信息安全防护措施与等级保护课件

1、第5讲 信息安全防护措施与等级保护,课前检查,李国华是一个计算机记录员，在一个数据收集记录部门工作，可以访问有关财产税记录的相关文件。为了作一项科学研究，王爱民被授权访问记录的数字部分，但无权访问相关人的姓名部分。 王爱民找到了想要使用的一些信息，但是需要对应的姓名和地址信息。于是他向李国华索要相关人的姓名、地址，以便与这些研究对象进行联系，从而获得更多信息，开展进一步研究。 李国华是否应该将姓名、地址信息告诉王爱民呢,案例1分析,1、工作权限与责任问题。 记录员没有权力决定数据信息是否可以给别人使用。应该请示上级。 2、隐私数据使用问题。 科学研究只能访问统计数据，而不能随便访问涉及个人隐私

2、的信息数据 3、使用隐私数据动机问题。 声称作研究用，但也可能有其他目的。 4、工作权限的确定问题。 只允许访问统计数据，不允许访问个体姓名、地址，说明科学研究的范围。只能在此范围内完成。 类似的还有医学研究，要访问医疗疾病数据。也有隐私问题,郭某是一个程序员，在一家大公司下的计算机子公司X工作。这家公司有很多政府合同。陆某是郭某的上级，分配郭某去编写不同种类的仿真程序。 为了提高工作效率，郭某编写了一些工具程序，如交叉引用等工具。但这些都不是分配给他的工作，而是郭某晚上在自己家里使用自己的计算机编写完成的。他在工作中使用，没有将这些告诉任何人。 郭某决定出售自己的这些工具程序。当公司经理得知

3、后，命陆某转告郭某，无权出售这些工具，因为受聘时签订的合同，注明了他的所有发明都属于公司,案例2分析,陆某不同意这个观点，因为他知道郭某是自行完成这些工具的。所有他很不情愿地告诉郭某不要在市场上出售这些工具，并叫郭某复制了一份给他。 之后，陆某辞去了该公司的工作，并在另一计算机公司Y当上了管理人员。该公司是X公司的竞争对手。他把郭某的工具复制版发给和他一起工作的员工们。使他们大大提高了工作效率。因而陆某受到经理嘉奖，获得一大笔奖金。 郭某听说后就和陆某联系交涉，而陆某争辩说，因为这些工具属于X公司，且它的运转靠的是政府资金，所以这些工具是公共产品，并不属于任何人,1、权利问题。对于这些工具软件

4、。郭某、陆某、X公司、Y公司各自的权利是什么？ 2、权利的根据。谁给了他们的这些权利？这个案例牵涉到哪些有关公平竞争、商业、财产权的原则。 3、在公司开发产品的考虑。郭某能作什么事？ 4、对员工自己开发的产品应该如何处理。X公司如何作？陆某如何作？Y公司如何作,1.信息安全防护措施 2.信息安全等级保护 等级保护基本概念介绍 等级保护定级 等级保护基本要求 等级保护实施 等级保护测评,第5讲 信息安全防护措施与等级保护,学习目标,2.知道信息安全等级保护制度体系的组成,3.熟悉信息安全等级保护制度,4.了解有哪些信息安全保护措施,什么是等级保护,信息系统安全等级保护是指对信息和信息系统划分为五

5、个安全保护和监管等级，实行分等级保护,每月新增计算机病毒几千种，感染计算机1000多万台。 10多万个网络地址对应的主机被木马控制 300多台被利用作为僵尸网络控制端服务器 网页篡改事件达5000多次,为什么实行等级保护,据英国一家报纸报道，最近该国国家医疗服务系统和10多家政府网站被入侵并植入病毒，登录这些网站的用户都可能感染病毒并导致个人信息泄露,为什么实行等级保护,我国2003-2007被篡改网站数量,黑客入侵了美国某银行在某商店的自动提款机网络，盗取客户识别码，继而使用空白卡从自动提款机提取现金,为什么实行等级保护,为什么实行等级保护,真正的中国工商银行网站,假冒的中国工商银行网站,如

6、何进行等级保护,根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定,如何进行等级保护,等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全,等级保护标准总体框架,中办发200327号国家信息化领导小组关于加强信息安全保障工作的意见,公通字200466号关于信息安全等级保护工作的实施意见,公通字200643号信息安全登记保护管理办法,实施指南,等级划分准则,定级指南

