等级保护测评讲解ppt课件.ppt

《等级保护测评讲解ppt课件.ppt》由会员分享，可在线阅读，更多相关《等级保护测评讲解ppt课件.ppt（43页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物等级保护测评介绍等级保护测评介绍我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物2 2v 主要内容主要内容等级保护测评简介等级保护测评简介等级保护测评内容等级保护测评内容等级保护测评流程等级保护测评流程等级保护测评方式、技术和工具等级保护测评方式、技术和工具我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表

2、里边有一个活的生物1.1.等级保护测评目的等级保护测评目的2.2.等级保护测评依据等级保护测评依据3.3.等级保护测评原则等级保护测评原则v 等级保护测评简介等级保护测评简介我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1.1.等级保护测评目的等级保护测评目的2.2.等级保护测评依据等级保护测评依据3.3.等级保护测评原则等级保护测评原则v 等级保护测评简介等级保护测评简介我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生

3、物5v 等级保护测评目的等级保护测评目的我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1.1.等级保护测评目的等级保护测评目的2.2.等级保护测评依据等级保护测评依据3.3.等级保护测评原则等级保护测评原则v 等级保护测评简介等级保护测评简介我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物7 7v 等级保护测评依据等级保护测评依据1.1.信息系统信息系统建设完成后建设完成后，运营、使用单位或者其主管部门应，运营、使用单

4、位或者其主管部门应当选择符合本办法规定条件的测评机构，依据当选择符合本办法规定条件的测评机构，依据信息系统安信息系统安全等级保护测评要求全等级保护测评要求等技术标准等技术标准，定期对信息系统安全等，定期对信息系统安全等级状况开展级状况开展等级测评等级测评；2.2.第三级信息系统第三级信息系统应当应当每年每年至少进行一次等级测评，至少进行一次等级测评，第四级第四级信息系统信息系统应当应当每半年每半年至少进行一次等级测评，至少进行一次等级测评，第五级信息系第五级信息系统统应当依据特殊安全需求进行等级测评；应当依据特殊安全需求进行等级测评；3.3.信息系统运营、使用单位及其主管部门应当定期对信息系信

5、息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查；殊安全需求进行自查；4.4.经经测评测评或者自查，信息系统安全状况或者自查，信息系统安全状况未达到安全保护等级未达到安全保护等级要求的要求的，运营、使用单位应当，运营、使用单位应当制定方案进行整改制定方案进行整改信息安全

6、等级保护管理办法信息安全等级保护管理办法( (公通字公通字200743200743号号) )我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物8 8v 等级保护测评依据等级保护测评依据GB17859-1999 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则GB/T22239-2008信息安全技术信息安全技术 信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T 20008-2005 信息安全技术信息安全技术 操作系统安全测评准则操作系统安全测评准则GB/T 20009-200

7、5 信息安全技术信息安全技术 数据库管理系统安全测评准则数据库管理系统安全测评准则GB/T 20010-2005 信息安全技术信息安全技术 包过滤防火墙测评准则包过滤防火墙测评准则GB/T 20011-2005 信息安全技术信息安全技术 路由器安全测评准则路由器安全测评准则相相 关关 标标 准准测评主要标准测评主要标准参考技术标准参考技术标准GB/TXXXX-XXXX信息安全技术信息系统安全等级保护测评要求信息安全技术信息系统安全等级保护测评要求 (报批稿报批稿)GB/T24856-2009信息安全技术信息安全技术 信息系统等级保护安全设计技术信息系统等级保护安全设计技术要求要求我吓了一跳，蝎

8、子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1.1.等级保护测评目的等级保护测评目的2.2.等级保护测评依据等级保护测评依据3.3.等级保护测评原则等级保护测评原则v 等级保护测评简介等级保护测评简介我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1010v 等级保护测评原则等级保护测评原则测评工作的开展、方案的设计和具体实施均需依据我测评工作的开展、方案的设计和具体实施均需依据我国等级保护的相关标准进行。国等级保护的相关标准进行

9、。我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1111v 等级保护测评原则等级保护测评原则为用户提供规范的服务，工作中的过程和文档需具有为用户提供规范的服务，工作中的过程和文档需具有 良好的规范性，可以便于项目的跟踪和控制。良好的规范性，可以便于项目的跟踪和控制。我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1212v 等级保护测评原则等级保护测评原则为用户提供规范的服务。工作中的过程和文档，具有很好的规范性，可以

