信息安全等級(jí)保護(hù)測(cè)評(píng)指南

1、.信息安全等級(jí)保護(hù)測(cè)評(píng).目錄國(guó)家對(duì)等級(jí)保護(hù)測(cè)評(píng)的要求等級(jí)保護(hù)測(cè)評(píng)注意事項(xiàng)等級(jí)保護(hù)測(cè)評(píng)要求（部分解讀）等級(jí)保護(hù)測(cè)評(píng)過程等級(jí)保護(hù)測(cè)評(píng)中常見問題.國(guó)家對(duì)等級(jí)保護(hù)測(cè)評(píng)的要求管理辦法”等級(jí)保護(hù)的實(shí)施與管理“第十四條信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)單位，依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。.廣東省安全保護(hù)條例對(duì)測(cè)評(píng)要求第十二條第十二條 第二級(jí)以上計(jì)算機(jī)信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)

2、、第二級(jí)以上計(jì)算機(jī)信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合國(guó)家規(guī)定的安全使用單位或者其主管部門應(yīng)當(dāng)選擇符合國(guó)家規(guī)定的安全等級(jí)測(cè)評(píng)機(jī)構(gòu)，依據(jù)國(guó)家規(guī)定的技術(shù)標(biāo)準(zhǔn)，對(duì)計(jì)算機(jī)信等級(jí)測(cè)評(píng)機(jī)構(gòu)，依據(jù)國(guó)家規(guī)定的技術(shù)標(biāo)準(zhǔn)，對(duì)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)，息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)，測(cè)評(píng)合格后方可投測(cè)評(píng)合格后方可投入使用。入使用。第十三條第十三條 計(jì)算機(jī)信息系統(tǒng)的運(yùn)營(yíng)、使用單位及其主管部計(jì)算機(jī)信息系統(tǒng)的運(yùn)營(yíng)、使用單位及其主管部門應(yīng)當(dāng)按照國(guó)家規(guī)定定期對(duì)計(jì)算機(jī)信息系統(tǒng)門應(yīng)當(dāng)按照國(guó)家規(guī)定定期對(duì)計(jì)算機(jī)信息系統(tǒng)開展安全等開展安全等級(jí)測(cè)評(píng)級(jí)測(cè)評(píng)，并對(duì)計(jì)算機(jī)信息系統(tǒng)安全狀況、安全管理制度，并

3、對(duì)計(jì)算機(jī)信息系統(tǒng)安全狀況、安全管理制度及措施的落實(shí)情況進(jìn)行及措施的落實(shí)情況進(jìn)行自查自查。 計(jì)算機(jī)信息系統(tǒng)安全狀況經(jīng)測(cè)評(píng)或者自查，未達(dá)到安全計(jì)算機(jī)信息系統(tǒng)安全狀況經(jīng)測(cè)評(píng)或者自查，未達(dá)到安全等級(jí)保護(hù)要求的，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)進(jìn)行整改。等級(jí)保護(hù)要求的，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)進(jìn)行整改。.廣東省公安廳關(guān)于計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的實(shí)施辦法廣東省公安廳關(guān)于計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的實(shí)施辦法（一）（一）第二十二條 我省對(duì)測(cè)評(píng)機(jī)構(gòu)實(shí)施備案制度。符合第二十一條規(guī)定的條件，承擔(dān)第二級(jí)以上的計(jì)算機(jī)信息系統(tǒng)測(cè)評(píng)工作的機(jī)構(gòu)應(yīng)當(dāng)?shù)绞」矎d公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案。第二十五條 第二級(jí)以上的計(jì)算機(jī)信息系統(tǒng)建設(shè)完成后，使用單位應(yīng)當(dāng)

4、委托符合規(guī)定的測(cè)評(píng)機(jī)構(gòu)安全測(cè)評(píng)合格方可投入使用。測(cè)評(píng)活動(dòng)應(yīng)當(dāng)接受公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門的監(jiān)督。 .廣東省信息安全等級(jí)測(cè)評(píng)工作細(xì)則廣東省信息安全等級(jí)測(cè)評(píng)工作細(xì)則（試行）計(jì)算機(jī)信息系統(tǒng)投入使用后，存在下列情形之一的，應(yīng)當(dāng)進(jìn)行安全自查，同時(shí)委托安全測(cè)評(píng)機(jī)構(gòu)進(jìn)行安全測(cè)評(píng)： （一）變更關(guān)鍵部件； （二）安全測(cè)評(píng)時(shí)間滿一年；（三）發(fā)生危害計(jì)算機(jī)信系統(tǒng)安全的案件或安全事故；（四）公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門根據(jù)應(yīng)急處置工作的需要認(rèn)為應(yīng)當(dāng)進(jìn)行安全測(cè)評(píng)； （五）其他應(yīng)當(dāng)進(jìn)行安全自查和安全測(cè)評(píng)的情形。 申請(qǐng)單位認(rèn)為安全測(cè)評(píng)報(bào)告的合法性和真實(shí)性存在重大問題的，可以向本單位所在地公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全

5、監(jiān)察部門提出申訴，提交異議申訴書及有關(guān)證明材料。 .廣東省等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)廣東省等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)關(guān)于發(fā)布廣東省信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的公告關(guān)于發(fā)布廣東省信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的公告（粵等保辦（粵等保辦20103號(hào)）號(hào)）供我省信息系統(tǒng)運(yùn)營(yíng)、使用單位、主管部門選用提供各類測(cè)評(píng)服務(wù)（差距評(píng)估、驗(yàn)收性測(cè)評(píng)、年度測(cè)評(píng)工作）。 1、廣州競(jìng)遠(yuǎn)系統(tǒng)網(wǎng)絡(luò)技術(shù)有限公司 2、中國(guó)賽寶實(shí)驗(yàn)室（工業(yè)和信息化部電子第五研究所） 3、廣州華南信息安全測(cè)評(píng)中心 4、深圳市信息安全測(cè)評(píng)中心 5、深圳市網(wǎng)安計(jì)算機(jī)安全檢測(cè)技術(shù)有限公司 .等級(jí)保護(hù)測(cè)評(píng)基本概念等級(jí)測(cè)評(píng)工作，是指測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管

6、理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。通過信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)對(duì)已完成的等級(jí)保護(hù)建設(shè)的信通過信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)對(duì)已完成的等級(jí)保護(hù)建設(shè)的信息系統(tǒng)息系統(tǒng)定期進(jìn)行等級(jí)測(cè)評(píng)定期進(jìn)行等級(jí)測(cè)評(píng)，確保信息系統(tǒng)的安全保護(hù)措施，確保信息系統(tǒng)的安全保護(hù)措施符合相應(yīng)等級(jí)的安全要求。符合相應(yīng)等級(jí)的安全要求。.等級(jí)保護(hù)測(cè)評(píng)的執(zhí)行主體等級(jí)測(cè)評(píng)機(jī)構(gòu)，是指具備本規(guī)范的基本條件，經(jīng)能力評(píng)估和審核，由省級(jí)以上信息安全等級(jí)保護(hù)工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室（以下簡(jiǎn)稱為“等保辦”）推薦，從事等級(jí)測(cè)評(píng)工作的機(jī)構(gòu)。等級(jí)保護(hù)測(cè)評(píng)的執(zhí)行主體應(yīng)當(dāng)是具有相關(guān)資質(zhì)的、獨(dú)立的測(cè)評(píng)服務(wù)機(jī)構(gòu)。只有獨(dú)立的第三方，才能