7、,测评准则,基本要求,通用安全技术要求,网络基础安全技术要求,操作系统安全技术要求,数据库安全技术要求,服务器安全技术要求,终端安全技术要求,中保委发20047号,国保发200516号,BMB17-2006,BMB20-2007,BMB22-2007,分级保护方案设计指南,等级保护标准制修订背景,2003年9月 中办国办颁发 关于加强信息安全保障工作的意见 中办发200327号,2005年9月 国信办文件 关于转发电子政务信息安全等级保护实施指南的通知 国信办200425号,2006年1月 四部委会签 关于印发信息安全等级保护管理办法的通知 公通字20067号,2005年 公安部标准 基本要求

8、 定级指南 实施指南 测评准则,2004年11月 四部委会签 关于信息安全等级保护工作的实施意见 公通字200466号,云南 云南省人民政府第130号令,浙江 浙江省人民政府令,北京 北京政府第9号令,国家级政策文件,国家级技术标准,国家级政策文件,地方政策文件,等级保护标准制修订背景,课堂检测,等级保护保护对象有哪些？哪些对象不属于等级保护范围？ 等级保护有几个等级？各级名称？ 等级保护有哪些步骤？ 等级保护标准有哪些,等级保护定级维度,等级保护对象受到破坏时所侵害的客体 对客体造成侵害的程度,定级阶段-关于定级范围,一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互

9、联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 （二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 （三）市（地）级以上党政机关的重要网站和办公信息系统,一、定级对象的三个条件 具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。 满足信息系统的基

10、本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象,定级阶段-关于定级对象确定,一、定级对象的三个条件 承载相对独立的业务应用 定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以是完整的业务流程的一部分,定级阶段-关于定级对象确定,二、定级对象的识别和划分 可能使定级

11、要素赋值不同因素 可能涉及不同客体的系统。 可能对客体造成不同程度损害的系统。 处理不同类型业务的系统。 本身运行在不同的网络环境中的系统。 分不开的系统，按照高级别保护,定级阶段-关于定级对象确定,系统边界不应出现在服务器内部，服务器共用的系统一般归入同一个信息系统，因此不同信息系统的共用设备一般是网络/边界设备或终端设备。 两个信息系统边界存在共用设备时，共用设备的安全保护等级按两个信息系统安全保护等级较高者确定。例如，一个2级系统和一个3级系统之间有一个防火墙或两个系统共用一个核心交换机，此时防火墙和交换机可以作为两个系统的边界设备，但应满足3级系统的要求,定级阶段-关于系统边界,信息系

12、统的管理终端是与相应被管理设备相对应的，服务器、网络设备及安全设备等属于哪个系统，终端就应归在哪个信息系统中。 如果无法做到不同等级的信息系统使用不同的终端设备，则应将终端设备划分为其他的信息系统，并在服务器与内部用户终端之间建立边界保护，对终端通过身份鉴别和访问控制等措施加以控制。 处理涉密信息的终端必须划分到相应的信息系统中，且不能与非涉密系统共用终端,定级阶段-关于系统边界,识别单位基本信息 了解单位基本信息有助于判断单位的职能特点，单位所在行业及单位在行业所处的地位和所用，由此判断单位主要信息系统的宏观定位。 识别业务种类、流程和服务 应重点了解定级对象信息系统中不同业务系统提供的服务

13、在影响履行单位职能方面具体方式和程度，影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面。这些具体数据即可以为主管部门制定定级指导意见提供参照，也可以作为主管部门审批定级结果的重要依据,定级阶段-关于定级过程,识别信息 调查了解定级对象信息系统所处理的信息，了解单位对信息的三个安全属性的需求，了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响，对影响程度的描述应尽可能量化。 识别网络结构和边界 调查了解定级对象信息系统所在单位的整体网络状况、安全防护和外部连接情况，目的是了解信息系统所

14、处的单位内部网络环境和外部环境特点，以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系,定级阶段-关于定级过程,识别主要的软硬件设备 调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等，设备所在网段，在系统中的功能和作用。调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。 识别用户类型和分布 调查了解各系统的管理用户和一般用户，内部用户和外部用户，本地用户和远程用户等类型，了解用户或用户群的数量分布，判断系统服务中断或系统信息被破坏可能影响的范围和程度。 形成定级结果 取各类信息和服务的较高,定级阶段-关于定级过程,定级阶段相关技术环节

