信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南引言〔國務(wù)院147號(hào)令〔中辦發(fā)[2023]27號(hào)〔公通字[2023]66號(hào)〕和《信息安全等級(jí)保護(hù)治理方法》〔公通字[2023]43號(hào)，制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)是信息安全等級(jí)保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一。與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括：——GB/T22240-2023信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南；——GB/T22239-2023信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)根本要求；——GB/TCCCC-CCCC信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南；——GB/TDDDD-DDDD信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求。信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南范圍〔以下簡稱等級(jí)測(cè)評(píng)工作全保護(hù)現(xiàn)狀進(jìn)展的測(cè)試評(píng)價(jià)，獵取信息系統(tǒng)的全面保護(hù)需求。標(biāo)準(zhǔn)性引用文件注日期的引用文件，其隨后全部的修改單〔不包括訂正的內(nèi)容〕或是否使用這些文件的最版本。但凡不注明日期的引用文件，其最版本適用于本標(biāo)準(zhǔn)。GB/T5271.88GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T22240-2023信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GB/T22239-2023信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)根本要求GB/TCCCC-CCCC信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南GB/TDDDD-DDDD信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求《信息安全等級(jí)保護(hù)治理方法》〔公通字[2023]43號(hào)〕術(shù)語和定義GB/T5271.8 、GB17859-1999 、GB/TCCCC-CCCC 和GB/TDDDD-DDDD確立的以及以下的術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1優(yōu)勢(shì)證據(jù)superiorevidence對(duì)單一測(cè)評(píng)項(xiàng)實(shí)施等級(jí)測(cè)評(píng)過程中獲得的多個(gè)測(cè)評(píng)結(jié)果之間存在沖突〔些測(cè)評(píng)結(jié)果即為優(yōu)勢(shì)證據(jù)。等級(jí)測(cè)評(píng)概述等級(jí)測(cè)評(píng)的作用〔公通字[2023]43號(hào)節(jié)。上確定系統(tǒng)的整改安全需求。安全管控力氣進(jìn)展考察和評(píng)價(jià)，從而判定信息系統(tǒng)是否具備GB/T22239-2023力氣的，運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)等級(jí)測(cè)評(píng)報(bào)告，制定方案進(jìn)展整改，盡快到達(dá)相應(yīng)等級(jí)的安全保護(hù)力氣。等級(jí)測(cè)評(píng)執(zhí)行主體可以為三級(jí)及以上等級(jí)信息系統(tǒng)實(shí)施等級(jí)測(cè)評(píng)的等級(jí)測(cè)評(píng)執(zhí)行主體應(yīng)具備如下條件：在中華人民共和國境內(nèi)注冊(cè)成立〔港澳臺(tái)地區(qū)除外〔港澳臺(tái)地區(qū)除外；從事相關(guān)檢測(cè)評(píng)估工作兩年以上，無違法記錄；工作人員僅限于中國公民；法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；〔公通字[2023]43治理、質(zhì)量治理、人員治理和培訓(xùn)教育等安全治理制度；對(duì)國家安〔摘自《信息安全等級(jí)保護(hù)治理〔[2023]43號(hào)〕風(fēng)險(xiǎn)；對(duì)測(cè)評(píng)人員進(jìn)展安全，與其簽訂安全保密責(zé)任書，規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和擔(dān)當(dāng)?shù)姆韶?zé)任，并負(fù)責(zé)檢查落實(shí)。等級(jí)測(cè)評(píng)風(fēng)險(xiǎn)等級(jí)測(cè)評(píng)實(shí)施過程中，被測(cè)系統(tǒng)可能面臨以下風(fēng)險(xiǎn)。4.3.1驗(yàn)證測(cè)試影響系統(tǒng)正常運(yùn)行響，甚至存在誤操作的可能。工具測(cè)試影響系統(tǒng)正常運(yùn)行試甚至抗?jié)B透力氣測(cè)試。測(cè)試可能會(huì)對(duì)系統(tǒng)的負(fù)載造成確定的影響，漏洞掃描測(cè)試和滲透測(cè)試可能對(duì)效勞器和網(wǎng)絡(luò)通訊造成確定影響甚至損害。敏感信息泄漏泄漏被測(cè)系統(tǒng)狀態(tài)信息，如網(wǎng)絡(luò)拓?fù)洹P地址、業(yè)務(wù)流程、安全機(jī)制、安全隱患和有關(guān)文檔信息。等級(jí)測(cè)評(píng)過程本標(biāo)準(zhǔn)中的測(cè)評(píng)工作過程及任務(wù)基于受托付測(cè)評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)的實(shí)施過一次〔或以上〕等級(jí)測(cè)評(píng)的被測(cè)系統(tǒng)的等級(jí)測(cè)評(píng)，測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員可以依據(jù)實(shí)際狀況調(diào)整局部工作任務(wù)，具體原則見附錄A。應(yīng)貫穿整個(gè)等級(jí)測(cè)評(píng)過程。測(cè)評(píng)預(yù)備活動(dòng)性的保證。測(cè)評(píng)預(yù)備工作是否充分直接關(guān)系到后續(xù)工作能否順當(dāng)開展。本活動(dòng)的主要任務(wù)是把握被測(cè)系統(tǒng)的具體狀況，預(yù)備測(cè)試工具，為編制測(cè)評(píng)方案做好預(yù)備。方案編制活動(dòng)測(cè)評(píng)指導(dǎo)書，形成測(cè)評(píng)方案?，F(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)狀況，獵取足夠證據(jù)，覺察系統(tǒng)存在的安全問題。分析與報(bào)告編制活動(dòng)力氣的綜合評(píng)價(jià)活動(dòng)。本活動(dòng)的主要任務(wù)是依據(jù)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果和GB/TDDDD-DDDD的有關(guān)要求，通過單項(xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)面臨的風(fēng)險(xiǎn)，從而給出等級(jí)測(cè)評(píng)結(jié)論，形成測(cè)評(píng)報(bào)告文本。測(cè)評(píng)預(yù)備活動(dòng)測(cè)評(píng)預(yù)備活動(dòng)的工作流程測(cè)評(píng)預(yù)備活動(dòng)的目標(biāo)是順當(dāng)啟動(dòng)測(cè)評(píng)工程，預(yù)備測(cè)評(píng)所需的相關(guān)資料，為順當(dāng)編制測(cè)評(píng)方案打下良好的根底。1：測(cè)評(píng)預(yù)備活動(dòng)的主要任務(wù)5.2.1工程啟動(dòng)位及被測(cè)系統(tǒng)的根本狀況，從根本資料、人員、打算安排等方面為整個(gè)等級(jí)測(cè)評(píng)工程的實(shí)施做根本預(yù)備。輸入：托付測(cè)評(píng)協(xié)議書。任務(wù)描述：評(píng)工程組，從人員方面做好預(yù)備，并編制工程打算書。工程打算書應(yīng)包含工程概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和工程組織等。測(cè)評(píng)機(jī)構(gòu)要求測(cè)評(píng)托付單位供給根本資料，包括：被測(cè)系統(tǒng)總體描述文件，具體描述文件，安全保護(hù)等級(jí)定級(jí)報(bào)告，系統(tǒng)驗(yàn)收?qǐng)?bào)告，安〔假設(shè)有測(cè)評(píng)托付單位的信息化建設(shè)狀況與進(jìn)展以及聯(lián)絡(luò)方式等。