本次活动由公安部网络安全保卫局、中国合格评定国家认可委员会指导,中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)主办,公安部信息安全等级保护评估中心作为专家指导,北京永信至诚科技股份有限公司和新华三集团协办。活动当天,公安部网络安全保卫局郭启全总工程师、中国合格评定认可委员会宋桂兰副主任、中国电子科技集团公司第十五研究所谭景信副所长等领导一行莅临现场参观指导。
本次活动在《中华人民共和国网络安全法》实施的背景下,落实《网络安全等级保护测评机构管理办法》要求,旨在规范全国测评机构的工作,提升各测评机构的网络安全测评与攻防能力,考查已获CNAS认可的测评机构及准备申请认可机构的测评能力,加强测评机构之间的交流,为测评机构管理、认可和能力持续提供有力的支持。
本次活动分为配置检查和渗透测试两部分,配置检查在中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)为每家机构准备的独立的模拟信息系统环境中进行,涉及网络安全等级保护标准中第三级基本要求的技术测评项中网络安全、主机安全测评题目;下午是等级保护应用安全漏洞攻防测试虚拟赛场,利用国际流行的CTF夺旗模式,从Web渗透、黑盒逆向分析、白盒源代码分析等方面进行能力考核。本次活动综合考查了所有参与机构和相关攻防人员的理论水平与实际业务动手能力,为网络安全等级保护工作的开展打下了坚实的基础。
(以上内容来源于信息产业信息安全测评中心)
不得不等:中关村信息安全测评联盟网络安全等级保护测评能力验证与攻防比赛是在公安部网络安全保卫局、中国合格评定国家认可委员会指导下开展的全国范围内测评机构的一次能力考核验证工作,旨在规范全国测评机构的工作,提升各测评机构的网络安全测评与攻防能力,考查已获CNAS认可的测评机构及准备申请认可机构的测评能力。对于各个测评机构来说就是一个能力自我证明的很好机会,当然如果在此次能力认证中最终结果为不满意的话,那么测评机构的能力无疑是有问题的,在这样的考核工作中结果都不符合,那么平时的测评工作能好到哪里去?
有时一些客户会问不得不等,测评是不是随便找哪家测都一样,测评都是一样的东西。不得不等在此说明下:等保测评一个国家网络安全标准体系,首先体系是标准的,但是体系在执行的过程中是一个人为的过程,不同测评机构测出来的情况层次不齐,整体上来说实力相对更强的测评机构测评地会更规范,测评出的问题更全面,测评结论也更客观,这样也更有助于我们开展网络安全工作。
本文转自等级保护测评 不得不等
原文链接:https://mp.weixin.qq.com/s/gGH-1tAlmQLYOim95wpD7w