15、行业定级指导意见 关键概念 定级方法,定级阶段_相关技术环节,根据管理办法第十条：信息系统运营、使用单位应当依据本办法和信息系统安全等级保护定级指南确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 根据关于开展全国重要信息系统安全等级保护定级工作的通知（以下简称定级通知）要求：各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的指导意见,定级阶段,为什么需要行业对定级提出指导意见 行业的职能不同 信息系统在行业内所发挥的作用不同 信息系统被破坏后对国家和社会的危害后果不同 行业主管部门比运营使用单位

16、具有更高的站位、更宏观的视野,定级阶段-关于行业定级指导意见,行业定级指导意见的意义： 贯彻四部委会签的管理办法 阐明本行业实施等级保护工作的政策和方针 制定本行业定级工作的阶段计划 统一本行业对定级要素赋值规范,定级阶段-关于行业定级指导意见,定级工作的指导意见应包括： 对定级对象确定的指导 符合哪些条件的信息系统的等级保护客体是国家安全、哪些是公共利益/社会秩序。 对不同类型的等级保护客体，本行业主要关注哪些危害后果 对于每一类等级保护客体，符合哪些条件可以判断为一般损害、哪些是严重损害、哪些是非常严重损害,定级阶段-关于行业定级指导意见,定级阶段_关于三种危害程度,不同危害后果的三种危害

17、程度描述如下： 一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。 严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。 特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害,等级保护对象受到破坏时所侵害的客体包括以下三个方面： 公民、法人和其他组

18、织的合法权益； 社会秩序、公共利益； 国家安全,定级阶段-三种客体,定级要素与安全保护等级的关系,对定级指南中有关概念的补充说明： 三种客体 对客体侵害程度,定级阶段_关键概念的补充说明,三种受侵害的客体体现了三种不同层次、不同覆盖范围的社会关系。 国家安全利益体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全和资源环境安全等方面利益。 社会秩序包括社会的政治、经济、生产、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社会成员所共同享有的，维持其生产、生活、教育、卫生等方面的利益。 合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会

19、权利和利益,定级阶段-三种客体说明,对客体的侵害不是威胁直接作用的结果，而是通过对等级保护对象信息系统的破坏而导致的，因此确定对客体侵害的程度时，必须考虑对等级保护对象所造成破坏的不同客观表现形态以及不同程度的结果，也就是侵害的客观方面,定级阶段,关于损害后果 影响行使工作职能，工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。 导致业务能力下降，下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降，每个行业务都有本行业关注的业务指标。例如电力行业关注发电量和用电量，税务行业关注税费收入，银行业关注存款额、贷款额、

20、交易量等，证券经纪行业关注股民数和交易额,定级阶段-关于损害的详述,关于损害后果 引起法律纠纷是比较严重的影响，在较轻的程度时可能表现为投诉、索赔、媒体曝光等形式。 导致财产损失，包括系统资产被破坏的直接损失、业务量下降带来的损失、直接的资金损失、为客户索赔所支付的资金等，以及由于信誉下降、单位形象降低、客户关系损失等导致的间接经济损失。 直接造成人员伤亡，例如医疗服务系统，公安行业的某些系统等。 造成社会不良影响，包括在社会风气、执政信心等方面的影响,定级阶段-关于损害的详述,定级阶段-关于损害的详述,定级阶段-关于定级级别,定级阶段-关于定级方法,定级的一般方法 信息系统安全包括业务信息安

21、全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。 从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级,定级阶段-关于定级方法,定级阶段-关于定级方法与流程,根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据下表业务信息安全保护等级矩阵表，即可得到业务信息安全保护等级,定级阶段-关于定级方法与流程,根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据下表系统服务安全保护等级矩阵表，即可得到系统服务安全保

22、护等级,四个主要因素决定等级,系统所属类型,业务信息类别,系统服务范围,业务依赖程度,业务信息安全性,业务服务保证性,信息系统安全保护等级,侵害的程度如何？（对客体造成侵害的程度） 一般损害 严重损害 特别严重损害,受到破坏时侵害了什么？（客体） 公民、法人 社会秩序、公共利益 国家安全,定级阶段-关于等级变更,在信息系统的运行过程中，安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更，尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化，可能影响到系统的安全保护等级时，应根据定级标准给出的定级方法重新定级,定级案例-三级系统定级

23、,定级案例-三级系统定级,定级案例-三级系统定级,定级案例-三级系统定级,小测试,等级保护定级维度是那两个？ 等级保护定级客体有哪些？ 一个对国家安全会造成一般损害的信息系统应该定为等级保护几级,基本要求的作用,信息系统安全等级保护基本要求,运营、使用单位 （安全服务商,主管部门 （等级测评机构,安全保护,测评检查,基本要求的定位,是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一的“标尺”来衡量，保证权威性，是一个达标线； 每个级别的信息系统按照基本要求进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态; 是每个级别信息系统进行安全保护工作的一个基本出