7、保證測(cè)評(píng)工作的客觀性和公正性。.等級(jí)測(cè)評(píng)基本原則測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)按照有關(guān)規(guī)定和統(tǒng)一標(biāo)準(zhǔn)提供“客觀、公正、安全”的測(cè)評(píng)服務(wù)，按照統(tǒng)一的測(cè)評(píng)報(bào)告模版出具測(cè)評(píng)報(bào)告。測(cè)評(píng)機(jī)構(gòu)可以從事等級(jí)測(cè)評(píng)活動(dòng)以及信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)、安全建設(shè)整改、信息安全等級(jí)保護(hù)宣傳教育等工作的技術(shù)支持。.等級(jí)測(cè)評(píng)的特點(diǎn)管理角度：管理角度：強(qiáng)制執(zhí)行：管理辦法強(qiáng)制周期性執(zhí)行強(qiáng)制執(zhí)行：管理辦法強(qiáng)制周期性執(zhí)行執(zhí)行主體：符合條件的測(cè)評(píng)機(jī)構(gòu)執(zhí)行主體：符合條件的測(cè)評(píng)機(jī)構(gòu)執(zhí)行對(duì)象：定級(jí)的信息系統(tǒng)執(zhí)行對(duì)象：定級(jí)的信息系統(tǒng)服務(wù)主體：國(guó)家信息安全監(jiān)管部門服務(wù)主體：國(guó)家信息安全監(jiān)管部門/主管部門主管部門/運(yùn)維、使用單位運(yùn)維、使用單位技術(shù)角度：技術(shù)角度：

8、符合性測(cè)評(píng)：依據(jù)基本要求符合性測(cè)評(píng)：依據(jù)基本要求等級(jí)化：不同級(jí)別測(cè)評(píng)強(qiáng)度不同等級(jí)化：不同級(jí)別測(cè)評(píng)強(qiáng)度不同.等級(jí)保護(hù)測(cè)評(píng)適用的階段在實(shí)施等級(jí)保護(hù)建設(shè)工作前，信息系統(tǒng)運(yùn)營(yíng)、使用單位可以開展一次等級(jí)測(cè)評(píng)以確定信息系統(tǒng)的安全需求。在等級(jí)保護(hù)建設(shè)完成后，通過等級(jí)測(cè)評(píng)判定信息系統(tǒng)是否按照預(yù)先設(shè)定的安全模式運(yùn)行，安全控制措施是否得到合理的應(yīng)用，信息系統(tǒng)是否達(dá)到相關(guān)標(biāo)準(zhǔn)的要求，是否具備相應(yīng)等級(jí)的安全防護(hù)能力等。.等級(jí)保護(hù)測(cè)評(píng)工作開展系統(tǒng)改建方案設(shè)計(jì)：由信息系統(tǒng)的運(yùn)營(yíng)使用單位自己組織人員或由第三方評(píng)估機(jī)構(gòu)，采用等級(jí)測(cè)評(píng)方法對(duì)信息系統(tǒng)安全保護(hù)現(xiàn)狀與等級(jí)保護(hù)基本要求進(jìn)行符合性評(píng)估符合性評(píng)估，得到與相應(yīng)等級(jí)要求的差距

9、項(xiàng)，確定安全需求，為制定安全改建方案提供依據(jù)。是一種需求分析方法，不受測(cè)評(píng)執(zhí)行主體的限制。等級(jí)保護(hù)建設(shè)完成后的測(cè)評(píng)，由具有相關(guān)資質(zhì)、獨(dú)立的第三方測(cè)第三方測(cè)評(píng)機(jī)構(gòu)評(píng)機(jī)構(gòu)完成。.測(cè)評(píng)與監(jiān)督檢查的關(guān)系等級(jí)保護(hù)測(cè)評(píng)的操作形式自評(píng)估委托評(píng)估檢查評(píng)估.測(cè)評(píng)工作要求依據(jù)標(biāo)準(zhǔn)，遵循原則依據(jù)標(biāo)準(zhǔn)，遵循原則恰當(dāng)選取，保證強(qiáng)度恰當(dāng)選取，保證強(qiáng)度規(guī)范行為，減少風(fēng)險(xiǎn)規(guī)范行為，減少風(fēng)險(xiǎn)過程規(guī)范過程規(guī)范行為規(guī)范行為規(guī)范.等級(jí)保護(hù)測(cè)評(píng)注意事項(xiàng).等級(jí)保護(hù)測(cè)評(píng)方法（1）測(cè)評(píng)方法測(cè)評(píng)采用訪談、檢查和測(cè)試三種方法，測(cè)評(píng)對(duì)象是測(cè)評(píng)實(shí)施過程中涉及到的信息系統(tǒng)的構(gòu)成成份，包括人員、文檔、機(jī)制、軟件、設(shè)備。測(cè)評(píng)的層面涉及物理安全、網(wǎng)絡(luò)安全、

10、主機(jī)安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全以及安全管理。測(cè)評(píng)要求使用測(cè)評(píng)表進(jìn)行具體檢查時(shí)，首先按詢問、查驗(yàn)、檢測(cè)等工作方式將所有檢查項(xiàng)目分類。所有以詢問方式檢查的項(xiàng)目，在與有關(guān)人員的談話或會(huì)議上進(jìn)行；所有以查驗(yàn)方式檢查的項(xiàng)目，將需要的文檔清單在檢查現(xiàn)場(chǎng)提交給被檢查方，請(qǐng)被檢查方當(dāng)前提供并進(jìn)行查驗(yàn)；所有需要以檢測(cè)方式檢查的項(xiàng)目，按檢測(cè)部門或設(shè)備分類后，根據(jù)具體情況選擇檢測(cè)順序。 .等級(jí)保護(hù)測(cè)評(píng)方法（2）對(duì)技術(shù)要求對(duì)技術(shù)要求訪談訪談方法：方法：目的是是了解信息系統(tǒng)的全局性信息系統(tǒng)的全局性。范圍一般一般不覆蓋所有要求內(nèi)容。不覆蓋所有要求內(nèi)容。檢查檢查方法：方法：目的是是確認(rèn)信息系統(tǒng)當(dāng)前具體安全機(jī)制和信息系統(tǒng)當(dāng)

11、前具體安全機(jī)制和運(yùn)行的配置是否符合要求運(yùn)行的配置是否符合要求 。范圍一般要覆蓋所有要求內(nèi)容。一般要覆蓋所有要求內(nèi)容。測(cè)試測(cè)試方法：方法：目的是驗(yàn)證信息系統(tǒng)安全機(jī)制有效性和安是驗(yàn)證信息系統(tǒng)安全機(jī)制有效性和安全強(qiáng)度。全強(qiáng)度。范圍不覆蓋所有要求內(nèi)容。不覆蓋所有要求內(nèi)容。.等級(jí)保護(hù)測(cè)評(píng)方法（3）對(duì)管理要求對(duì)管理要求對(duì)人員方面的要求，重點(diǎn)通過對(duì)人員方面的要求，重點(diǎn)通過訪談訪談的方式來測(cè)評(píng)，檢的方式來測(cè)評(píng)，檢查為輔；查為輔；對(duì)過程方面的要求，通過對(duì)過程方面的要求，通過訪談訪談和和檢查檢查的方式來測(cè)的方式來測(cè)評(píng)；評(píng)；對(duì)規(guī)范方面的要求，以對(duì)規(guī)范方面的要求，以檢查檢查文檔為主，文檔為主，訪談訪談為輔為輔.系統(tǒng)系

12、統(tǒng)承建單位承建單位主管主管 使用使用 運(yùn)行單位運(yùn)行單位測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)機(jī)構(gòu)專家組專家組l支持測(cè)評(píng)l提供技術(shù)、工程和質(zhì)量文檔l實(shí)施的配合公安公安網(wǎng)監(jiān)部門網(wǎng)監(jiān)部門l測(cè)評(píng)工作組織協(xié)調(diào)l確保技術(shù)、工程和質(zhì)量文檔、提供運(yùn)營(yíng)相關(guān)文檔的提供l評(píng)審實(shí)施方案等相關(guān)文檔l配合等級(jí)測(cè)評(píng)實(shí)施l測(cè)評(píng)過程中的風(fēng)險(xiǎn)管理和應(yīng)急管理l制定測(cè)評(píng)計(jì)劃和方案等相關(guān)文檔l在相關(guān)單位支持下實(shí)施等級(jí)測(cè)評(píng)l提交測(cè)評(píng)報(bào)告l對(duì)方案評(píng)審l對(duì)評(píng)估結(jié)論進(jìn)行評(píng)審l測(cè)評(píng)工作 組織與監(jiān)管等級(jí)保護(hù)測(cè)評(píng)中的角色和職責(zé)關(guān)系等級(jí)保護(hù)測(cè)評(píng)中的角色和職責(zé)關(guān)系.信息安全服務(wù)機(jī)構(gòu):協(xié)助信息系統(tǒng)運(yùn)營(yíng)、使用單位完成等級(jí)保護(hù)的相關(guān)工作，包括確定其信息系統(tǒng)的安全保護(hù)等級(jí)、進(jìn)行安全需求

