《电子政务系统安全成熟度评估规范（征求意见稿）》

ICSllllCCSlllllllll电子政务系统安全成熟度评估规范Electricalgovernmentsystemsecuritymaturityassessmentspe在提交反馈意见时，请将您知道的专利连同支在提交反馈意见时，请将您知道的专利连同支持性文件一并附上。XXXX-XX-XX发布2前言 41范围 2规范性引用文件 53术语和定义 54评估原则 65评估方式 66评估指标 7 7 77指标描述 12 12 14 18 20 22 22 248评估流程 269相关角色 2610成熟度评估 26 26 附录A 3参考文献............................................................................................................................................................................424本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。本文件由江苏省政务服务管理办公室提出并归口。本文件起草单位：江苏省产品质量监督检验研究院、江苏海事职业技术学院、国家税务总局江苏省税务局信息中心、南京市城市数字治理中心、南京市水务信息中心、南京市国土资源信息中心、苏州市中级人民法院、苏州市信息中心、北京长亭科技有限公司、江苏天竞云合数据技术有限公司、江苏全博信息科技有限公司、江苏网擎信息技术有限公司、徐州云天网络安全技术有限公司、江苏翔晟信息技术股份有限公司共同起草本文件主要起草人：武斌、张莉、汪涛、朱惠林、袁瑞红、潘云鹏、崔蓓、张祺、徐丕丞、崔歆卓、曾昌虎、闫栋、魏乘央、袁其其、金磊、陈金龙、戴宪宇、任远。5电子政务系统安全成熟度评估规范本文件给出了江苏省电子政务系统安全成熟度指标体系框架、指标描述、评价方法和成熟度等级判定方法。本文件适用于对江苏省电子政务系统安全成熟度进行评估，也可作为江苏省电子政务系统安全能力建设时的依据。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069—2022信息安全技术术语3术语和定义GB/T25069—2022界定的以下术语和定义适用于本文件。3.1评估assessment对于某一产品、系统或服务，对照某一标准，采用响应的评估方法，以建立合规性并确定其所做是否得到确保的验证。[来源：GB/T25069-2022，3.446]3.2攻击诱捕attacktrapping攻击诱捕是一种安全技术，用于欺骗攻击者并诱导其攻击虚拟系统或网络，以便监视和分析攻击行为，从而提高系统的安全性和防御能力。3.3漏洞vulnerability计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体所利用，就会对就会对计算机信息系统的安全造成损害，从而影响计算机信息系统的正常运行。3.4威胁threat可能对系统或组织造成危害的不期望事件的潜在因素。[GB/T25069-2022，3.628]3.5保密性confidentiality信息对未授权的个人、实体或过程不可用或不泄漏的性质。[GB/T25069-2022,3.41]63.6完整性integrity准确和完备的性质。[GB/T25069-2022，3.612]3.7可用性availability可由经授权实体按需访问和使用的性质。[来源：GB/T25069-2022，3.345]3.8电子政务系统electricalgovernmentsystem基于互联网技术的面向政府机关内部和其他政府机构的信息服务和信息处理系统。3.9安全成熟度securitymaturity组织在攻击识别与预警、安全预防与加固、事件检测、事件响应、反制、关联分析、安全运营等方面对电子政务系统的安全保障能力。4评估原则根据电子政务系统安全成熟度评估规范开展评估时，应该遵循以下原则：a)可靠性（Reliability指评估结果的准确性和稳定性。评估过程中所使用的工具和方法应该是可靠和一致的，以确保结果具有可信度；b)有效性（Validity）：指评估结果是否能够真实反映所要衡量的事物或现象。评估过程应该基于科学的理论和方法，并且应该能够准确地捕捉到所要评估的对象的特征和属性；c)客观性（Objectivity）：指评估过程应该是客观的，不受主观因素的影响。评估者应该尽可能避免自己的偏见和偏好对评估结果的影响，而应该采用客观的标准和方法来进行评估；d)可重复性（Repeatability指相同的评估过程应该能够产生相同的评估结果。评估结果应该是可重复的，以便其他研究者可以验证和复制这些结果；e)标准化（Standardization）：指评估过程应该是标准化的，以便在不同的时间和地点进行比较。评估结果应该基于相同的标准和方法进行量化和测量，以便进行比较和分析；5评估方式根据电子政务系统安全成熟度评估规范开展评估时，评估方式如下：a）调研访谈：根据电子政务系统安全成熟度各项指标，对评估对象的相关人员开展访谈工作，对每个部分进行深入了解，准确评价相关指标的真实情况。b）技术验证：通过人工结合工具的方式上机核查评估对象相关指标的满足情况。76评估指标6.1指标框架电子政务系统安全成熟度指标框架包括一级指标、二级指标、评价内容三个层级。指标框架结构见图1指标框架结构6.2指标项电子政务系统安全成熟度评估规范分别由攻击识别与预警能力、安全预防与加固能力、事件检测能力、事件响应能力、反制能力、关联分析能力、安全运营能力等7个一级指标，漏洞预警能力、漏洞评估能力、漏洞修复能力、账户管理能力、安全配置管理能力、入侵检测能力、未知威胁发现能力、入侵防护能力、攻击溯源能力、安全运营能力等38个二级指标和漏洞预警相关工具平台的配备、安全漏洞验证能力的技术掌握度、组织获取新型网络安全威胁预警的信息渠道、组织是否采用了密码技术保证传输过程中信息系统应用的重要数据的完整性、组织是否采用了密码技术对远程管理设备和远程办公传输通道进行保护等137个评价内容组成。表1电子政务系统安全成熟度评估规范指标项一级指标二级指标评价内容攻击识别与预警能力漏洞预警能力组织获取新型漏洞预警的信息渠道；漏洞预警相关工具平台的配备；漏洞危害与影响范围的识别、判断及分析能力；8一级指标二级指标评价内容漏洞知识库的建立情况。漏洞评估能力安全漏洞发现能力的技术掌握度；安全漏洞评估能力的技术掌握度；安全漏洞验证能力的技术掌握度。