10、便于项目的跟踪和控制 测评过程和所使用的工具具备可控性，测评项目所采用测评过程和所使用的工具具备可控性，测评项目所采用的工具都经过多次测评项目考验，或者是根据具体要的工具都经过多次测评项目考验，或者是根据具体要求和组织的具体网络特点定制的，具有良好的可控性。求和组织的具体网络特点定制的，具有良好的可控性。我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1313v 等级保护测评原则等级保护测评原则为用户提供规范的服务。工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制 测评服务从组织的实际需求出发

11、，从业务角度进行测评，测评服务从组织的实际需求出发，从业务角度进行测评，而不是局限于网络、主机等单个的安全层面，涉及到安而不是局限于网络、主机等单个的安全层面，涉及到安全管理和业务运营，保障整体性和全面性。全管理和业务运营，保障整体性和全面性。我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1414v 等级保护测评原则等级保护测评原则为用户提供规范的服务。工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制 测评工作具备充分的计测评工作具备充分的计划性，不对现有的运行划性，不对现有的运行和业务的正

12、常提供产生和业务的正常提供产生显著影响，尽可能小地显著影响，尽可能小地影响系统和网络的正常影响系统和网络的正常运行。运行。我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1515v 等级保护测评原则等级保护测评原则从公司、人员、过程三个从公司、人员、过程三个方面进行保密控制：方面进行保密控制：1.1.测评公司与甲方双方签测评公司与甲方双方签署保密协议，不得利用测署保密协议，不得利用测评中的任何数据进行其他评中的任何数据进行其他有损甲方利益的活动；有损甲方利益的活动；2.2.人员保密，公司内部签人员保密，公司

13、内部签订保密协议；订保密协议；3.3.在测评过程中对测评数在测评过程中对测评数据严格保密。据严格保密。我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1616v 等级保护测评原则等级保护测评原则根据被测信息系统根据被测信息系统的实际业务需求、的实际业务需求、功能需求、以及对功能需求、以及对应的安全建设情况，应的安全建设情况，开展针对性较强的开展针对性较强的测评工作。测评工作。我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生

14、物1717v 主要内容主要内容等级保护测评简介等级保护测评简介等级保护测评内容等级保护测评内容等级保护测评流程等级保护测评流程等级保护测评方式、技术和工具等级保护测评方式、技术和工具等级保护相关政策介绍等级保护相关政策介绍我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物18v 等级保护测评内容等级保护测评内容测测评评内内容容测评内容覆盖组织的重要信息资产测评内容覆盖组织的重要信息资产技术层面：测评和分析在网络和主机上存在的安全技术风险，技术层面：测评和分析在网络和主机上存在的安全技术风险，包括物理环境、网络

15、设备、主机系统、数据库、应用系统等软包括物理环境、网络设备、主机系统、数据库、应用系统等软硬件设备硬件设备管理层面：从组织的人员、组织结构、管理制度、系统运行保管理层面：从组织的人员、组织结构、管理制度、系统运行保障措施，以及其它运行管理规范等角度，分析业务运作和管理障措施，以及其它运行管理规范等角度，分析业务运作和管理方面存在的安全缺陷方面存在的安全缺陷通过对以上各种安全威胁的分析和汇总，形成组织的安全测评通过对以上各种安全威胁的分析和汇总，形成组织的安全测评报告报告根据组织的安全测评报告和安全现状，提出相应的安全整改建根据组织的安全测评报告和安全现状，提出相应的安全整改建议，指导下一步的信

16、息安全建设议，指导下一步的信息安全建设我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物1919v 主要内容主要内容等级保护测评简介等级保护测评简介等级保护测评内容等级保护测评内容等级保护测评流程等级保护测评流程等级保护测评方式、技术和工具等级保护测评方式、技术和工具等级保护相关政策介绍等级保护相关政策介绍我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物20v 等级保护测评流程等级保护测评流程前期沟通前期沟通我吓了一跳，蝎

17、子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物21v 等级保护测评流程等级保护测评流程前期沟通前期沟通我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物22v 等级保护测评流程等级保护测评流程前期沟通前期沟通我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物23v 等级保护测评流程等级保护测评流程前期沟通前期沟通测评实施测评实施我吓了一跳，蝎子是多么

18、丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物24v 等级保护测评流程等级保护测评流程前期沟通前期沟通测评实施测评实施我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物25v 等级保护测评流程等级保护测评流程前期沟通前期沟通测评实施测评实施形成报告形成报告我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物26v 等级保护测评流程等级保护测评流程-各阶段提交物