13、分析、安全總體規(guī)劃、實(shí)施安全建設(shè)和安全改造等。信息安全產(chǎn)品供應(yīng)商：開發(fā)符合等級(jí)保護(hù)相關(guān)要求的信息安全產(chǎn)品，接受安全測(cè)評(píng)，按照等級(jí)保護(hù)相關(guān)要求銷售信息安全產(chǎn)品并提供相關(guān)服務(wù)。應(yīng)用軟件開發(fā)機(jī)構(gòu)：將安全控制要求與應(yīng)用軟件結(jié)合，負(fù)責(zé)軟件開發(fā)。信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)：協(xié)助信息系統(tǒng)運(yùn)營(yíng)、使用單位或國(guó)家管理部門，按照國(guó)家信息安全等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)已經(jīng)已經(jīng)完成完成等級(jí)保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行測(cè)評(píng)；對(duì)信息安全產(chǎn)品供應(yīng)商提供的信息安全產(chǎn)品進(jìn)行安全測(cè)評(píng)。等級(jí)保護(hù)實(shí)施過程中的主要參與角色.等級(jí)保護(hù)測(cè)評(píng)工作實(shí)施步驟首次會(huì)議 （1）參加人員：主管領(lǐng)導(dǎo)、技術(shù)人員、測(cè)評(píng)機(jī)構(gòu)人員 （2）被測(cè)評(píng)機(jī)構(gòu)工作匯報(bào)測(cè)評(píng)實(shí)施 被

14、測(cè)評(píng)單位派人負(fù)責(zé)測(cè)評(píng)過程聯(lián)絡(luò)和協(xié)助。末次會(huì)議 （1）參加人員：主管領(lǐng)導(dǎo)、技術(shù)人員、測(cè)評(píng)機(jī)構(gòu)人員 （2）測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)試情況匯報(bào).等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目組的構(gòu)成測(cè)評(píng)項(xiàng)目組構(gòu)成組長(zhǎng)職責(zé)：管理測(cè)評(píng)過程、主持編制測(cè)評(píng)計(jì)劃、主持設(shè)計(jì)測(cè)評(píng)方案、負(fù)責(zé)訪談、檢查、組織分析測(cè)評(píng)結(jié)果、主持編制測(cè)評(píng)總結(jié)報(bào)告；訪談和查看組：負(fù)責(zé)訪談、執(zhí)行測(cè)試，記錄和分析測(cè)評(píng)結(jié)果；測(cè)試組：執(zhí)行測(cè)試、記錄和分析測(cè)評(píng)結(jié)果。.等級(jí)保護(hù)測(cè)評(píng)部位被測(cè)評(píng)部門 領(lǐng)導(dǎo)辦公場(chǎng)所 機(jī)房 介質(zhì)保管室 設(shè)備管理部門 一般工作場(chǎng)所 監(jiān)控室等 .等級(jí)保護(hù)測(cè)評(píng)設(shè)備被測(cè)評(píng)檢查設(shè)備各類服務(wù)器抽查部分個(gè)人計(jì)算機(jī)（包括臺(tái)式機(jī)、筆記本）通信線路交換機(jī)、路由器防火墻、入侵檢測(cè)、殺毒

15、軟件等安全防護(hù)設(shè)備存儲(chǔ)設(shè)備網(wǎng)絡(luò)管理軟件應(yīng)用軟件 .等級(jí)保護(hù)測(cè)評(píng)相關(guān)配合人員等級(jí)保護(hù)測(cè)評(píng)相關(guān)配合人員測(cè)評(píng)所需要的相關(guān)配合人員單位領(lǐng)導(dǎo)部門領(lǐng)導(dǎo)系統(tǒng)管理員安全管理員系統(tǒng)審計(jì)員一般工作人員（抽查）等。 .等級(jí)測(cè)評(píng)風(fēng)險(xiǎn)告知 在開展測(cè)評(píng)過程中，對(duì)可能影響信息系統(tǒng)正常運(yùn)行的，測(cè)評(píng)機(jī)構(gòu)在開展測(cè)評(píng)過程中，對(duì)可能影響信息系統(tǒng)正常運(yùn)行的，測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)事先告知被測(cè)評(píng)單位，并協(xié)助其采取相應(yīng)的預(yù)防措施。應(yīng)當(dāng)事先告知被測(cè)評(píng)單位，并協(xié)助其采取相應(yīng)的預(yù)防措施。.等級(jí)測(cè)評(píng)實(shí)施過程中可能存在的風(fēng)險(xiǎn)等級(jí)測(cè)評(píng)實(shí)施過程中可能存在的風(fēng)險(xiǎn) 驗(yàn)證測(cè)試影響系統(tǒng)正常運(yùn)行驗(yàn)證測(cè)試影響系統(tǒng)正常運(yùn)行 在現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，需要對(duì)設(shè)備和系統(tǒng)進(jìn)行一定的驗(yàn)證測(cè)試工作

16、，部分測(cè)試內(nèi)容需要上機(jī)查看一些信息，這就可能對(duì)系統(tǒng)的運(yùn)行造成一定的影響，甚至存在誤操作的可能。 工具測(cè)試影響系統(tǒng)正常運(yùn)行工具測(cè)試影響系統(tǒng)正常運(yùn)行 在現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，會(huì)使用一些技術(shù)測(cè)試工具進(jìn)行漏洞測(cè)試、性能測(cè)試甚至抗?jié)B透能力測(cè)試。測(cè)試可能會(huì)對(duì)系統(tǒng)的負(fù)載造成一定的影響，漏洞測(cè)試和滲透測(cè)試可能對(duì)服務(wù)器和網(wǎng)絡(luò)通訊造成一定影響甚至傷害。 敏感信息泄漏敏感信息泄漏 泄漏被測(cè)系統(tǒng)狀態(tài)信息，如網(wǎng)絡(luò)拓?fù)?、IP地址、業(yè)務(wù)流程、安全機(jī)制、安全隱患和有關(guān)文檔信息。 .等級(jí)測(cè)評(píng)方式測(cè)試功能功能/性能測(cè)試、滲透測(cè)試等。性能測(cè)試、滲透測(cè)試等。測(cè)試對(duì)象包括機(jī)制和設(shè)備等。測(cè)試對(duì)象包括機(jī)制和設(shè)備等。測(cè)試一般需要借助特定工具。測(cè)試一般

17、需要借助特定工具。掃描檢測(cè)工具掃描檢測(cè)工具網(wǎng)絡(luò)協(xié)議分析儀網(wǎng)絡(luò)協(xié)議分析儀攻擊工具攻擊工具滲透工具滲透工具.等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)指南.等級(jí)保護(hù)測(cè)評(píng)要求.測(cè)評(píng)要求的作用指導(dǎo)系統(tǒng)運(yùn)營(yíng)使用單位進(jìn)行自查指導(dǎo)系統(tǒng)運(yùn)營(yíng)使用單位進(jìn)行自查指導(dǎo)評(píng)估機(jī)構(gòu)進(jìn)行檢測(cè)評(píng)估指導(dǎo)評(píng)估機(jī)構(gòu)進(jìn)行檢測(cè)評(píng)估監(jiān)管職能部門參照進(jìn)行監(jiān)督檢查監(jiān)管職能部門參照進(jìn)行監(jiān)督檢查規(guī)范測(cè)評(píng)內(nèi)容和行為規(guī)范測(cè)評(píng)內(nèi)容和行為.等級(jí)保護(hù)測(cè)評(píng)的內(nèi)容某級(jí)系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理.測(cè)評(píng)要求編制思路信息系

