1
被测系统测评范围确定的重要性
从项目管理角度来看,项目范围在项目初期是必须要确定的,否则后期变更管理带来的范围蔓延一定会导致项目的成本超出预期。
从等级测评的角度来看,测评对象的测评范围如果越多,根据2021版测评报告公式,测评范围越大、工作量越多、测评对象越多,那么被扣的分值越多。
因此,无论从哪个角度来看,测评范围的确定是非常重要的,也是非常有必要的。
2.1
确定服务范围
在拿到网络拓扑图后,个人认为确定被测对象的主要方法如下:
确定被测系统的主要服务范围。服务范围主要是互联网、城域网和局域网三类,如果该系统主要是面向局域网/业务专网用户,那么测评的范围就应该仅限于局域网/业务专网区域,不应该涉及互联网区域,比如很多医院的HIS系统虽然需要通过医保网进行医保结算、药品管理等,也需要连接互联网进行网上挂号、检查报告查阅等功能,但是这些功能并非主要功能,HIS系统的主要功能还是在医院的局域网内部,因此,测评范围主要还是局域网。
2.2
确定业务流路径
确定业务流的主要路径。简单来说就是识别客户端的区域、服务器区域。在网络拓扑图上绘制客户端到服务器区域之间的数据流向,基本可以知道该系统涉及的重要区域和测评对象。这样可以避免很多不必要的测评对象被纳入测评中。
2.3
确定测评对象
将上述的客户端区域、服务器区域和安全管理区域的涉及的测评对象按重要程度进行分类,跟业务系统有非常直接关系的系统和审计类产品作为关键,比如业务软件、应用服务器、数据库服务器、核心交换机、边界防火墙、日志审计类产品作为关键测评对象,应全部纳入测评范围,且同类产品至少测评2台以上;汇聚交换机、入侵检测类、防病毒类、其他非直接关系的服务器的重要程度定义为重要,比如接口服务器、短信服务器、IPS、IDS、态势感知、汇聚交换机等,同类产品可抽选1个作为测评;终端、网络监测系统等跟业务系统关系不大的产品的重要程度定义为一般,也仅抽选部分进行测评。
原文始发于微信公众号(等级保护那些事):被测系统的测评范围如何确定
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论