文章目录
说明:题目来自网上及部分答案来自标准,答案非标准仅供参考,欢迎留言讨论~!
测评可能造成的风险
等级测评的方法包括访谈、检查和测试,在进行等级测评时,由于测评方法的实际操作,测评委托单位会面临下列风险:
- 敏感信息泄露
测评人员将会接触到被测系统的各种敏感信息(如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息等)。 - 检查影响系统正常运行
在现场测评时,需要对设备和系统进行大量的验证检查工作,部分测试内容需要上机查看,存在误操作的可能,会对系统的运行造成一定的影响。 - 工具测试影响系统正常运行
在现场测评时,会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测试。这些测试可能会对系统的负载造成一定的影响,漏洞扫描测试和渗透测试可能会对服务器和网络通讯造成一定影响。
此外,风险的规避:
1.签署委托测评协议
2.签署保密协议
3.签署现场测评授权书
4.现场测评工作的风险规避,渗透需要测试环境
5.测评现场还原6.规范化实施过程
7.沟通与交流
中级测评师的能力要求是什么
熟悉信息安全等级保护相关政策、法规;
正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;
掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;
具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法,具有较强的组织协调和沟通能力;
能够独立开发测评指导书,熟悉测评指导书的开发、版本控制和评审流程;
能够根据信息系统的特点,编制测评方案,确定测评对象、测评指标和测评方法;
具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性。
具备较强的文字表达能力;
了解等级保护各个工作环节的相关要求。
能够针对测评中发现的问题,提出合理化的整改建议。
根据材料回答问题
材料为:GB/T 28449-2018 测评过程指南 附录D 测评对象确定准则和样例
没有图,根据图答题没法做
1) 测评对象选择的原则,并根据他给的图和提示,画测评对象选择的表格
在确定测评对象时,需遵循以下原则:
重要性,应抽查对被测定级对象来说重要的服务器、数据库和网络设备等;
安全性,应抽查对外暴露的网络边界;
共享性,应抽查共享设备和数据交换平台/设备;
全面性,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型;
符合性,选择的设备、软件系统等应能符合相应等级的测评强度要求。
2) 网络层面的安全问题并给出实现安全机制,画拓扑图
3) 算控制项分数
控制点得分在新版模板公式为:
控
制
点
得
分
=
∑
k
=
1
n
测
评
项
的
多
对
象
平
均
分
×
测
评
项
权
重
∑
k
=
1
n
测
评
项
权
重
控制点得分=\cfrac{\sum_{k=1}^n测评项的多对象平均分\times测评项权重}{\sum_{k=1}^n测评项权重}
控制点得分=∑k=1n测评项权重∑k=1n测评项的多对象平均分×测评项权重
n
n
n为同一控制点下的测评项数,不包括不适用的测评项
具体计算可看另外一篇文章