18、統(tǒng)測(cè)評(píng)系統(tǒng)測(cè)評(píng)（對(duì)安全控制、層面、區(qū)域間關(guān)聯(lián)關(guān)系以及系統(tǒng)整體結(jié)構(gòu)，分層次綜合分析、測(cè)評(píng)）安全控制測(cè)評(píng)（以測(cè)評(píng)單元組織的測(cè)評(píng)實(shí)施）.安全控制測(cè)評(píng)思路在內(nèi)容上，與在內(nèi)容上，與基本要求基本要求一一對(duì)應(yīng)，針對(duì)一一對(duì)應(yīng)，針對(duì)基本要求基本要求的每一個(gè)控的每一個(gè)控制項(xiàng)，開發(fā)具體的測(cè)評(píng)實(shí)施方法。制項(xiàng)，開發(fā)具體的測(cè)評(píng)實(shí)施方法。在結(jié)構(gòu)上，以在結(jié)構(gòu)上，以“測(cè)評(píng)單元測(cè)評(píng)單元”為基本工作單位，分等級(jí)進(jìn)行組織。為基本工作單位，分等級(jí)進(jìn)行組織。測(cè)評(píng)單元測(cè)評(píng)單元測(cè)評(píng)項(xiàng)測(cè)評(píng)項(xiàng)測(cè)評(píng)方式測(cè)評(píng)方式測(cè)評(píng)對(duì)象測(cè)評(píng)對(duì)象測(cè)評(píng)實(shí)施測(cè)評(píng)實(shí)施結(jié)果判定結(jié)果判定具體技術(shù)和管理要求具體技術(shù)和管理要求訪談訪談/檢查檢查/測(cè)試測(cè)試人員人員/文檔文檔/機(jī)制機(jī)

19、制/設(shè)備設(shè)備測(cè)評(píng)方式對(duì)象操作測(cè)評(píng)方式對(duì)象操作是否符合測(cè)評(píng)項(xiàng)要求是否符合測(cè)評(píng)項(xiàng)要求.等級(jí)保護(hù)測(cè)評(píng)測(cè)評(píng)單元是指安全控制測(cè)評(píng)的最小工作單位，由測(cè)評(píng)項(xiàng)、測(cè)評(píng)單元是指安全控制測(cè)評(píng)的最小工作單位，由測(cè)評(píng)項(xiàng)、測(cè)評(píng)方式、測(cè)評(píng)對(duì)象、測(cè)評(píng)實(shí)施和結(jié)果判定等組成，分測(cè)評(píng)方式、測(cè)評(píng)對(duì)象、測(cè)評(píng)實(shí)施和結(jié)果判定等組成，分別描述測(cè)評(píng)目的和內(nèi)容、測(cè)評(píng)使用的方式方法、測(cè)試過別描述測(cè)評(píng)目的和內(nèi)容、測(cè)評(píng)使用的方式方法、測(cè)試過程中涉及的測(cè)評(píng)對(duì)象、具體測(cè)試實(shí)施取證過程要求和測(cè)程中涉及的測(cè)評(píng)對(duì)象、具體測(cè)試實(shí)施取證過程要求和測(cè)評(píng)證據(jù)的結(jié)果判定規(guī)則與方法。評(píng)證據(jù)的結(jié)果判定規(guī)則與方法。測(cè)評(píng)強(qiáng)度是指測(cè)評(píng)的廣度和深度，體現(xiàn)測(cè)評(píng)工作的實(shí)際測(cè)評(píng)強(qiáng)度是指測(cè)

20、評(píng)的廣度和深度，體現(xiàn)測(cè)評(píng)工作的實(shí)際投入程度。投入程度。.測(cè)評(píng)強(qiáng)度增強(qiáng)的方法測(cè)評(píng)廣度越大，范圍越大，包含的測(cè)評(píng)對(duì)象就越多，測(cè)測(cè)評(píng)廣度越大，范圍越大，包含的測(cè)評(píng)對(duì)象就越多，測(cè)評(píng)實(shí)際投入程度越高。評(píng)實(shí)際投入程度越高。測(cè)評(píng)的深度越深，越需要在細(xì)節(jié)上展開，測(cè)評(píng)實(shí)際投入測(cè)評(píng)的深度越深，越需要在細(xì)節(jié)上展開，測(cè)評(píng)實(shí)際投入程度也越高。程度也越高。測(cè)評(píng)的廣度和深度落實(shí)在具體的測(cè)評(píng)方法測(cè)評(píng)的廣度和深度落實(shí)在具體的測(cè)評(píng)方法訪談、檢訪談、檢查和測(cè)試上，體現(xiàn)出訪談、檢查和測(cè)試的投入程度不同。查和測(cè)試上，體現(xiàn)出訪談、檢查和測(cè)試的投入程度不同。.系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)思路根據(jù)安全控制、層面和區(qū)域之間的關(guān)聯(lián)作用，逐層測(cè)評(píng)分析安全根據(jù)

21、安全控制、層面和區(qū)域之間的關(guān)聯(lián)作用，逐層測(cè)評(píng)分析安全控制間、層面間和區(qū)域間關(guān)聯(lián)關(guān)系對(duì)整體安全功能的影響，具體控制間、層面間和區(qū)域間關(guān)聯(lián)關(guān)系對(duì)整體安全功能的影響，具體應(yīng)包括：安全控制間安全測(cè)評(píng)、層面間安全測(cè)評(píng)、區(qū)域間安全測(cè)應(yīng)包括：安全控制間安全測(cè)評(píng)、層面間安全測(cè)評(píng)、區(qū)域間安全測(cè)評(píng)評(píng) 。進(jìn)行系統(tǒng)整體結(jié)構(gòu)安全測(cè)評(píng)進(jìn)行系統(tǒng)整體結(jié)構(gòu)安全測(cè)評(píng)從安全的角度，分析信息系統(tǒng)整體結(jié)構(gòu)的安全性從安全的角度，分析信息系統(tǒng)整體結(jié)構(gòu)的安全性 從安全角度看系統(tǒng)從安全角度看系統(tǒng) 從系統(tǒng)的角度，分析信息系統(tǒng)安全防范從系統(tǒng)的角度，分析信息系統(tǒng)安全防范( (體系體系) )的合理性的合理性 以系統(tǒng)的以系統(tǒng)的觀點(diǎn)看安全防范（體系觀點(diǎn)看

22、安全防范（體系).等級(jí)保護(hù)測(cè)評(píng)要求部分解讀.第二部分 等級(jí)保護(hù)測(cè)評(píng)要求（3）等級(jí)保護(hù)測(cè)評(píng)要求部分解讀 （物理安全）.物理訪問控制本項(xiàng)要求包括：機(jī)房出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員；需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍；應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；等過渡區(qū)域；重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。錄進(jìn)入的人員。.物理訪問控制實(shí)施討論機(jī)房進(jìn)出通過

23、雙向電子門禁系統(tǒng)進(jìn)行控制，可通過門禁電子記錄或填寫出入記錄單的形式記錄進(jìn)出人員和時(shí)間有能力的單位應(yīng)當(dāng)增設(shè)保安人員在門外值守；機(jī)房的內(nèi)和外部臨近入口區(qū)域要安裝攝像頭保證全部范圍覆蓋；外來人員進(jìn)入機(jī)房應(yīng)當(dāng)由專人全程陪同；對(duì)于系統(tǒng)較多、機(jī)房面積較大的有能力單位應(yīng)將機(jī)房按系統(tǒng)和設(shè)備的重要程度劃分不同的單獨(dú)區(qū)域進(jìn)行物理隔離，聯(lián)通各區(qū)域間的通道空間形成機(jī)房的過渡緩沖區(qū)。1.對(duì)于電源UPS，最好能劃分單獨(dú)區(qū)域。.物理訪問控制測(cè)評(píng)實(shí)施：應(yīng)檢查機(jī)房安全管理制度，查看是否有關(guān)于機(jī)房出入方面的規(guī)定；應(yīng)檢查機(jī)房出入口是否有專人值守，是否有值守記錄以及進(jìn)出機(jī)房的人員登記記錄；檢查機(jī)房是否不存在值守人員控制之外的出入口；

