第二讲 网络安全等级保护测评

网络安全等级保护制度及测评明道启智研究室01安全等级保护的基本概念02030405安全等级保护的政策依据等级保护测评方法及过程安全等级保护的测评内容安全等级保护的安全保障目录CONTENTS01安全等级保护的基本概念网络安全等级保护的基本涵义等级保护是我国网络安全保障的基本制度、基本策略、基本方法，是保护信息化健康发展、维护国家网络空间安全的根本保障。“等级保护”的基本含义网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。安全等级的保护对象及分级保护对象网络安全等级保护对象主要包括：网络基础设施、信息系统、大数据、云计算平台、物联网、工控系统等。分级依据根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度等等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。等级保护对象受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。等级保护对象受到破坏后，会对国家安全造成特别严重损害。第一级第二级第三级第四级第五级12354定级等级保护对象的运营、使用单位按照等级保护的管理规范和技术标准，确定其安全保护等级。备案等级保护对象的运营、使用单位按照相关管理规定报送本地区公安机关备案。跨地域的等级保护对象由其主管部门向其所在地的同级公安机关进行总备案，分系统分别由当地运营、使用单位向本地地市级公安机关备案。建设整改对已有的等级保护对象，其运营、使用单位根据已经确定的安全保护等级，按照等级保护的管理规范和技术标准，采购和使用相应等级的信息安全产品，落实安全技术措施和管理措施，完成系统整改。对新建、改建、扩建的等级保护对象应当按照等级保护的管理规范和技术标准进行规划设计、建设施工。监督检查公安机关按照等级保护的管理规范和技术标准的要求，重点对第三级、第四级等级保护对象的安全等级保护状况进行监督检查。发现确定的安全保护等级不符合等级保护的管理规范和技术标准的，要通知信息和信息系统的主管部门及运营、使用单位进行整改；发现存在安全隐患或未达到等级保护的管理规范和技术标准要求的，要限期整改，使等级保护对象的安全保护措施更加完善。等级测评等级保护对象的运营、使用单位按照与其安全保护等级相对应的管理规范和技术标准的要求，定期进行安全状况检测评估，及时消除安全隐患和漏洞。等级保护对象的主管部门应当按照等级保护的管理规范和技术标准的要求做好监督管理工作，发现问题，及时督促整改。安全等级保护的工作流程中华人民共和国计算机信息系统安全保护条例(1994年2月18日中华人民共和国国务院令147号发布)2003年9月中办国办颁发《关于加强信息安全保障工作的意见》（中办发[2003]27号）2004年11月四部委会签《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）2005年9月国信办文件《关于转发《电子政务信息安全等级保护实施指南》的通知》（国信办[2004]25号）2006年1月四部委会签《关于印发《信息安全等级保护管理办法的通知》（公通字[2006]7号）2007年6月公安部、保密局、国密局、国信办联合印发《信息安全等级保护管理办法》（公通字［2007］43号）2007年7月《关于开展全国重要信息系统安全等级保护定级工作的通知》

