等保中级测评师复习大纲2019版

整体内容介绍：
第1章为整体的标准体系介绍，以及自网络安全法颁布实施以来新标准（6个）发生的变化。
第2-7章分别对以上六个新标准进行详细解读。
第8-12章从测评机构的角度把等保测评实施的几个关键活动进行详细讲解。

第1章 等级保护标准体系 8

等保标准全家福：
GB 17859-1999《计算机信息系统 安全保护等级划分准则》
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》
GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》
GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》
GB∕T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》
GB∕T 25058-2019《 信息安全技术 网络安全等级保护实施指南 》
GB∕T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》

其它产品类标准（略）

1.1体系结构图 8

1.1.1层次关系 9

网络安全等级保护标准体系结构分为三层，哪三层？

1.1.2序列关系 9

从等级保护工作全生命周期来看，各个阶段用到哪些标准？

1.2 标准明细表（略） 9

1.3主要标准概述 9

把全家福的七个标准都大概介绍了一遍。除了第一个划分准则之外，其它所有标准都是在网络安全法之后重新修订过的，这里把修订后的变化内容都介绍了一遍（名字肯定是都变了）。

1.3.1划分准则 9

唯一的强制标准（GB），划分结果：
第一级——用户自主保护级
第二级——系统审计保护级
第三级——安全标记保护级
第四级——结构化保护级
第五级——访问验证保护级

1.3.2实施指南 9

1.实施基本流程的变化：定级备案、总体安全规划、安全设计与实施、安全运行与维护、对象终止。
2.定级备案阶段增加了行业/领域定级工作。
3.总体安全规划阶段的变化：（国家+行业）等级保护管理规范和技术标准。

1.3.3定级指南 10

1.定级对象变化：信息系统、通信网络设施、数据资源。
2.定级流程：增加专家评审和主管部门核查（如果有）。

1.3.4基本要求 11

1.增加安全扩展要求。
2.技术要求和管理要求两个安全层面与1.0版本有变更。
3.取消了原来安全控制点的S、A、G标注。

1.3.5安全设计技术要求 11

1.增加了对云计算、移动互联、物联网、工业控制类定级对象的设计框架和设计技术要求。
2.增加了安全计算环境、安全区域边界的“可信验证”技术要求。
3.增加了安全通信网络的“可信连接验证。

1.3.6测评要求 11

1.单元测评和整体测评调整为单项测评和整体测评。
2.与基本要求对应，分为安全测评通用要求和安全测评扩展要求。
3.增加测评编号。
4.测评要求在级差上的变化：测评方法、测评对象范围、测评实施。

1.3.7测评过程指南 12

1.增加系统安全保障评估。
2.补充新技术相关内容。
3.更新测评报告模板2019版。

第2章 网络安全等级保护实施指南解读 14

2.1概述 14

2.1.1标准范围与作用 14

范围：等级保护对象从规划设计到终止运行的全过程。
作用：为运营、使用单位提供：等级保护工作实施指导+技术指导（加建设单位）

2.1.2与其他标准的关系 14

是以GB 17859-1999为基础，根据现有技术发展水平提出的对不同安全保护等级的等级保护对象的最基本安全要求，是其他标准的一个底线子集。

2.1.3标准修订思路 15

2.1.4主要修订 16

2.1.5标准结构 17

2.2描述框架 17

框架结构上分为阶段和活动。
阶段就是等保实施的五个阶段，对应第5、6、7、8、9章的标题。
活动就是五个阶段的实施环节，对应第5、6、7、8、9章的二级标题。

2.3等级保护基本流程 17

2.3.1基本实施流程 17

安全运行与维护阶段，定级对象发生变化，如何调整？

2.3.2等级保护对象定级与备案 19

涉及到运营、使用单位、主管部门、公安机关。
主管部门从行业特征、业务覆盖范围、主要承担的社会功能/职能和生产产值等方面梳理所有业务情况。
运营、使用单位针对每个业务，依据《网络安全等级保护定级指南》标准，根据业务信息重要性和系统服务重要性分析其安全保护要求，形成针对主要业务的行业/领域定级指导意见。
运营、使用单位到主管部门审核、批准，报公安机关备案审查。

2.3.3总体安全规划 19

涉及到的角色主要是运营、使用单位和网络安全服务机构。该项工作可以由运营、使用单位独立完成。也可以由网络安全服务机构协助运营、使用单位完成。
1.定需求。由于等级已确定，因此应按《网络安全等级保护基本要求》对照相应等级选择相应的要求项作为安全保护需求。
还要注意系统的特殊安全需求。就是针对等保对象中的重要部件，分析其面临的威胁，确定需要优先实现的除基本安全保护需求之外的特殊安全保护要求。
2.定安全保障战略及方针
3.定安全目标，制定安全策略
4.规划技术体系架构和安全管理体系架构，技术体系架构设计时应重点关注不同等级定级对象之间互联时的安全防护策略