24、應(yīng)檢查是否有來訪人員進(jìn)入機(jī)房的審批記錄，查看審批記錄是否包括來訪人員的訪問范圍；應(yīng)檢查機(jī)房區(qū)域劃分是否合理，是否在機(jī)房重要區(qū)域前設(shè)置交付或安裝應(yīng)檢查機(jī)房區(qū)域劃分是否合理，是否在機(jī)房重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；是否在不同機(jī)房間和同一機(jī)房不同區(qū)域間設(shè)置了有效的物等過渡區(qū)域；是否在不同機(jī)房間和同一機(jī)房不同區(qū)域間設(shè)置了有效的物理隔離裝置；理隔離裝置；應(yīng)檢查重要區(qū)域配置的電子門禁系統(tǒng)是否有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資應(yīng)檢查重要區(qū)域配置的電子門禁系統(tǒng)是否有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì)；質(zhì)；1.應(yīng)檢查電子門禁系統(tǒng)是否正常工作（不考慮斷電后的工作情況）；查看應(yīng)檢查電子門禁系統(tǒng)是否正常工作（不考慮斷電后的工作

25、情況）；查看是否有電子門禁系統(tǒng)運(yùn)行和維護(hù)記錄；查看監(jiān)控進(jìn)入機(jī)房重要區(qū)域的電是否有電子門禁系統(tǒng)運(yùn)行和維護(hù)記錄；查看監(jiān)控進(jìn)入機(jī)房重要區(qū)域的電子門禁系統(tǒng)記錄，是否能夠鑒別和記錄進(jìn)入人員的身份。子門禁系統(tǒng)記錄，是否能夠鑒別和記錄進(jìn)入人員的身份。.物理訪問控制測(cè)評(píng)結(jié)果記錄檢查機(jī)房安全管理制度，有關(guān)于機(jī)房出入方面的規(guī)定 ；機(jī)房出入口有專人值守，有值守記錄以及進(jìn)出機(jī)房的人員登記記錄；檢查機(jī)房不存在值守人員控制之外的出入口；有來訪人員進(jìn)入機(jī)房的審批記錄，審批記錄包括來訪人員的訪問范圍 業(yè)務(wù)或安全管理需要，對(duì)機(jī)房進(jìn)行了劃分區(qū)域管理。各個(gè)區(qū)域都有專業(yè)務(wù)或安全管理需要，對(duì)機(jī)房進(jìn)行了劃分區(qū)域管理。各個(gè)區(qū)域都有專門的管

26、理要求。門的管理要求。機(jī)房區(qū)域劃分合理，在機(jī)房重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；機(jī)房區(qū)域劃分合理，在機(jī)房重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；在不同機(jī)房間和同一機(jī)房不同區(qū)域間設(shè)置了有效的物理隔離裝置在不同機(jī)房間和同一機(jī)房不同區(qū)域間設(shè)置了有效的物理隔離裝置重要區(qū)域配置的電子門禁系統(tǒng)是驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì)重要區(qū)域配置的電子門禁系統(tǒng)是驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì)（安防（安防驗(yàn)收?qǐng)?bào)告）驗(yàn)收?qǐng)?bào)告）1.電子門禁系統(tǒng)正常工作；有電子門禁系統(tǒng)運(yùn)行和維護(hù)記錄；能夠鑒別電子門禁系統(tǒng)正常工作；有電子門禁系統(tǒng)運(yùn)行和維護(hù)記錄；能夠鑒別和記錄進(jìn)入人員的身份。和記錄進(jìn)入人員的身份。 .防雷擊本項(xiàng)要求包括：機(jī)房建筑應(yīng)設(shè)置

27、避雷裝置；應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；1.機(jī)房應(yīng)設(shè)置交流電源地線。.防雷擊實(shí)施討論在南方地區(qū)，夏季多雨水，雷擊發(fā)生的可能性很大，需要重點(diǎn)檢測(cè)。電子信息系統(tǒng)機(jī)房施工及驗(yàn)收規(guī)范GB50462-2008 電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范GB50174-2008建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范GB50343-20041.建筑物防雷裝置檢測(cè)技術(shù)規(guī)范 GB/T21431-2008.防雷擊測(cè)評(píng)實(shí)施應(yīng)檢查機(jī)房建筑是否有避雷裝置，是否有交流地線；1.應(yīng)檢查機(jī)房是否安裝防雷保安器等裝置。應(yīng)檢查機(jī)房是否安裝防雷保安器等裝置。.防雷擊結(jié)果記錄機(jī)房建筑有避雷裝置，有交流地線；機(jī)房電源和信號(hào)線上安裝

28、防雷保安器等裝置機(jī)房電源和信號(hào)線上安裝防雷保安器等裝置；機(jī)房計(jì)算機(jī)系統(tǒng)接地設(shè)置了專用地線；機(jī)房計(jì)算機(jī)系統(tǒng)接地設(shè)置了專用地線； 1.通過驗(yàn)收或國(guó)家有關(guān)部門的技術(shù)檢測(cè)（有檢測(cè)報(bào)告）.防火本項(xiàng)要求包括：機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；自動(dòng)報(bào)警，并自動(dòng)滅火；機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料；的建筑材料；1.機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。備隔離開。.防火測(cè)評(píng)實(shí)施應(yīng)檢查機(jī)房是否設(shè)置了自

29、動(dòng)檢測(cè)火情、自動(dòng)報(bào)自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)，自動(dòng)消防系統(tǒng)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)，自動(dòng)消防系統(tǒng)擺放位置是否合理，其有效期是否合格；應(yīng)檢查自動(dòng)消防系統(tǒng)自動(dòng)消防系統(tǒng)是否正常工作，查看是否有運(yùn)行記錄、報(bào)警記錄、定期檢查和維修記錄；1.應(yīng)檢查機(jī)房是否采取區(qū)域隔離防火措施，將重應(yīng)檢查機(jī)房是否采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。要設(shè)備與其他設(shè)備隔離開。.防火測(cè)評(píng)結(jié)果記錄機(jī)房設(shè)置了滅火設(shè)備，設(shè)置了自動(dòng)檢測(cè)火情、自動(dòng)自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)；報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)；有專人負(fù)責(zé)維護(hù)該系統(tǒng)的運(yùn)行，制定了有關(guān)機(jī)房消防的管理制度和消防預(yù)案，進(jìn)行了消防培

30、訓(xùn)； 火災(zāi)自動(dòng)消防系統(tǒng)定期進(jìn)行檢查和維護(hù) 自動(dòng)消防系統(tǒng)自動(dòng)消防系統(tǒng)擺放位置合理，其有效期合格；自動(dòng)消防系統(tǒng)自動(dòng)消防系統(tǒng)正常工作，有運(yùn)行記錄、報(bào)警記錄、定期檢查和維修記錄；1.應(yīng)檢查機(jī)房采取區(qū)域隔離防火措施，將重要設(shè)備與應(yīng)檢查機(jī)房采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。其他設(shè)備隔離開。.溫濕度控制本項(xiàng)要求包括：機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。 .溫濕度控制實(shí)施討論電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范GB50174-20081.計(jì)算站場(chǎng)地技術(shù)條件 GB 2887-89.溫濕度控制測(cè)評(píng)實(shí)施1.應(yīng)檢查溫濕度自動(dòng)調(diào)節(jié)設(shè)施是否能夠正常運(yùn)行，查看是否有溫濕度記錄