19、各阶段提交物前期沟通前期沟通测评实施测评实施形成报告形成报告系统名称系统名称主管机构主管机构系统承载系统承载业务情况业务情况业务类型1生产作业 2指挥调度 3管理控制 4内部办公 5公众服务 9其他 业务描述系统服务系统服务情况情况服务范围10全国 11跨省（区、市） 跨 个 20全省（区、市） 21跨地（市、区） 跨 个30地（市、区）内 99其它 服务对象1单位内部人员 2社会公众人员 3两者均包括 9其他 系统网络系统网络平台平台覆盖范围1局域网 2城域网 3广域网 9其他 网络性质1业务专网 2互联网 9其它 系统互联系统互联情况情况 1与其他行业系统连接 2与本行业其他单位系统连接3

20、与本单位其他系统连接 9其它 业务信息安全保护等级业务信息安全保护等级系统服务安全保护等级系统服务安全保护等级信息系统安全保护等级信息系统安全保护等级1 本报告模板针对作为单一定级对象的信息系统制定。被被测测系系统统基本信基本信息采集表息采集表我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物27v 等级保护测评流程等级保护测评流程-各阶段提交物各阶段提交物前期沟通前期沟通测评实施测评实施形成报告形成报告1 本报告模板针对作为单一定级对象的信息系统制定。序号序号软件名称软件名称主要功能主要功能重要程度重要程度

21、业务应业务应用用软软件件统计统计表表序号序号数据类型数据类型所属业务应用所属业务应用主机主机/存储设备存储设备重要程度重要程度关键数关键数据据类别统计类别统计表表序号序号设备名称设备名称操作系统操作系统/数据库管理系统数据库管理系统业务应用软件业务应用软件主机主机/ /存存储设备统计储设备统计表表我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物28v 等级保护测评流程等级保护测评流程-各阶段提交物各阶段提交物前期沟通前期沟通测评实施测评实施形成报告形成报告序号序号设备名称设备名称用用 途途重要程度重要程度网

22、络网络互互联联及安全及安全设备设备统计统计表表序号序号姓名姓名岗位岗位/角色角色联系方式联系方式安全相安全相关关人人员统计员统计表表序号序号文档名称文档名称主要内容主要内容安全管理文安全管理文档统计档统计表表序号序号威胁分威胁分(子子)类类描述描述威胁赋值威胁赋值威威胁统计胁统计表表我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物29v 等级保护测评流程等级保护测评流程-各阶段提交物各阶段提交物前期沟通前期沟通测评实施测评实施形成报告形成报告1 1、项目概述、项目概述2 2、工作依据、工作依据3 3、工作内

23、容、工作内容4 4、任务分工、任务分工5 5、时间计划、时间计划6 6、项目评审、项目评审测评测评工作工作计划计划1 1、项目概述、项目概述2 2、测评对象、测评对象3 3、测评指标、测评指标4 4、测评方式和工具、测评方式和工具5 5、层面测评实施、层面测评实施6 6、系统测评实施、系统测评实施测评测评方案方案我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物30v 等级保护测评流程等级保护测评流程-各阶段提交物各阶段提交物前期沟通前期沟通测评实施测评实施形成报告形成报告类别类别测评内容测评内容结果记录结果

24、记录符合情况符合情况网络访问控制网络访问控制a) a) 应在网络边界部署访问控制设备，启用访应在网络边界部署访问控制设备，启用访问控制功能；问控制功能；b) b) c) c) d) d) e) e) f) f) g) g) h) h) 现场测评结现场测评结果果记录记录表表我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物31v 等级保护测评流程等级保护测评流程-各阶段提交物各阶段提交物前期沟通前期沟通测评实施测评实施形成报告形成报告序号序号名称名称测评指标子类测评指标子类网络网络结构结构安全安全网络网络访问访

25、问控制控制网络网络安全审安全审计计边界边界完整性完整性检查检查网络网络入侵入侵防范防范恶意恶意代码代码防范防范网络网络设备设备防护防护1 1IOS_IOS_路由路由器器 _ 内内部部_1部分部分符合符合4/74/7符合符合0/40/4符合符合0/60/6符合符合0/20/2不符不符合合2/22/2不符不符合合2/22/2部分部分符合符合6/96/92 2I O S _I O S _路由路由器器_VPN_1单单元元测评结测评结果果汇总汇总表表我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物32v 等级保护测评