漏洞修复能力人员在安全漏洞修复技术方面的掌握度；漏洞官方补丁发布前安全漏洞的应对措施；现有知识库在安全漏洞修复技术的能力；无法直接漏洞修复的安全漏洞采取的安全技术防护能威胁预警能力组织获取新型网络安全威胁预警的信息渠道；网络安全威胁预警相关工具平台的配备；网络安全威胁危害与影响范围的识别、判断及分析能网络安全威胁知识库的建立情况。威胁评估能力网络威胁发现能力的技术掌握度；网络威胁评估能力的技术掌握度；网络威胁验证能力的技术掌握度。威胁抵御能力人员在网络安全威胁抵御和防护技术方面的掌握度；安全功能及技术架构设计进行威胁抵御和防护的技术；基于现有知识库对网络安全威胁进行抵御的技术能力；安全预防与加固能力（C)账户管理能力账户信息管理采用的相关规范；账户信息的全生命周期统一管理的相关技术；安全配置管理能力网络、系统、应用的安全配置管理相关规范；网络、系统、应用的安全配置管理相关操作文档；资产管理的相关技术与运营维护网络、系统、应用的安全配置修改及安全能力提升情况；隔离技术网络、应用、数据层面的隔离技术规范；网络、应用、数据层面的隔离技术措施；网络、应用、数据层面的隔离技术的有效性进行验证；密码应用技术与密码应用管理能力组织是否采用了密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性；组织是否采用了密码技术保证传输过程中信息系统应用的重要数据的完整性；组织是否采用了密码技术保证传输过程中信息系统应用的重要数据的保密性；组织是否采用了密码技术保证信息系统应用的重要数据在存储过程中的完整性；组织是否采用了密码技术保证信息系统应用的重要数据在存储过程中的保密性；组织是否采用了密码技术对远程管理设备和远程办公传输通道进行保护；9一级指标二级指标评价内容组织是否采用了密码技术保证日志记录的完整性；组织是否具备密码应用安全管理制度，包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度。数据备份管理能力组织对于数据备份管理的相关技术规范；数据备份采用的技术措施；数据备份的步骤、频率。权限管理能力安全权限管理技术；安全权限具体配置及分级方案；黑白名单管理能力黑白名单配置原则及配置技术的使用；黑白名单配置的有效性进行验证。网络访问控制管理能力网络访问控制技术的掌握度；服务器、目录、文件等网络资源访问权限控制技术的掌握度。考核对于访问控制管理技术的完整性、合理性、有效性。认证管理能力用户身份认证管理技术及有效识别用户身份以及生物学特征的技术；信息安全认证标准；安全认证及数据信息安全保护机制；安全域管理能力网络安全域管理技术；网络安全域划分和动态调整相关技术；安全域内安全设备配置和管理方案；对安全域内策略制定和管理措施；基线管理能力安全基线设置和开发原则；安全基线评估方法；安全基线审查方法；日志管理能力主机、应用、网络设备日志的全生命周期管理技术；软件更新管理能力软件更新机制；多设备的软件更新管理技术；事件检测能力（D）入侵检测能力主机端口和软件服务的入侵检测和识别技术掌握度；入侵检测和入侵识别相关工具平台的配备；以自动化的方式对入侵检测工具进行检测能力评估；非Web应用入侵的检查实况；常见软件服务和对应的漏洞和攻击方式应对措施。应用攻击检测能力对常见的Web应用服务攻击手段以及攻击手段的检测方法；对各种Web应用安全漏洞的检测方法和相关工具平台的使用情况；以自动化的方式对应用攻击检测工具进行检测能力评一级指标二级指标评价内容估；对常见的Web应用防御措施的检测实况；未知威胁发现能力恶意行为检测能力；安全防御系统智能分析能力；安全防御系统实时响应能力；安全防御系统异常行为检测能力；病毒与恶意软件检测能力系统对于病毒和恶意软件检测的响应速度及准确率；系统是否具有多层次检测机制；以自动化的方式对病毒与恶意软件检测工具进行检测能力评估；系统是否能够及时更新病毒和恶意软件的知识库；端点行为检测能力评估端点行为检测的实时性、准确性；多端点设备集中化管理能力及自动化响应能力；以自动化的方式对端点行为检测工具进行检测能力评估；能否通过自动化的响应机制对异常行为和威胁进行及时检测；CARTA模型中认证循环部分的相关知识和技术，以及相关工具平台的使用情况；流量检测能力评估流量检测分析的实时性、准确性；流量检测系统能否应对不断增长的流量负载和网络规模，保证检测和分析的稳定性和可靠性；以自动化的方式对流量层面检测工具进行检测能力评估；流量检测系统能否支持多种协议的流量检测；事件响应能力（R）入侵防护能力主机端口和软件服务的入侵防护技术掌握度；入侵防护相关工具平台的配备；以自动化的方式对入侵防护工具进行阻断能力评估；常见软件服务和对应的漏洞和攻击方式防护措施。应用攻击防护能力对常见的Web应用服务攻击手段以及攻击手段的防御方法；对各种Web应用安全漏洞的防护方法和相关工具平台的使用情况；以自动化的方式对应用攻击防护工具进行阻断能力评估；对常见Web应用攻击的防御实况；流量过滤能力评估流量检测过滤的实时性、准确性；流量过滤系统能否应对不断增长的流量负载和网络规模，保证响应和处置的稳定性和可靠性；流量过滤系统能否支持多种常见协议的流量过滤；防病毒与反恶意系统对于病毒和恶意软件防护的响应速度及准确率；一级指标二级指标评价内容软件能力系统是否具有多层次防护机制；端点行为防护能力评估端点行为防护的实时性、准确性；能否通过自动化的响应机制对异常行为和威胁进行及时处置；反制能力（B）攻击诱捕能力伪装欺骗防御能力建设情况。联动防御能力建设情况。攻击溯源能力对常见网络攻击溯源技术能力掌握情况；在防守状态下对攻击者信息识别及获取技术掌握情况；从发现网络攻击到确认攻击来源和路径的追踪时间；获取和利用安全情报的能力；攻击反制能力对常见网络攻击反制技术能力掌握情况；在防守状态下对攻击者进行反向抑制及反向控制技术掌握情况；从系统发现攻击事件到做出响应的时间；系统针对攻击事件制定应对策略的速度；关联分析能力（L）策略中心接口设计能力；流程设计能力；技术融合能力；综合研判能力；以自动化的方式对策略中心的抗淹没、流程派单等进行能力评估；数据建模能力；情报中心情报收集能力；情报分析能力；情报交付能力；情报整合能力；情报更新及兼容能力安全运营能力（O）安全培训能力安全培训计划；安全培训课程设计；考评设计能力；认证设计能力；教务设计能力；安全对抗能力漏洞对抗能力；威胁对抗能力；红蓝对抗能力；竞赛对抗能力；安全运维能力设计以及维护各类在能力模块和能力中心之间的协作关系和工作流程的能力；节点和职责管理能力；一级指标二级指标评价内容框架扩展能力；输入输出标准；运营标准的运作和设计技术能力；7指标描述7.1攻击识别与预警能力指标7.1.1漏洞预警能力——指标描述漏洞预警能力指标是评估系统或组织在面临安全漏洞时能够预警相关安全事件的能力情况，主要评价：a）组织获取新型漏洞预警的信息渠道；b）漏洞