文章目录
说明:题目来自网上及部分答案来自标准,答案非标准仅供参考,欢迎留言讨论~!
1、简述等级测评中整体测评结果分析的方法,并举例(略)
2、单项测评结果的判定方法(也就是什么时候判定符合、不符合、部分符合,答案在中级教程里)
单项测评结果的形成通常分为三步:
1)针对每个测评项,分析该测评项所对抗的威胁在被测定级对象中是否存在,如果不存在,则该测评项应标为不适用项。对于适用项,则
2)分析单个测评项是否有多方面的要求内容,针对每一方面的要求内容,将一个或多个测评证据与要求内容的预期测评结果相比较;
3)如果测评证据表明所有要求内容与预期测评结果一致,则判定该测评项的单项测评结果为满分;
4)如果测评证据表明所有要求内容与预期测评结果不完全一致,则应根据测评项的具体内容和测评证据情况具体问题具体分析,举例说明如下:
——测评项包含一方面要求内容,且是针对一个测评对象的,则单项测评结果应判定为0分。
例如测评项“a)机房场地应选择在具有防震、防风和防雨等能力的建筑内”,根据《测评要求》,应有四方面测评证据:“1)具有建筑物抗震设防审批文档;2)机房不存在雨水渗漏;3)门窗不存在因风导致的尘土严重;4)屋顶、墙体、门窗和地面等不存在破损开裂。”,由于这四项证据针对的都是机房一个测评对象,因此全部具备才能证明机房具备相应能力,该测评项才能符合要求,若仅具有其中的一项或某几项证据,则无法证明机房具备该测评项所要求的能力,因此,若测评证据表明所有要求内容与预期测评结果不完全一致,则应判定为0分。
——测评项包含一方面要求内容,且测评项内容是针对多个测评对象的,则单项测评结果可判定为0.5分。
例如测评项“a)应保证网络设备的业务处理能力满足业务高峰期需要;”,根据《测评要求》,应有三方面测评证据:“1)业务高峰时期一段时间内主要网络设备的CPU使用率和内存使用率满足需要;2)网络设备从未出现过因设备性能问题导致的宕机情况;3)验证设备满足业务高峰期需求。”,由于这三方面测评证据针对的是等级保护对象的所有网络设备对象,若有部分网络设备对象方面测评证据要求,则可以将该项判定为部分符合,即0.5分。
——测评项包含多方面要求内容,但要求内容之间具有密切关联关系,且是针对一个测评对象的,则单项测评结果应判定为0分。
例如测评项“d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。”,根据《测评要求》,应有两方面测评证据:“1)采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别;2)其中一种鉴别技术使用密码技术来实现。”,由于这两项证据全部满足才能证明该测评对象具备了双因素鉴别能力。,该测评项才能符合要求,因此,若测评证据表明所有要求内容与预期测评结果不完全一致,则应判定为0分。
——测评项包含多方面要求内容,且要求内容之间相对独立。应针对每一方面要求内容进行判定,若存在有的方面要求内容符合要求,有的不符合要求,则单项测评结果可判定为0.5分。
别如测评项“a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。”这个要求项就包含“对登录的用户进行身份标识和鉴别”、“身份标识具有唯一性”、“身份鉴别信息具有复杂度要”和“身份鉴别信息定期更换”等四个方面的要求内容。这四方面内容相对独立,则应根据测评证据对每一方面内容单独判定为符合或不符合。若四方面要求内容判定结果不全为符合,则单项测评结果可判定为0.5分。
5)如果测评证据表明所有要求内容与预期测评结果均不一致,则判定该测评项的单项测评结果为0分。
3、云测评时,在三种模式下,云平台和云租户需要选取的测评对象分别是哪些
| 责任划分 | SaaS | PaaS | IaaS | Local |
|---|---|---|---|---|
| 数据 | ⃞ | ⃞ | ⃞ | ⃞ |
| 客户端及终端节点 | ◪ | ⃞ | ⃞ | ⃞ |
| 身份和访问管理 | ◪ | ◪ | ⃞ | ⃞ |
| 应用控制 | ◼ | ◪ | ⃞ | ⃞ |
| 主机与网络安全 | ◼ | ◼ | ◪ | ⃞ |
| 机房物理安全 | ◼ | ◼ | ◼ | ⃞ |
| 把系统或服务看做一盘菜比喻 | 下馆子,只用吃 | 买净菜,直接炒 | 菜场买菜,洗切完了才能炒 | 自己从种菜开始全部自己弄 |
租户责任: ⃞
共同责任:◪
云服务商责任:◼
从上表可以看出来SaaS→PaaS→laaS,云服务商提供的服务逐渐递减,相应的责任也递减
根据GB/T 22239-2019中附录D 云计算应用场景说明描述:
软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(laaS)是三种基本的云计算服务模式。如图D.1所示,在不同的服务模式中,云服务商和云服务客户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。
在基础设施即服务模式下,云计算平台/系统由设施、硬件、资源抽象控制层组成;
在平台即服务模式下,云计算平台/系统包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台;
在软件即服务模式下,云计算平台/系统包括设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件。
不同服务模式下云服务商和云服务客户的安全管理责任有所不同。
具体可以看:https://cloud.tencent.com/developer/article/1170001
扫一扫
1391
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