31、、運(yùn)行記錄和維護(hù)記錄；查看機(jī)房溫濕度是否滿足計(jì)算站場(chǎng)地的技術(shù)條件要求。.溫濕度控制測(cè)評(píng)結(jié)果記錄濕度自動(dòng)調(diào)節(jié)設(shè)施能夠正常運(yùn)行；1.有溫濕度記錄、運(yùn)行記錄和維護(hù)記錄。.電力供應(yīng)本項(xiàng)要求包括：應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備；應(yīng)提供短期的備用電力供應(yīng)，至少滿足主要設(shè)備主要設(shè)備在斷電情況下的正常運(yùn)行要求；應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；應(yīng)建立備用供電系統(tǒng)。應(yīng)建立備用供電系統(tǒng)。.電力供應(yīng)實(shí)施討論國(guó)家標(biāo)準(zhǔn)供配電系統(tǒng)設(shè)計(jì)規(guī)范 在電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備以保證在電壓突然變化時(shí)不影響到設(shè)備的正常運(yùn)行；需要配備足夠的UPS保證在

32、段時(shí)間內(nèi)斷電的運(yùn)行或至少保證服務(wù)器有足夠的關(guān)機(jī)時(shí)間；采取冗余形式，一般至少有2家不同的供電公司供電；有條件的可以配備發(fā)電機(jī)保證較長(zhǎng)時(shí)間的應(yīng)急供電。1.對(duì)UPS沒有定期進(jìn)行可用性測(cè)試。.電力供應(yīng)測(cè)評(píng)實(shí)施應(yīng)檢查機(jī)房，查看計(jì)算機(jī)系統(tǒng)供電線路上的穩(wěn)壓器、過電壓防護(hù)設(shè)備和短期備用電源設(shè)備是否正常運(yùn)行，查看查看供電電壓是否正常；供電電壓是否正常；應(yīng)檢查是否有穩(wěn)壓器、過電壓防護(hù)設(shè)備、短期備用電源設(shè)備以及備用供電系統(tǒng)備用供電系統(tǒng)等電源設(shè)備的檢查和維護(hù)記錄，冗余或并行的電力電纜線路切換記錄，備用供電系統(tǒng)運(yùn)冗余或并行的電力電纜線路切換記錄，備用供電系統(tǒng)運(yùn)行記錄；以及上述計(jì)算機(jī)系統(tǒng)供電的運(yùn)行記錄，是否能行記錄；以及

33、上述計(jì)算機(jī)系統(tǒng)供電的運(yùn)行記錄，是否能夠符合系統(tǒng)正常運(yùn)行的要求；夠符合系統(tǒng)正常運(yùn)行的要求；應(yīng)測(cè)試安裝的冗余或并行的電力電纜線路，是否能夠進(jìn)應(yīng)測(cè)試安裝的冗余或并行的電力電纜線路，是否能夠進(jìn)行雙路供電切換；行雙路供電切換；1.應(yīng)測(cè)試備用供電系統(tǒng)是否能夠在規(guī)定時(shí)間內(nèi)正常啟動(dòng)和應(yīng)測(cè)試備用供電系統(tǒng)是否能夠在規(guī)定時(shí)間內(nèi)正常啟動(dòng)和正常供電。正常供電。.電力供應(yīng)測(cè)評(píng)結(jié)果記錄計(jì)算機(jī)系統(tǒng)供電線路上的穩(wěn)壓器、過電壓防護(hù)設(shè)備和短期備用電源設(shè)備（如UPS）正常運(yùn)行，查看供電電壓正常；查看供電電壓正常；有穩(wěn)壓器、過電壓防護(hù)設(shè)備、短期備用電源設(shè)備以及備用供電系統(tǒng)備用供電系統(tǒng)等電源設(shè)備的檢查和維護(hù)記錄，冗余或并行的電力電纜線路

34、切換記錄，冗余或并行的電力電纜線路切換記錄，備用供電系統(tǒng)運(yùn)行記錄；以及上述計(jì)算機(jī)系統(tǒng)供電的運(yùn)行記錄，能夠備用供電系統(tǒng)運(yùn)行記錄；以及上述計(jì)算機(jī)系統(tǒng)供電的運(yùn)行記錄，能夠符合系統(tǒng)正常運(yùn)行的要求；符合系統(tǒng)正常運(yùn)行的要求；測(cè)試安裝的冗余或并行的電力電纜線路，能夠進(jìn)行雙路供電切換；測(cè)試安裝的冗余或并行的電力電纜線路，能夠進(jìn)行雙路供電切換；1.測(cè)試備用供電系統(tǒng)測(cè)試備用供電系統(tǒng)（如UPS）能夠在規(guī)定時(shí)間內(nèi)正常啟動(dòng)和正常供電。能夠在規(guī)定時(shí)間內(nèi)正常啟動(dòng)和正常供電。.電磁防護(hù)實(shí)施討論電磁屏蔽室屏蔽效能的測(cè)量方法 GBT 12190-2006 通過將機(jī)架外殼接地的方式可以降低外界的電子干擾，對(duì)于要求較高的機(jī)房，如CA

35、機(jī)房需要建立屏蔽室；機(jī)房布線要嚴(yán)格按照規(guī)定，強(qiáng)、弱電線路盡量原理，使用交叉走線，避免平行軸線；使用鐵質(zhì)線槽可以抵御電磁干擾并有效保護(hù)線纜安全。處理涉密信息的電磁屏蔽室的技術(shù)要求和測(cè)試方法 BMB3-19991.涉密信息設(shè)備使用現(xiàn)場(chǎng)的電磁泄漏發(fā)射防護(hù)要求 BMB5-2000.電磁防護(hù)本項(xiàng)要求包括：應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；擾；電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾；應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。.電磁防護(hù)測(cè)評(píng)實(shí)施應(yīng)檢查機(jī)房設(shè)備外殼是否有安全接地；應(yīng)檢查機(jī)房設(shè)備外殼是否有安全接地；應(yīng)檢查機(jī)

36、房布線，查看是否做到電源線和通信線纜隔離；1.應(yīng)檢查磁介質(zhì)是否存放在具有電磁屏蔽功能的容器中。應(yīng)檢查磁介質(zhì)是否存放在具有電磁屏蔽功能的容器中。.第二部分 等級(jí)保護(hù)測(cè)評(píng)要求（4）等級(jí)保護(hù)測(cè)評(píng)要求部分解讀 （網(wǎng)絡(luò)安全）.結(jié)構(gòu)安全 本項(xiàng)要求包括：應(yīng)保證主要網(wǎng)絡(luò)設(shè)備主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素

37、，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；1.應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。.結(jié)構(gòu)安全要求:1.應(yīng)保證主要網(wǎng)絡(luò)設(shè)備主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；測(cè)評(píng)實(shí)施:訪談網(wǎng)絡(luò)管理員，詢問主要

38、網(wǎng)絡(luò)設(shè)備的性能及業(yè)務(wù)高峰流量。訪談網(wǎng)絡(luò)管理員，詢問采用何種手段對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控。通過網(wǎng)絡(luò)管理軟件,或IT資源監(jiān)控系統(tǒng),確認(rèn)主要網(wǎng)絡(luò)設(shè)備主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要。應(yīng)檢查網(wǎng)絡(luò)設(shè)計(jì)/驗(yàn)收文檔，查看是否有主要主要網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力、接入網(wǎng)絡(luò)及核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期的需要以及不存在帶寬瓶頸不存在帶寬瓶頸等方面等方面的設(shè)計(jì)或描述。.結(jié)構(gòu)安全要求: 2.應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；測(cè)評(píng)實(shí)施測(cè)評(píng)實(shí)施:應(yīng)訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)絡(luò)中帶寬控制情況以及帶寬分配的原則應(yīng)訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)絡(luò)中帶寬控制情況以及帶寬分配的原則;詢問當(dāng)前網(wǎng)絡(luò)各部

