② 確定測評指標及測評內(nèi)容。根據(jù)被測系統(tǒng)調(diào)查表格,得出被測系統(tǒng)的定級結(jié)果,包括業(yè)務(wù)網(wǎng)絡(luò)安全保護等級和系統(tǒng)服務(wù)安全保護等級,從而得出被測系統(tǒng)應(yīng)采取的安全保護措施 ASG 組合情況。如,目標系統(tǒng)的安全保護等級為第三級(S3A3G3),其測評指標應(yīng)包括《基本要求》7.1 節(jié)“技術(shù)要求”和 7.2 節(jié)“管理要求”中的第三級通用指標類(G3)、第三級業(yè)務(wù)信息安全性指標類(S3)和第三級業(yè)務(wù)服務(wù)保證類(A3)要求。對于由多個不同等級的信息系統(tǒng)組成的被測系統(tǒng),應(yīng)分別確定各個定級對象的測評指標。如果多個定級對象共用物理環(huán)境或管理體系,而且測評指標不能分開,則不能分開的這些測評指標應(yīng)采用就高原則。
③ 確定測評工具接入點。一般來說,測評工具的接入采取從外到內(nèi),從其他網(wǎng)絡(luò)到本地網(wǎng)段的逐步逐點接入,即:測評工具從被測系統(tǒng)邊界外接入、在被測系統(tǒng)內(nèi)部與測評對象不同網(wǎng)段及同一網(wǎng)段內(nèi)接入等幾種方式。從被測系統(tǒng)邊界外接入時,測評工具一般接在系統(tǒng)邊界設(shè)備(通常為交換設(shè)備)上。在該點接入漏洞掃描器,掃描探測被測系統(tǒng)的主機、網(wǎng)絡(luò)設(shè)備對外暴露的安全漏洞情況;從系統(tǒng)內(nèi)部與測評對象不同網(wǎng)段接入時,測評工具一般接在與被測對象不在同一網(wǎng)段的內(nèi)部核心交換設(shè)備上;在系統(tǒng)內(nèi)部與測評對象同一網(wǎng)段內(nèi)接入時,測評工具一般接在與被測對象在同一網(wǎng)段的交換設(shè)備上;結(jié)合網(wǎng)絡(luò)拓撲圖,采用圖示的方式描述測評工具的接入點、測評目的、測評途徑和測評對象等相關(guān)內(nèi)容。
