② 確定測評指標及測評內容。根據被測系統調查表格,得出被測系統的定級結果,包括業務網絡安全保護等級和系統服務安全保護等級,從而得出被測系統應采取的安全保護措施 ASG 組合情況。如,目標系統的安全保護等級為第三級(S3A3G3),其測評指標應包括《基本要求》7.1 節“技術要求”和 7.2 節“管理要求”中的第三級通用指標類(G3)、第三級業務信息安全性指標類(S3)和第三級業務服務保證類(A3)要求。對于由多個不同等級的信息系統組成的被測系統,應分別確定各個定級對象的測評指標。如果多個定級對象共用物理環境或管理體系,而且測評指標不能分開,則不能分開的這些測評指標應采用就高原則。
③ 確定測評工具接入點。一般來說,測評工具的接入采取從外到內,從其他網絡到本地網段的逐步逐點接入,即:測評工具從被測系統邊界外接入、在被測系統內部與測評對象不同網段及同一網段內接入等幾種方式。從被測系統邊界外接入時,測評工具一般接在系統邊界設備(通常為交換設備)上。在該點接入漏洞掃描器,掃描探測被測系統的主機、網絡設備對外暴露的安全漏洞情況;從系統內部與測評對象不同網段接入時,測評工具一般接在與被測對象不在同一網段的內部核心交換設備上;在系統內部與測評對象同一網段內接入時,測評工具一般接在與被測對象在同一網段的交換設備上;結合網絡拓撲圖,采用圖示的方式描述測評工具的接入點、測評目的、測評途徑和測評對象等相關內容。
主站蜘蛛池模板: