附　錄　B （規范性附錄） 測評對象確定準則和樣例

B.1　測評對象確定準則

測評對象是等級測評的直接工作對象，也是在被測定級對象中實現特定測評指標所對應的安全功能的具體系統組件，因此，選擇測評對象是編制測評方案的必要步驟，也是整個測評工作的重要環節。恰當選擇測評對象的種類和數量是整個等級測評工作能夠獲取足夠證據、了解到被測定級對象的真實安全保護狀況的重要保證。

測評對象的確定一般采用抽查的方法，即：抽查定級對象中具有代表性的組件作為測評對象。并且，在測評對象確定任務中應兼顧工作投入與結果產出兩者的平衡關系。

在確定測評對象時，需遵循以下原則：

——重要性，應抽查對被測定級對象來說重要的服務器、數據庫和網絡設備等；

——安全性，應抽查對外暴露的網絡邊界；

——共享性，應抽查共享設備和數據交換平臺/設備；

——全面性，抽查應盡量覆蓋系統各種設備類型、操作系統類型、數據庫系統類型和應用系統類型；

——符合性，選擇的設備、軟件系統等應能符合相應等級的測評強度要求。

B.2　測評對象確定步驟

確定測評對象時，可以將系統構成組件分類，再考慮重要性等其他屬性。一般定級對象可以直接采用分層抽樣方法，復雜系統建議采用多階抽樣方法。

在確定測試對象時可參考以下步驟：

（1）對系統構成組件進行分類，如可在粗粒度上分為客戶端（主要考慮操作系統）、服務器（包括操作系統、數據庫管理系統、應用平臺和業務應用軟件系統）、網絡互聯設備、安全設備、安全相關人員和安全管理文檔，也可以在上述分類基礎上繼續細化；

（2）對于每一類系統構成組件，應依據調研結果進行重要性分析，選擇對被測定級對象而言重要程度高的服務器操作系統、數據庫系統、網絡互聯設備、安全設備、安全相關人員以及安全管理文檔等；

（3）對于步驟（2）獲得的選擇結果，分別進行安全性、共享性和全面性分析，進一步完善測評對象集合；

——考慮到網絡攻擊技術的自動化和獲取渠道的多樣化，應選擇部署在系統邊界的網絡互聯或安全設備以測評暴露的系統邊界的安全性，衡量定級對象被外界攻擊的可能性。

——考慮到新技術新應用的特點和安全隱患，應選擇面臨威脅較大的設備或組件作為測評對象，衡量這些設備被外界攻擊的可能性。

——考慮不同等級互聯的安全需求，應選擇共享/互聯設備作為測評對象，以測評通過共享/互聯設備與被測評定級對象互連的其他系統是否會增加不安全因素，衡量外界攻擊以共享/互聯設備為跳板攻擊被測定級對象的可能性。

——考慮不同類型對象存在的安全問題不同，選擇的測評對象結果應盡量覆蓋系統中具有的網絡互聯設備類型、安全設備類型、主機操作系統類型、數據庫系統類型和應用系統類型等。

（4）依據被測評定級對象的安全保護等級對應的測評力度進行恰當性分析，綜合衡量測評投入和結果產出，恰當的確定測評對象的種類和數量。

B.3　測評對象確定樣例

B.3.1　第一級定級對象

第一級定級對象的等級測評，測評對象的種類和數量比較少，重點抽查關鍵的設備、設施、人員和文檔等。抽查的測評對象種類主要考慮以下幾個方面：

——主機房（包括其環境、設備和設施等），如果某一輔機房中放置了服務于整個定級對象或對定級對象的安全性起決定作用的設備、設施，那么也應該作為測評對象；

——整個系統的網絡拓撲結構；

——安全設備，包括防火墻、入侵檢測設備、防病毒網關等；

——邊界網絡設備（可能會包含安全設備），包括路由器、防火墻和認證網關等；

——對整個定級對象的安全性起決定作用的網絡互聯設備，如核心交換機、路由器等；

——承載最能夠代表被測定級對象使命的業務或數據的核心服務器（包括其操作系統和數據庫）；

——最能夠代表被測定級對象使命的重要業務應用系統；

——信息安全主管人員；

——涉及到定級對象安全的主要管理制度和記錄，包括進出機房的登記記錄、定級對象相關設計驗收文檔等。

在本級定級對象測評時，定級對象中配置相同的安全設備、邊界網絡設備、網絡互聯設備以及服務器應至少抽查一臺作為測評對象。云計算平臺、物聯網、移動互聯、工業控制系統、IPv6系統的補充選擇的測評對象見附錄D。