輸出產(chǎn)品：工程打算書。5.2.2信息收集和分析根底。輸入：調(diào)查表格，被測(cè)系統(tǒng)總體描述文件，具體描述文件，安全保護(hù)等級(jí)定級(jí)報(bào)告，系統(tǒng)驗(yàn)收?qǐng)?bào)告，安全需求分析報(bào)告，安全總體方案，自查或上次等級(jí)測(cè)評(píng)報(bào)告〔假設(shè)有。任務(wù)描述：方針文件、規(guī)章制度及相關(guān)過程治理記錄、被測(cè)系統(tǒng)總體描述文件、具體描述文件、安全保護(hù)等級(jí)定級(jí)報(bào)告、安全需求分析報(bào)告、安全總體方案、安全現(xiàn)狀評(píng)價(jià)報(bào)告、安全具體設(shè)計(jì)方案、用戶指南、運(yùn)行步驟、網(wǎng)絡(luò)圖表、配置治理文檔等。員準(zhǔn)確填寫調(diào)查表格。測(cè)評(píng)機(jī)構(gòu)收回填寫完成的調(diào)查表格，并分析調(diào)查結(jié)果，了解和生疏置、行業(yè)特征、治理框架、治理策略、網(wǎng)絡(luò)及設(shè)備部署、軟硬件重要性及部署狀況、范圍及邊界、業(yè)務(wù)種類及重要性、業(yè)務(wù)流程、業(yè)務(wù)數(shù)據(jù)及重要性、業(yè)務(wù)安全保護(hù)等級(jí)、用戶范圍、用戶類型、被測(cè)系統(tǒng)所評(píng)報(bào)告中的可信結(jié)果。解。輸出/產(chǎn)品：填好的調(diào)查表格。5.2.3工具和表單預(yù)備組件、調(diào)試測(cè)評(píng)工具、預(yù)備各種表單等。輸入：各種與被測(cè)系統(tǒng)相關(guān)的技術(shù)資料。任務(wù)描述：具、滲透性測(cè)試工具、性能測(cè)試工具和協(xié)議分析工具等。測(cè)評(píng)人員模擬被測(cè)系統(tǒng)搭建測(cè)評(píng)環(huán)境。預(yù)備和打印表單，主要包括：現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書、文檔交接單、會(huì)議記錄表單、會(huì)議簽到表單等。輸出/產(chǎn)品：選用的測(cè)評(píng)工具清單，打印的各類表單。測(cè)評(píng)預(yù)備活動(dòng)的輸出文檔1所示：測(cè)評(píng)預(yù)備活動(dòng)中雙方的職責(zé)測(cè)評(píng)機(jī)構(gòu)職責(zé)：組建等級(jí)測(cè)評(píng)工程組。指出測(cè)評(píng)托付單位應(yīng)供給的根本資料。預(yù)備被測(cè)系統(tǒng)根本狀況調(diào)查表格，并提交給測(cè)評(píng)托付單位。d)向測(cè)評(píng)托付單位介紹安全測(cè)評(píng)工作流程和方法。向測(cè)評(píng)托付單位說明測(cè)評(píng)工作可能帶來的風(fēng)險(xiǎn)和躲避方法。了解測(cè)評(píng)托付單位的信息化建設(shè)狀況與進(jìn)展，以及被測(cè)系統(tǒng)的根本狀況。初步分析系統(tǒng)的安全狀況。h)預(yù)備測(cè)評(píng)工具和文檔。測(cè)評(píng)托付單位職責(zé)：a)向測(cè)評(píng)機(jī)構(gòu)介紹本單位的信息化建設(shè)狀況與進(jìn)展?fàn)顩r。b)預(yù)備測(cè)評(píng)機(jī)構(gòu)需要的資料。c)為測(cè)評(píng)人員的信息收集供給支持和協(xié)調(diào)。d)準(zhǔn)確填寫調(diào)查表格。依據(jù)被測(cè)系統(tǒng)的具體狀況，如業(yè)務(wù)運(yùn)行頂峰期、網(wǎng)絡(luò)布置狀況等，為測(cè)評(píng)時(shí)間安排供給適宜的建議。制定應(yīng)急預(yù)案。6方案編制活動(dòng)方案編制活動(dòng)的工作流程方案編制活動(dòng)的目標(biāo)是整理測(cè)評(píng)預(yù)備活動(dòng)中獵取的信息系統(tǒng)相關(guān)資料，為現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)供給最根本的文檔和指導(dǎo)方案。主要任務(wù)。這六項(xiàng)任務(wù)的根本工作流程見圖2：方案編制活動(dòng)的主要任務(wù)測(cè)評(píng)對(duì)象確定應(yīng)用系統(tǒng)，確定出本次測(cè)評(píng)的測(cè)評(píng)對(duì)象。輸入：填好的調(diào)查表格。任務(wù)描述：識(shí)別并描述被測(cè)系統(tǒng)的整體構(gòu)造并加以描述。描述內(nèi)容應(yīng)包括被測(cè)系統(tǒng)的標(biāo)識(shí)〔名稱，物理環(huán)境，網(wǎng)絡(luò)拓?fù)錁?gòu)造和外部邊界連接狀況等，并給出網(wǎng)絡(luò)拓?fù)鋱D。識(shí)別并描述被測(cè)系統(tǒng)的邊界包括被測(cè)系統(tǒng)與其他網(wǎng)絡(luò)進(jìn)展外部連接的邊界連接方式，如承受光纖、無線和專線等；描述各邊界主要設(shè)備，如防火墻、路由器或效勞到等級(jí)較高的那個(gè)信息系統(tǒng)中。識(shí)別并描述被測(cè)系統(tǒng)的網(wǎng)絡(luò)區(qū)域一般信息系統(tǒng)都會(huì)依據(jù)業(yè)務(wù)類型及其重要程度將信息系統(tǒng)劃分為不等。識(shí)別并描述被測(cè)系統(tǒng)的重要節(jié)點(diǎn)機(jī)硬件設(shè)備〔包括效勞器設(shè)備、客戶端設(shè)備、打印機(jī)及存儲(chǔ)器等外圍設(shè)備、網(wǎng)絡(luò)硬件設(shè)備〔包括交換機(jī)、路由器、各種適配器等〕等，并說明各個(gè)節(jié)點(diǎn)之間的主要連接狀況和節(jié)點(diǎn)上安裝的應(yīng)用系統(tǒng)軟件狀況等。描述被測(cè)系統(tǒng)介紹被測(cè)系統(tǒng)的網(wǎng)絡(luò)區(qū)域組成、主要業(yè)務(wù)功能及相關(guān)的設(shè)備節(jié)點(diǎn)等。f)確定測(cè)評(píng)對(duì)象關(guān)設(shè)備、組件，在此根底上，確定出各測(cè)評(píng)對(duì)象。g)描述測(cè)評(píng)對(duì)象房、業(yè)務(wù)應(yīng)用軟件、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫治理系統(tǒng)、網(wǎng)絡(luò)互聯(lián)設(shè)備對(duì)象所屬區(qū)域、設(shè)備名稱、用途、設(shè)備信息等內(nèi)容。輸出/產(chǎn)品：測(cè)評(píng)方案的測(cè)評(píng)對(duì)象局部。測(cè)評(píng)指標(biāo)確定依據(jù)已經(jīng)了解到的被測(cè)系統(tǒng)定級(jí)結(jié)果，確定出本次測(cè)評(píng)的測(cè)評(píng)指標(biāo)。輸入：填好的調(diào)查表格，GB/T22239-2023。任務(wù)描述：依據(jù)被測(cè)系統(tǒng)調(diào)查表格，得出被測(cè)系統(tǒng)的定級(jí)結(jié)果，包括業(yè)務(wù)信息安全保護(hù)措施ASG組合狀況。從GB/T22239-2023ASG三類安全要求的選擇。舉例來說，假設(shè)某信息系統(tǒng)的定級(jí)32效勞安全保護(hù)等級(jí)為3級(jí)；則該系統(tǒng)的測(cè)評(píng)指標(biāo)將包括GB/T22239中的3級(jí)通用安全保護(hù)類要求G2級(jí)業(yè)務(wù)信息安全類要求〔S，3級(jí)系統(tǒng)效勞保證類要求〔A3，以3級(jí)“治理要求”中的全部要求。定級(jí)對(duì)象的測(cè)評(píng)指標(biāo)。假設(shè)多個(gè)定級(jí)對(duì)象共用物理環(huán)境或治理體系，而且測(cè)評(píng)指標(biāo)不能分開，則不能分開的這些測(cè)評(píng)指標(biāo)應(yīng)承受就高原則。分別針對(duì)每個(gè)定級(jí)對(duì)象加以描述，包括系統(tǒng)的定級(jí)結(jié)果、指標(biāo)選擇兩局部。其中，指標(biāo)選擇可以列表的形式給出。例如，一個(gè)安全保護(hù)2級(jí)的定級(jí)對(duì)象，測(cè)評(píng)指標(biāo)可以列出下表：測(cè)試工具接入點(diǎn)確定輸入：填好的調(diào)查表格，GB/TDDDD-DDDD。任務(wù)描述：確定需要進(jìn)展工具測(cè)試的測(cè)評(píng)對(duì)象。選擇測(cè)試路徑。一般來說，測(cè)試工具的接入實(shí)行從外到內(nèi)，從其他式。依據(jù)測(cè)試路徑，確定測(cè)試工具的接入點(diǎn)?！餐ǔ榻粨Q設(shè)備〕上。在該點(diǎn)接入漏洞掃描器，掃描探測(cè)被測(cè)系統(tǒng)的主機(jī)、以捕獲應(yīng)用程序的網(wǎng)絡(luò)數(shù)據(jù)包，查看其安全加密和完整性保護(hù)狀況。設(shè)備的安全漏洞，跨過系統(tǒng)邊界，侵入被測(cè)系統(tǒng)主機(jī)或網(wǎng)絡(luò)設(shè)備。接掃描測(cè)試內(nèi)部各主機(jī)和網(wǎng)絡(luò)設(shè)備對(duì)本單位其他不同網(wǎng)絡(luò)所暴露的統(tǒng)的網(wǎng)絡(luò)拓?fù)錉顩r。