预警相关工具平台的配备；c）漏洞危害与影响范围的识别、判断及分析能力；d）漏洞知识库的建立情况；——评价方法a)统计组织获取新型漏洞预警的信息渠道；b)收集漏洞预警相关工具平台的使用情况；c)统计是否具有识别、判断并分析漏洞危害与影响范围的标准、策略及机制；d)调研是否建立漏洞知识库；7.1.2漏洞评估能力——指标描述漏洞评估能力指标是在系统或组织面临安全漏洞时具备发现漏洞、评估漏洞、验证漏洞的能力情况，主要评价：a)安全漏洞发现能力的技术掌握度；b)安全漏洞评估能力的技术掌握度；c)安全漏洞验证能力的技术掌握度；——评价方法a）统计系统或组织发现安全漏洞采取的相关技术措施；b）统计现有知识库是否能够对漏洞进行有效评估或具备其它的漏洞评估技术措施；c）通过实验环境模拟测试系统或组织是否具备漏洞验证技术能力；7.1.3漏洞修复能力——指标描述漏洞修复能力指标是在系统或组织面临安全漏洞时具备漏洞修复或漏洞防护的能力情况，主要评价：a)人员在安全漏洞修复技术方面的掌握度；b)漏洞官方补丁发布前安全漏洞的应对措施；c)现有知识库在安全漏洞修复技术的能力；d)无法直接漏洞修复的安全漏洞采取的安全技术防护能力；——评价方法a）调研人员对安全漏洞的理解、安全漏洞修复的流程和方法；b）统计是否具有漏洞官方补丁发布前进行临时性漏洞修复的技术；c）统计基于现有知识库是否具有进行安全漏洞修复的相关技术；d）统计对于无法直接修复的漏洞是否具备相关安全技术防护措施进行漏洞防护；7.1.4威胁预警能力——指标描述威胁预警能力指标是评估系统或组织在面临网络安全威胁时能够预警相关安全事件的能力情况，主要评价：a)组织获取新型网络安全威胁预警的信息渠道；b)网络安全威胁预警相关工具平台的配备；c)网络安全威胁危害与影响范围的识别、判断及分析能力；d)网络安全威胁知识库的建立情况；——评价方法a)统计组织获取新型网络安全威胁预警的信息渠道；b)收集网络安全威胁预警相关工具平台的使用情况；c)统计是否具有识别、判断并分析网络安全威胁危害与影响范围的标准、策略及机制；d)调研是否基本建立较为完善的网络安全威胁知识库；7.1.5威胁评估能力——指标描述威胁评估能力指标是在系统或组织面临网络安全威胁时具备发现网络威胁、评估网络威胁、验证网络威胁的能力情况，主要评价：a)网络威胁发现能力的技术掌握度；b)网络威胁评估能力的技术掌握度；c)网络威胁验证能力的技术掌握度；——评价方法a）统计系统或组织发现网络安全威胁采取的相关技术措施；b）统计现有知识库是否能够对网络威胁进行有效评估或具备其它的威胁评估技术措施；c）通过实验环境模拟测试系统或组织是否具备威胁验证技术能力；7.1.6威胁抵御能力——指标描述威胁抵御能力指标是在系统或组织面临网络安全威胁时具备威胁抵御或威胁防护的能力情况，主要评价：a)人员在网络安全威胁抵御和防护技术方面的掌握度；b)安全功能及技术架构设计进行威胁抵御和防护的技术；c)基于现有知识库对网络安全威胁进行抵御的技术能力；——评价方法a)调研人员对网络安全威胁的理解、网络安全威胁抵御和防护的流程和方法；b)调研现有的安全功能及技术架构设计是否能够在一定程度上进行威胁抵御和防护；c)统计基于现有知识库是否具有进行网络安全威胁抵御和防护的相关技术；7.2安全预防与加固能力指标7.2.1账户管理能力——指标描述账户管理能力指标是指系统或组织在账号的开设、使用、注销进行全生命周期的统一管理能力情况，主要评价：a）账户信息管理采用的相关规范；b）账户信息的全生命周期统一管理的相关技术；——评价方法a）统计组织是否具有账户信息管理规范，规范账户的开设、使用、权限控制和注销；b）调研是否采取技术措施对账号信息进行全生命周期的统一管理；7.2.2安全配置管理能力——指标描述安全配置能力指标是指系统或组织在网络、系统、应用等具有常见的安全配置管理操作，提升安全状态能力情况。主要评价：a)网络、系统、应用的安全配置管理相关规范；b)网络、系统、应用的安全配置管理相关操作文档；c)资产管理的相关技术与运营维护d)网络、系统、应用的安全配置修改及安全能力提升情况；——评价方法a)统计组织是否具有网络、系统、应用的安全配置管理相关规范，规范网络、系统、应用的常见安全配置要求；b)统计组织是否具有网络、系统、应用的安全配置管理相关操作文档；c)调研组织资产管理的方式；d)调研组织资产管理的细粒程度；e)调研是否按照安全配置管理规范及操作文档要求进行配置；7.2.3隔离技术——指标描述隔离技术指标是指系统或组织在网络、应用、数据层面具有一定的隔离技术，且对隔离技术有效性进行判断的能力情况。主要评价：a）网络、应用、数据层面的隔离技术规范；b）网络、应用、数据层面的隔离技术措施；c）网络、应用、数据层面的隔离技术的有效性进行验证；——评价方法a）统计组织是否具有网络、应用、数据层面的隔离技术规范要求；b）统计组织是否依据隔离技术规范要求采取相应的技术措施进行隔离；c）通过实验模拟测试对隔离的有效性进行验证。；7.2.4密码应用技术与密码应用管理能力——指标描述密码应用技术与密码应用管理能力指标是指组织或系统在数据产生、使用、传输、存储过程采用密码应用技术对重要数据进行保护，保障信息系统的实体身份真实性、重要数据的保密性和完整性、操作行为的不可否认性；并围绕密码应用建立信息系统的管理制度、人员管理、建设运行和应急处置等密码应用管理能力。主要评价：a)组织是否采用了密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性；b)组织是否采用了密码技术保证传输过程中信息系统应用的重要数据的完整性；c)组织是否采用了密码技术保证传输过程中信息系统应用的重要数据的保密性；d)组织是否采用了密码技术保证信息系统应用的重要数据在存储过程中的完整性；e)组织是否采用了密码技术保证信息系统应用的重要数据在存储过程中的保密性；f)组织是否采用了密码技术对远程管理设备和远程办公传输通道进行保护；g)组织是否采用了密码技术保证日志记录的完整性；h)组织是否具备密码应用安全管理制度，包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度；——评价方法a）信息系统是否采用了数字证书、多因素身份认证等技术措施，保证通信实体身份的真实性；b）组织是否采用了基于密钥的消息鉴别码、数字签名等技术措施，保证传输过程中重要数据的完整性；也可通过抓包改包等技术方式，验证组织的该措施是否有效；c）组织是否采用了加密算法，保证传输过程中重要数据的保密性；也可通过抓包等技术手段确认通过网络传输的数据已经过加密处理；d）组织是否采用了基于密钥的消息鉴别码、数字签名等技术措施，保证重要数据在存储过程中的完整性；e）组织是否采用了加密算法，保证传输过程中重要数据的保密性；f）组织是否通过部署VPN系统、零信任系统等系统对远程设备管理和远程办公传输通道进行保护；也可通过抓包等技术手段确认通过网络传输的数据已经过加密处理；g）组织是否对日志进行加密存储，并对日志完整性进行校验；h）组织密码应用安全管理制度是否健全。