26、流程等级保护测评流程-各阶段提交物各阶段提交物前期沟通前期沟通测评实施测评实施形成报告形成报告序号分类子类符合情况符合部分符合不符合1物理安全物理位置的选择2物理访问控制3防盗窃和防破坏4防雷击5防火6防水和防潮7防静电8温湿度控制9电力供应10电磁防护11网络安全结构安全12访问控制13安全审计14边界完整性检查15入侵防范16恶意代码防范17网络设备防护18主机安全身份鉴别19安全标记20访问控制21可信路径22安全审计23剩余信息保护24入侵防范25恶意代码防范26资源控制27应用安全身份鉴别28安全标记29访问控制30可信路径31安全审计32剩余信息保护33通信完整性34通信保密性35

27、抗抵赖36软件容错37资源控制38数据安全及备份恢复数据完整性39数据保密性40备份和恢复41安全管理制度管理制度42制定和发布43评审和修订44安全管理机构岗位设置45人员配备46授权和审批47沟通和合作48审核和检查49人员安全管理人员录用50人员离岗51人员考核52安全意识教育和培训53外部人员访问管理54系统建设管理系统定级55安全方案设计56产品采购和使用57自行软件开发58外包软件开发59工程实施60测试验收61系统交付62系统备案63等级测评64安全服务商选择65系统运维管理环境管理66资产管理67介质管理68设备管理69监控管理和安全管理中心70网络安全管理71系统安全管理72

28、恶意代码防范管理73密码管理74变更管理75备份与恢复管理76安全事件处置77应急预案管理测评结测评结果果统计统计表表我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物33v 等级保护测评流程等级保护测评流程-各阶段提交物各阶段提交物前期沟通前期沟通测评实施测评实施形成报告形成报告序号序号分类分类子类子类符合情况符合情况符合符合部分符合部分符合不符合不符合1物理安全物理安全物理位置的选择物理位置的选择 2物理访问控制物理访问控制 3防盗窃和防破坏防盗窃和防破坏 4防雷击防雷击 5防火防火 6防水和防潮防水和防

29、潮 7防静电防静电 8温湿度控制温湿度控制 9电力供应电力供应 10电磁防护电磁防护 测评结测评结果果统计统计表表我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物34v 等级保护测评流程等级保护测评流程-各阶段提交物各阶段提交物前期沟通前期沟通测评实施测评实施形成报告形成报告1 1、测评项目概述、测评项目概述2 2、被测系统情况、被测系统情况3 3、等级测评范围与方法、等级测评范围与方法4 4、等级测评内容、等级测评内容5 5、等级测评结果、等级测评结果6 6、风险分析和评价、风险分析和评价7 7、系统安全

30、建设、整改建议、系统安全建设、整改建议附：信息系统安全等级保护备案表附：信息系统安全等级保护备案表安全安全测评报测评报告告我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物3535v 主要内容主要内容等级保护测评简介等级保护测评简介等级保护测评内容等级保护测评内容等级保护测评流程等级保护测评流程等级保护测评方式、技术和工具等级保护测评方式、技术和工具等级保护相关政策介绍等级保护相关政策介绍我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边

31、有一个活的生物v 等级保护测评方式、技术和工具等级保护测评方式、技术和工具访谈访谈检查检查测试测试 访谈是测评人员通过与信息系统有访谈是测评人员通过与信息系统有关人员（个人关人员（个人/ /群体）进行交流、讨论等群体）进行交流、讨论等活动，获取证据以证明信息系统安全等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。级保护措施是否有效的一种方法。 在访谈的广度上，应基本覆盖所有在访谈的广度上，应基本覆盖所有的安全相关人员类型，在数量上可以抽的安全相关人员类型，在数量上可以抽样；在访谈的深度上，应较全面，需包样；在访谈的深度上，应较全面，需包含通用和高级的问题以及一些有难度和含通用

32、和高级的问题以及一些有难度和探索性的问题。探索性的问题。我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物v 等级保护测评方式、技术和工具等级保护测评方式、技术和工具访谈访谈检查检查测试测试 检查是指测评人员通过对测评对象检查是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证进行观察、查验、分析等活动，获取证据以证明信息系统安全等级保护措施是据以证明信息系统安全等级保护措施是否有效的一种方法。否有效的一种方法。 在检查的广度上，应基本覆盖所有在检查的广度上，应基本覆盖所有的对象种类（文档、机制等），

33、数量上的对象种类（文档、机制等），数量上可以抽样；在检查的深度上，应较为全可以抽样；在检查的深度上，应较为全面，要有详细、彻底的分析、观察和研面，要有详细、彻底的分析、观察和研究。究。我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物v 等级保护测评方式、技术和工具等级保护测评方式、技术和工具访谈访谈检查检查测试测试 测试是指测评人员通过对测评对象按照预定测试是指测评人员通过对测评对象按照预定的方法的方法/ /工具使其产生特定的响应等活动，查看、工具使其产生特定的响应等活动，查看、分析响应输出结果，获取证据以

