保 2.0 系列标准（GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》等）实施。测评结论分为 “符合”“基本符合”“不符合” 三类，对不符合项需提出整改建议，整改完成后进行复测，复测通过后方可获得合格证明。
2. 网络信息系统安全验收测评
   验收测评是项目建设周期收尾阶段的验证性测评，依据项目合同、设计方案中的安全指标要求，评估项目建设成果是否满足预设的安全技术目标、管理要求与性能指标。测评通过是项目竣工验收的必要前提，核心关注点包括安全功能的完整性、配置的合规性、性能的达标率三个方面。
3. 网络信息系统安全风险测评
   风险测评是面向系统运行全周期的风险管理支撑性测评，从风险管理角度出发，通过系统调查、资产识别、威胁分析、脆弱性识别、已有安全措施确认、风险分析等环节，评估风险的等级与潜在影响，提出风险处置建议，为系统安全建设、运维优化提供决策参考。

（二）基于实施方式分类

1. 安全功能检测：评估系统各项安全功能是否符合设计要求，常用方法包括人员访谈、配置检查、漏洞扫描、日志分析等，核心验证安全功能的存在性、有效性与一致性。
2. 安全管理检测：评估安全管理体系的完备性与执行有效性，常用方法包括文档审查、制度执行记录核查、安全基线对比、人员安全意识考核等，覆盖安全管理制度、机构、人员、建设、运维五个管理层面。
3. 代码安全审查：针对应用系统的源代码进行静态安全扫描与人工复核，识别 SQL 注入、跨站脚本、缓冲区溢出等编码缺陷与逻辑漏洞，通常在应用开发阶段、上线前实施。
4. 安全渗透测试：模拟真实黑客的攻击手段与路径，从内部或外部对系统进行非破坏性攻击尝试，发现并验证安全隐患，评估系统的实际抗攻击能力，分为黑盒测试、白盒测试、灰盒测试三种模式。
5. 信息系统攻击测试：针对用户特定的抗攻击需求开展的专项测试，如抗 DDoS 攻击测试、抗恶意代码感染测试、抗数据窃取测试等，通常需要在隔离测试环境中实施，避免影响生产系统正常运行。

（三）基于测评对象保密性分类

1. 涉密信息系统测评：针对涉及国家秘密的信息系统开展的测评，由国家保密行政管理部门认可的测评机构实施，依据国家保密标准（BMB 系列标准）开展分级保护测评，测评合格后方可投入运行。
2. 非涉密信息系统测评：针对不涉及国家秘密的信息系统开展的测评，由网络安全等级保护测评机构实施，依据等级保护标准开展测评，测评结果需向公安机关网络安全保卫部门备案。

三类测评目标核心维度对比表

四、核心测评流程详解

（一）网络安全等级测评流程

依据 GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》，等级测评分为四个标准化活动，是软考必须掌握的核心流程：

1. 测评准备活动：核心目标是明确测评边界与约束，主要工作包括确定测评范围与测评对象、收集系统基本资料、签署测评服务合同、组建测评团队、制定初步测评计划。该阶段需确认系统的定级结果、业务流程、网络拓扑、部署位置等基础信息，避免测评范围出现偏差。
2. 方案编制活动：核心目标是制定可执行的测评实施方案，主要工作包括细化测评指标、设计测评用例、明确测评方法与工具、规划测评进度、制定安全保密措施、形成正式测评方案并经客户确认。测评方案需覆盖所有测评指标，明确每个指标的检测方法与判定规则。
3. 现场测评活动：核心目标是全面采集系统的安全状态信息，分为技术测评与管理测评两部分：技术安全测评覆盖物理安全（机房环境、物理访问控制等）、网络安全（网络架构、访问控制、入侵防范等）、主机安全（操作系统、数据库配置、恶意代码防范等）、应用安全（身份鉴别、访问控制、安全审计等）、数据安全（数据完整性、保密性、备份恢复等）五个层面；管理安全测评覆盖安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个层面。常用方法包括访谈、检查、测试三类，所有检测结果需留存原始记录。
4. 报告编制活动：核心目标是形成正式测评结论，主要工作包括汇总现场测评数据、分析单项符合情况、计算整体符合率、判定测评结论、梳理不符合项并提出整改建议、编制正式测评报告。测评报告需经内部三级审核后提交客户，结论为 “不符合” 或 “基本符合” 的，需在客户完成整改后开展复测，复测合格后方可出具最终合格报告。

