② 确定测评指标及测评内容。根据被测系统调查表格,得出被测系统的定级结果,包括业务网络安全保护等级和系统服务安全保护等级,从而得出被测系统应采取的安全保护措施 ASG 组合情况。如,目标系统的安全保护等级为第三级(S3A3G3),其测评指标应包括《基本要求》7.1 节“技术要求”和 7.2 节“管理要求”中的第三级通用指标类(G3)、第三级业务信息安全性指标类(S3)和第三级业务服务保证类(A3)要求。对于由多个不同等级的信息系统组成的被测系统,应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系,而且测评指标不能分开,则不能分开的这些测评指标应采用就高原则。
③ 确定测评工具接入点。一般来说,测评工具的接入采取从外到内,从其他网络到本地网段的逐步逐点接入,即:测评工具从被测系统边界外接入、在被测系统内部与测评对象不同网段及同一网段内接入等几种方式。从被测系统边界外接入时,测评工具一般接在系统边界设备(通常为交换设备)上。在该点接入漏洞扫描器,扫描探测被测系统的主机、网络设备对外暴露的安全漏洞情况;从系统内部与测评对象不同网段接入时,测评工具一般接在与被测对象不在同一网段的内部核心交换设备上;在系统内部与测评对象同一网段内接入时,测评工具一般接在与被测对象在同一网段的交换设备上;结合网络拓扑图,采用图示的方式描述测评工具的接入点、测评目的、测评途径和测评对象等相关内容。