（公信安[2007]861号）2008年发布GB/T22239—2008《信息系统安全等级保护基本要求》、GB/T22240—2008《信息系统安全等级保护定级指南》2009年公安部发文《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）2010年3月公安部发文《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[303]号）2016年，政府提出大力推进“互联网+政务，10月公安部网络安全保卫局组织对原有国家标准GB/T22239-2008等系列标准进行了修订。2017年，数字经济首次被写入《政府工作报告》。6月1日，《网络安全法》正式实施，第二十一条“国家实行网络安全等级保护制度”，从法规上升到法律层面2019年，政府报告中首次提出“智能+”概念。5月份，等保2.0核心标准：《基本要求》《安全设计技术要求》《测评要求》正式发布起步阶段发展阶段推行阶段法制阶段安全等级保护制度的历史演进02安全等级保护的政策依据国家网络安全等级保护制度（基本制度、基本国策，上升为法律）第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。安全等级保护的法律依据能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能。第一级用户自主保护级能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在自身遭到损害后，能够在一段时间内恢复部分功能。第二级系统审计保护级能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。第三级安全标记保护级能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难，以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在自身遭到损害后，能够迅速恢复所有功能第四级结构化保护级五级安全等级保护能力第五级访问验证保护级访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。等级保护2.0安全框架国家网络安全等级保护制度总体安全策略定级备案安全建设等级测评安全整改监督检查网络安全综合防御体系安全管理中心通信网络区域边界计算环境风险管理体系安全技术体系安全管理体系网络信任体系等级保护对象基础信息网络、信息系统、云计算平台、大数据平台、物联网、工业控制系统等国家网络安全法律法规政策体系国家网络安全等级保护政策标准体系组织管理机制建设安全规划安全监测通报预警安全可控队伍建设教育培训经费保障应急处置态势感知能力建设技术检测网络安全战略规划目标防护框架：根据“一个中心”管理下的“三重保护”体系框架，构建安全机制和策略，形成定级系统的安全保护环境。分别对计算环境、区域边界、通信网络体系进行管理，实施多层隔离和保护，以防止某薄弱环节影响整体安全。最终做到整体防御、分区隔离；积极防护、内外兼防；自身防御、主动免疫；纵深防御、技管并重部分关键安全预防措施理解：对于传统威胁，要做到快速、精准的防护；对于新型网络攻击，也要做到智能检测与分析。建设和加强入侵防护等技术检测与防护是网络安全防护的重要工作；维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生风险，正所谓“聪者听于无声，明者见于未形”。感知网络安全态势是网络安全防护中最基本、最基础的工作。等级保护2.0安全框架和关键技术通过等级保护，组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作；各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。国家运用强制性的规范及标准，要求信息和信息系统按照相应的建设和管理要求，自行定级、自行保护。信息系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式，对重要信息和信息系统的信息安全保护工作进行指导监督。明确责任，共同保护依照标准，自行保护同步建设，动态调整指导监督，重点保护安全等级保护的基本原则0102030405《信息系统安全等级保护测评要求》

《信息系统安全等级保护测评过程指南》《信息系统安全等级保护实施指南》测评标准《信息系统安全等级保护基本要求》《信息系统通用安全技术要求》《信息系统等级保护安全设计技术要求》建设标准《信息系统安全保护等级定级指南》

《计算机信息系统安全保护等级划分准则》定级标准《国家信息化领导小组关于加强信息安全保障工作的意见》《保护安全建设整改工作的指导意见》

《信息安全等级保护管理办法》相关规定《信息系统安全管理要求》

《信息系统安全工程管理要求》管理标准安全等级保护的政策依据03等级保护测评方法及过程具有唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象承载单一或相对独立的业务应用。定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备第一第二第三安全等级保护的定级对象特征《信息安全等级保护信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。测评符合程度综合分析具体指标符合性判断，给出抽象指标符合性判断结果，汇总所有抽象指标符合判断，给出安全等级满足与否的结论安全管理测评包括：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。安全技术测评包括：物理安全、网络安全、主机安全、应用安全、数据安全。安全整改建议提出安全整改建议，汇总、分析所有不符合项对应的改进建议，组合成可单独执行的整改建议。安全等级结论结合受测系统符合性程度，判断受测系统是否满足所定安全等级的结论添加标题对保护状况进行检测评估，判定受测系统的技术和管理级别与所定安全等级要求的符合程度，基于符合程度给出是否满足所定安全等级的结论，针对安全不符合项提出安全整改建议。安全等级保护的测评内容及结论第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。等级保护对象的安全级别及分类现场观察物理环境、物理部署查看配置主机、网络、安全设备技术测试漏洞扫描调研访谈业务、资产、安全技术和安全管理查看资料管理制度、安全策略安全评价安全测评、符合性评价安全等级保护的测评方法及内容信息系统定级安全总体规划安全设计与实施安全运行维护信息系统终止安全等级测评信息系统备案安全整改设计等级符合性检查应急预案及演练安全要求整改安全等级整改局部调整等级变更网络安全等级测评实施过程信息系统等级保护全生命周期信息系统定级定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管总体安全规划总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况，通过分析明确信息系统安全需求，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施计划，以指导后续的信息系统安全建设工程实施。对于已运营（运行）的信息系统，需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。安全设计与实施安全设计与实施阶段的目标是按照信息系统安全总体方案的要求，结合信息系统安全建设项目计划，分期分步落实安全措施安全运行维护安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节，涉及的内容较多，包括安全运行与维护机构和安全运行与维护机制的建立，环境、资产、设备、介质的管理，网络、系统的管理，密码、密钥的管理，运行、变更的管理，安全状态监控和安全事件处置，安全审计和安全检查等内容。本标准并不对上述所有的管理过程进行描述，希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其它标准或指南信息系统终止信息系统终止阶段是等级保护实施过程中的最后环节。当信息系统被转移、终止或废弃时，正确处理系统内的敏感信息对于确保机构信息资产的安全是至关重要的。在信息系统生命周期中，有些系统并不是真正意义上的废弃，而是改进技术或转变业务到新的信息系统，对于这些信息系统在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全等保测评工作流程等级测评的工作流程，依据《信息系统安全等级保护测评过程指南》，具体内容参见：等保测评工作流程图准备阶段方案编制阶段现场测评阶段报告编制阶段等级保护实施计划安全管理调研现场实地调研现状调研报告渗透测试报告信息资产调研表人工审计报告扫描报告基础培训PPT安全技术调研信息安全愿景制定信息安全总体框架设计管理体系技术体系运维体系项目准备等保差距报告风险评估报告技能和意识培训项目准备现状调研风险与差距分析体系规划与建立交流、知识转移、培训、宣传项目验收项目验收控制风险分析等保差距分析高危问题整改规划报告体系文件……….等保测评04安全等级保护的测评内容网络安全等级保护综合测评