說，該點(diǎn)掃描探測(cè)出的漏洞數(shù)應(yīng)當(dāng)是最多的，它說明主機(jī)、網(wǎng)絡(luò)設(shè)備終端設(shè)備是否消滅過非法外聯(lián)狀況。結(jié)合網(wǎng)絡(luò)拓?fù)鋱D，承受圖示的方式描述測(cè)試工具的接入點(diǎn)、測(cè)試目的、測(cè)試途徑和測(cè)試對(duì)象等相關(guān)內(nèi)容。輸出/產(chǎn)品：測(cè)評(píng)方案的測(cè)評(píng)內(nèi)容中關(guān)于測(cè)評(píng)工具接入點(diǎn)局部。測(cè)評(píng)內(nèi)容確定本局部確定現(xiàn)場(chǎng)測(cè)評(píng)的具體實(shí)施內(nèi)容，即單元測(cè)評(píng)內(nèi)容。輸入：填好的調(diào)查表格，測(cè)評(píng)方案的測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)及測(cè)評(píng)工具接入點(diǎn)局部。任務(wù)描述：a)確定單元測(cè)評(píng)內(nèi)容依據(jù)GB/TDDDD-DDDD，將前面已經(jīng)得到的測(cè)評(píng)指標(biāo)和測(cè)評(píng)對(duì)象結(jié)測(cè)評(píng)指導(dǎo)書測(cè)評(píng)指導(dǎo)書的第一步。具體的測(cè)評(píng)方法，如此構(gòu)成一個(gè)個(gè)可以具體實(shí)施測(cè)評(píng)的單元。參照GB/TDDDD-DDDD，結(jié)合已選定的測(cè)評(píng)指標(biāo)和測(cè)評(píng)對(duì)象，概要說明測(cè)試工具接入點(diǎn)，編制相應(yīng)的測(cè)試內(nèi)容。個(gè)成員開發(fā)測(cè)評(píng)指導(dǎo)書測(cè)評(píng)指導(dǎo)書的根底。現(xiàn)場(chǎng)單元測(cè)評(píng)實(shí)施內(nèi)容表格描述的根本格式之一為：測(cè)評(píng)指導(dǎo)書開發(fā)的根本。因此，測(cè)評(píng)指導(dǎo)書應(yīng)當(dāng)盡可能詳盡、充分。輸入：測(cè)評(píng)方案的測(cè)試工具接入點(diǎn)、單元測(cè)評(píng)實(shí)施局部。任務(wù)描述：IP地址、用途、治理人員等信息。依據(jù)GB/TDDDD-DDDD項(xiàng)、測(cè)評(píng)方法、操作步驟和預(yù)期結(jié)果等四局部。GB/T22239-2023中對(duì)該測(cè)評(píng)對(duì)象在該用例中的要求，GB/TDDDD-DDDD中對(duì)應(yīng)每個(gè)測(cè)評(píng)單元中的“測(cè)評(píng)指標(biāo)”的具體要可細(xì)化為文檔審查、配置檢查、工具測(cè)試和實(shí)地觀看等多種方法，每GB/TDDDD-DDDD中的每個(gè)“測(cè)評(píng)實(shí)施”獵取的證據(jù)。單元測(cè)評(píng)一般以表格形式設(shè)計(jì)和描述測(cè)評(píng)項(xiàng)、測(cè)評(píng)方法、操作步驟測(cè)評(píng)用例的方式進(jìn)展組織。單元測(cè)評(píng)的測(cè)評(píng)指導(dǎo)書描述的根本格式為：輸出/產(chǎn)品：測(cè)評(píng)指導(dǎo)書，測(cè)評(píng)結(jié)果記錄表格。測(cè)評(píng)方案編制活動(dòng)。測(cè)評(píng)方案應(yīng)包括但不局限于以下內(nèi)容：工程概述、測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)、測(cè)評(píng)工具的接入點(diǎn)以及單元測(cè)評(píng)實(shí)施等。輸入：托付測(cè)評(píng)協(xié)議書，填好的調(diào)研表格，GB/T22239-2023中相應(yīng)測(cè)評(píng)內(nèi)容局部。任務(wù)描述：依據(jù)托付測(cè)評(píng)協(xié)議書和填好的調(diào)研表格，提取工程來源、測(cè)評(píng)托付單位整體信息化建設(shè)狀況及被測(cè)系統(tǒng)與單位其他系統(tǒng)之間的連接狀況等。準(zhǔn)排列出來。依據(jù)托付測(cè)評(píng)協(xié)議書和被測(cè)系統(tǒng)狀況，估算現(xiàn)場(chǎng)測(cè)評(píng)工作量。工作量可以依據(jù)配置檢查的節(jié)點(diǎn)數(shù)量和工具測(cè)試的接入點(diǎn)及測(cè)試內(nèi)容等狀況進(jìn)展估算。依據(jù)測(cè)評(píng)工程組成員安排，編制工作安排狀況。依據(jù)以往測(cè)評(píng)閱歷以及被測(cè)系統(tǒng)規(guī)模，編制具體測(cè)評(píng)打算，包括現(xiàn)被測(cè)系統(tǒng)的業(yè)務(wù)頂峰期，避開給被測(cè)系統(tǒng)帶來影響。同時(shí)，在測(cè)評(píng)打算于測(cè)評(píng)實(shí)施之前雙方溝通協(xié)調(diào)、合理安排。匯總上述內(nèi)容及方案編制活動(dòng)的其他任務(wù)獵取的內(nèi)容形成測(cè)評(píng)方案文稿。審，修改完成后形成提交稿。然后，測(cè)評(píng)機(jī)構(gòu)將測(cè)評(píng)方案提交給測(cè)評(píng)托付單位簽字認(rèn)可。輸出/產(chǎn)品：經(jīng)過評(píng)審和確認(rèn)的測(cè)評(píng)方案文本。方案編制活動(dòng)的輸出文檔5所示：方案編制活動(dòng)中雙方的職責(zé)測(cè)評(píng)機(jī)構(gòu)職責(zé)：a)具體分析被測(cè)系統(tǒng)的整體構(gòu)造、邊界、網(wǎng)絡(luò)區(qū)域、重要節(jié)點(diǎn)等。b)初步推斷被測(cè)系統(tǒng)的安全薄弱點(diǎn)。分析確定測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)和測(cè)試工具接入點(diǎn)，確定測(cè)評(píng)內(nèi)容及方法。編制測(cè)評(píng)方案文本，并對(duì)其內(nèi)部評(píng)審，并提交被測(cè)機(jī)構(gòu)簽字確認(rèn)。測(cè)評(píng)托付單位職責(zé)：a)對(duì)測(cè)評(píng)方案進(jìn)展認(rèn)可，并簽字確認(rèn)。7現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的工作流程分析與報(bào)告編制活動(dòng)所需的、足夠的證據(jù)和資料。資料歸還三項(xiàng)主要任務(wù)。這三項(xiàng)任務(wù)的根本工作流程見圖3：現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的主要任務(wù)現(xiàn)場(chǎng)測(cè)評(píng)預(yù)備本任務(wù)啟動(dòng)現(xiàn)場(chǎng)測(cè)評(píng)，是保證測(cè)評(píng)機(jī)構(gòu)能夠順當(dāng)實(shí)施測(cè)評(píng)的前提。輸入：現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書，測(cè)評(píng)方案。任務(wù)描述：測(cè)評(píng)托付單位簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書。召開測(cè)評(píng)現(xiàn)場(chǎng)首次會(huì)，測(cè)評(píng)機(jī)構(gòu)介紹測(cè)評(píng)工作，溝通測(cè)評(píng)信息，進(jìn)內(nèi)容，測(cè)評(píng)時(shí)間安排等，以便于后面的測(cè)評(píng)工作開展。人員和需要供給的測(cè)評(píng)條件等，確認(rèn)被測(cè)系統(tǒng)已備份過系統(tǒng)及數(shù)據(jù)。d)必要的更。輸出/產(chǎn)品：會(huì)議記錄，更后的測(cè)評(píng)打算和測(cè)評(píng)程序，確認(rèn)的測(cè)評(píng)授權(quán)書等?，F(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄現(xiàn)場(chǎng)測(cè)評(píng)一般包括訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地觀看五個(gè)方面。訪談?shì)斎耄簻y(cè)評(píng)指導(dǎo)書，技術(shù)安全和治理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄表格。任務(wù)描述：a)測(cè)評(píng)人員與被測(cè)系統(tǒng)有關(guān)人員〔個(gè)人/群體〕進(jìn)展溝通、爭論等活動(dòng)，獵取相關(guān)證據(jù)，了解有關(guān)信息。在訪談范圍上，不同等級(jí)信息系統(tǒng)在測(cè)評(píng)時(shí)有不同的要求，一般應(yīng)根本掩蓋全部的安全相關(guān)人員類GB/TDDDD-DDDD中的各級(jí)要求。