博客介绍了信息系统安全等级测评中访谈、检查、测试的广度和深度分级情况,指出不同安全保护等级的信息系统测评时,测评对象的种类和数量不同,且应满足相应测评力度要求,还给出测评对象选择的完整性、重要性等原则。
一、访谈
1.广度
第1级别测评对象在种类和数量上抽样种类和数量都较少。
第2级别测评对象在种类和数量上抽样种类和数量都较多。
第3级别测评对象在数量上抽样,在种类上基本覆盖。
第4级别测评对象在数量上抽样,在种类上全部覆盖。
2.深度
第1级别简要,第2级别充分,第3级别较全面。第4级别全面。
二、检查
1.广度
第1级别测评对象在种类和数量上抽样,种类和数量都较少。
第2级别测评对象在种类和数量上抽样,种类和数量都较多。
第3级别测评对象在数量上抽样,在种类上基本覆盖。
第4级别测评对象在数量上抽样,在种类上全部覆盖。
2.深度
第1级别简要,第2级别充分,第3级别较全面。第4级别全面。
三、测试
1.广度
第1级别测评对象在种类和数量范围上抽样,种类和数量都较少,范围小。
第2级别测定对象在种类和数量范围上抽样,种类和数量都较多,范围大。
第3级别测评对象在数量和范围上抽样,在种类上基本覆盖。
第4级别测评对象在数量范围上抽样,在种类上基本覆盖。
2.深度
第1级别功能测试或者性能测试。
第2级别功能测试或者性能测试。
第3级别功能测试或者性能测试和渗透测试。
第4级别功能测试或者性能测试和渗透测试。
从表中可以看到,对不同等级的信息系统进行等级测评时,选择的测评对象的种类和数量是不同的,随着信息系统安全保护等级的增高,抽查的测评对象的种类和数量也随之增加。
对不同安全保护等级信息系统进行等级测评时实际抽查测评对象的种类和数量应当达到表中的要求,以满足相应等级的测评力度要求,在具体测评对象选择工作过程中,可参照遵循以下原则。
A完整性原则,选择的设备措施等应能满足相应等级的测评力度要求。
B重要性原则,应抽查重要的服务器,数据库和网络设备等。
C安全性原则,应抽查对外暴露的网络边界。
D共享性原则,应抽查共享设备和数据交换平台或设备。
E代表性原则抽查应尽量覆盖系统各种设备类型,操作系统类型,数据库系统类型和应用系统的类型。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
