等保测评对象的选择应遵循五个核心原则：重要性、安全性、共享性、全面性和符合性。同时，还要结合系统等级、测评强度和资源投入进行综合决策。以下是具体原则及实施要点：

一、五大核心提取原则

重要性原则

1、优先考虑核心组件

应优先检查对系统安全至关重要的服务器、数据库、网络设备(例如核心交换机和路由器)以及业务应用系统。

2、业务连续性保障

确保在突发事件或危机情况下，企业能够持续运营和提供服务的措施和策略。

选择承载核心业务或敏感数据的组件，以确保其关键功能不受评估的影响。

安全性原则

1、暴露面覆盖

重点检查对外开放的网络边界设备(如防火墙和入侵检测系统)，以验证其抵御外部攻击的能力。

2、风险点聚焦

针对历史漏洞或攻击频发区域，提高抽样的比例，例如Web应用防火墙和API接口等。

共享性原则

1、跨系统交互点

对共享设备(如存储阵列)和数据交换平台(如中间件)进行抽查，以确保跨系统的数据传输安全。

2、供应链安全

如果系统依赖于第三方服务(例如云平台)，则需要对相关的接口和协议进行抽查。

全面性原则

1、类型覆盖

尽量涵盖多种设备类型(如服务器、终端、安全设备)、操作系统(如Windows、Linux)、数据库(如Oracle、MySQL)以及应用系统(如Web应用和移动应用)。

2、场景模拟

通过抽样方式验证在多种场景下的安全控制，例如高并发访问和异常流量等情况。

符合性原则

等级匹配

所选设备和系统必须满足所测评等级的强度要求(例如，三级系统需要具备强制访问控制的能力)。

标准对齐

优先选择已经获得相关安全认证(如等保认证、ISO 27001)的组件进行抽查。

0

二、执行方式与策略

分层抽样法

1、适用场景

一般系统(例如单体应用程序)。

2、操作步骤

对系统组件进行分类，例如将其分为客户端、服务器和网络设备。

按比例从各类别中抽取样本，例如服务器抽取20%，网络设备抽取30%。

3、优势

确保各类组件得到均匀覆盖，以降低遗漏的风险。

多阶抽样法

1、适用场景

复杂系统(例如云计算平台和大数据集群)。

2、操作步骤

按照子系统或物理区域进行抽样(例如，选择3个数据中心)。然后，在每个子系统内再进行进一步抽样(例如，每个数据中心抽取5台服务器)。

3、优势

降低大规模系统测试的成本，同时确保关键领域得到充分覆盖。

0

三、不同等级系统的差异化策略设计

系统等级关键要点提取

1、一级

关键设备(例如核心服务器)、基础安全设施(如防火墙)、核心人员及相关文档。

2、二级

重要设备(例如数据库集群)、关键网络设备(例如边界路由器)以及主要管理制度。

3、三级

全面覆盖主要设备(如所有服务器)、核心应用系统以及跨部门共享平台。

4、四级

全面涵盖设备类型(如存储设备、终端设备)、完整的应用系统以及全链路的安全协议。

0

四、动态调整的因素

测评力度

等级越高，需要覆盖的组件类型数量也越多(例如，三级系统必须覆盖超过90%的设备类型)。

投入产出比

在预算允许的情况下，可以提高高风险组件的抽样比例，比如将其从10%增加到20%。

系统复杂度

简单系统(例如单台服务器应用)：抽样比例可低于10%。而复杂系统(如分布式架构)：需要对30%以上的组件进行抽样，并确保覆盖所有关键链路。

0

五、实践建议

工具辅助

利用自动化工具(例如漏洞扫描器)来识别高风险组件，并优化抽样策略。

文档验证

请根据系统设计文档和安全策略，确认抽样对象与实际部署相符。

动态更新

根据测评结果调整抽样方法(例如，如果某类设备多次出现问题，则在下次测评中应提高该类设备的抽样比例)。

遵循上述原则和方法，可以确保等保测评对象的抽取具有科学性、全面性和经济性，从而为系统安全的增强提供准确的依据。