34、证明信息系统安分析响应输出结果，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。全等级保护措施是否有效的一种方法。 在测试的广度上，应基本覆盖不同类型的机在测试的广度上，应基本覆盖不同类型的机制，在数量、范围上可以抽样；在测试的深度上，制，在数量、范围上可以抽样；在测试的深度上，应执行安全测试和渗透测试，安全测试可能涉及应执行安全测试和渗透测试，安全测试可能涉及机制的功能规范、高级设计和操作规程等文档，机制的功能规范、高级设计和操作规程等文档，渗透测试可能涉及机制的所有可用文档，并试图渗透测试可能涉及机制的所有可用文档，并试图智取进入信息系统。智取进入信息系统。我吓了一跳，蝎子是多么

35、丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物v 等级保护测评方式、技术和工具等级保护测评方式、技术和工具网络扫描网络扫描网络扫描用于本地或远程检测系统可能存网络扫描用于本地或远程检测系统可能存在的弱点。弱点扫描工具（在的弱点。弱点扫描工具（ScannerScanner）是一）是一个或一组自动化工具，使用弱点扫描工具个或一组自动化工具，使用弱点扫描工具能够高效率地收集业务系统的信息。例如，能够高效率地收集业务系统的信息。例如，一个网络端口扫描工具可以快速识别大量一个网络端口扫描工具可以快速识别大量主机开放的服务，获得业务系统所

36、涉及的主机开放的服务，获得业务系统所涉及的每个每个IT IT 设备的运行状态。网络扫描遵循扫设备的运行状态。网络扫描遵循扫描时间段选择、单点试扫、主备分开等原描时间段选择、单点试扫、主备分开等原则。扫描结束后，提交经过分析的扫描报则。扫描结束后，提交经过分析的扫描报告，以及扫描原始报告。告，以及扫描原始报告。我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物v 等级保护测评方式、技术和工具等级保护测评方式、技术和工具网络扫描网络扫描渗透测试利用人工模拟黑客攻击方式发现渗透测试利用人工模拟黑客攻击方式发现网络、

37、系统的弱点。需要注意，渗透测试网络、系统的弱点。需要注意，渗透测试的风险较其它几种手段要大得多，在实际的风险较其它几种手段要大得多，在实际测评中需要斟酌使用。测评中需要斟酌使用。渗透测试渗透测试我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物v 等级保护测评方式、技术和工具等级保护测评方式、技术和工具网络扫描网络扫描系统分析主要指网络结构和边界分析，它系统分析主要指网络结构和边界分析，它是测评中对业务系统安全性进行全面了解是测评中对业务系统安全性进行全面了解的基础。一个业务系统的网络结构是整个的基础。一个业

38、务系统的网络结构是整个业务系统的承载基础，及时发现网络结构业务系统的承载基础，及时发现网络结构存在的安全性、网络负载问题，网络设备存在的安全性、网络负载问题，网络设备存在的安全性，抗攻击的问题是整个业务存在的安全性，抗攻击的问题是整个业务系统测评的重要环节。对测评对象的物理系统测评的重要环节。对测评对象的物理网络结构，逻辑网络结构及网络的关键设网络结构，逻辑网络结构及网络的关键设备进行测评备进行测评( (基本信息包括网络带宽、协议、基本信息包括网络带宽、协议、硬件、硬件、Internet Internet 接入、地理分布方式和网接入、地理分布方式和网络管理络管理) )，发现存在的安全性，合理性

39、，使，发现存在的安全性，合理性，使用效率等方面的问题。结合业务体系、系用效率等方面的问题。结合业务体系、系统体系等结构的检查逻辑网络，由什么物统体系等结构的检查逻辑网络，由什么物理网络组成以及网络的关键设备的位置所理网络组成以及网络的关键设备的位置所在对于保持网络的安全是非常重要的。在对于保持网络的安全是非常重要的。渗透测试渗透测试系统分析系统分析我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物v 等级保护测评方式、技术和工具等级保护测评方式、技术和工具网络扫描网络扫描测评人员的经验积累、技术实力同样是等测评人员的经验积累、技术实力同样是等级保护测评的重要因素。级保护测评的重要因素。渗透测试渗透测试系统分析系统分析人员经验人员经验我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物