测评风险及应对措施

资料6 测评风险及应对措施

1、 面临的风险

等级测评的方法包括访谈、检查和测试，在进行等级测评时，由于测

评方法的实际操作，测评委托单位会面临下列风险：

1、 敏感信息泄露

测评人员将会接触到被测系统的各种敏感信息（如网络拓扑、IP地

址、业务流程、安全机制、安全隐患和有关文档信息等）。

2、 检查影响系统正常运行

在现场测评时，需要对设备和系统进行大量的验证检查工作，部分测

试内容需要上机查看，存在误操作的可能，会对系统的运行造成一定的

影响。

3、 工具测试影响系统正常运行

在现场测评时，会使用一些技术测试工具进行漏洞扫描测试、性能测

试甚至抗渗透能力测试。这些测试可能会对系统的负载造成一定的影

响，漏洞扫描测试和渗透测试可能会对服务器和网络通讯造成一定影

响。

2、 风险的规避办法

针对上述风险，我们可以通过加强管理、采用合理测评方案来降低风

险，主要手段包括：

1、 敏感信息泄露风险规避办法

通过加强保密措施来规避敏感信息泄露方面的风险。现行的有三项主要措施，一是与测评机构签署《保密协议》；二是测评机构与测评人员签订《保密协议》；

三是加强测评人员保密安全教育。

2、 检查影响系统正常运行风险规避办法通过强化检查手段规避检查操作带来的风险。对于检查过程中出现的误操作风险有两种规避方法可供选择，一是为测评人员开设审计账户（只具有只读取权限）；

二是由系统管理员进行操作（测评人员只负责查看）。

3、 工具测试风险规避办法

通过合理设计测试工具的使用方案来规避此类风险，首先，测评机构

选择的漏洞扫描、协议分析等工具，全部通过公安部三所的检测，具有

销售、使用许可证。

其次，在选择测试方案时，应充分考虑测评委托单位的业务和安全现

状，遵循“客观、公正、安全”的原则。目前的测评工具使用方案有以下几种：

在具有备份（恢复）能力并且有充分的恢复时间的情况下，对现有应用系统直接进行测试；不对运行系统测试，对后备系统（冷备、热备）进行测试；

在以上两种情况均不允许的情况下，可搭建测试系统，对测

试系统进行测试；

通过以上的措施，加上测评机构与测评委托单位的密切合作，一定可

以应对测评过程中的风险，取得测评的成功。