輸出/產(chǎn)品：技術(shù)安全和治理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄或錄音。文檔審查輸入：安全方針文件，安全治理制度，安全治理的執(zhí)行過程文檔，系統(tǒng)設(shè)計(jì)方案，網(wǎng)絡(luò)設(shè)備的技術(shù)資料，系統(tǒng)和產(chǎn)品的實(shí)際配置說明，系錄文檔，測(cè)評(píng)指導(dǎo)書，治理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄表格。任務(wù)描述：檢查GB/T22239-2023等文檔是否齊備。檢查是否有完整的制度執(zhí)行狀況記錄，如機(jī)房出入登記記錄、電子記錄、高等級(jí)系統(tǒng)的關(guān)鍵設(shè)備的使用登記記錄等。內(nèi)部全都性。下面列出對(duì)不同等級(jí)信息系統(tǒng)在測(cè)評(píng)實(shí)施時(shí)的不同強(qiáng)度要求。一級(jí)：滿足GB/T22239-2023中的一級(jí)要求。GB/T22239-2023中的二級(jí)要求，并且全部文檔之間應(yīng)相應(yīng)的治理制度和文檔保持全都，與實(shí)際狀況保持全都。GB/T22239-2023中的三級(jí)要求，全部文檔應(yīng)具備且完整，并且全部文檔之間應(yīng)保持全都性，要求有執(zhí)行過程記錄的，過程系統(tǒng)。GB/T22239-2023中的四級(jí)要求，全部文檔應(yīng)具備且完整，并且全部文檔之間應(yīng)保持全都性，要求有執(zhí)行過程記錄的，過程系統(tǒng)。輸出/產(chǎn)品：治理安全測(cè)評(píng)的測(cè)評(píng)結(jié)果記錄。配置檢查輸入：測(cè)評(píng)指導(dǎo)書，技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄表格。任務(wù)描述：依據(jù)測(cè)評(píng)結(jié)果記錄表格內(nèi)容，利用上機(jī)驗(yàn)證的方式檢查應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及網(wǎng)絡(luò)設(shè)備的配置是否正確，是否與文檔、〔包括日志審計(jì)等。試。針對(duì)網(wǎng)絡(luò)連接，應(yīng)對(duì)連接規(guī)章進(jìn)展驗(yàn)證。下面列出對(duì)不同等級(jí)信息系統(tǒng)在測(cè)評(píng)實(shí)施時(shí)的不同強(qiáng)度要求。一級(jí)：滿足GB/T22239-2023中的一級(jí)要求。GB/T22239-2023中的二級(jí)要求，測(cè)評(píng)其實(shí)施的正確性和有效性，檢查配置的完整性，測(cè)試網(wǎng)絡(luò)連接規(guī)章的全都性。GB/T22239-2023中的三級(jí)要求，測(cè)評(píng)其實(shí)施的正確性和有效性，檢查配置的完整性，測(cè)試網(wǎng)絡(luò)連接規(guī)章的全都性，測(cè)試系統(tǒng)是否到達(dá)可用性和牢靠性的要求。GB/T22239-2023中的四級(jí)要求，測(cè)評(píng)其實(shí)施的正確性和有效性，檢查配置的完整性，測(cè)試網(wǎng)絡(luò)連接規(guī)章的全都性，測(cè)試系統(tǒng)是否到達(dá)可用性和牢靠性的要求。輸出/產(chǎn)品：技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄。工具測(cè)試輸入：測(cè)評(píng)指導(dǎo)書，技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄表格。任務(wù)描述：依據(jù)測(cè)評(píng)指導(dǎo)書，利用技術(shù)工具對(duì)系統(tǒng)進(jìn)展測(cè)試，包括基于網(wǎng)絡(luò)探測(cè)和基于主機(jī)審計(jì)的漏洞掃描、滲透性測(cè)試、性能測(cè)試、入侵檢測(cè)和協(xié)議分析等。備份測(cè)試結(jié)果。下面列出對(duì)不同等級(jí)信息系統(tǒng)在測(cè)評(píng)實(shí)施時(shí)的不同強(qiáng)度要求。一級(jí)：滿足GB/T22239-2023中的一級(jí)要求。二級(jí)：滿足GB/T22239-2023中的二級(jí)要求，針對(duì)主機(jī)、效勞器、關(guān)鍵網(wǎng)絡(luò)設(shè)備、安全設(shè)備等設(shè)備進(jìn)展漏洞掃描等。三級(jí)：滿足GB/T22239-2023中的三級(jí)要求，針對(duì)主機(jī)、效勞器、部滲透攻擊。四級(jí)：滿足GB/T22239-2023中的四級(jí)要求，針對(duì)主機(jī)、效勞器、部滲透攻擊。輸出/產(chǎn)品：技術(shù)安全測(cè)評(píng)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用測(cè)評(píng)結(jié)果記錄，工具測(cè)試完成后的電子輸出記錄，備份的測(cè)試結(jié)果文件。實(shí)地觀看錄表格。任務(wù)描述：a)相應(yīng)等級(jí)的安全要求。下面列出對(duì)不同等級(jí)信息系統(tǒng)在測(cè)評(píng)實(shí)施時(shí)的不同強(qiáng)度要求。一級(jí)：滿足GB/T22239-2023中的一級(jí)要求。二級(jí)：滿足GB/T22239-2023中的二級(jí)要求。GB/T22239-2023中的三級(jí)要求，推斷實(shí)地觀看到的狀況性和位置的正確性，與系統(tǒng)設(shè)計(jì)方案的全都性。GB/T22239-2023中的四級(jí)要求，推斷實(shí)地觀看到的狀況性和位置的正確性，與系統(tǒng)設(shè)計(jì)方案的全都性。輸出/產(chǎn)品：技術(shù)安全測(cè)評(píng)的物理安全和治理安全測(cè)評(píng)結(jié)果記錄。結(jié)果確認(rèn)和資料歸還輸入：測(cè)評(píng)結(jié)果記錄，工具測(cè)試完成后的電子輸出記錄。任務(wù)描述：測(cè)評(píng)人員在現(xiàn)場(chǎng)測(cè)評(píng)完成之后，應(yīng)首先匯總現(xiàn)場(chǎng)測(cè)評(píng)的測(cè)評(píng)記錄，對(duì)漏掉和需要進(jìn)一步驗(yàn)證的內(nèi)容實(shí)施補(bǔ)充測(cè)評(píng)。確認(rèn)。文檔資料供給者簽字確認(rèn)。輸出/產(chǎn)品：現(xiàn)場(chǎng)測(cè)評(píng)中覺察的問題匯總，證據(jù)和證據(jù)源記錄，測(cè)評(píng)托付單位的書面認(rèn)可文件?，F(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的輸出文檔6所示：現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)中雙方的職責(zé)測(cè)評(píng)機(jī)構(gòu)職責(zé)：a)利用訪談、文檔審查、配置檢查、工具測(cè)試和實(shí)地觀看的方法測(cè)評(píng)被測(cè)系統(tǒng)的保護(hù)措施狀況，并獵取相關(guān)證據(jù)。測(cè)評(píng)托付單位職責(zé)：測(cè)評(píng)前備份系統(tǒng)和數(shù)據(jù)，并確認(rèn)被測(cè)設(shè)備狀態(tài)完好。協(xié)調(diào)被測(cè)系統(tǒng)內(nèi)部相關(guān)人員的關(guān)系，協(xié)作測(cè)評(píng)工作的開展。c)簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書。作。相關(guān)人員確認(rèn)測(cè)試前幫助測(cè)評(píng)人員實(shí)施工具測(cè)試并供給有效建議，降低安全測(cè)評(píng)對(duì)系統(tǒng)運(yùn)行的影響。相關(guān)人員幫助測(cè)評(píng)人員完成業(yè)務(wù)相關(guān)內(nèi)容的問詢、驗(yàn)證和測(cè)試。g)相關(guān)人員對(duì)測(cè)評(píng)結(jié)果進(jìn)展確認(rèn)。h)相關(guān)人員確認(rèn)測(cè)試后被測(cè)設(shè)備狀態(tài)完好。8分析與報(bào)告編制活動(dòng)分析與報(bào)告編制活動(dòng)的工作流程〔或稱測(cè)評(píng)證據(jù)〕進(jìn)展匯總分析，形成等級(jí)測(cè)評(píng)結(jié)論，并編制測(cè)評(píng)報(bào)告。結(jié)果，而后進(jìn)展風(fēng)險(xiǎn)分析和評(píng)價(jià)，形成等級(jí)測(cè)評(píng)結(jié)論。分析與報(bào)告編制活動(dòng)包括單項(xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)、風(fēng)險(xiǎn)4：分析與報(bào)告編制活動(dòng)的主要任務(wù)單項(xiàng)測(cè)評(píng)結(jié)果判定形成等級(jí)測(cè)評(píng)結(jié)論的根底。輸入：技術(shù)安全和治理安全的單項(xiàng)測(cè)評(píng)結(jié)果記錄，測(cè)評(píng)指導(dǎo)書。