（二）方案编制活动的主要任务

（2）测评指标确定

根据已经了解到等级测评过程，确定出本次等级测评的测评指标。您可前往信创致远http://www.dengbao110.com/了解更多内容。

输入：填好的调查表格，GB/T 22239-2008。

任务描述：

a) 根据被测系统调查表格，得出被测系统的定级结果，包括业务信息安全保护等级和系统服务安全保护等级，从而得出被测系统应采取的安全保护措施 ASG 组合情况。

b) 从 GB/T 22239-2008 中选择相应等级的安全要求作为测评指标，包括对 ASG 三类安全要求的选择。举例来说，假设某信息系统的定级结果为：安全保护等级为 3级，业务信息安全保护等级为 2 级，系统服务安全保护等级为 3 级；则该系统的本次等级测评指标将包括 GB/T 22239-2008“技术要求”中的 3 级通用安全保护类要求（G3），2 级业务信息安全类要求（S2），3 级系统服务保证类要求（A3），以及第 3 级“管理要求”中的所有要求。

c) 对于由多个不同等级的信息系统组成的被测系统，应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系，而且测评指标不能分开，则不能分开的这些测评指标应采用就高原则。

d) 分别针对每个定级对象加以描述，包括系统的定级结果、指标选择两部分。其中，指标选择可以列表的形式给出。例如，一个安全保护等级和系统服务安全保护等级均为三级、业务信息安全保护等级为 2 级的定级对象，测评指标可以列出下表：

输出/产品：测评方案的测评指标部分。

（3）测试工具接入点确定

在本次等级测评中，对二级和二级以上的信息系统应进行工具测试，工具测试可能用到漏洞扫描器、渗透测试工具集、协议分析仪等测试工具。

输入：填好的调查表格，GB/T DDDD-DDDD。

任务描述：

a) 确定需要进行工具测试的测评对象。

b) 选择测试路径。一般来说，测试工具的接入采取从外到内，从其他网络到本地网段的逐步逐点接入，即：测试工具从被测系统边界外接入、在被测系统内部与测评对象不同网段及同一网段内接入等几种方式。

c) 根据测试路径，确定测试工具的接入点。从被测系统边界外接入时，测试工具一般接在系统边界设备（通常为交换设备）上。在该点接入漏洞扫描器，扫描探测被测系统的主机、网络设备对外暴露的安全漏洞情况。在该接入点接入协议分析仪，可以捕获应用程序的网络数据包，查看其安全加密和完整性保护情况。在该接入点使用渗透测试工具集，试图利用被测试系统的主机或网络设备的安全漏洞，跨过系统边界，侵入被测系统主机或网络设备。从系统内部与测评对象不同网段接入时，测试工具一般接在与被测对象不在同一网段的内部核心交换设备上。在该点接入扫描器，可以直接扫描测试内部各主机和网络设备对本单位其他不同网络所暴露的安全漏洞情况。在该接入点接入网络拓扑发现工具，可以探测信息系统的网络拓扑情况。

d) 结合网络拓扑图，采用图示的方式描述测试工具的接入点、测试目的、测试途径和测试对象等相关内容。

输出/产品：测评方案的测评内容中关于测评工具接入点部分。