24、发点，更加贴切的保护可以通过需求分析对基本要求进行补充，参考其他有关等级保护或安全方面的标准来实现,基本要求的定位,某级信息系统,基本保护,精确保护,基本要求,保护,基本要求,测评,补充的安全措施 GB17859-1999 通用技术要求 安全管理要求 高级别的基本要求 等级保护其他标准 安全方面相关标准 等等,基本保护,特殊需求 补充措施,基本要求基本思路,不同级别 信息系统,重要程度不同,应对不同威胁的能力 (威胁弱点,具有不同的安全保护能力,不同的基本要求,各个要素之间的关系,安全保护能力,基本安全要求,每个等级的信息系统,基本技术措施,基本管理措施,具备,包含,包含,满足,满足,实现,基

25、本要求核心思路,某级系统,技术要求,管理要求,基本要求,建立安全技术体系,建立安全管理体系,具有某级安全保护能力的系统,各级系统的保护要求差异（宏观,安全保护模型PPDRR,Protection防护 Policy Detection 策略 检测 Response 响应,Recovery 恢复,各级系统的保护要求差异（宏观,一级系统,二级系统,三级系统,四级系统,防护,防护/监测,策略/防护/监测/恢复,策略/防护/监测/恢复/响应,各级系统的保护要求差异（宏观,成功的完成业务,信息保障,深度防御战略,人,技术,操作,防御网络与基础设施,防御飞地边界,防御计算环境,支撑性基础设施,安全保护模型I

26、ATF,各级系统的保护要求差异（宏观,一级系统,二级系统,三级系统,四级系统,通信/边界（基本,通信/边界/内部（关键设备,通信/边界/内部（主要设备,通信/边界/内部/基础设施（所有设备,各级系统的保护要求差异（宏观,一级系统,二级系统,三级系统,四级系统,计划和跟踪（主要制度,计划和跟踪（主要制度,良好定义（管理活动制度化,持续改进（管理活动制度化/及时改进,等级保护基本要求构架,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,等级保护基本要求效果,基本要求的主要内容,由9个章节

27、2个附录构成 1.适用范围 2.规范性引用文件 3术语定义 4.等级保护概述 5. 6.7.8.9基本要求 附录A 关于信息系统整体安全保护能力的要求 附录B 基本安全要求的选择和使用,基本要求的组织方式,某级系统,类,技术要求,管理要求,基本要求,类,控制点,具体要求,控制点,具体要求,基本要求-组织方式,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,基本要求标注方式,基本要求 技术要求 管理要求 要求标注 业务信息安全类要求（标记为S类） 系统服务保证类要求（标记为A类） 通用

28、安全保护类要求（标记为G类,三类要求之间的关系,通用安全保护类要求（G,业务信息安全类（S,系统服务保证类（A,安全要求,基本要求的选择和使用,一个3级系统,定级结果为S3A2，保护类型应该是S3A2G3 第1步: 选择标准中3级基本要求的技术要求和管理要求; 第2步: 要求中标注为S类和G类的不变; 标注为A类的要求可以选用2级基本要求中的A类作为基本要求,安全保护和系统定级的关系,定级指南要求按照“业务信息”和“系统服务”的需求确定整个系统的安全保护等级 定级过程反映了信息系统的保护要求,不同级别系统控制点的差异,不同级别系统要求项的差异,小测试,等级保护基本要求共有几个控制层面？ 一个定

29、为三级的信息系统可能有几种不同的等级保护要求组合？ 等级保护基本要求对我公司的意义,目录,等级保护基本概念介绍 等级保护定级 等级保护基本要求 等级保护实施 等级保护测评 我公司开展的等级保护支持服务,等级保护角色和职责,等级保护实施原则,自主保护原则 信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。 重点保护原则 根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。 同步建设原则 信息系统在新建、改建、扩建时应当同步规划和设计安全方案

30、，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。 动态调整原则 要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护,等级保护实施流程,信息系统全生命周期,系统 定级,规划 设计,安全 实施,安全运维（变更管理/定期安 全测评/监督检查,系统 终止,系统定级,安全实施,安全运维（变更管理/定期安全测评/监督检查,系统 终止,已建信息系统等级保护实施过程,新建信息系统等级保护实施过

