等级保护实施方案的测评方法

测评方法

        在等级测评现场实施过程中综合采用访谈、核查和测试等测评方法。

访谈

        访谈是指测评人员通过引导等级保护对象相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、澄清或取得证据的过程。在访谈的范围上，应基本覆盖所有的安全相关人员类型，在数量上可以抽样。

核查

        核查是指测评人员通过对测评对象（如制度文档、各类设备及相关安全配置等）进行观察、查验和分析，以帮助测评人员理解、澄清或取得证据的过程。

        在安全物理环境测评任务中，测评人员采用文档查阅与分析和现场观测等检查方法来获取测评证据（如机房的温湿度情况），用于判断目标系统在机房安全方面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。

        在安全计算环境、安全通信网络、安全区域边界测评任务中，测评人员综合采用文档查阅与分析和安全配置核查等检查方法来获取测评证据（如相关措施的部署和配置情况，特定设备的端口开放情况等），用于判断目标系统在相应安全类采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。

        在安全管理类测评任务中，测评人员主要采用文档查阅与分析的检查方法来获取测评证据（如制度文件的编制情况），用于判断特定的安全管理措施是否符合国家、行业相关标准的要求以及委托方的实际需求。

测试

        测试是指测评人员使用预定的方法／工具使测评对象（各类设备或安全配置）产生特定的结果，将运行结果与预期的结果进行比对的过程。在本次测评过程中，测试方法主要应用在手工验证、漏洞扫描、渗透测试等测评任务中。

        在安全计算环境、安全通信网络等测评任务中，测评人员将综合采用手工验证和工具测试（如漏洞扫描、渗透测试等）方法对特定安全技术措施的有效性进行测试，测试结果用于判断目标系统在网络、主机或应用层面采用的特定技术措施是否符合国家相关标准以及委托方的实际需求，并进一步应用于对目标系统进行安全性整体分析。

测评力度

        测评力度是在等级测评过程中实施测评工作的力度,体现为测评工作的实际投人程度，具体由测评的广度和深度来反映。测评广度越大,测评实施的范围越大,测评实施包含的测评对象就越多。测评深度越深,越需要在细节上展开,测评就越严格,因此就越需要更多的工作投人。投入越多,测评力度就越强，测评效果就越有保证。
        测评方法是测评人员依据测评内容选取的、实施特定测评操作的具体方法,涉及访谈、核查和测试三种基本测评方法。三种基本测评方法的测评力度可以通过其测评的深度和广度来描述:
（1）访谈深度:分别为简要、充分、较全面和全面等四种。简要访谈只包含通用和高级的问题;充分访谈包含通用和高级的问题以及一些较为详细的问题;较全面访谈包含通用和高级的问题以及一有些难度和探索性的问题;全面访谈包含通用和高级的问题以及较多有难度和探索性的问题。
        访谈广度:体现在访谈人员的构成和数量上。访谈覆盖不同类型的人员和同一类人的数量多少,体现出访谈的广度不同。
（2）核查深度:分别为简要、充分、较全面和全面等四种。简要核查主要是对功能性的文档、机制和活动,使用简要的评审、观察或核查以及核查列表和其他相似手段的简短测评;充分核查有详细的分析、观察和研究,除了功能性的文档、机制和活动外,还适当需要--些总体或概要设计信息;较全面核查有详细、彻底分析、观察和研究,除了功能性的文档、机制和活动外,还需要总体/概要和一些详细设计以及实现上的相关信息;全面核查有详细.彻底分析、观察和研究,除了功能性的文档、机制和活动外,还需要总体/概要和详细设计以及实现上的相关信息。
        核查广度;核查的广度体现在核查对象的种类(文档、机制等)和数量上。核查覆盖不同类型的对象和同-.类对象的数量多少,体现出对象的广度不同。
（3）测试深度:测试的深度体现在执行的测试类型上,包括功能测试、性能测试和渗透测试。功能
测试和性能测试只涉及机制的功能规范.高级设计和操作规程;渗透测试涉及机制的所有可用文档，并试图智取进入等级保护对象。
        测试广度:测试的广度体现在被测试的机制种类和数量上。测试覆盖不同类型的机制以及同一类型机制的数量多少,体现出对象的广度不同。