网络安全等级测评全流程示意图

（二）网络安全渗透测试流程

渗透测试属于高风险的测评活动，需严格遵循标准化流程，避免对生产系统造成影响，核心分为五个阶段：

1. 委托受理阶段：核心目标是明确测试边界与责任，主要工作包括前期需求沟通、确认测试范围与测试目标、签署保密协议与服务合同，明确双方的责任与义务，特别需明确禁止的测试手段（如拒绝服务攻击、破坏性漏洞利用等）。
2. 准备阶段：核心目标是完成测试前的各项准备，主要工作包括收集目标系统的公开信息、编写详细测试方案、明确测试人员分工与时间安排、获得客户出具的正式书面授权书，客户需安排全程陪同人员，协调测试过程中的资源与权限，提前对重要数据进行备份。
3. 实施阶段：核心目标是开展测试并发现安全隐患，主要工作包括按照测试方案开展信息收集、漏洞扫描、漏洞验证、权限提升、横向移动等测试操作，全程留存操作记录，发现高危漏洞时第一时间通知客户，避免漏洞被恶意利用。测试过程中如出现影响生产系统正常运行的意外情况，需立即停止测试并配合客户进行排查恢复。
4. 综合评估阶段：核心目标是形成测试结论与改进建议，主要工作包括整理测试原始数据、验证漏洞的真实性与影响范围、评估漏洞风险等级、与客户沟通测试结果、编制正式渗透测试报告，报告需包含漏洞详情、影响范围、修复优先级、整改建议等内容。客户完成整改后可开展复测，验证漏洞修复效果并出具复测报告。
5. 结题阶段：核心目标是完成项目收尾与资料归档，主要工作包括向客户正式交付测试报告、双方签署项目验收文件、对所有测试原始记录、中间文档、报告版本进行整理归档，按照保密要求处理测试过程中获取的敏感数据，不得私自留存或泄露。

渗透测试关键阶段核心工作内容示意图

五、测评实施关键约束与常见误区

（一）核心实施约束

1. 资质约束：等级保护测评机构需获得《网络安全等级保护测评机构推荐证书》，涉密系统测评机构需获得国家保密行政管理部门的资质认定，渗透测试服务机构需具备相应的安全服务资质，无资质机构出具的测评报告不具备法律效力。
2. 授权约束：所有涉及对生产系统进行检测、渗透测试的活动，必须获得资产所有者的书面授权，未授权开展的测试活动属于违法行为，违反《网络安全法》《刑法》的相关规定，需承担相应的法律责任。
3. 标准约束：测评活动必须严格遵循对应的国家标准、行业标准，不得随意删减测评指标、调整判定规则，确保测评结果的客观性、公正性与可追溯性。

（二）常见实施误区

1. 混淆等级测评与风险评估：等级测评是合规性测评，核心是判定是否符合等级保护标准要求，结论是 “符合 / 基本符合 / 不符合”；风险评估是风险管理活动，核心是识别风险等级，输出风险清单与处置建议，两者目标、方法、结论均存在明显差异，不能相互替代。
2. 渗透测试等同于漏洞扫描：漏洞扫描是通过工具自动识别系统存在的已知漏洞，属于自动化检测手段；渗透测试是人工结合工具对漏洞进行验证、利用，评估漏洞的实际影响，两者的技术深度、发现问题的价值存在显著差异。
3. 测评只关注技术层面：网络安全测评需要技术与管理并重，管理层面的缺陷（如制度缺失、人员安全意识不足、运维流程不规范）往往是导致安全事件的核心原因，占安全事件诱因的 70% 以上，是测评的重要组成部分。

等级测评与风险评估核心差异对比表

六、总结与软考备考建议

（一）核心知识点提炼

1. 测评对象分为信息技术产品测评与信息系统测评两类，需明确两类测评的常见类型与核心目标。
2. 测评分类需重点掌握基于目标的三类测评（等级测评、验收测评、风险测评）的区别，基于实施方式的五类检测方法的适用场景，基于保密性的两类测评的监管主体与适用标准差异。
3. 核心流程需熟记等级测评的四个活动（准备、方案编制、现场测评、报告编制）与渗透测试的五个阶段（委托受理、准备、实施、综合评估、结题），明确每个阶段的核心工作与输出成果。

（二）软考考试重点提示

1. 高频考点：等级测评的法定依据、适用标准、流程节点；渗透测试的授权要求、实施约束；三类基于目标的测评的差异对比；产品测评与系统测评的适用场景。
2. 易错点：混淆等级保护测评与分级保护测评的适用对象；误将渗透测试的合法性等同于不需要授权；混淆安全功能检测与渗透测试的技术定位。
3. 案例题考点：通常给出企业测评场景，要求判断测评流程的错误、指出测评方法的适用问题、给出测评结论的整改建议，需结合知识点灵活应用。

（三）实践应用最佳实践

1. 测评实施前需明确测评目标与适用标准，避免出现测评范围偏差、结论不符合要求的问题。
2. 高风险测评活动（如渗透测试、DDoS 攻击测试）需提前制定应急预案，在非业务高峰时段实施，避免影响生产系统正常运行。
3. 测评发现的问题需按照风险等级制定整改计划，优先整改高危漏洞与管理层面的核心缺陷，整改完成后及时开展复测验证整改效果。