2.4.5 测评方法和工具

需要在等级保护测评方案中列明测评使用的具体方法以及在测评过程中所涉及的软件工具，确保测评方法科学可靠，同时确保使用的软件工具安全可靠。

1.测评方法

本次测评中涉及的测评方法主要包括以下几项。

（1）访谈

测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取证据以证明信息系统安全保护措施有效的一种方法。

（2）检查

不同于行政执法意义上的监督检查，是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施有效的一种方法。

（3）测试

测评人员使用预定的方法/工具使测评对象产生特定的行为，通过查看、分析这些行为的结果，获取证据以证明信息系统安全保护措施有效的一种方法。

（4）风险分析

测评人员依据等级保护的相关规范和标准，采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测评系统安全造成的影响。

分析过程包括：

1）判断安全问题被威胁利用的可能性，可能性的取值范围为高、中和低。

2）判断安全问题被威胁利用后，对信息系统安全（业务信息安全和系统服务安全）造成的影响程度，影响程度取值范围为高、中和低。

3）综合1）和2）的结果对信息系统面临的安全风险进行赋值，风险值的取值范围为高、中和低。

4）结合信息系统的安全保护等级对风险分析结果进行评价，即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。

2.测评工具

本次安全测评使用的工具如表2.13所示。

3.测评工具接入点

为了发挥测评工具的作用，达到测评的目的，各种测评工具需要接入被测评的信息系统网络中，并需要配置恰当的IP地址。测评工具接入网络的不同接入点后，在该点执行具体操作。