7.2.5数据备份管理能力——指标描述数据备份管理能力指标是指系统或组织对网络系统、应用系统、数据库等采用数据备份方法和步骤的能力情况。主要评价：a)组织对于数据备份管理的相关技术规范；b)数据备份采用的技术措施；c)数据备份的步骤、频率；——评价方法a)统计组织是否具有数据备份管理的相关技术规范；b)调研组织是否对网络系统、应用系统、数据库等采取一定的技术措施进行数据备份管理；c)调研组织数据备份的步骤、频率是否符合规范；7.2.6权限管理能力权限管理能力是指一个组织或系统具备管理和控制用户或实体对资源、数据或功能访问权限的能力。主要评价：——指标描述a)安全权限管理技术；b)安全权限具体配置及分级方案；——评价方法a）调研角色与权限的设计合理性、授权管理策略和控制措施合理性、权限分配和维护流程措施有效性、权限管理的监控和审计措施是否完善、多因素身份认证技术的安全性和有效性；b）评估安全权限具体配置及分级方案的分级明确性、鉴别和认证技术、权限审计和监管机制、权限自动化管理能力、权限分配的透明性、风险评估和管理办法；7.2.7黑白名单管理能力——指标描述黑白名单管理能力指标是指系统或组织在程序开发、安全配置等场景下采用黑名单、白名单配置技术提升网络及系统安全的能力情况。主要评价：a)黑白名单配置原则及配置技术的使用；b)黑白名单配置的有效性进行验证；——评价方法a)统计组织在程序开发、安全配置场景下是否具有黑白名单配置规则并采取了技术措施；b)通过实验模拟测试对黑白名单的有效性进行验证；7.2.8网络访问控制管理能力——指标描述网络访问控制管理能力指标是指系统或组织依据访问控制技术，对网络、服务器、目录、文件等网络资源访问权限进行控制技术的能力情况。主要评价：a)网络访问控制技术的掌握度；b)服务器、目录、文件等网络资源访问权限控制技术的掌握度。c)考核对于访问控制管理技术的完整性、合理性、有效性；——评价方法a)统计安全功能是否启用网络访问控制能力及访问控制策略；b)统计服务器、目录、文件是否配置网络资源访问权限及访问控制策略。c)通过实验模拟检测访问控制策略是否覆盖全面，规格是否合理，策略是否有效；7.2.9认证管理能力——指标描述认证管理是用于评价系统中认证和授权过程管理能力的指标。包括确定认证策略，设计认证流程，制定授权政策，以及维护授权流程等方面的能力。主要评价：a)用户身份认证管理技术及有效识别用户身份以及生物学特征的技术；b)信息安全认证标准；c)安全认证及数据信息安全保护机制；——评价方法a)调研用户身份认证管理技术及有效识别用户身份以及生物学特征的技术的安全性、稳定性、规范性及数据管理方案；b)分析是否熟悉常见的信息安全认证标准并掌握其相关要求和实施流程；c)分析能否对安全认证和评估过程中所涉及的数据和信息进行有效的管理和保护，确保数据的保密性、完整性和可用性；7.2.10安全域管理能力——指标描述安全域管理是指企业或组织在信息系统中设置不同的安全域，以实现对不同业务系统、网络设备、用户等进行分类管理和隔离，从而提高信息系统的安全性和稳定性。主要评价：a)网络安全域管理技术；b)网络安全域划分和动态调整相关技术；c)安全域内安全设备配置和管理方案；d)对安全域内策略制定和管理措施；——评价方法a)调研安全域管理的可扩展性、可管理性、安全性、隔离性；b)调研安全域划分和动态调整的准确性、可靠性、灵活性、自适应性；c)评估安全设备配置是否符合安全策略的要求、是否能够防范当前网络环境下的威胁、是否具有足够的灵活性和可扩展性及安全设备的管理措施是否完善；d)评估安全策略的制定是否与业务需求相符合、是否涵盖所有安全威胁、是否考虑安全性和可用性的平衡、是否符合法律法规和业界标准的要求及评估安全策略的执行情况；7.2.11基线管理能力——指标描述基线管理是指在信息系统或网络系统中，确定并实施安全配置标准，以确保系统、应用程序和设备在安全性方面达到一定的基本水平。主要评价：a)安全基线设置和开发原则；b)安全基线评估方法；c)安全基线审查方法；——评价方法a)分析安全基线设置和开发原则的安全性、可靠性、兼容性、灵活性、实用性；b)分析安全基线评估方法的准确性、可靠性、全面性、实用性、适用性；c)分析安全基线审查流程的规范性、审查结果的可靠性、审查技术的专业性、审查报告的完整性、审查周期的合理性、审查方式的多样性、审查建议的可行性；7.2.12日志管理能力——指标描述日志管理是指对计算机系统、应用程序或网络设备等各种信息系统所产生的日志信息进行规范、分类、保存、查询和分析的过程。主要评价：a)主机、应用、网络设备日志的全生命周期管理技术；——评价方法a)调研日志收集和存储机制是否能够满足系统的安全需求；b)评估日志分析和处理技术是否能够准确地检测到安全事件和异常行为及能否及时进行响应和处理；c)评估日志在传输和存储过程中的安全保护措施及日志审计和监控能力；d)评估日志管理和合规性管理的能力；7.2.13软件更新管理能力——指标描述软件更新管理是指对计算机系统中已安装软件进行版本更新、安全补丁修复、功能升级等工作的管理。主要评价：a)软件更新机制；b)多设备的软件更新管理技术；——评价方法a)评估软件更新的及时性、安全性、兼容性、可靠性及管理效率；b)调研多设备软件更新管理的自动化程度、安全性、可靠性、可扩展性；7.3事件检测能力指标7.3.1入侵检测能力——指标描述入侵检测能力指标是评估系统或组织在面临内部或外部威胁时能够检测并警告相关安全事件的能力情况，主要评价：a)主机端口和软件服务的入侵检测和识别技术掌握度；b)入侵检测和入侵识别相关工具平台的配备；c)非Web应用入侵的检查实况；d)以自动化的方式对入侵检测工具进行检测能力评估；e)常见软件服务和对应的漏洞和攻击方式应对措施；——评价方法a)统计主机端口及软件服务（非Web应用）的入侵检测以及入侵识别技术；b)收集入侵检测和入侵识别相关工具平台的使用情况；c)统计入侵检测的准确率及误报率、调研入侵检测的检测速度及入侵检测的能力的可扩展性；d)依靠自动化工具对入侵检测率进行客观评价；e)调研网络中漏洞检测工具使用情况、漏洞检测及修复方案、应急响应措施情况；7.3.2应用攻击检测能力——指标描述应用攻击检测能力指标是评估系统或组织在面临应用层面攻击时能够检测并警告相关安全事件的能力情况，主要评价：a)对常见的Web应用服务攻击手段以及攻击手段的检测方法