物理安全网络安全主机系统安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理信息系统综合测评技术要求管理要求网络安全等级保护测评类型等保基本要求的三种技术类型（S/A/G）S:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权修改的信息安全类要求;--物理访问控制、边界完整性检查、身份鉴别、通信完整性、保密性等；A:保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求;--电力供应、资源控制、软件容错等G:通用安全保护类要求。--技术类中的安全审计、管理制度等GAS网络安全等级保护测评指标测评指标技术/管理安全类安全子类数量S类(2级)S类(3级)A类(2级)A类(3级)G类(2级)G类(3级)F类(2级)F类(3级)要求项控制点二级三级二级三级技术类物理安全111182941810182347网络安全110053167672440主机安全231131203632034应用安全45221626762137数据安全221100033348管理类安全管理制度007100232712安全管理机构0091928581127人员安全管理00111654541620系统建设管理00284113189184159系统运维管理0027514254125469105合

计6673236389网络安全等级保护的测评方法访谈访谈是指测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据以表明信息系统安全保护措施是否有效落实的一种方法。在访谈范围上，应基本覆盖所有的安全相关人员类型，在数量上可以抽样。检查检查是指测评人员通过对测评对象进行观察、查验、分析等活动，获取相关证据以证明信息系统安全保护措施是否有效实施的一种方法。在检查范围上，应基本覆盖所有的对象种类（设备、文档、机制等），数量上可以抽样。测试测试是指测评人员针对测评对象按照预定的方法/工具使其产生特定的响应，通过查看和分析响应的输出结果，获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。在测试范围上，应基本覆盖不同类型的机制，在数量上可以抽样。物理基本要求中控制点与要求项各级分布安全等级控制点要求项第一级79第二级919第三级1032第四级1039物理位置的选择

