文章总结： 本文提出一种基于业务的综合测评模式，旨在解决网络安全、数据安全、关键信息基础设施等多重测评标准带来的重复投入问题。该模式以网络安全等级保护为主线，将业务全生命周期、业务组件及承载数据划分为三个测评域，通过治理-管理-操作三层结构展开测评，以业务逻辑梳理为核心，依据数据流动路径识别合规要求，从而提升测评效率与客观性。 综合评分： 78 文章分类： 安全建设,技术标准,解决方案,网络安全,数据安全

基于业务的综合测评体系的设计

原创

草根老烦 草根老烦

老烦的草根安全观

2026年4月23日 12:22 广东

在小说阅读器读本章

去阅读

自《网络安全法》明确我国网络安全工作以网络安全等级保护为基础之后，网络安全等级保护成为支撑网络安全工作的国家政策。随着《关键信息基础设施保护条例》《数据安全法》以及《个人信息保护法》的陆续发布，相对应的测试评估工作也在紧锣密鼓的进行着。测评是针对网络安全保障工作的重要环节，为数字化产业保驾护航。但是，各种测评工作也为运营方带来诸多困惑，尤其是重复测量带来的人力、物力、财力的重复投入使得运营方不得不将测评工作仅当作合规来处理，从而降低了测评本身的实际价值和客观性。因此，如何降低测评方和被测方的负担，提高测评质量和效率成为各种测评探讨研究的课题。本文提出一种基于业务的综合测评模式来解决上述问题。本模式以网络安全等级保护测评作为主线，将网络安全、数据安全、关键信息基础设施、商用密码管理以及个人信息保护等工作融合成一套测评体系，结合《网络安全标识管理办法》逐步将供应链安全与信创产业纳入在综合评测体系中。

初期信息安全等级保护定级对象针对信息系统产生，新的等级保护工作定级从信息系统转化为“业务”。GB/T 22240-2020中，将定义对象定义为“作为定级对象的信息系统应具有如下基本特征：ａ）具有确定的主要安全责任主体；ｂ）承载相对独立的业务应用；ｃ）包含相互关联的多个资源。”在明确定义对象中特别强调一点“注２：避免将某个单一的系统组件，如服务器、终端或网络设备作为定级对象。”那么在这个描述中，定级对象产生一个有趣的问题，如下例：

某单位X业务系统，分别使用了B／S架构的Web模式、移动APP和小程序来执行业务工作。三种模式访问的数据源基本一致，但业务表现形式不同。如图：

从计算机信息系统定级而言,我们可以分别定义Web应用\App服务以及小程序三套定级系统分别适用于通用系统定级和移动互联网定级;如果从业务角度出发定级,我们可以将其视为一套系统定级,具体测评时涉及通用技术测评保护和移动互联网技术测评保护两种能力要求.虽然目前基于业务的定级工作还未有效展开,但是,这是未来网络安全等级保护必由之路。

为什么要用业务作为整个测评的主线？如果我们把业务拆分为业务全生命周期管理（规划、设计、采购、建设、交付、运行、废弃）、业务组件（主机、网络/通信、云、传感器、终端及其他硬件与软件）、承载数据（业务数据、支撑数据、临时数据、生产数据），这样我们可以把测评纵线划分为三个域，然后根据纵向域划分横向域，每个横向域对应相应的测评要求。如图：

我们可以将整个测评内容看作是一个整体的测评对象，将整个测评对象划分为三个域，基础设施域、业务组件域和数据域。将不同测评类基于实际测评合规要求分别填充到不同域中，在不改变现有测评体系的情形下，将具体测评项叠加进实际测评对象。使得测评过程中，解决重复测评的问题。

在具体开展测评活动中，以治理作为基础原则，通过治理-管理-操作三个层次逐次展开。测评人员需要梳理业务逻辑，根据构成业务逻辑的完整过程将物理边界、网络边界、业务边界、数据边界进行划分和确认，从边界入手开展实际测评工作。测评过程中基于数据流动所流经的每一个组件产生的合规性要求进行识别和测量；在不同技术环境下选择适用的扩展标准建立度量。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：老烦的草根安全观 草根老烦 草根老烦《基于业务的综合测评体系的设计》