；b)对各种Web应用安全漏洞的检测方法和相关工具平台的使用情况；c)以自动化的方式对应用攻击检测工具进行检测能力评估；d)对常见的Web应用防御措施的检测实况；——评价方法a)调研Web应用攻击检测工具类型及面向Web应用服务的入侵检测方法及入侵识别技术；b)调研Web应用检测工具类型及系统平台攻击检测能力；c)依靠自动化工具对web应用攻击检测率进行客观评价；d)统计应用攻击检测的准确率、假阳性率、可扩展性、应用攻击检测系统性能、应用攻击检测系统模型更新机制及应用攻击检测系统可视化分析能力；7.3.3未知威胁发现能力——指标描述未知威胁发现能力指标是评估系统或组织在面临未知的威胁时能够及时发现并警告相关安全事件的能力情况，主要评价：a)恶意行为检测能力；b)安全防御系统智能分析能力；c)安全防御系统实时响应能力；d)安全防御系统异常行为检测能力；——评价方法a)调研安全防御系统对常见的病毒与恶意软件自动化监测能力；b)调研安全防御系统在模拟攻击场景下的表现及未知威胁发现能力；c)采集安全防护系统威胁响应时间；d)调研系统异常行为监测方式及准确率；7.3.4病毒与恶意软件检测能力——指标描述病毒与恶意软件检测能力指标是评估系统或组织在面临病毒和恶意软件攻击时能够及时检测并警告相关安全事件的能力情况，主要评价：a)系统对于病毒和恶意软件检测的响应速度及准确率；b)系统是否具有多层次检测机制；c)以自动化的方式对病毒与恶意软件检测工具进行检测能力评估；d)系统是否能够及时更新病毒和恶意软件的知识库；——评价方法a)通过实验测试评估安全防御系统对于已知病毒和恶意软件检测的响应时间、检测率和误报率；b)调研病毒及恶意软件检测系统检测方案及检测技术；c)依靠自动化工具对病毒与恶意软件检测率进行客观评价；d)调研病毒及恶意软件检测系统知识库常态化更新频率及应急场景更新预案；7.3.5端点行为检测能力——指标描述端点行为检测能力指标是评估系统或组织在面临端点设备安全威胁时能够及时检测并警告相关安全事件的能力情况，主要评价：a)评估端点行为检测的实时性、准确性；b)多端点设备集中化管理能力及自动化响应能力；c)能否通过自动化的响应机制对异常行为和威胁进行及时检测；d)以自动化的方式对端点行为检测工具进行检测能力评估；e)CARTA模型中认证循环部分的相关知识和技术，以及相关工具平台的使用情况；——评价方法a)实景测试评估端点行为检测对真实威胁的检测效果和响应能力、模拟攻击测试评估端点行为检测能力对攻击的检测准确率；b)调研对多端点设备集中化管理能力；c)调研自动化响应机制、样本测试验证自动化的响应机制对异常行为和威胁进行及时响应和检测流程；d)依靠自动化工具对端点行为检测率进行客观评价；e)调研对CARTA模型中认证循环部分的相关知识和技术储备及工具平台使用实况；7.3.6流量检测能力——指标描述流量检测能力指标是评估系统或组织在面临网络安全威胁时能够对网络流量进行分析和检测的能力情况，主要评价：a)评估流量检测分析的实时性、准确性；b)流量检测系统能否应对不断增长的流量负载和网络规模，保证检测和分析的稳定性和可靠性；c)以自动化的方式对流量层面检测工具进行检测能力评估；d)流量检测系统能否支持多种协议的流量检测；——评价方法a)使用标准数据集或者基准测试工具调研评估检测系统的性能和能力，包括检测准确率、响应时间、误报率等指标；b)依靠自动化工具对流量检测率进行客观评价；c)通过模拟攻击和异常场景评估检测系统的性能和能力以验证系统的实际效果和可靠性；d)统计检测系统支持流量检测协议的类型；7.4事件响应能力指标7.4.1入侵防护能力——指标描述入侵防护能力是指网络安全系统中针对各种入侵行为采取的预防、拦截和阻止措施的能力情况，主要评价：a)主机端口和软件服务的入侵防护技术掌握度；b)入侵防护相关工具平台的配备；c)以自动化的方式对入侵防护工具进行阻断能力评估；d)常见软件服务和对应的漏洞和攻击方式防护措施；——评价方法a)调研主机端口及软件服务（非Web应用）入侵防护能力；b)收集入侵防护相关工具平台的使用情况；c)依靠自动化工具对入侵阻断率、穿透率进行客观评价；d)调研网络中漏洞检测工具使用情况、漏洞检测及修复方案、防护措施实况；7.4.2应用攻击防护能力——指标描述应用攻击防护能力指标用于部署应用系统时，采取的一系列防护措施防御各种应用层攻击，保护系统应用及数据的完整性、可用性和保密性。主要评价：a)对常见的Web应用服务攻击手段以及攻击手段的防御方法；b)对各种Web应用安全漏洞的防护方法和相关工具平台的使用情况；c)以自动化的方式对应用攻击防护工具进行阻断能力评估；d)对常见Web应用攻击的防御实况；——评价方法a)调研Web应用攻击防护工具类型及面向Web应用服务的入侵防护技术方法；b)调研Web应用防护工具类型及系统平台攻击防护能力；c)依靠自动化工具对web应用阻断率、穿透率进行客观评价；d)统计应用攻击防护的准确率、假阳性率、应用攻击防护系统性能、应用攻击系防护统模型更新机制及应用攻击防护系统可视化分析能力；7.4.3流量过滤能力——指标描述流量过滤能力指标是指通过对网络流量的监控和过滤，防止不良流量进入网络，保障网络的安全和稳定运行。主要评价：a)评估流量检测过滤的实时性、准确性；b)流量过滤系统能否应对不断增长的流量负载和网络规模，保证响应和处置的稳定性和可靠性；c)流量过滤系统能否支持多种常见协议的流量过滤；——评价方法a)使用标准数据集或者基准测试工具调研评估流量过滤系统的性能和能力，包括过滤准确率、响应时间、误报率等指标；b)通过模拟攻击和异常场景评估过滤系统的性能和能力以验证系统的实际效果和可靠性；c)统计流量过滤系统支持流量过滤协议的类型；7.4.4防病毒与反恶意软件能力——指标描述防病毒与反恶意软件指标用于评估系统是否具备检测、清除和防御各种病毒、木马、蠕虫、间谍软件等恶意软件的能力。主要评价：a)系统对于病毒和恶意软件防护的响应速度及准确率；b)系统是否具有多层次防护机制；——评价方法a)通过实验测试评估安全防御系统对于已知病毒和恶意软件防护的响应时间、检测率和误报率；b)调研病毒及恶意软件防护系统方案及防护技术；7.4.5端点行为防护能力——指标描述端点行为防护能力指标针对终端设备的威胁，实现对终端设备和终端设备所在网络的保护。主要评价：a)评估端点行为防护的实时性、准确性；b)能否通过自动化的响应机制对异常行为和威胁进行及时处置；——评价方法a)实景测试评估端点行为防护对真实威胁的拦截效果和响应能力、模拟攻击测试评估端点行为防护能力对攻击的检测准确率；b)调研自动化响应机制、样本测试验证自动化的响应机制对异常行为和威胁进行及时响应和处置流程；7.5反制能力指标7.5.1攻击诱捕能力——指标描述攻击诱捕指标主要评价对网络攻击的感知和欺骗防御能力。