（2项）物理访问控制

（4项）防盗窃和防破坏

（6项）防雷击

（3项）防火

（3项）防水和防潮

（4项）防静电

（2项）温湿度控制

（1项）电力供应

（4项）电磁防护

（3项）以第三级为例物理安全物理安全测评内容和方法

物理位置选择

物理访问控制调研访谈：机房具有防震、防雨和防风能力，并提供机房设计和验收证明；现场查看：查看机房是否建在高层或地下室。

防盗和防破坏

防雷击

防火

防水和防潮

防静电

温湿度控制

电力供应

电磁防护物理安全调研访谈：专人值守、进出记录、申请和审批记录、物理隔离、门禁系统；现场查看：进出登记记录、物理区域化管理、电子门禁系统运行和维护记录。调研访谈：设备固定和标识、隐蔽布线、介质分类存储标识、部署防盗监控系统；现场查看：设备固定和标识、监控报警系统安全材料、测试和验收报告。调研访谈：安装避雷装置、专业地线、防雷感应器；现场查看：机房防雷设计/验收文档、接地设计/验收文档，交流地线和防雷设备调研访谈：自动报警灭火设备、耐火材料、物理防火隔离；现场查看：自动消防运行、报警、维护记录，机房防火设计/验收文档。调研访谈：机房内有无上下水，防水和防漏措施；现场查看：机房防水和防潮设计/验收文档，地下积水的转移与渗透的措施。调研访谈：接地防静电措施，采用防静电地板；现场查看：防静电措施文档，防静电地板验收文档。调研访谈：温、湿度自动调节设施，专人负责；现场查看：温湿度控制设计/验收文档，温湿度记录、运行记录和维护记录。调研访谈：部署稳压器和过电压防护设备，UPS和市电冗余；现场查看：电源设备的检查和维护记录，备用供电系统运行记录，市电切换记录。调研访谈：安全接地，关键设备和磁介质实施电磁屏蔽；现场查看：查看安全接地、电源线和通讯线隔离，电磁屏蔽容器。物理安全测评基本要求和实现方法基本防护能力高层、地下室基本出入控制分区域管理在机房中的活动电子门禁存放位置、标识标记监控报警系统建筑防雷、机房接地设备防雷灭火设备、自动报警自动消防系统区域隔离措施关键设备和地板防静电防静电地板稳定电压、短期供应冗余/并行线路备用供电系统线缆隔离、设备和介质屏蔽接地防干扰电磁屏蔽防水设备、防水应急预案或措施基本要求实现方法/案例空调系统、自动调节接地线温湿度自动调节设施上下水管门窗防水线缆隔离布线机房部署中层物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防静电电力供应电磁防护防水和防潮温湿度控制网络安全基本要求中控制点与要求项各级分布安全等级控制点要求项第一级39第二级618第三级733第四级732结构安全（7项）访问控制（8项）安全审计（4项）边界完整性检查（2项）入侵防范（2项）恶意代码防范（2项）网络设备防护（8项）以第三级为例网络安全网络安全测评内容和方法

结构安全

访问控制调研访谈：网络冗余、带宽情况、安全路径、子网和网段分配原则、重要网段隔离；测评判断：网络设计或验收文档，路由控制策略，网络设计或验收文档，网络隔离手段。

安全审计

边界完整性检查

入侵检测

恶意代码防护

网络设备防护网络安全调研访谈：网络边界控制策略，测评判断：会话对数据流进行控制，应用层协议控制，自动终止网络连接的配置等。调研访谈：开启安全审计功能、审计内容、审计报表、审计记录保护；测评判断：审计全面监测、查看审计报表、审计记录处理方式。调研访谈：外网接入内网行为监控、内网私自联到外网行为监控，并进行阻断处理；测评判断：查看外网接入内网行为和内网私自联到外网行为进行监控的配置。调研访谈：网络入侵防范措施、防范规则库升级方式、网络入侵防范的设备；测评判断：检查网络入侵防范设备，查看检测的攻击行为和安全警告方式。调研访谈：网络恶意代码防范措施、恶意代码库的更新策略；测评判断：网络设计或验收文档，网络边界对恶意代码采取的措施和防恶意代码产品更新。调研访谈：两种用户身份鉴别、地址限制、用户唯一、口令复杂度要求、登录失败验证等；测评判断：用户唯一和地址限制、密码复杂度和两种身份鉴别方式、特权用户权限分配。网络安全测评基本要求和实现方法基本要求实现方法/案例关键设备冗余空间子网/网段控制核心网络带宽主要设备冗余空间整体网络带宽重要网段部署路由控制访问控制设备（用户、网段）拨号访问限制应用层协议过滤会话终止端口控制最大流量数及最大连接数防止地址欺骗结构安全访问控制安全审计边界完整性检查入侵防范恶意代码防范网络设备防护审计报表审计记录的保护定位及阻断内部的非法联出非授权设备私自外联检测常见攻击记录、报警网络边界处防范基本的登录鉴别组合鉴别技术特权用户的权限分离边界恶意代码检测代码库升级重要客户端的审计日志记录主机安全基本要求中控制点与要求项各级分布安全等级控制点要求项第一级46第二级619第三级732第四级936身份鉴别（6项）访问控制（7项）安全审计（6项）剩余信息保护（2项）入侵防范（3项）恶意代码防范（3项）系统资源控制（5项）以第三级为例主机安全主机安全测评内容和方法