39、分的帶寬是否滿足業(yè)務(wù)高峰需要。詢問當(dāng)前網(wǎng)絡(luò)各部分的帶寬是否滿足業(yè)務(wù)高峰需要。如果無法滿足業(yè)務(wù)高峰期需要，則需迚行帶寬分配。檢查主要網(wǎng)絡(luò)設(shè)如果無法滿足業(yè)務(wù)高峰期需要，則需迚行帶寬分配。檢查主要網(wǎng)絡(luò)設(shè)備是否進(jìn)行行帶寬分配。以備是否進(jìn)行行帶寬分配。以CISCO IOS 為例為例:檢查配置是否類似如下配置項(xiàng)檢查配置是否類似如下配置項(xiàng): 輸入命令輸入命令:show running-config class-map:class-1 bandwidth:percent 50 bandwith 5000(kbps) max threshold 64(packets).結(jié)構(gòu)安全要求: 3.應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)

40、器之間進(jìn)行路由控制建立安全的訪問路徑；應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；條款理解條款理解:靜態(tài)路由是指由網(wǎng)絡(luò)管理員手工配置的路由信息。勱態(tài)路由是指路由器能靜態(tài)路由是指由網(wǎng)絡(luò)管理員手工配置的路由信息。勱態(tài)路由是指路由器能夠自勱地建立自己的路由表。夠自勱地建立自己的路由表。路由器之間的路由信息交換是基亍路由協(xié)議實(shí)現(xiàn)的，如路由器之間的路由信息交換是基亍路由協(xié)議實(shí)現(xiàn)的，如OSPF路由協(xié)議是一路由協(xié)議是一種典型的鏈路狀態(tài)的路由協(xié)議。種典型的鏈路狀態(tài)的路由協(xié)議。如果使用勱態(tài)路由協(xié)議應(yīng)配置使用路由協(xié)議認(rèn)證功能，保證網(wǎng)絡(luò)路由安全。如果使用勱態(tài)路由協(xié)議應(yīng)配置使用路由協(xié)議認(rèn)證功能，保證網(wǎng)

41、絡(luò)路由安全。測(cè)評(píng)實(shí)施測(cè)評(píng)實(shí)施:應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否配置路由控制策略以建立安全的訪應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否配置路由控制策略以建立安全的訪問路徑；問路徑； 以CISCO IOS為例，輸入命令：show running-config 檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)： iproute 93 （靜態(tài)） router ospf100 （動(dòng)態(tài)） ipospfmessage-digest-key 1 md5 7 XXXXXX（認(rèn)證碼）（認(rèn)證碼） .結(jié)構(gòu)安全要求: 4.應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

42、；測(cè)評(píng)實(shí)施:登錄網(wǎng)絡(luò)管理軟件,檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，查看其與當(dāng)前運(yùn)行的實(shí)際網(wǎng)絡(luò)系統(tǒng)是否一致；如果沒有網(wǎng)絡(luò)管理軟件,使用其它的網(wǎng)絡(luò)管理軟件查看。如HP OPENVIEW、游龍網(wǎng)管等。.結(jié)構(gòu)安全要求: 5.應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；條款理解：根據(jù)實(shí)際情況和區(qū)域安全防護(hù)要求，應(yīng)在主要網(wǎng)絡(luò)設(shè)備上進(jìn)行VLAN劃分或子網(wǎng)劃分。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的。如果丌同VLAN要迚行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備實(shí)現(xiàn)。使用防火墻，或使用網(wǎng)絡(luò)隔離與交換產(chǎn)品網(wǎng)絡(luò)進(jìn)行劃分網(wǎng)段。測(cè)評(píng)實(shí)施：

43、測(cè)評(píng)實(shí)施：應(yīng)訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)段劃分情況以及劃分的原則；詢問重要網(wǎng)段有哪些，其應(yīng)訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)段劃分情況以及劃分的原則；詢問重要網(wǎng)段有哪些，其具體的部署位置，與其他網(wǎng)段的隔離措施有哪些；具體的部署位置，與其他網(wǎng)段的隔離措施有哪些； 以CISCO IOS為例，輸入命令：show vlan 檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)： vlan2 name info Int e0/2 vlan-membership static 2.結(jié)構(gòu)安全要求: 6.應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取

44、可靠的技術(shù)隔離手段；要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；條款理解條款理解為了保證信息系統(tǒng)的安全，應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，防止來自外部信息系統(tǒng)的攻擊。在重要網(wǎng)段和其它網(wǎng)段之間配置安全策略進(jìn)行行訪問控制。測(cè)評(píng)實(shí)施檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，查看是否將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處，重要網(wǎng)段和其它網(wǎng)段之間是否配置安全策略進(jìn)行行訪問控制，如防火墻。.結(jié)構(gòu)安全要求: 7. 7.應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。測(cè)評(píng)實(shí)施：測(cè)評(píng)實(shí)施：應(yīng)

45、檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否配置對(duì)帶寬進(jìn)行控制的策略，這應(yīng)檢查邊界和主要網(wǎng)絡(luò)設(shè)備，查看是否配置對(duì)帶寬進(jìn)行控制的策略，這些策略是否能夠保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要業(yè)務(wù)。些策略是否能夠保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要業(yè)務(wù)。 以CISCO IOS為例，檢查配置文件中是否存在類似如下配置項(xiàng)： policy-map barpolicy-map bar class voice class voice priority percent 10 priority percent 10 class data class data bandwidth percent 30 bandwidth per

46、cent 30 class video class video bandwidth percent 20 bandwidth percent 20.訪問控制 本項(xiàng)要求包括：應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級(jí)控制粒度為端口級(jí)；應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；等協(xié)議命令級(jí)的控制；應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；應(yīng)限

47、制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶；1.應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。 .訪問控制 要求:1.應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；條款理解條款理解o在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,防御來自其他網(wǎng)絡(luò)的攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。測(cè)評(píng)實(shí)施o檢查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，查看是否在網(wǎng)絡(luò)邊界處部署了訪問控制設(shè)備，是否啟用了訪問控制功能。.訪問控制 要求:2.應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的

48、能力，控，控制粒度為端口級(jí)制粒度為端口級(jí)；條款理解條款理解o在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,對(duì)進(jìn)出網(wǎng)絡(luò)的流量進(jìn)行過濾，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。o配置的訪問控制列表應(yīng)有明確的源/目的地址、源/目的、協(xié)議及服務(wù)等。測(cè)評(píng)實(shí)施（以路由器，或防火墻） 以CISCO IOS為例，輸入命令：show ipaccess-list 檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)： no access-list 111 ipaccess-list extended 111 deny ipx.x.x.0 55 any log interface eth 0/0 ipaccess-group 111 in.訪問控制以防火

49、墻檢查為例，應(yīng)有明確的訪問控制策略，如下圖所示：.訪問控制 要求:3.應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；等協(xié)議命令級(jí)的控制；條款理解條款理解o對(duì)亍一些常用的應(yīng)用層協(xié)議，能夠在訪問控制設(shè)備上實(shí)現(xiàn)應(yīng)用層協(xié)議命令級(jí)的控制和內(nèi)容檢查，從而增強(qiáng)訪問控制粒度。測(cè)評(píng)實(shí)施測(cè)評(píng)實(shí)施o該測(cè)評(píng)項(xiàng)一般在防火墻、入侵防御系統(tǒng)上檢查。o首先查看防火墻、入侵防御系統(tǒng)是否具有該功能，然后登錄設(shè)備查看是否啟用了相應(yīng)的功能。.訪問控制以聯(lián)想網(wǎng)御防火墻為例，如下圖所示：.訪問控制 要求:4.應(yīng)在會(huì)話處于非活躍

50、一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；條款理解條款理解o當(dāng)惡意用戶迚行網(wǎng)絡(luò)攻擊時(shí)，有時(shí)會(huì)發(fā)起大量會(huì)話連接，建立會(huì)話后長(zhǎng)時(shí)間保持狀態(tài)連接從而占用大量網(wǎng)絡(luò)資源，最終將網(wǎng)絡(luò)資源耗盡的情況。o應(yīng)在會(huì)話終止或長(zhǎng)時(shí)間無響應(yīng)的情況下終止網(wǎng)絡(luò)連接，釋放被占用網(wǎng)絡(luò)資源，保證業(yè)務(wù)可以被正常訪問。測(cè)評(píng)實(shí)施o該測(cè)評(píng)項(xiàng)一般在防火墻上檢查。o登錄防火墻，查看是否設(shè)置了會(huì)話連接超時(shí)，設(shè)置的超時(shí)時(shí)間是多少，判斷是否合理。.訪問控制以天融信防火墻為例，如下圖所示：.訪問控制 要求:5.應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；條款理解條款理解o可根據(jù)IP