任務(wù)描述：在，假設(shè)不存在，則該測(cè)評(píng)項(xiàng)應(yīng)標(biāo)為不適用項(xiàng)。容，從一個(gè)或多個(gè)測(cè)評(píng)證據(jù)中選擇出“優(yōu)勢(shì)證據(jù)”，并將“優(yōu)勢(shì)證據(jù)”與要求內(nèi)容的預(yù)期測(cè)評(píng)結(jié)果相比較。該測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果為局部符合。依據(jù)“優(yōu)勢(shì)證據(jù)”配置檢查證據(jù)為優(yōu)勢(shì)證據(jù)，配置檢查證據(jù)相比訪談證據(jù)為優(yōu)勢(shì)證據(jù)；證據(jù)。輸出/產(chǎn)品：測(cè)評(píng)報(bào)告的單元測(cè)評(píng)的結(jié)果記錄局部。單元測(cè)評(píng)結(jié)果判定項(xiàng)測(cè)評(píng)結(jié)果，從而判定單元測(cè)評(píng)結(jié)果，并以表格的形式逐一列出。輸入：測(cè)評(píng)報(bào)告的單元測(cè)評(píng)的結(jié)果記錄局部。任務(wù)描述：a)按層面分別匯總不同測(cè)評(píng)對(duì)象對(duì)應(yīng)測(cè)評(píng)指標(biāo)的單項(xiàng)測(cè)評(píng)結(jié)果狀況，包括測(cè)評(píng)多少項(xiàng)，符合要求的多少項(xiàng)等內(nèi)容，一般以表格形式列出。匯總統(tǒng)計(jì)分析的根本表格形式可以如下：表示“表示“表示“適用”。評(píng)指標(biāo)的單元測(cè)評(píng)結(jié)果判別原則如下：1．測(cè)評(píng)指標(biāo)包含的全部適用測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果均為符合，則該測(cè)評(píng)對(duì)象對(duì)應(yīng)當(dāng)測(cè)評(píng)指標(biāo)的單元測(cè)評(píng)結(jié)果為符合；2．測(cè)評(píng)指標(biāo)包含的全部適用測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果均為不符合，則該測(cè)評(píng)對(duì)象對(duì)應(yīng)當(dāng)測(cè)評(píng)指標(biāo)的單元測(cè)評(píng)結(jié)果為不符合；3．測(cè)評(píng)指標(biāo)包含的全部測(cè)評(píng)項(xiàng)均為不適用項(xiàng)，則該測(cè)評(píng)對(duì)象對(duì)應(yīng)當(dāng)測(cè)評(píng)指標(biāo)的單元測(cè)評(píng)結(jié)果為不適用；4．測(cè)評(píng)指標(biāo)包含的全部適用測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果不全為符合或不符合，則該測(cè)評(píng)對(duì)象對(duì)應(yīng)當(dāng)測(cè)評(píng)指標(biāo)的單元測(cè)評(píng)結(jié)果為局部符合。輸出/產(chǎn)品：測(cè)評(píng)報(bào)告的單元測(cè)評(píng)的結(jié)果匯總局部。整體測(cè)評(píng)進(jìn)展整體安全測(cè)評(píng)。輸入：測(cè)評(píng)報(bào)告的單元測(cè)評(píng)的結(jié)果匯總局部。任務(wù)描述：針對(duì)測(cè)評(píng)對(duì)象“局部符合”及“不符合”要求的單個(gè)測(cè)評(píng)項(xiàng)，分析與該關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以“彌補(bǔ)”該測(cè)評(píng)項(xiàng)的缺乏，以及該測(cè)評(píng)項(xiàng)的缺乏是否會(huì)影響與其有關(guān)聯(lián)關(guān)系的其他測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。針對(duì)測(cè)評(píng)對(duì)象“局部符合”及“不符合”要求的單個(gè)測(cè)評(píng)項(xiàng)，分析與該樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以“彌補(bǔ)”該測(cè)評(píng)項(xiàng)的的測(cè)評(píng)結(jié)果。針對(duì)測(cè)評(píng)對(duì)象“局部符合”及“不符合”要求的單個(gè)測(cè)評(píng)項(xiàng)，分析與該樣的關(guān)聯(lián)關(guān)系，這些關(guān)聯(lián)關(guān)系產(chǎn)生的作用是否可以“彌補(bǔ)”該測(cè)評(píng)項(xiàng)的的測(cè)評(píng)結(jié)果。系統(tǒng)整體安全防范的合理性。匯總上述分析結(jié)論，形成表格。表格根本形式如下：輸出/產(chǎn)品：測(cè)評(píng)報(bào)告的整體測(cè)評(píng)局部。風(fēng)險(xiǎn)分析等級(jí)測(cè)評(píng)結(jié)果中存在的安全問題可能對(duì)被測(cè)系統(tǒng)安全造成的影響。局部。任務(wù)描述：主機(jī)安全、應(yīng)用安全等層面中各個(gè)測(cè)評(píng)對(duì)象的測(cè)評(píng)結(jié)果再次匯總分析，統(tǒng)計(jì)符合狀況。一般可以表格的形式描述。表格的根本形式可以如下：推斷測(cè)評(píng)結(jié)果匯總中局部符合項(xiàng)或不符合項(xiàng)所產(chǎn)生的安全問題被威逼利用的可能性，可能性的取值范圍為高、中和低。推斷測(cè)評(píng)結(jié)果匯總中局部符合項(xiàng)或不符合項(xiàng)所產(chǎn)生的安全問題被程度，影響程度取值范圍為高、中和低。b〕c〕的結(jié)果，對(duì)被測(cè)系統(tǒng)面臨的安全風(fēng)險(xiǎn)進(jìn)展賦值，風(fēng)險(xiǎn)值的取值范圍為高、中和低。成的風(fēng)險(xiǎn)。輸出：測(cè)評(píng)報(bào)告的測(cè)評(píng)結(jié)果匯總及風(fēng)險(xiǎn)分析和評(píng)價(jià)局部。等級(jí)測(cè)評(píng)結(jié)論形成要求之間的差距，并形成等級(jí)測(cè)評(píng)結(jié)論。輸入：測(cè)評(píng)報(bào)告的測(cè)評(píng)結(jié)果匯總局部。任務(wù)描述：a)90，則該信息系統(tǒng)未到達(dá)相應(yīng)等級(jí)的根本安全保護(hù)力氣；假設(shè)0，則該信息系統(tǒng)到達(dá)了相應(yīng)等級(jí)的根本安全保護(hù)力氣。輸出/產(chǎn)品：測(cè)評(píng)報(bào)告的等級(jí)測(cè)評(píng)結(jié)論局部。測(cè)評(píng)報(bào)告編制測(cè)評(píng)報(bào)告應(yīng)包括但不局限于以下內(nèi)容：概述、被測(cè)系統(tǒng)描述、測(cè)評(píng)對(duì)測(cè)評(píng)結(jié)果匯總、風(fēng)險(xiǎn)分析和評(píng)價(jià)、等級(jí)測(cè)評(píng)結(jié)論、整改建議等。和依據(jù)；被測(cè)系統(tǒng)描述、測(cè)評(píng)對(duì)象、測(cè)評(píng)指標(biāo)、測(cè)評(píng)內(nèi)容和方法等局部實(shí)際測(cè)評(píng)狀況進(jìn)展修改。，風(fēng)險(xiǎn)分析和評(píng)價(jià)局部、等級(jí)測(cè)評(píng)結(jié)論局部。任務(wù)描述：a)測(cè)評(píng)人員整理前面幾項(xiàng)任務(wù)的輸出/產(chǎn)品，編制測(cè)評(píng)報(bào)告相應(yīng)局部。多個(gè)被測(cè)系統(tǒng)，報(bào)告中應(yīng)分別描述每一個(gè)被測(cè)系統(tǒng)的等級(jí)測(cè)評(píng)狀況。b)議，編制測(cè)評(píng)報(bào)告的安全建設(shè)整改建議局部。題分析局部。測(cè)評(píng)報(bào)告編制完成后，測(cè)評(píng)機(jī)構(gòu)應(yīng)依據(jù)測(cè)評(píng)協(xié)議書、測(cè)評(píng)托付單位審。評(píng)審?fù)ㄟ^后，由工程負(fù)責(zé)人簽字確認(rèn)并提交給測(cè)評(píng)托付單位。輸出/產(chǎn)品：經(jīng)過評(píng)審和確認(rèn)的被測(cè)系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告。分析與報(bào)告編制活動(dòng)的輸出文檔10所示：分析與報(bào)告編制活動(dòng)中雙方的職責(zé)測(cè)評(píng)機(jī)構(gòu)職責(zé)：a)分析并判定單項(xiàng)測(cè)評(píng)結(jié)果和整體測(cè)評(píng)結(jié)果。b)分析評(píng)價(jià)被測(cè)系統(tǒng)存在的風(fēng)險(xiǎn)狀況。依據(jù)測(cè)評(píng)結(jié)果形成等級(jí)測(cè)評(píng)結(jié)論。