身份鉴别

访问控制

安全审计

剩余信息保护

入侵检测

恶意代码防范

资源控制主机安全调研访谈：安全策略、最小分配原则、权限分离、删除多余账户、敏感标识、控制敏感资源；测评判断：检查服务器操作系统的安全策略、查看特权用户的权限是否进行分离。调研访谈：保证数据存储空间、重新分配前完全清楚数据；测评判断：检查操作系统和数据库系统维护操作手册，包括：存储空间被释放和重新分配原则。调研访谈：入侵防范措施和安全报警、重要程序的完整性进行检测、系统补丁及时更新；测评判断：检查入侵防范系统、检测到完整性受到破坏后恢复的措施、补丁升级记录。调研访谈：安装防恶意代码软件、防恶意代码软件统一管理；测评判断：检查实时检测与恶意代码的软件产品并进行及时更新、主机和网络恶意代码软件不同调研访谈：限制终端登录、登录超时锁定、对服务器进行监控、限制用户对资源的访问等；测评判断：检查服务器操作系统限制终端登录、超时锁定、服务器监控等调研访谈：两种用户身份鉴别、地址限制、用户唯一、口令复杂度要求、登录失败验证等；测评判断：用户唯一和地址限制、密码复杂度和两种身份鉴别方式、特权用户权限分配。调研访谈：开启安全审计功能、审计内容、审计报表、审计记录保护；测评判断：审计全面监测、查看审计报表、审计记录处理方式。主机安全测评基本要求和实现方法基本要求实现方法/案例访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制审计报表审计记录的保护空间释放恶意代码防范产品对用户会话数及终端登录的限制监视重要服务器最小服务水平的检测及报警防恶意代码软件、代码库统一管理身份鉴别基本的身份鉴别组合鉴别技术安全策略特权用户的权限分离管理用户的权限分离敏感标记的设置及操作服务器基本运行情况审计重要客户端的审计空间释放及信息清除最小安装原则升级服务器重要服务器：检测、记录、报警重要程序完整性应用安全基本要求中控制点与要求项各级分布安全等级控制点要求项第一级47第二级719第三级931第四级1136身份鉴别（5项）访问控制（6项）安全审计（4项）剩余信息保护(2项)通信完整性(1项)通信保密性(2项)抗抵赖(2项)软件容错(2项)以第三级为例应用安全应用安全测评内容和方法

身份鉴别

访问控制

安全审计

剩余信息保护

通讯完整性

通讯保密性

抗抵赖应用安全调研访谈：应采用密码技术保证通信过程中数据的完整性；测评判断：检查设计或验收文档，是否有用密码技术来保证通信过程中数据的完整性的描述。调研访谈：利用密码技术进行会话初始化验证、对整个报文或会话过程进行加密；测评判断：系统数据在通信过程中采取扫描保密措施，查看具体措施。调研访谈：数据原发者或接收者提供数据原发证据的功能；测评判断：系统是否具有抗抵赖的措施，查看具体措施。

软件容错调研访谈：数据有效性检验功能、当故障发生时自动保护当前所有状态；测评判断：查看应用系统是否对人机接口输入或通信接口输入的数据进行有效性检验。

资源控制调研访谈：两种用户身份鉴别、地址限制、用户唯一、口令复杂度要求、登录失败验证等；测评判断：用户唯一和地址限制、密码复杂度和两种身份鉴别方式、特权用户权限分配。调研访谈：安全策略、最小分配原则、权限分离、删除多余账户、敏感标识、控制敏感资源；测评判断：检查服务器操作系统的安全策略、查看特权用户的权限是否进行分离。调研访谈：开启安全审计功能、审计内容、审计报表、审计记录保护；测评判断：审计全面监测、查看审计报表、审计记录处理方式。调研访谈：保证数据存储空间、重新分配前完全清除数据；测评判断：检查操作系统和数据库系统维护操作手册，包括：存储空间被释放和重新分配原则。调研访谈：限制终端登录、登录超时锁定、对服务器进行监控、限制用户对资源的访问等；测评判断：检查服务器操作系统限制终端登录、超时锁定、服务器监控等。应用安全测评基本要求和实现方法基本要求实现方法/案例访问控制安全审计剩余信息保护通讯完整性通讯保密性资源控制审计报表审计记录的保护空间释放对用户会话数及系统最大并发会话数的限制身份鉴别基本的身份鉴别组合鉴别技术安全策略最小授权原则敏感标记的设置及操作空间释放及信息清除运行情况审计（用户级）审计记录的保护校验码技术初始化验证密码技术整个报文及会话过程加密抗抵赖数据原发证据和接收证据用户认证、数字签名、操作日志资源分配限制、资源分配优先级最小服务水平的检测及报警软件容错数据有效性检验、部分运行保护自动保护功能数据安全基本要求中控制点与要求项各级分布安全等级控制点要求项第一级22第二级34第三级38第四级311数据完整性（2项）数据保密性（2项）备份与恢复（8项）以第三级为例数据安全数据安全测评内容和方法