攻击诱捕指标主要评价：a)伪装欺骗防御能力建设情况；b)联动防御能力建设情况；——评价方法a)调研电子政务系统是否部署伪装欺骗防御能力；b)调研电子政务系统伪装欺骗防御能力覆盖范围；c)调研其他安全设备是否能够与伪装欺骗防御能力进行联动；7.5.2攻击溯源能力——指标描述攻击溯源能力指标是指在遭受攻击后，对攻击行为进行分析追踪，识别攻击源头的能力。主要评价：a)对常见网络攻击溯源技术能力掌握情况；b)在防守状态下对攻击者信息识别及获取技术掌握情况；c)从发现网络攻击到确认攻击来源和路径的追踪时间；d)获取和利用安全情报的能力；——评价方法a)调研分析历史溯源案例；b)利用模拟对抗的方式调研防守状态下对攻击者信息识别及获取技术实况；c)统计从发现网络攻击到确认攻击来源和路径所需的时间；d)调研对安全情报的渠道来源、利用程度、情报数量、情报的质量和及时性；7.5.3攻击反制能力——指标描述攻击反制能力指标用于评估信息安全系统抵御各种攻击并对攻击进行反制的能力。主要评价：a)对常见网络攻击反制技术能力掌握情况；b)在防守状态下对攻击者进行反向抑制及反向控制技术掌握情况；c)从系统发现攻击事件到做出响应的时间；d)系统针对攻击事件制定应对策略的速度；——评价方法a)调研分析历史反制案例；b)利用模拟对抗的方式调研防守状态下对攻击者信息识别及反制技术实况；c)统计从系统发现攻击事件到做出响应动作的时间；d)统计对升级补丁、阻断网络攻击、封禁恶意IP方面的响应时间；7.6关联分析能力指标7.6.1策略中心——指标描述策略中心是用于管理网络安全策略的核心组件，它可以帮助管理员在网络中实施一系列的安全控制措施，以减轻网络威胁和攻击的风险。主要评价：a)接口设计能力；b)流程设计能力；c)技术融合能力；d)综合研判能力；e)数据建模能力；f)以自动化的方式对策略中心的抗淹没、流程派单等进行能力评估；——评价方法a)调研策略中心是否具备设计和维护数据交互接口的能力，包括数据格式设计、协议制定、接口测试等；b)调研策略中心是否建立完整的网络安全事件处理流程，包括事件接收、事件处理、信息共享、风险评估、决策发布等环节；c)依靠自动化工具对策略中心检测率进行客观评价；d)调研策略中心是否能够充分利用各种安全技术和工具，提升事件处理效率和准确性，包括数据挖掘、机器学习、人工智能等；e)调研评估策略中心是否具备多方面信息综合分析、研判和决策的能力。包括情报分析、态势感知、风险评估、响应决策等；f)调研策略中心是否能够对各类数据进行建模分析，以提高决策效果和决策速度。包括数据清洗、数据建模、模型评估等。7.6.2情报中心——指标描述情报中心是指负责收集、分析、挖掘和整合各类安全情报以支持安全决策的中心，用于收集、分析、整理和交付有关安全威胁、漏洞、恶意软件和网络攻击等信息的情报。主要评价：a)情报收集能力；b)情报分析能力；c)情报交付能力；d)情报整合能力；e)情报更新及兼容能力；——评价方法a)调研情报收集能力，包括收集、处理和组织各种安全相关信息，例如安全威胁、漏洞、恶意软件和网络攻击等；b)调研情报分析的能力，包括利用各种技术对收集到的安全信息进行分析和解释，并根据这些分析结果提供有价值的信息；c)调研情报交付能力，包括将有价值的信息传递给各种内部或外部利益相关者，例如网络安全团队、高层管理人员或其他利益相关者；d)调研情报整合能力，包括整合不同来源的信息，例如来自内部和外部的信息，以及不同类型的信息，例如技术信息和商业情报；e)调研情报更新及兼容能力，包括情报库更新频率是否超过3个月及和第三方商用情报库兼容性；7.7安全运营能力7.7.1安全培训能力——指标描述安全培训能力是指企业或组织在网络安全领域具有提供全面、高质量的安全培训能力，确保员工掌握基本的网络安全知识和技能，从而降低内部安全事件和安全漏洞的风险。主要评价：a)安全培训计划；b)安全培训课程设计；c)考评设计能力；d)认证设计能力；e)教务设计能力；——评价方法a)调研是否具有完善的安全培训计划，包括培训的时间、地点、参与人员、课程设置和内容等，并评估是否按照实际需求和风险情况进行定期修订和更新；b)调研安全培训相关课程体系设计能力，包括课程结构、课程内容、教学方法、教学资源c)调研设计安全培训相关的考评体系，包括考评目标、考核内容、考核方法、评分标准等；d)调研安全培训相关的认证体系，包括认证标准、认证考试、认证评价等；e)调研安全培训相关的教务管理体系，包括学员招生、学籍管理、教学计划、教学质量评估等；7.7.2安全对抗能力——指标描述安全对抗能力是指能够设计和运作常见的安全对抗机制，并且能够对抗常见的漏洞、威胁和攻击的能力。主要评价：a)漏洞对抗能力；b)威胁对抗能力；c)红蓝对抗能力；d)竞赛对抗能力；——评价方法a)调研团队在发现、利用和防御漏洞方面的技术水平，包括漏洞扫描、漏洞挖掘、漏洞利用和漏洞修复等方面的技术能力；b)调研团队在分析、预测和应对网络威胁方面的能力，包括分析威胁情报、构建威胁模型、应对攻击和事件响应等方面的技术能力；c)调研评估团队在模拟攻防对抗中的表现，包括红方攻击、蓝方防御、攻防策略设计和执行等方面的技术能力；d)调研团队在参与安全竞赛或挑战赛中的表现，包括比赛规则理解、攻防技巧应用、团队协作和创新能力等方面的能力；7.7.3安全运维能力——指标描述安全运维能力是指企业或组织能够有效管理、监控和响应其网络空间安全事件的能力。主要评价：a)设计以及维护各类在能力模块和能力中心之间的协作关系和工作流程的能力；b)节点和职责管理能力；c)框架扩展能力；d)输入输出标准；e)运营标准的运作和设计技术能力；——评价方法a)调研各个能力模块和能力中心之间的协作关系；能否制定合理的协作规范，包括标准化的接口、数据格式、通信协议等；能否具备实现各种协作方式的技术能力，包括接口开发、数据传输、数据处理等；能否及时发现和解决协作关系中的问题，保持整个协作流程的顺畅运行，避免出现故障和延误；b)调研节点设计是否清晰、职责划分是否明确、节点间的通信协议是否规范、异常情况处理是否得当；c)调研框架的可扩展性是否良好、新功能的添加是否容易、已有功能的升级是否顺畅、对不同平台和环境的支持是否全面；d)调研输入输出数据格式是否规范、是否有合理的数据校验机制、输入输出数据的加密和解密是否安全、输入输出数据的传输是否稳定；e)调研是否有完善的运营手册和操作规范、是否有有效的用户反馈机制和问题解决流程、是否有完善的备份和恢复机制、是否有足够的性能监测和报警机制；8评估流程电子政务系统安全成熟度评估的具体流程如下：a)确定评估工作组人员及角色，确定配合部门；b)确定评估对象和评估范围，制定评估计划，和评估方案；c)按计划方案实施评估，以调研访谈和技术验证相结合的方式，根据成熟度评估模型确定评估对象成熟度等级；d)归纳、提炼评估对象综合优势和改进机会，撰写评估报告；e)提交并解读评估报告，促进评估对象实施改进和创新。