編制等級(jí)測(cè)評(píng)報(bào)告，說明系統(tǒng)存在的安全隱患和缺陷，并給出改進(jìn)建議。分發(fā)。測(cè)評(píng)托付單位職責(zé)：a)簽收測(cè)評(píng)報(bào)告。附錄A〔資料性附錄〕等級(jí)測(cè)評(píng)工作流程工作活動(dòng)及流程也不一樣。預(yù)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、分析與報(bào)告編制活動(dòng)。具體5所示：上圖是對(duì)受托付測(cè)評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)實(shí)施初次等級(jí)測(cè)評(píng)的根本工作流程。假設(shè)被測(cè)系統(tǒng)已經(jīng)實(shí)施過一次〔或?qū)掖巍车燃?jí)測(cè)評(píng)，上圖中的人員可以依據(jù)上一次等級(jí)測(cè)評(píng)中存在的問題和被測(cè)系統(tǒng)的實(shí)際狀況調(diào)整局部工作任務(wù)內(nèi)容。例如，信息收集和分析任務(wù)中，可以只收集級(jí)信息系統(tǒng)的等級(jí)測(cè)評(píng)的根本工作活動(dòng)與圖5中信息系統(tǒng)的等級(jí)測(cè)評(píng)活動(dòng)應(yīng)完全全都，即：測(cè)評(píng)預(yù)備、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)、分析與報(bào)55根底上刪除或簡化局部內(nèi)容。如針對(duì)二級(jí)信息系統(tǒng)的等級(jí)測(cè)評(píng)，測(cè)評(píng)人員在分析與報(bào)告編制活動(dòng)中可以不進(jìn)展單項(xiàng)測(cè)評(píng)結(jié)果匯總分析，級(jí)測(cè)評(píng)，在測(cè)評(píng)對(duì)象確定任務(wù)中，不但需要確定出測(cè)評(píng)對(duì)象，還需給評(píng)實(shí)例等。附錄B〔資料性附錄〕測(cè)評(píng)對(duì)象確定方法測(cè)評(píng)對(duì)象確定原則和方法被測(cè)系統(tǒng)的真實(shí)安全保護(hù)狀況的重要保證。入與結(jié)果產(chǎn)出兩者的平衡關(guān)系。在確定測(cè)評(píng)對(duì)象時(shí)，需遵循以下原則：1．恰當(dāng)性，選擇的設(shè)備、軟件系統(tǒng)等應(yīng)能滿足相應(yīng)等級(jí)的測(cè)評(píng)強(qiáng)度要求；2．重要性，應(yīng)抽查對(duì)被測(cè)系統(tǒng)來說重要的效勞器、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備等；安全性，應(yīng)抽查對(duì)外暴露的網(wǎng)絡(luò)邊界；共享性，應(yīng)抽查共享設(shè)備和數(shù)據(jù)交換平臺(tái)/設(shè)備；代表性，抽查應(yīng)盡量掩蓋系統(tǒng)各種設(shè)備類型、操作系統(tǒng)類型、數(shù)據(jù)庫系統(tǒng)類型和應(yīng)用系統(tǒng)類型。具體確定方法說明第一級(jí)信息系統(tǒng)查關(guān)鍵的設(shè)備、設(shè)施、人員和文檔等?？梢猿椴榈臏y(cè)評(píng)對(duì)象種類主要考慮以下幾個(gè)方面：．主機(jī)房〔包括其環(huán)境、設(shè)備和設(shè)施等，假設(shè)某一輔機(jī)房中放置了效勞于整個(gè)信息系統(tǒng)或?qū)π畔⑾到y(tǒng)的安全性起打算作用的設(shè)備、設(shè)施，那么也應(yīng)當(dāng)作為測(cè)評(píng)對(duì)象；整個(gè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)錁?gòu)造；安全設(shè)備，包括防火墻、入侵檢測(cè)設(shè)備、防病毒網(wǎng)關(guān)等；邊界網(wǎng)絡(luò)設(shè)備〔可能會(huì)包含安全設(shè)備證網(wǎng)關(guān)等；5．對(duì)整個(gè)信息系統(tǒng)的安全性起打算作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心交換機(jī)、路由器等；6．承載最能夠代表被測(cè)系統(tǒng)使命的業(yè)務(wù)或數(shù)據(jù)的核心效勞器〔包括其操作系統(tǒng)和數(shù)據(jù)庫；7．最能夠代表被測(cè)系統(tǒng)使命的重要業(yè)務(wù)應(yīng)用系統(tǒng)；信息安全主管人員；涉及到信息系統(tǒng)安全的主要治理制度和記錄，包括進(jìn)出機(jī)房的登記記錄、信息系統(tǒng)相關(guān)設(shè)計(jì)驗(yàn)收文檔等。設(shè)備、網(wǎng)絡(luò)互聯(lián)設(shè)備以及效勞器應(yīng)至少抽查一臺(tái)作為測(cè)評(píng)對(duì)象。其次級(jí)信息系統(tǒng)查重要的設(shè)備、設(shè)施、人員和文檔等。可以抽查的測(cè)評(píng)對(duì)象種類主要考慮以下幾個(gè)方面：．主機(jī)房〔包括其環(huán)境、設(shè)備和設(shè)施等，假設(shè)某一輔機(jī)房中放置了效勞于整個(gè)信息系統(tǒng)或?qū)π畔⑾到y(tǒng)的安全性起打算作用的設(shè)備、設(shè)施，那么也應(yīng)當(dāng)作為測(cè)評(píng)對(duì)象；2．存儲(chǔ)被測(cè)系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境；整個(gè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)錁?gòu)造；安全設(shè)備，包括防火墻、入侵檢測(cè)設(shè)備、防病毒網(wǎng)關(guān)等；邊界網(wǎng)絡(luò)設(shè)備〔可能會(huì)包含安全設(shè)備證網(wǎng)關(guān)等；6．對(duì)整個(gè)信息系統(tǒng)或其局部的安全性起打算作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心交換機(jī)、會(huì)聚層交換機(jī)、核心路由器等；7．承載被測(cè)系統(tǒng)核心或重要業(yè)務(wù)、數(shù)據(jù)的效勞器〔包括其操作系統(tǒng)和數(shù)據(jù)庫；重要治理終端；能夠代表被測(cè)系統(tǒng)主要使命的業(yè)務(wù)應(yīng)用系統(tǒng)；信息安全主管人員、各方面的負(fù)責(zé)人員；涉及到信息系統(tǒng)安全的全部治理制度和記錄。設(shè)備、網(wǎng)絡(luò)互聯(lián)設(shè)備以及效勞器應(yīng)至少抽查兩臺(tái)作為測(cè)評(píng)對(duì)象。第三級(jí)信息系統(tǒng)樣，重點(diǎn)抽查主要的設(shè)備、設(shè)施、人員和文檔等?？梢猿椴榈臏y(cè)評(píng)對(duì)象種類主要考慮以下幾個(gè)方面：1．主機(jī)房〔包括其環(huán)境、設(shè)備和設(shè)施等〕和局部輔機(jī)房，應(yīng)將放置了效勞于信息系統(tǒng)的局部〔包括整體〕或?qū)π畔⑾到y(tǒng)的局部〔包括整體〕安全性起重要作用的設(shè)備、設(shè)施的輔機(jī)房選取作為測(cè)評(píng)對(duì)象；2．存儲(chǔ)被測(cè)系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境；辦公場(chǎng)地；整個(gè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)錁?gòu)造；安全設(shè)備，包括防火墻、入侵檢測(cè)設(shè)備和防病毒網(wǎng)關(guān)等；邊界網(wǎng)絡(luò)設(shè)備〔可能會(huì)包含安全設(shè)備證網(wǎng)關(guān)和邊界接入設(shè)備〔如樓層交換機(jī)〕等；7．對(duì)整個(gè)信息系統(tǒng)或其局部的安全性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心交換機(jī)、會(huì)聚層交換機(jī)、路由器等；8．承載被測(cè)系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的效勞器〔包括其操作系統(tǒng)和數(shù)據(jù)庫；治理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)終端；能夠完成被測(cè)系統(tǒng)不同業(yè)務(wù)使命的業(yè)務(wù)應(yīng)用系統(tǒng)；業(yè)務(wù)備份系統(tǒng)；當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人；13．涉及到信息系統(tǒng)安全的全部治理制度和記錄。設(shè)備、網(wǎng)絡(luò)互聯(lián)設(shè)備、效勞器、終端以及備份設(shè)備，每類應(yīng)至少抽查兩臺(tái)作為測(cè)評(píng)對(duì)象。第四級(jí)信息系統(tǒng)樣，重點(diǎn)抽查不同種類的設(shè)備、設(shè)施、人員和文檔等?？