2.4.5 測評方法和工具

需要在等級保護測評方案中列明測評使用的具體方法以及在測評過程中所涉及的軟件工具，確保測評方法科學(xué)可靠，同時確保使用的軟件工具安全可靠。

1.測評方法

本次測評中涉及的測評方法主要包括以下幾項。

（1）訪談

測評人員通過與信息系統(tǒng)有關(guān)人員（個人/群體）進行交流、討論等活動，獲取證據(jù)以證明信息系統(tǒng)安全保護措施有效的一種方法。

（2）檢查

不同于行政執(zhí)法意義上的監(jiān)督檢查，是指測評人員通過對測評對象進行觀察、查驗、分析等活動，獲取證據(jù)以證明信息系統(tǒng)安全保護措施有效的一種方法。

（3）測試

測評人員使用預(yù)定的方法/工具使測評對象產(chǎn)生特定的行為，通過查看、分析這些行為的結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護措施有效的一種方法。

（4）風(fēng)險分析

測評人員依據(jù)等級保護的相關(guān)規(guī)范和標(biāo)準(zhǔn)，采用風(fēng)險分析的方法分析等級測評結(jié)果中存在的安全問題可能對被測評系統(tǒng)安全造成的影響。

分析過程包括：

1）判斷安全問題被威脅利用的可能性，可能性的取值范圍為高、中和低。

2）判斷安全問題被威脅利用后，對信息系統(tǒng)安全（業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全）造成的影響程度，影響程度取值范圍為高、中和低。

3）綜合1）和2）的結(jié)果對信息系統(tǒng)面臨的安全風(fēng)險進行賦值，風(fēng)險值的取值范圍為高、中和低。

4）結(jié)合信息系統(tǒng)的安全保護等級對風(fēng)險分析結(jié)果進行評價，即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成的風(fēng)險。

2.測評工具

本次安全測評使用的工具如表2.13所示。

3.測評工具接入點

為了發(fā)揮測評工具的作用，達到測評的目的，各種測評工具需要接入被測評的信息系統(tǒng)網(wǎng)絡(luò)中，并需要配置恰當(dāng)?shù)腎P地址。測評工具接入網(wǎng)絡(luò)的不同接入點后，在該點執(zhí)行具體操作。