31、程实程,信息系统生命周期生期,规划设计,等级保护测评流程,等级保护测评中的角色关系,系统 承建单位,主管使用 运行单位,测评机构,专家组,支持测评 提供技术、工程和质量文档 实施的配合,公安 网监部门,测评工作组织协调 确保技术、工程和质量文档、提供运营相关文档的提供 评审实施方案等相关文档 配合等级测评实施 测评过程中的风险管理和应急管理,制定测评计划和方案等相关文档 在相关单位支持下实施等级测评 提交测评报告,监督方案评审和系统测评 监督确保遵守公正的测评原则和方法 对评估结论进行评审,测评工作 组织与监管,等级保护测评案例,1)某公司（简称“AAA”）用电信息系统承载着该公司的电力营销业

32、务，由数据存储、业务处理、接入、对外服务和外联等五个功能区域组成，是一个安全等级为三级的信息系统。 (2)现场测评时间为X年X月X日至X年X月X日，现场测评小组分为管理组（2人）和技术组（4人）两组，分别完成安全管理和安全技术方面的测评,等级保护被测评案例,3)被测系统为承载着AAA公司电力营销业务，是AAA公司的重要信息系统，其安全等级定为三级（S3A2G3）。 (4)被测系统由数据存储、业务处理、接入、对外服务和外联等五个功能区域组成.对外有可以为大客户单位、internet网、拨号用户等提供电费数据查询、交纳、业务扩充、投诉等服务的功能模块。数据存储功能区位于屏蔽机房，其它功能区域位于中

33、心机房,测评对象,根据用电信息系统的实际情况，分别确定物理安全、网络安全、主机系统安全、应用安全等各层面的测评对象。 物理方面主要是测评屏蔽机房和主机房。 网络方面主要测评的设备有：路由器、交换机、防火墙、IDS、外联检测、防病毒等,测评对象（2,主机方面主要测评的主机服务器（包括数据库服务器）,测评对象（3,应用方面主要测评的应用系统,测评对象（4,安全管理，主要测评对象为与信息安全管理有关的策略、制度、操作规程、运行记录、管理人员、技术人员和相关设备设施等,测评指标选取,被测系统的定级结果为：安全保护等级为3级，业务信息安全等级为S3，系统服务安全等级为A2；则该系统的测评指标应包括GB/

34、T 22239-2008“技术要求”中的3级通用指标类（G3），3级业务信息安全指标类（S3），2级系统服务安全指标类（A2），以及第3级“管理要求”中的所有指标类,测评工具和接入点,根据3级信息系统的测评强度要求，在测试的广度上，应基本覆盖不同类型的机制，在数量、范围上可以抽样；在测试的深度上，应执行功能测试和渗透测试，功能测试可能涉及机制的功能规范、高级设计和操作规程等文档，渗透测试可能涉及机制的所有可用文档，并试图智取进入信息系统等。因此，对其进行测评，应涉及到漏洞扫描工具、渗透测评工具集等多种测试工具。 使用的测试工具主要有：网络漏洞扫描器、数据库安全扫描器、渗透测试工具集等,测评内容

35、-物理安全,物理安全测评将通过访谈、文档审查和实地察看的方式测评信息系统的的物理安全保障情况。主要涉及对象为屏蔽机房和主机房,测评内容网络安全,网络安全测评将通过访谈、配置检查和工具测试的方式测评信息系统的的网络安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构等三大类对象,测评内容主机安全,主机系统安全测评将通过访谈、配置检查和工具测试的方式测评主机系统安全保障情况。本次重点测评的操作系统包括各网站服务器、应用服务器和数据库服务器等的操作系统，数据库管理系统为数据库服务器Sybase。,测评内容应用安全和数据安全,应用安全测评将通过访谈、配置检查和工具测试的方式测评应用安全

36、保障情况，主要涉及对象为用电信息系统、对外服务网站系统和远程客户服务系统,测评内容安全管理部分,安全管理部分为全局性问题，涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面。主要是审查相关管理文档和记录文件,等级保护测评实施物理安全,要求：对于温湿度控制（G3），在GB/T 22239-2008中的描述为“机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。” 测评方法 （1）应检查机房是否有温湿度控制设计/验收文档，查看机房温、湿度是否满足GB 2887-89计算站场地技术条件的要求，是否能够满足系统运行需要，是否与当前实际情况相符合。 （2）应访谈物理安全负责人，询问机