信息系统安全等级保护测评过程指南

由天下分享时间：2024/9/11 22:42:51 加入收藏我要投稿点赞

交换设备）上。在该点接入漏洞扫描器，扫描探测被测系统的主机、网络设备对外暴露的安全漏洞情况。在该接入点接入协议分析仪，可以捕获应用程序的网络数据包，查看其安全加密和完整性保护情况。在该接入点使用渗透测试工具集，试图利用被测试系统的主机或网络设备的安全漏洞，跨过系统边界，侵入被测系统主机或网络设备。从系统部与测评对象不同网段接入时，测试工具一般接在与被测对象不在同一网段的部核心交换设备上。在该点接入扫描器，可以直接扫描测试部各主机和网络设备对本单位其他不同网络所暴露的安全漏洞情况。在该接入点接入网络拓扑发现工具，可以探测信息系统的网络拓扑情况。

在系统部与测评对象同一网段接入时，测试工具一般接在与被测对象在同一网段的交换设备上。在该点接入扫描器，可以在本地直接测试各被测主机、网络设备对本地网络暴露的安全漏洞情况。一般来说，该点扫描探测出的漏洞数应该是最多的，它说明主机、网络设备在没有网络安全保护措施下的安全状况。如果该接入点所在网段有大量用户终端设备，则可以在该接入点接入非法外联检测设备，测试各终端设备是否出现过非法外联情况。

d)结合网络拓扑图，采用图示的方式描述测试工具的接入点、测试目的、测试途径和测试对象等相关容。

输出/产品：测评方案的测评容中关于测评工具接入点部分。 6.2.4测评容确定

本部分确定现场测评的具体实施容，即单元测评容。

页脚

输入：填好的调查表格，测评方案的测评对象、测评指标及测评工具接入点部分。任务描述： a)确定单元测评容

依据GB/TDDDD-DDDD，将前面已经得到的测评指标和测评对象结合起来，然后再将测评对象与具体的测评方法结合起来，这也是编制测评指导书测评指导书的第一步。

具体做法就是把各层面上的测评指标结合到具体测评对象上，并说明具体的测评方法，如此构成一个个可以具体实施测评的单元。参照GB/TDDDD-DDDD，结合已选定的测评指标和测评对象，概要说明现场单元测评实施的工作容；涉及到工具测试部分，应根据确定的测试工具接入点，编制相应的测试容。

在测评方案中，现场单元测评实施容通常以表格的形式给出，表格包括测评指标、测评容描述等容。现场测评实施容是项目组每个成员开发测评指导书测评指导书的基础。

现场单元测评实施容表格描述的基本格式之一为：

6.2.5测评指导书开发

页脚

测评指导书是具体指导测评人员如何进行测评活动的文件，是现场测评的工具、方法和操作步骤等的详细描述，是保证测评活动可以重现的根本。因此，测评指导书应当尽可能详尽、充分。输入：测评方案的测试工具接入点、单元测评实施部分。任务描述：

a)描述单个测评对象，包括测评对象的名称、IP地址、用途、管理人员等信息。

b)根据GB/TDDDD-DDDD的单元测评实施确定测评活动，包括测评项、测评方法、

操作步骤和预期结果等四部分。

测评项是指GB/T22239-2008中对该测评对象在该用例中的要求，在GB/TDDDD-DDDD中对应每个测评单元中的“测评指标”的具体要求项。测评方法是指访谈、检查和测试三种方法，具体到测评对象上可细化为文档审查、配置检查、工具测试和实地察看等多种方法，每个测评项可能对应多个测评方法。操作步骤是指在现场测评活动中应执行的命令或步骤，是按照GB/TDDDD-DDDD中的每个“测评实施”项目开发的操作步骤，涉及到工具测试时，应描述工具测试路径及接入点等；预期结果是指按照操作步骤在正常的情况下应得到的结果和获取的证据。

c)单元测评一般以表格形式设计和描述测评项、测评方法、操作步骤和预期结果等容。整体测评则一般以文字描述的方式表述，可以以测评用例的方式进行组织。

页脚

单元测评的测评指导书描述的基本格式为：

输出/产品：测评指导书，测评结果记录表格。 6.2.6测评方案编制

测评方案是等级测评工作实施的基础，指导等级测评工作的现场实施活动。测评方案应包括但不局限于以下容：项目概述、测评对象、测评指标、测评工具的接入点以及单元测评实施等。

输入：委托测评协议书，填好的调研表格，GB/T22239-2008中相应等级的基本要求，测评方案的测评对象、测评指标、测试工具接入点、测评容部分。任务描述：

a)根据委托测评协议书和填好的调研表格，提取项目来源、测评委托单位整体信息化建设情况及被测系统与单位其他系统之间的连接情况等。

页脚

b)根据等级保护过程中的等级测评实施要求，将测评活动所依据的标准罗列出来。

c)依据委托测评协议书和被测系统情况，估算现场测评工作量。工作量可以根据配置检查的节点数量和工具测试的接入点及测试容等情况进行估算。

d)根据测评项目组成员安排，编制工作安排情况。

e)根据以往测评经验以及被测系统规模，编制具体测评计划，包括现场工作人员的分工和时间安排。在进行时间计划安排时，应尽量避开被测系统的业务高峰期，避免给被测系统带来影响。同时，在测评计划中应将具体测评所需条件以及测评需要的配合人员也一并给出，便于测评实施之前双方沟通协调、合理安排。