数据完整性

数据保密性调研访谈：应能够检测到系统管理数据、鉴别信息和重要业务数据在传输和存储过程中完整性受到破坏，并进行必要措施；检查判断：检测传输和存储破坏的措施和恢复措施。

安全备份数据安全调研访谈：采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输和存储保密性；检查判断：鉴别信息和重要业务数据是否采用加密或其他有效措施实现传输保密性调研访谈：本地数据备份和恢复，备份介质场外存放，通信线路和数据处理系统的硬件冗余；检查判断：查设计或验收文档，对本地数据备份和恢复功能及策略的描述，查主要网络设备、主要通信线路和主要数据处理系统是否采用硬件冗余、软件配置等应用安全测评基本要求和实现方法基本要求实现方法/案例访问控制备份和恢复数据完整性鉴别数据传输的完整性各类数据传输及存储检测和恢复鉴别数据存储的保密性各类数据的传输及存储重要数据的备份硬件冗余异地备份网络冗余、硬件冗余本地完全备份每天1次备份介质场外存放安全管理制度基本要求中控制点与要求项各级分布安全等级控制点要求项第一级23第二级37第三级311第四级314管理制度（4项）制定和发布（5项）评审和修订（2项）以第三级为例安全管理制度安全管理制度测评内容和方法

管理制度

制定和发布调研访谈：制定总体方针和安全策略、建立操作规程；查文件：查部门、岗位职责文件，信息安全方针、安全策略文件；查各类安全管理制度文件；形成安全管理制度体系

评审和修订安全管理制度调研访谈：专人负责制定安全管理制度，统一格式和版本，并进行论证和审定，通过有效形式进行发布，注明发布范围；查文件：查指定部门和人员的工作职责，信息安全管理制度的文件模板或格式规定，论证和审定记录和文件发布、登记记录。调研访谈：安全管理制度评审主持部门，定期对制度文件的合理性和适用性进行审定；查文件：查对安全管理制度体系进行评审的管理文件，修订的安全管理制度修订或评审记录。安全管理机构基本要求中控制点与要求项各级分布安全等级控制点要求项第一级44第二级59第三级520第四级520岗位设置（4项）人员配备（3项）授权和审批（4项）沟通和合作（5项）审核和检查（4项）以第三级为例安全管理机构安全管理机构测评内容和方法

岗位设置

人员配备调研访谈：信息安全管理工作的职能部门，设立岗位和职责，建立信息安全领导小组；查文件：查部门、岗位职责文件，领导小组岗位职责文件，安全管理机构各部门和岗位职责、分工、技能要求文件

授权和审批安全管理机构调研访谈：安全管理岗位人员的配备情况；查文件：查安全管理各岗位人员信息表，关键岗位管理人员配备2人或2人以上共同管理。调研访谈：对重要活动进行审批，审批部门是何部门，批准人是何人，审批范围包括哪些，定期审查审批；查文件：查各部门和岗位的职责文档，逐级审批制度及审批记录，查审查审批制度。

沟通和合作调研访谈：内部沟通机制，兄弟单位合作沟通机制，供应商合作沟通机制，聘请安全专家；查文件：查内部沟通、合作机制程序或规程，查外联单位联系列表，查安全顾问名单、证明文件，相关文档或记录。

审核和检查调研访谈：定期安全检查的程序、实施情况及检查周期，对信息系统全面安全检查；查文件：安全检查的程序文件和记录，全面安全检查记录，安全检查表，安全检查报告和结果通告记录，全面安全检查报告等。人员安全管理基本要求中控制点与要求项各级分布安全等级控制点要求项第一级47第二级511第三级516第四级518人员录用（4项）人员离岗（3项）人员考核（3项）安全意识教育和培训（4项）外部人员访问管理（2项）以第三级为例人员安全管理人员安全管理测评内容和方法