9相关角色为确保电子政务系统安全成熟度评估工作的顺利有效进行，应成立评估工作组，工作组主要人员角色和职责见表2。表2工作组主要角色与职责说明工作组主要人员角色工作职责网络安全管理专员a)审核委托方提交的评估系统是否具备评估条件；b)确定评估范围和评估标准，确保评估活动的合规性；c)协调项目资源，确保评估工作的顺利进行；d)评估实施过程中，对项目异议的解答和沟通；e)评估收尾时，审核过程材料及交付材料的归档。网络安全技术专员a)进行系统安全评估，包括但不限于漏洞扫描、渗透测试等；b)项目功能点计数无误、技术评估准确；c)项目报告中技术评估部分填写准确、语句通顺、无错别字、内容前后一致；d)评估实施过程中，对技术方面的异议提供专业解答；e)评估收尾时，技术评估材料的归档。网络安全运营专员a)审核运营相关的评估材料，确保材料的完整性和准确性；b)评估系统的安全运营流程和响应机制；c)确保运营评估结果的客观性和有效性；d)项目报告中运营评估部分填写准确、语句通顺、无错别字、内容前后一致；e)评估实施过程中，对运营方面的异议提供专业解答；f)评估收尾时，运营评估材料的归档。10成熟度评估10.1评估条款及分值实际总分=1000−不适的额定分值∗1000………………（1）表3评估条款及分值标条款二级指标条款评价内容一级指标条款分值条款分值评价内容分值力预警能力1.1.1组织获取新型漏洞预警的信息渠道；1.1.2漏洞预警相关工具平台的配备；51.1.3漏洞危害与影响范围的识别、判断及分析能力；71.1.4漏洞知识库的建立情况；5评估能力1.2.1安全漏洞发现能力的技术掌握度；81.2.2安全漏洞评估能力的技术掌握度；1.2.3安全漏洞验证能力的技术掌握度；8修复能力1.3.1人员在安全漏洞修复技术方面的掌握度；1.3.2漏洞官方补丁发布前安全漏洞的应对措施；41.3.3现有知识库在安全漏洞修复技术的能力；51.3.4无法直接漏洞修复的安全漏洞采取的安全技术防护能力；8预警能力1.4.1组织获取新型网络安全威胁预警的信息渠道；81.4.2网络安全威胁预警相关工具平台的配备；31.4.3网络安全威胁危害与影响范围的识别、判断及分析能力；7标条款二级指标条款评价内容一级指标条款分值条款分值评价内容分值1.4.4网络安全威胁知识库的建立情况。5评估能力1.5.1网络威胁发现能力的技术掌握度；71.5.2网络威胁评估能力的技术掌握度；1.5.3网络威胁验证能力的技术掌握度。8抵御能力1.6.1人员在网络安全威胁抵御和防护技术方面的掌握度；1.6.2安全功能及技术架构设计进行威胁抵御和防护的技术；41.6.3基于现有知识库对网络安全威胁进行抵御的技术能力；8力指标3002.1账户管理能力2.1.1账户信息管理采用的相关规范；82.1.2账户信息的全生命周期统一管理的相关技术；2.2安全配置管理能力2.2.1网络、系统、应用的安全配置管理相关规范；52.2.2资产管理的相关技术与运营维护2.2.3网络、系统、应用的安全配置管理相关操作文档；52.2.4网络、系统、应用的安全配置修改及安全能力提升情况；6技术标条款二级指标条款评价内容一级指标条款分值条款分值评价内容分值2.3.1网络、应用、数据层面的隔离技术规范；62.3.2网络、应用、数据层面的隔离技术措施；82.3.3网络、应用、数据层面的隔离技术的有效性进行验证；2.4密码应用技术与密码应用管理能力412.4.1组织是否采用了密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性；42.4.2组织是否采用了密码技术保证传输过程中信息系统应用的重要数据的完整性；52.4.3组织是否采用了密码技术保证传输过程中信息系统应用的重要数据的保密性；52.4.4组织是否采用了密码技术保证信息系统应用的重要数据在存储过程中的完整性；62.4.5组织是否采用了密码技术保证信息系统应用的重要数据在存储过程中的保密性；62.4.6组织是否采用了密码技术对远程管理设备和远程办公传输通道进行保护；42.4.7组织是否采用了密码技术保证日志记录的完整性；52.4.8组织是否具备密码应用安全管理制度，包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度。62.5数据备份管理能力2.5.1组织对于数据备份管理的相关技术规范；标条款二级指标条款评价内容一级指标条款分值条款分值评价内容分值2.5.2数据备份采用的技术措施；72.5.3数据备份的步骤、频率。6管理能力2.7.1安全权限管理技术；2.7.2安全权限具体配置及分级方案；名单管理能力2.8.1黑白名单配置原则及配置技术的使用；2.8.2黑白名单配置的有效性进行验证。访问控制管理能力2.9.1网络访问控制技术的掌握度；2.9.2服务器、目录、文件等网络资源访问权限控制技术的掌握度。62.9.3考核对于访问控制管理技术的完整性、合理性、有效性。72.10认证管理能力2.10.1用户身份认证管理技术及有效识别用户身份以及生物学特征的技术；2.10.2信息安全认证标准；82.10.3安全认证及数据信息安全保护机制；52.11安全域管理能力2.11.1网络安全域管理技术；72.11.2网络安全域划分和动态调整相关技术；92.11.3安全域内安全设备配置和管理方案；5标条款二级指标条款评价内容一级指标条款分值条款分值评价内容分值2.11.4对安全域内策略制定和管理措施；62.12基线管理能力2.12.1安全基线设置和开发原82.12.2安全基线评估方法；62.12.3安全基线审查方法；8志管理能力2.13.1主机、应用、网络设备日志的全生命周期管理技术；2.14软件更新管理能力2.14.1软件更新机制；2.14.2多设备的软件更新管理技6力指标2003.1入侵检测能力413.1.1主机端口和软件服务的入侵检测和识别技术掌握度；83.1.2入侵检测和入侵识别相关工具平台的配备；3.1.3非Web应用入侵的检查实73.1.4以自动化的方式对入侵检测工具进行检测能力评估；3.1.5常见软件服务和对应的漏洞和攻击方式应对措施。