B.3.2　第二級定級對象

第二級定級對象的等級測評，測評對象的種類和數量都較多，重點抽查重要的設備、設施、人員和文檔等。抽查的測評對象種類主要考慮以下幾個方面：

——主機房（包括其環境、設備和設施等），如果某一輔機房中放置了服務于整個定級對象或對定級對象的安全性起決定作用的設備、設施，那么也應該作為測評對象；

——存儲被測定級對象重要數據的介質的存放環境；

——整個系統的網絡拓撲結構；

——安全設備，包括防火墻、入侵檢測設備、防病毒網關等；

——邊界網絡設備（可能會包含安全設備），包括路由器、防火墻和認證網關等；

——對整個定級對象或其局部的安全性起決定作用的網絡互聯設備，如核心交換機、匯聚層交換機、核心路由器等；

——承載被測定級對象核心或重要業務、數據的服務器（包括其操作系統和數據庫）；

——重要管理終端；

——能夠代表被測定級對象主要使命的業務應用系統；

——信息安全主管人員、各方面的負責人員；

——涉及到定級對象安全的所有管理制度和記錄。

在本級定級對象測評時，定級對象中配置相同的安全設備、邊界網絡設備、網絡互聯設備以及服務器應至少抽查兩臺作為測評對象。

B.3.3　第三級定級對象

第三級定級對象的等級測評，測評對象種類上基本覆蓋、數量進行抽樣，重點抽查主要的設備、設施、人員和文檔等。抽查的測評對象種類主要考慮以下幾個方面：

——主機房（包括其環境、設備和設施等）和部分輔機房，應將放置了服務于定級對象的局部（包括整體）或對定級對象的局部（包括整體）安全性起重要作用的設備、設施的輔機房選取作為測評對象；

——存儲被測定級對象重要數據的介質的存放環境；

——辦公場地；

——整個系統的網絡拓撲結構；

——安全設備，包括防火墻、入侵檢測設備和防病毒網關等；

——邊界網絡設備（可能會包含安全設備），包括路由器、防火墻、認證網關和邊界接入設備（如樓層交換機）等；

——對整個定級對象或其局部的安全性起作用的網絡互聯設備，如核心交換機、匯聚層交換機、路由器等；

——承載被測定級對象主要業務或數據的服務器（包括其操作系統和數據庫）；

——管理終端和主要業務應用系統終端；

——能夠完成被測定級對象不同業務使命的業務應用系統；

——業務備份系統；

——信息安全主管人員、各方面的負責人員、具體負責安全管理的當事人、業務負責人；

——涉及到定級對象安全的所有管理制度和記錄。

在本級定級對象測評時，定級對象中配置相同的安全設備、邊界網絡設備、網絡互聯設備、服務器、終端以及備份設備，每類應至少抽查兩臺作為測評對象。

B.3.4　第四級定級對象

第四級定級對象的等級測評，測評對象種類上完全覆蓋、數量進行抽樣，重點抽查不同種類的設備、設施、人員和文檔等。抽查的測評對象種類主要考慮以下幾個方面：

——主機房和全部輔機房（包括其環境、設備和設施等）；

——介質的存放環境；

——辦公場地；

——整個系統的網絡拓撲結構；

——安全設備，包括防火墻、入侵檢測設備和防病毒網關等；

——邊界網絡設備（可能會包含安全設備），包括路由器、防火墻、認證網關和邊界接入設備（如樓層交換機）等；

——主要網絡互聯設備，包括核心和匯聚層交換機；

——主要服務器（包括其操作系統和數據庫）；

——管理終端和主要業務應用系統終端；

——全部應用系統；

——業務備份系統；

——信息安全主管人員、各方面的負責人員、具體負責安全管理的當事人、業務負責人；

——涉及到定級對象安全的所有管理制度和記錄。

在本級定級對象測評時，定級對象中配置相同的安全設備、邊界網絡設備、網絡互聯設備、服務器、終端以及備份設備，每類應至少抽查三臺作為測評對象。