梢猿椴榈臏y(cè)評(píng)對(duì)象種類主要考慮以下幾個(gè)方面：主機(jī)房和全部輔機(jī)房〔包括其環(huán)境、設(shè)備和設(shè)施等；介質(zhì)的存放環(huán)境；辦公場(chǎng)地；整個(gè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)錁?gòu)造；安全設(shè)備，包括防火墻、入侵檢測(cè)設(shè)備和防病毒網(wǎng)關(guān)等；邊界網(wǎng)絡(luò)設(shè)備〔可能會(huì)包含安全設(shè)備證網(wǎng)關(guān)和邊界接入設(shè)備〔如樓層交換機(jī)〕等；7．主要網(wǎng)絡(luò)互聯(lián)設(shè)備，包括核心和會(huì)聚層交換機(jī)；主要效勞器〔包括其操作系統(tǒng)和數(shù)據(jù)庫；治理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)終端；全部應(yīng)用系統(tǒng)；業(yè)務(wù)備份系統(tǒng)；當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人；13．涉及到信息系統(tǒng)安全的全部治理制度和記錄。設(shè)備、網(wǎng)絡(luò)互聯(lián)設(shè)備、效勞器、終端以及備份設(shè)備，每類應(yīng)至少抽查三臺(tái)作為測(cè)評(píng)對(duì)象。附錄C〔資料性附錄〕等級(jí)測(cè)評(píng)工作要求依據(jù)標(biāo)準(zhǔn)，遵循原則要包括GB/T22239-2023和GB/TDDDD-DDDD，其中等級(jí)測(cè)評(píng)目標(biāo)和內(nèi)容應(yīng)依據(jù)據(jù)GB/TDDDD-DDDD。GB/TDDDD-DDDD中規(guī)定的測(cè)評(píng)原則，保證測(cè)評(píng)工作公正、科學(xué)、合理和完善。恰中選取，保證強(qiáng)度恰中選取是指對(duì)具體測(cè)評(píng)對(duì)象的選擇要恰當(dāng)，既要避開重要的對(duì)象、量增大。保證強(qiáng)度是指對(duì)被測(cè)系統(tǒng)應(yīng)實(shí)施與其等級(jí)相適應(yīng)的測(cè)評(píng)強(qiáng)度。標(biāo)準(zhǔn)行為，躲避風(fēng)險(xiǎn)測(cè)評(píng)機(jī)構(gòu)實(shí)施等級(jí)測(cè)評(píng)的過程應(yīng)標(biāo)準(zhǔn)，包括：制定內(nèi)部保密制度；制定過程把握制度；規(guī)定相關(guān)文檔評(píng)審流程；指定專人負(fù)責(zé)保管等級(jí)測(cè)評(píng)的歸檔文件等。測(cè)評(píng)人員的行為應(yīng)標(biāo)準(zhǔn)，包括：測(cè)評(píng)人員進(jìn)入現(xiàn)場(chǎng)佩戴工作牌；使用測(cè)評(píng)；準(zhǔn)確記錄測(cè)評(píng)證據(jù)；不擅自評(píng)價(jià)測(cè)評(píng)結(jié)果；不將測(cè)評(píng)結(jié)果復(fù)制給非測(cè)評(píng)人員等。系統(tǒng)運(yùn)營/使用單位提示風(fēng)險(xiǎn)，要求其提前實(shí)行預(yù)防措施進(jìn)展躲避。議、現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書、要求測(cè)評(píng)托付單位進(jìn)展系統(tǒng)備份、標(biāo)準(zhǔn)測(cè)評(píng)活和單位帶來影響。附錄D〔資料性附錄〕測(cè)評(píng)方案與報(bào)告編制例如某公司〔“AAA〕用電信息系統(tǒng)承載著該公司的電力營銷業(yè)務(wù)，是一個(gè)安全等級(jí)為三級(jí)的信息系統(tǒng)?，F(xiàn)場(chǎng)測(cè)評(píng)時(shí)間為X年X月X日至X年X月X治理組〔2人〕和技術(shù)組〔4人〕兩組，分別完成安全治理和安全技術(shù)方面的測(cè)評(píng)。測(cè)評(píng)方案編制例如針對(duì)AAA用電信息系統(tǒng)的實(shí)際狀況，下面從被測(cè)系統(tǒng)描述、測(cè)評(píng)對(duì)等方面說明測(cè)評(píng)方案的編制方法。被測(cè)系統(tǒng)描述被測(cè)系統(tǒng)為承載著AAAAAA公司的重要信息系統(tǒng)，其安全等級(jí)定為三級(jí)S3A2G。被測(cè)系統(tǒng)由數(shù)據(jù)存儲(chǔ)、業(yè)務(wù)處理、接入、對(duì)外效勞和外聯(lián)等五個(gè)功能區(qū)域組成，對(duì)內(nèi)有業(yè)務(wù)擴(kuò)大治理、電量計(jì)量治理、電費(fèi)結(jié)算、收費(fèi)、統(tǒng)計(jì)分析等業(yè)務(wù)功能模塊；對(duì)外有可以為Internet網(wǎng)、大客戶單位、撥號(hào)用戶等供給電費(fèi)數(shù)據(jù)查詢、交納、業(yè)務(wù)擴(kuò)大、投訴等效勞的功能模塊。數(shù)據(jù)存儲(chǔ)功能區(qū)位于屏蔽機(jī)房，其它功能區(qū)域位于中心機(jī)房。與被測(cè)系統(tǒng)相連的外部連接有Internet、外聯(lián)單位〔包括DDN單位和PSTN用戶〕和把握網(wǎng)三處。在Internet、外聯(lián)單位的邊界連接處設(shè)SJ6506以共用效勞器方式6所示。測(cè)評(píng)對(duì)象依據(jù)用電信息系統(tǒng)的實(shí)際狀況，分別確定物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全等各層面的測(cè)評(píng)對(duì)象。物理方面主要是測(cè)評(píng)屏蔽機(jī)房和主機(jī)房。網(wǎng)絡(luò)方面主要測(cè)評(píng)的設(shè)備有：路由器、交換機(jī)、防火墻、IDS、外11所示。主機(jī)方面主要測(cè)評(píng)的主機(jī)效勞器〔包括數(shù)據(jù)庫效勞器〕12所示。13所示。安全治理，主要測(cè)評(píng)對(duì)象為與信息安全治理有關(guān)的策略、制度、操作規(guī)程、運(yùn)行記錄、治理人員、技術(shù)人員和相關(guān)設(shè)備設(shè)施等。測(cè)評(píng)指標(biāo)3S3，系統(tǒng)效勞安全等級(jí)為A2；則該系統(tǒng)的測(cè)評(píng)指標(biāo)應(yīng)包括GB/T22239中的3〔G3級(jí)業(yè)務(wù)信〔S2〔A3級(jí)“治理要求”中的全部指標(biāo)類。測(cè)評(píng)工具和接入點(diǎn)33級(jí)信息系統(tǒng)的測(cè)評(píng)強(qiáng)度要求，在測(cè)試的廣度上，應(yīng)根本掩蓋不同類型的機(jī)制，在數(shù)量、范圍上可以抽樣；在測(cè)試的深度上，應(yīng)執(zhí)行功能測(cè)試和滲透測(cè)試，功能測(cè)可能涉及機(jī)制的全部可用文檔，并試圖智取進(jìn)入信息系統(tǒng)等。因此，工具。針對(duì)被測(cè)系統(tǒng)的網(wǎng)絡(luò)邊界和測(cè)評(píng)設(shè)備、主機(jī)和業(yè)務(wù)應(yīng)用系統(tǒng)的狀況，需要在被測(cè)系統(tǒng)及其互聯(lián)網(wǎng)絡(luò)中設(shè)置6個(gè)測(cè)試工具接入點(diǎn)――接入點(diǎn)JA到JF7所示，“接入點(diǎn)”標(biāo)注表示進(jìn)展工具測(cè)試時(shí)，需要從該接入點(diǎn)接入，對(duì)應(yīng)的箭頭路線表示工具測(cè)試數(shù)據(jù)的主要流向示意。a)在接入點(diǎn)JA接入掃描器，模擬Internet用戶，探測(cè)對(duì)外效勞功能區(qū)上各效勞器對(duì)Internet果接入滲透測(cè)試工具集，試圖利用效勞器的安全漏洞入侵效勞器。b)JB接入掃描器，模擬外聯(lián)單位，探測(cè)對(duì)外效勞功能區(qū)上入滲透測(cè)試工具集，試圖利用效勞器的安全漏洞入侵效勞器。c)JC接入掃描器，直接測(cè)試對(duì)外效勞功能區(qū)上各效勞器對(duì)網(wǎng)絡(luò)暴露的安全漏洞狀況。同時(shí)，試圖穿過防火墻，探測(cè)業(yè)務(wù)處理功入侵效勞器。d)……測(cè)評(píng)內(nèi)容。物理安全的物理安全保障狀況。主要涉及對(duì)象為屏蔽機(jī)房和主機(jī)房。10個(gè)測(cè)評(píng)單元，具體如15所示：網(wǎng)絡(luò)安全和網(wǎng)絡(luò)拓?fù)錁?gòu)造等三大類對(duì)象。716所示：主機(jī)系統(tǒng)安全據(jù)庫效勞器Sybase。717所示。應(yīng)用安全系統(tǒng)和遠(yuǎn)程客戶效勞系統(tǒng)。9所示。數(shù)據(jù)安全保障狀況，主要涉及對(duì)象為信息系統(tǒng)的治理數(shù)據(jù)及業(yè)務(wù)數(shù)據(jù)等。3所示。安全治理局部安全治理局部為全局性問題，涉及安全治理制度、安全治理機(jī)構(gòu)、人員安全治理、系統(tǒng)建設(shè)治理和系統(tǒng)運(yùn)維治理等五個(gè)方面。