人员录用

人员离岗调研访谈：专门的部门或人员负责人员的录用工作，人员录用条件和审查内容；查文件：查部门/人员工作职责文件，人员录用要求管理文档，相关审查及考核记录，查保密协议；查保密协议签署记录。

人员考核人员安全管理调研访谈：离岗人员控制方法，调离手续，关键岗位人员调离时承诺相关保密协议；查文件：查人员离岗的管理文档，对离岗人员的安全处理记录，调离手续记录，查保密承诺文档，调离人员记录。调研访谈：各个岗位人员进行安全技能及安全知识的考核，关键岗位审查考核特殊要求；查文件：查定期人员审查/考核规程文件，关键岗位的定期审查和考核规程文件，考核文档和记录，人员安全审查记录。

安全意识教育和培训调研访谈：制定培训计划及实施情况，对违反安全策略和规定的人员进行惩戒；查文件：查安全意识教育和培训规程文件，安全责任和惩戒措施管理文档，安全教育和培训计划文档，教育和培训记录。

外部人员访问管理调研访谈：对外部人员访问重要区域管理措施、规程或制度等情况；查文件：查外部人员访问管理规程文档和访问重要区域批准文档，外部人员访问重要区域的登记记录。系统建设管理基本要求中控制点与要求项各级分布安全等级控制点要求项第一级920第二级928第三级1145第四级1148系统定级（4项）安全方案设计（5项）产品采购（4项）自行软件开发（5项）外包软件开发（4项）工程实施（3项）测试验收（5项）系统交付（5项）系统备案（3项）等级测评（4项）服务商选择（3项）以第三级为例系统建设管理系统建设管理测评内容和方法

系统定级

安全方案设计调研访谈：系统定级过程、方法和理由，定级结果论证和审定，定级结果批准等；查文件：查系统定级文档，文档说明定级方法和理由，论证和审定意见，批准盖章等。

产品采购和使用

自行软件开发

外部软件开发

工程实施

测试验收

系统交付

系统备案

等级测评系统建设管理调研访谈：专人负责安全建设规划，安全设计方案，专家论证和审定，定期修订配套文件；查文件：安全措施文档、风险分析表，总体规划文件和工作计划，专家论证文档，文档修订记录。调研访谈：安全、密码产品使用，指定部门负责采购，审定和更新候选产品名单；查文件：采购文件中涉及产品指标和候选范围，密码产品使用规定，产品选型测试记录等。调研访谈：开发环境与测试环境分开，编码安全规范，专人保管设计文档和使用指南，授权审批；查文件：查软件开发管理制度，明确软件开发生命周期管理，编码规范，设计文档等管理。调研访谈：检测软件质量，恶意代码检测，开发商提供设计文档、使用指南和源代码等；查文件：外包软件验收测试报告，恶意代码检测报告，设计文件和使用指南，源代码审查记录等。调研访谈：专人负责管理实施过程，制定实施方案，制定工程实施方面的安全管理制度；查文件：工程实施方的责任、任务和质量要求，工程实施方案，阶段性报告，工程实施管理制度。调研访谈：第三方安全测试，制定测试验收方案和报告，专人负责验收工作，测试验收报告审定；查文件：第三方测试文档，测试验收方案，测试验收管理文档，测试验收记录和测试验收报告。调研访谈：根据交付清单对设备、文档、软件等进行清点，新系统培训，专人负责系统交接工作；查文件：详细系统交付清单，新系统培训记录，系统运维文档，系统交付管理文档等。调研访谈：专门部门管理和使用定级材料，报主管部门和公安机关进行备案；查文件：系统定级相关材料，主管部门和公安机关备案的记录或备案文档。调研访谈：等保测评管理文件，系统变更后的等级测评，如何选择测评机构，专人负责等保测评；查文件：测评报告、建议报告和整改方案，测评机构资质。

安全服务商选择调研访谈：安全服务器选择，签订服务协议，服务商提供技术培训和服务培训；查文件：服务招标文件，签订的服务合同和保密协议等文档，服务合同中包含服务内容和期限等。系统运维管理基本要求中控制点与要求项各级分布安全等级控制点要求项第一级918第二级12