63.2应用攻击检测能力3.2.1对常见的Web应用服务攻8标条款二级指标条款评价内容一级指标条款分值条款分值评价内容分值击手段以及攻击手段的检测方法；3.2.2以自动化的方式对应用攻击检测工具进行检测能力评估；3.2.3对各种Web应用安全漏洞的检测方法和相关工具平台的使用情况；3.2.4对常见的Web应用防御措施的检测实况；3威胁发现能力3.3.1恶意行为检测能力；3.3.2安全防御系统智能分析能33.3.3安全防御系统实时响应能53.3.4安全防御系统异常行为检测能力；33.4病毒与恶意软件检测能力3.4.1系统对于病毒和恶意软件检测的响应速度及准确率；93.4.2以自动化的方式对病毒与恶意软件检测工具进行检测能力评估；3.4.3系统是否具有多层次检测机制；83.4.4系统是否能够及时更新病毒和恶意软件的知识库；5行为检测能力403.5.1评估端点行为检测的实时性、准确性；73.5.2多端点设备集中化管理能力及自动化响应能力；3.5.3以自动化的方式对端点行为检测工具进行检测能力评估；标条款二级指标条款评价内容一级指标条款分值条款分值评价内容分值3.5.4能否通过自动化的响应机制对异常行为和威胁进行及时检测；53.5.5CARTA模型中认证循环部分的相关知识和技术，以及相关工具平台的使用情况；83.6流量检测能力3.6.1评估流量检测分析的实时性、准确性；73.6.2流量检测系统能否应对不断增长的流量负载和网络规模，保证检测和分析的稳定性和可靠性；3.6.3以自动化的方式对流量层面检测工具进行检测能力评估；3.6.4流量检测系统能否支持多种协议的流量检测；8力指标4.1入侵防护能力4.1.1主机端口和软件服务的入侵防护技术掌握度；64.1.2入侵防护相关工具平台的配备；4.1.3以自动化的方式对入侵防护工具进行阻断能力评估；4.1.4常见软件服务和对应的漏洞和攻击方式防护措施。74.2应用攻击防护能力4.2.1对常见的Web应用服务攻击手段以及攻击手段的防御方法；54.2.2以自动化的方式对应用攻击防护工具进行阻断能力评估；标条款二级指标条款评价内容一级指标条款分值条款分值评价内容分值4.2.3对各种Web应用安全漏洞的防护方法和相关工具平台的使用情况；4.2.4对常见Web应用攻击的防御实况；74.3流量过滤能力4.3.1评估流量检测过滤的实时性、准确性；34.3.2流量过滤系统能否应对不断增长的流量负载和网络规模，保证响应和处置的稳定性和可靠性；84.3.3流量过滤系统能否支持多种常见协议的流量过滤；8毒与反恶意软件能力4.4.1系统对于病毒和恶意软件防护的响应速度及准确率；4.4.2系统是否具有多层次防护机制；84.5端点行为防护能力4.5.1评估端点行为防护的实时性、准确性；84.5.2能否通过自动化的响应机制对异常行为和威胁进行及时处置；标5.1攻击诱捕能力5.1.1伪装欺骗防御能力建设情75.1.2联动防御能力建设情况。45.2攻击溯源能力标条款二级指标条款评价内容一级指标条款分值条款分值评价内容分值5.2.1对常见网络攻击溯源技术能力掌握情况；45.2.2在防守状态下对攻击者信息识别及获取技术掌握情况；35.2.3从发现网络攻击到确认攻击来源和路径的追踪时间；75.2.4获取和利用安全情报的能25.3攻击反制能力5.3.1对常见网络攻击反制技术能力掌握情况；45.3.2在防守状态下对攻击者进行反向抑制及反向控制技术掌握情况；75.3.3从系统发现攻击事件到做出响应的时间；75.3.4系统针对攻击事件制定应对策略的速度；5力指标806.1.1接口设计能力；86.1.2流程设计能力；6.1.3技术融合能力；66.1.4综合研判能力；86.1.5以自动化的方式对策略中心的抗淹没、流程派单等进行能力评估；6.1.6数据建模能力；6.2情报中心6.2.1情报收集能力；86.2.2情报分析能力；66.2.3情报交付能力；46.2.4情报整合能力；66.2.5情报更新及兼容能力4标条款二级指标条款评价内容一级指标条款分值条款分值评价内容分值力7.1安全培训能力7.1.1安全培训计划；77.1.2安全培训课程设计；87.1.3考评设计能力；77.1.4认证设计能力；57.1.5教务设计能力；67.2安全对抗能力7.2.1漏洞对抗能力；67.2.2威胁对抗能力；77.2.3红蓝对抗能力；97.2.4竞赛对抗能力；87.3安全运维能力7.3.1设计以及维护各类在能力模块和能力中心之间的协作关系和工作流程的能力；7.3.2节点和职责管理能力；87.3.3框架扩展能力；87.3.4输入输出标准；47.3.5运营标准的运作和设计技术能力；7合计10.2评估模型电子政务系统安全成熟度评估等级划分为五个级别：等级一、等级二、等级三、等级四、等级五，等级与得分关系以及等级特征描述见表4。本文件在通用评估模型基础上针对每项二级评价条款给出了评分指南，见附录A。注:为便于评估实施，模型中的成熟度以百分比方式提供每个成熟度等级参考打分值。表4电子政务系统安全成熟度等级成熟度等级等级一等级二等级三等级四等级五成熟度百分比<30%≧30%，<50%≧50%，<70%≧70%，<90%总体特征初始与建立应用与发展系统与发展优化与融合卓越详细描述的能力建设活动；具备基础的访问控制能力；平台及系统的高危及明显漏洞1）配备安全团作不够系统。2）技术上采用了基础的防控手段（防火墙，IPS/IDS)系，对安全攻防能力的建设有了全面的规划，作有了标准和规范，建立的安全攻防相关机制和所需知识库，3)采用了主流的安全技术和产品，安全攻防具备协同能力的安全攻防体系，对安全事件漏洞、问题具有很强的主动发现及处理能力2）具有对未知威胁和攻击的防御手段；3）安全攻防能力体系有效运全面满足合规要求1）建立完整的纵深可实现自动化；2）安全产品可智能学习，精确对抗3）组建自有的专业务对外输出10.3评估结果依靠电子政务系统安全成熟度评估规范开展评估时，评估结果如下：a）评分结果：根据对评估对象的调研访谈、技术验证等工作，为评估对象的电子政务系统安全成熟度进行评级；b）评估报告：根据评估结果，编制评估报告，帮助评估对象定量的展示整体防护现状，发现改进机会，促进评估对象实施改进和创新。附录A（资料性）电子政务系统安全成熟度评分指南表A.1电子政务系统安全成熟度评分指南成熟度等级等级一等级二等级三等级四等级五成熟度百分比<30%≧30%，<50%≧50%，<70%≧70%，<90%总体特征初始与建立应用与发展系统与发展优化与融合卓越攻击A1漏洞预警能力针对风险评估视角的相星的能力建设和相关工作的开展。将风险评估拆分为脆弱于两个方面可以被动的开展能力建救”。针对脆弱性、威胁这两个预警、评估、修复等方面系统的开展步的风险管其中安全工作的规范。在满足三级的条件下，对风险评估相关的能力项做量化管理，依托专业的安全团队和安全工具，并从整体视角串联安全风险。在满足四级的条件下，风险管理工作配置的团队有较强的漏洞挖掘分力，组织有良格、人员考核及培养体系，部分安全工作可以依靠自研平台完成闭环处理。A2漏洞评估能力A3漏洞修复能力A4威胁预警能力A5威胁评估能力A6威胁抵御能力与加管理能力针对IT安全运维视角相星