其中，安全3個(gè)測(cè)評(píng)單元，5511個(gè)測(cè)13個(gè)測(cè)評(píng)單元等。由于治理說明。安全治理制度方面的測(cè)評(píng)對(duì)象主要為安全主管人員、安全治理人員20所示。測(cè)評(píng)指導(dǎo)書下面從被測(cè)系統(tǒng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全等技術(shù)局部和安全治理局局部別舉例說明測(cè)評(píng)指導(dǎo)書的格式和開發(fā)方法。a)物理安全依據(jù)方案的要求，物理安全應(yīng)測(cè)評(píng)物理位置選擇G、物理訪問把握G〔G〔G〔G〔G〔G〔A〔S〕等。在GB/T22239-2023 中找到對(duì)應(yīng)等級(jí)工程的要求，然后在GB/TDDDD-DDDD中找到相應(yīng)的測(cè)評(píng)方法。如：對(duì)于溫濕度把握G，在GB/T22239-2023“機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)”，依據(jù)該要求在GB/TDDDD-DDDD后依據(jù)該方法開發(fā)出對(duì)應(yīng)的預(yù)期結(jié)果。依據(jù)上述思路，對(duì)于“溫濕度把握〔G3〕”可以開發(fā)出如下的測(cè)評(píng)指導(dǎo)書?！緶y(cè)評(píng)項(xiàng)】機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)整設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)?！緶y(cè)評(píng)實(shí)施過程】1．應(yīng)訪談物理安全負(fù)責(zé)人，詢問機(jī)房是否配備了溫、濕度自動(dòng)調(diào)整制度中規(guī)定了溫濕度把握的要求，是否有人負(fù)責(zé)此項(xiàng)工作；2．應(yīng)訪談機(jī)房維護(hù)人員，詢問是否認(rèn)期檢查和維護(hù)機(jī)房的溫濕度自動(dòng)調(diào)整設(shè)施，詢問是否消滅過溫濕度影響系統(tǒng)運(yùn)行的大事；3/驗(yàn)收文檔，是否能夠滿足系統(tǒng)運(yùn)行需要，是否與當(dāng)前實(shí)際狀況相符合；4．應(yīng)檢查溫、濕度自動(dòng)調(diào)整設(shè)施是否能夠正常運(yùn)行，查看溫濕度記錄、運(yùn)行記錄和維護(hù)記錄；查看機(jī)房溫、濕度是否滿足GB2887-89《計(jì)算站場(chǎng)地技術(shù)條件》的要求?！绢A(yù)期結(jié)果】1)，機(jī)房配備了溫、濕度自動(dòng)調(diào)整設(shè)施，在機(jī)房治理制度中規(guī)定了溫濕度把握的要求，有人負(fù)責(zé)此項(xiàng)工作；2)，定期檢查和維護(hù)機(jī)房的溫濕度自動(dòng)調(diào)整設(shè)施，沒有消滅過溫濕度影響系統(tǒng)運(yùn)行的大事；執(zhí)行步驟3)/驗(yàn)收文檔，能夠滿足系統(tǒng)運(yùn)行需要，與當(dāng)前實(shí)際狀況相符合；．溫、濕度自動(dòng)調(diào)整設(shè)施能夠正常運(yùn)行，機(jī)房溫、濕度滿足GB2887-89《計(jì)算站場(chǎng)地技術(shù)條件》的要求。b)網(wǎng)絡(luò)安全依據(jù)測(cè)評(píng)方案的要求，核心交換機(jī) SJ6509應(yīng)測(cè)評(píng)網(wǎng)絡(luò)訪問把握G、網(wǎng)絡(luò)安全審計(jì)G、網(wǎng)絡(luò)設(shè)備防護(hù)G〕等局部的內(nèi)容在GB/T22239-2023 中找到對(duì)應(yīng)等級(jí)工程的要求，然后在GB/TDDDD-DDDD中找到相應(yīng)的測(cè)評(píng)方法。如：對(duì)于網(wǎng)絡(luò)設(shè)備防護(hù)G，在GB/T22239-2023“應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的治理，依據(jù)該項(xiàng)要求找到對(duì)應(yīng)測(cè)評(píng)實(shí)施〔方法后開發(fā)出對(duì)應(yīng)的操作步驟和預(yù)期結(jié)果即可。依據(jù)上述思路，對(duì)于“網(wǎng)絡(luò)設(shè)備防護(hù)〔G3〕”的一個(gè)測(cè)評(píng)項(xiàng)可以開發(fā)如下的測(cè)評(píng)指導(dǎo)書?！緶y(cè)評(píng)項(xiàng)】應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的治理員登錄地址進(jìn)展限制。【測(cè)評(píng)實(shí)施過程】1．應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備上的安全設(shè)置，查看是否對(duì)邊界和主要網(wǎng)絡(luò)設(shè)備的治理員登錄地址進(jìn)展限制；2．應(yīng)測(cè)試邊界和主要網(wǎng)絡(luò)設(shè)備的安全設(shè)置，對(duì)網(wǎng)絡(luò)設(shè)備的治理員登錄地址進(jìn)展限制〔如使用任意地址登錄，觀看網(wǎng)絡(luò)設(shè)備的動(dòng)作等〕等功能是否有效?！静僮鞑襟E】1．執(zhí)行命令：showippermit，查看IP地址限定狀況；2192.168.1.3〔限制的IP地址〕試圖登錄SJ6509的治理界面，查看是否成功?！绢A(yù)期結(jié)果】11)，系統(tǒng)對(duì)治理IP地址進(jìn)展了限定；22)，192.168.1.3登錄SJ6509的治理界面失敗。c)主機(jī)安全DB〔數(shù)據(jù)庫為Sybas〕應(yīng)測(cè)評(píng)身份鑒別S自主訪問把握〔S3、強(qiáng)制訪問把握〔S3、安全審計(jì)〔G3、資源把握〔A2、數(shù)據(jù)備份與恢復(fù)〔A2、數(shù)據(jù)完整性〔S3、數(shù)據(jù)保密性〔S3〕等局部的內(nèi)容。在GB/T22239-2023中找到對(duì)應(yīng)等級(jí)工程的要求，然后在GB/TDDDD-DDDD中找到相應(yīng)的測(cè)評(píng)方法。如：對(duì)〔S“應(yīng)承受兩種或兩種以上組合的鑒別技術(shù)對(duì)治理用戶進(jìn)展身份鑒別”，依據(jù)該項(xiàng)要求找到對(duì)應(yīng)測(cè)評(píng)實(shí)施方法，然后開發(fā)對(duì)應(yīng)操作步驟和預(yù)期結(jié)果。依據(jù)上述思路，對(duì)于“身份鑒別〔S3〕”的一個(gè)測(cè)評(píng)項(xiàng)可以開發(fā)如下的測(cè)評(píng)指導(dǎo)書?！緶y(cè)評(píng)項(xiàng)】應(yīng)承受兩種或兩種以上組合的鑒別技術(shù)對(duì)治理用戶進(jìn)展身份鑒別?！緶y(cè)評(píng)實(shí)施過程】〔/口令、挑戰(zhàn)應(yīng)答、動(dòng)態(tài)口令、物理設(shè)備、生物識(shí)別技術(shù)和數(shù)字證書方式的身份鑒別技術(shù)中的任意兩個(gè)組合?！静僮鞑襟E】DB2主機(jī)上執(zhí)行命令：select*fromsyslogins，查看是否有用戶存在空口令；，假設(shè)有，則檢查其是否有效?！绢A(yù)期結(jié)果】1)，數(shù)據(jù)庫沒有空口令用戶，從而說明數(shù)據(jù)庫治理系統(tǒng)承受口令鑒別方式；2)，數(shù)據(jù)庫治理系統(tǒng)還實(shí)行有其他的鑒別方式，并且有效。應(yīng)用安全和數(shù)據(jù)安全依據(jù)方案的要求，業(yè)務(wù)應(yīng)用程序〔用戶自主開發(fā)〕應(yīng)測(cè)評(píng)身份鑒別S、訪問把握S、安全審計(jì)G、剩余信息保護(hù)G、通S,〔S〔S〔A、資源把握〔A3、數(shù)據(jù)備份與恢復(fù)〔A3、數(shù)據(jù)完整性〔S3、數(shù)據(jù)保密性〔S3〕等局部的內(nèi)容。在GB/T22239-2023中找到對(duì)應(yīng)等級(jí)GB/TDDDD-DDDDS“整個(gè)報(bào)文或會(huì)話過程進(jìn)展加密?！保罁?jù)該項(xiàng)要求找到對(duì)應(yīng)測(cè)評(píng)實(shí)施方法，然后開發(fā)出對(duì)應(yīng)操作步驟和預(yù)期結(jié)果。依據(jù)上述思路，對(duì)于“通信保密性〔S3〕”的一個(gè)測(cè)評(píng)項(xiàng)可以開發(fā)如下的測(cè)試用例?！緶y(cè)評(píng)項(xiàng)】應(yīng)對(duì)通信過程中的整個(gè)報(bào)文或會(huì)話過程進(jìn)展加密?！緶y(cè)評(píng)實(shí)施過程】1．應(yīng)訪談安全治理員，詢問業(yè)務(wù)系統(tǒng)數(shù)據(jù)在通信過程中是否實(shí)行保密措施，具體措施有哪些；2．應(yīng)測(cè)試主要應(yīng)用系統(tǒng)，通過查看通信雙方數(shù)據(jù)包的內(nèi)容，查看系統(tǒng)在通信過程中，對(duì)整個(gè)報(bào)文或會(huì)話過程進(jìn)展加密的功