1测评方案1.1测评流程依据《GBT28448-2012信息安全技术信息系统安全等级保护测评要求》，我们以《信息安全技术信息系统安全等级保护测评过程指南》（GBT28449-2012）为测评输入，采取相应的（包括：访谈、检查、测试）测评方法，按照相应的测评规程对测评对象（包括：制度文档、各类设备、安全配置、相关人员）进行相应力度（包括：广度、深度）的单元测评、整体测评，对测评发现的风险项进行分析评估，提出合理化整改建议，最终得到相应的信息系统等级测评报告。信息系统等级测评工作共分为四项活动，即测评准备活动、方案编制活动、现场测评活动、结果分析与报告编制活动，基本工作流程图如下：等级测评工作流程图1图表．1.2测评力度信息系统安全保护等级测评力度二级系统三级系统测评对象在数量上抽样，在种类上基本覆测评对象在种类和数量上抽样，种类广度访盖和数量都较多谈较全面充分深度测评对象在数量上抽样，在种类上基本覆种类测评对象在种类和数量上抽样，广度检和数量都较多盖查较全面深度充分测评对象在数量和范围上抽样，在种类上测评对象在种类和数量、范围上抽广度测样，种类和数量都较多，范围大基本覆盖试深度性能测试，渗透测试/功能测试性能测试功能测试/---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---1.3测评对象我们一般的测评对象包括：整体对象，如机房、办公环境、网络等，也包括具体对象，如网关设备、网络设备、服务器设备、工作站、操作系统、数据库和应用系统等。但此次测评为云环境下的测评，由于机房和网络环境的安全责任不归属该单位，故此次测评对象为：主机、应用系统和安全管理制度三个层面相关的对象。?在具体测评对象选择工作过程中，遵循以下原则：?完整性原则，选择的设备、措施等应能满足相应等级的测评力度要求；?重要性原则，应抽查重要的服务器、数据库和网络设备等；?安全性原则，应抽查对外暴露的网络边界；设备；/共享性原则，应抽查共享设备和数据交换平台?．?代表性原则，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统的类型。1.4测评依据信息安全测评与其他测评一样，是依据相关的需求、设计、标准和规范，对待测对象进行测试、评估（评价），因此有必要梳理出测评对象、以及采用的标准规范。测评使用的主要指标依据如下：系统定级使用的主要指标依据有：?《计算机信息系统安全保护等级划分准则》（GB17859-1999）?《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---等级保护测评使用的主要指标依据有：?《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）?《信息安全技术信息系统安全等级保护测评要求》（GBT28448-2012）?《信息安全技术信息系统安全等级保护测评过程指南》（GBT28449-2012）?《信息安全技术信息安全风险评估规范》（GB/T20984-2007）现状测评使用的主要指标依据有：?制度检查：以GB/T22239《等级保护基本要求》、ISO27000/ISO17799、ITIL的相关要求作为补充检查要求，检查是否具有相应的制度、记录。?漏洞扫描检查：使用工具自带的库和基线。?整体网络架构分析：以基于安全域的划分结果进行分析，主要参考《信息系统等级保护安全设计技术要求》（GB/T25070-2010）。渗透测试：没有标准的定义。通过模拟恶意黑客的攻击的方法，来评估?．信息系统安全防御按照预期计划正常运行。系统信息安全加固、安全建设整改建议的主要依据有：?《信息安全技术信息系统安全等级保护实施指南》（GB/T25058-2010）?Gartner企业信息安全体系架构?OSA（开放安全架构）安全架构?SABSA企业安全架构?《信息安全风险评估规范》（GB/T20984-2007）?《信息技术安全性评估准则》（GB/T18336.1-2008）相关依据还有：公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66）、公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》（公通字[200...