51、地址、端口、協(xié)議來限制應(yīng)用數(shù)據(jù)流的最大流量，還可以根據(jù)IP地址來限制網(wǎng)絡(luò)連接數(shù)，從而保證業(yè)務(wù)帶寬丌被占用，業(yè)務(wù)系統(tǒng)可以對(duì)外正常提供業(yè)務(wù)。測(cè)評(píng)實(shí)施o該測(cè)評(píng)項(xiàng)一般在防火墻上檢查。訪談系統(tǒng)管理員，依據(jù)實(shí)際網(wǎng)絡(luò)狀況是否需要限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。o登錄設(shè)備查看是否設(shè)置了最大流量數(shù)和連接數(shù)，并做好記錄。.訪問控制以天融信防火墻為例，如下圖所示：.訪問控制 要求:6.重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；o條款理解條款理解o地址欺騙在網(wǎng)絡(luò)安全中比較重要的一個(gè)問題,這里的地址,可以是MAC地址,也可以是IP地址。在關(guān)鍵設(shè)備上，采用IP/MAC地址綁定方式防止地址欺騙

52、。測(cè)評(píng)實(shí)施以CISCO IOS為例，輸入show ip arp 檢查配置文件中應(yīng)當(dāng)存在類似如下配置項(xiàng)： arp 0000.e268.9980 arpa.訪問控制以聯(lián)想網(wǎng)御防火墻為例，如下圖所示：.訪問控制 要求:7.應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶；條款理解條款理解o對(duì)亍進(jìn)程撥號(hào)用戶，應(yīng)在相關(guān)設(shè)備上提供用戶認(rèn)證功能。o通過配置用戶、用戶組，并結(jié)合訪問控制規(guī)則可以實(shí)現(xiàn)對(duì)認(rèn)證成功的用戶允許訪問受控資源。測(cè)評(píng)實(shí)施o登錄相關(guān)設(shè)備查看是否對(duì)撥號(hào)用戶迚行身份認(rèn)證，是否配置訪問控制規(guī)則對(duì)認(rèn)證成功的用戶允許訪問受控資源。.訪問

53、控制 要求:8.應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。條款理解條款理解o應(yīng)限制通過進(jìn)程采用撥號(hào)方式或通過其他方式連入系統(tǒng)內(nèi)部的用戶數(shù)量。測(cè)評(píng)實(shí)施o詢問系統(tǒng)管理員，是否有進(jìn)程撥號(hào)用戶，采用什么方式接入系統(tǒng)部，采用何種方式迚行身份認(rèn)證，具體用戶數(shù)量有多少。 .安全審計(jì)本項(xiàng)要求包括：應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；1.應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期

54、的刪除、修改或覆蓋等。修改或覆蓋等。.第二部分 等級(jí)保護(hù)測(cè)評(píng)要求（5）等級(jí)保護(hù)測(cè)評(píng)要求部分解讀 （主機(jī)安全操作系統(tǒng)）.身份鑒別本項(xiàng)要求包括：應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。1.應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。應(yīng)采用兩種或兩種以上組合的鑒

55、別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。.身份鑒別要求:1.應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；條款理解用戶的身份標(biāo)識(shí)和鑒別，就是用戶向系統(tǒng)以一種安全的方式提交自己的身份證實(shí)，然后由系統(tǒng)確認(rèn)用戶的身份是否屬實(shí)的過程。.身份鑒別測(cè)評(píng)實(shí)施 Window：訪談系統(tǒng)管理員，系統(tǒng)用戶是否已設(shè)置密碼，并查看登錄過程中系統(tǒng)賬戶是否使用了密碼進(jìn)行驗(yàn)證登錄。 Linux：采用查看方式，在root權(quán)限下，使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中各用戶名狀態(tài).身份鑒別要求:2.操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更

56、換；測(cè)評(píng)實(shí)施 Windows:本地安全策略-帳戶策略-密碼策略中的相關(guān)項(xiàng)目 Linux:采用查看方式，在root權(quán)限下，使用命令more、cat或vi查看/文件中相關(guān)配置參數(shù).身份鑒別.身份鑒別.身份鑒別要求:3.應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；條款理解要求系統(tǒng)應(yīng)具有一定的登錄控制功能?？梢酝ㄟ^適當(dāng)?shù)呐渲谩皫翩i定策略”來對(duì)用戶的登錄進(jìn)行限制。如帳戶鎖定閾值，帳戶鎖定時(shí)間等。測(cè)評(píng)實(shí)施Windows:本地安全策略-帳戶策略-帳戶鎖定策略中的相關(guān)項(xiàng)目Linux:采用查看方式，在root權(quán)限下，使用命令more、cat或vi查看文件中相關(guān)配置參數(shù).身份鑒別.

57、身份鑒別.身份鑒別要求:4.當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；條款理解為方便管理員進(jìn)行管理操作，眾多服務(wù)器采用了網(wǎng)絡(luò)登錄的方式進(jìn)行遠(yuǎn)程管理操作，例如Linux可以使用telnet登錄，Windows使用遠(yuǎn)程終端服務(wù)?；疽笠?guī)定了這些傳輸?shù)臄?shù)據(jù)需要進(jìn)行加密處理過，目的是為了保障帳戶與口令的安全。測(cè)評(píng)實(shí)施Windows: 確認(rèn)操作系統(tǒng)版本 確認(rèn)終端服務(wù)器使用了SSL加密 確認(rèn)RDP客戶端使用SSL加密.身份鑒別Linux: 在root權(quán)限下，使用命令more、cat或vi查看是否運(yùn)行了sshd服務(wù)：service status-all | grep s

58、shd 若未使用ssh方式進(jìn)行遠(yuǎn)程管理，則查看是否使用了telnet方式進(jìn)行遠(yuǎn)程管理：service status-all | grep running.身份鑒別要求:5.應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。條款理解條款理解對(duì)于操作系統(tǒng)來說，用戶管理是操作系統(tǒng)應(yīng)具備的基本功能。用戶管理由創(chuàng)建用戶和組以及定義它們的屬性構(gòu)成。用戶的一個(gè)主要屬性是如何對(duì)他們進(jìn)行認(rèn)證。用戶是系統(tǒng)的主要代理。其屬性控制他們的訪問權(quán)、環(huán)境、如何對(duì)他們進(jìn)行認(rèn)證以及如何、何時(shí)、在哪里可以訪問他們的帳戶。因此，用戶標(biāo)識(shí)的唯一性至關(guān)重要。如果系統(tǒng)允許用戶名相同，而UID不同，其唯一性標(biāo)識(shí)為U

59、ID，如果系統(tǒng)允許UID相同，而用戶名不同，其唯一性標(biāo)識(shí)為用戶名。.身份鑒別測(cè)評(píng)實(shí)施Windows:“管理工具”-“計(jì)算機(jī)管理”-“本地用戶和組”中的“用戶”，檢查其中的用戶名是否出現(xiàn)重復(fù)。Linux:采用查看方式，在root權(quán)限下，使用命令more、cat或vi查看/etc/passwd文件中用戶名信息.身份鑒別要求要求:6.應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。條款理解對(duì)于三級(jí)以上的操作系統(tǒng)應(yīng)使用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別，如密碼和令牌的組合使用等。測(cè)評(píng)實(shí)施訪談系統(tǒng)管理員，詢問系統(tǒng)除用戶名口令外

60、有無其他身份鑒別方法，如有沒有令牌等。.訪問控制本項(xiàng)要求包括：應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問；應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；僅授予管理用戶所需的最小權(quán)限；應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；應(yīng)及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在。應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；1.應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)