2.3.4安全设计与实施 20

根据建设目标和建设内容将等级保护对象安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上，提出能够实现的产品或组件及其具体规范，并将产品功能特征整理成文档，使得在网络安全产品采购和安全控制开发阶段具有依据。
安全技术体系设计与实施：
1.依据安全需求进行总体网络结构框架的设计
2.进行安全功能要求和性能要求的设计
3.结合当前等级保护对象网络拓扑构、设计最新的部署方案
4.选购设备组件，并对相关组件实施安全配置
注意：没有产品能够实现安全措施或需求的时候，需要专门设计、开发。
5.将不同的软硬件产品进行集成，综合、整合成为一个系统。
安全管理体系设计与实施：从组织机构、人员、文档及建设过程管理等方面来考虑。
1.组织机构与人员方面：网络安全管理机构和人员、网络安全维护队伍、网络安全专家队伍、网络安全检查评估审计队伍
2.文档方面：高层策略文件、各类管理制度、具体操作规程和各类操作记录称为四层塔式管理文件体系。
3.安全建设过程管理：项目实施过程中的一些管理控制要求的实施。

2.3.5安全运行与维护 20

包括安全运行与维护机构和安全运行与维护机制的建立，环境、资产、设备、介质的管理，网络、系统的管理，密码、密钥的管理，运行、变更的管理，安全状态监控和安全事件处置，安全审计和安全检查等内容。
运营、使用单位还应该做好在异常状态下的应急和保障工作。
应针对不同等级不同类别的安全事件制定相应的应急预案，应急预案应尽量覆盖不同的安全事件，流程详细可操作。

2.3.6定级对象终止 21

定级对象被转移、终止或废弃时，正确处理其中的敏感信息，即对需处理的对象进行梳理识别，制定相应处理方案并进行严格审批，彻底清除敏感信息，对各项处理过程进行详细记录在案等。

第3章 定级指南解读 23

3.1概述 23

3.1.1标准定位 23

3.1.2修订背景介绍 23

3.1.3主要修订方面 23

3.1.4框架结构 23

3.2基本概念 24

3.2.1等级保护对象 24

等级保护对象定义为：“网络安全等级保护工作直接作用的对象，包括信息系统、通信网络设施和数据资源”。
通信网络设施是指为信息流通、网络运行等起基础支撑作用的网络设备设施，典型对象包括电信网、广播电视传输网，以及行业或单位的跨省专用网（骨干部分）等；
信息系统是指由计算机或其他信息终端及相关设备组成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的系统，典型对象即包括办公自动化系统、邮件系统等传统计算机信息系统，也包括工业控制系统、云计算平台、物联网以及使用移动互联技术的信息系统等融合了新技术新应用的新型等级保护对象；
而数据资源的典型例子是大数据。

3.2.2安全保护等级 25

五级，根据等保对象（就是3.2.1中的三个东西）在国家安全、经济建设、社会生活中的重要程度，以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素来确定等级。

3.2.3定级要素 25

定级要素有两个：“受侵害的客体”和“对客体的侵害程度”。
其中，受侵害的客体可能是以下三者之一或者组合：
a）公民、法人和其他组织的合法权益；
b）社会秩序、公共利益；
c）国家安全。
对客体的侵害程度归结为以下三种：
a）造成一般损害；
b）造成严重损害；
c）造成特别严重损害。

3.2.3.1受侵害的客体 25

根据《中华人和国国家安全法》侵害国家安全的事项主要包括以下方面
——影响国家政权稳固同和领土主权，海洋权益完整
——影响国家统统一、民族团结和社会稳定；
——影响国家社会主义市场经济秩序和文化实力；
——其他影响国家安全的事项。
根据《中华人民共和国治安管理处罚法》，侵害社会秩序的事项主要包括以下方面：
——影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序；
——影响公共场所的活动秩序、公共交通秩序；
——影响人民群众的生活秩序；
——其他影响社会秩序的事项。
公共利益通常是指不特定的社会成员所享有的，受法律法规保护的长远利益，侵害公共利益的事项主要包括以下方面：
——影响社会成员使用公共设施；
——影响社会成员获取公开信息资源；
——影响社会成员接受公共服务等方面；
——其他影响公共利益的事项。
公民、法人和其他组织的合法权益是指受法律保护的公民、法人和其他组织所享有的社会权利和利益等，如财产、企业信誉和个人名誉等。

3.2.3.2侵害程度 26

3.3定级流程 26

一级自己定级，二级以上走如下流程：

3.4.5不通过，定级对象的运营者应重新开展定级工作（如上图虚线箭头所示）

3.4确定定级对象 27

3.4.1信息系统 27

3.4.1.1基本特征 27

三个：
a）具有确定的主要安全责任主体；
b）承载相对独立的业务应用；
一是，该业务应用与外部业务关联度低，交互较少。如果两个业务应用紧密耦合，数据交互频繁，就应该考虑是否应该合并为一个定级对象。
二是，该业务应用不强制要求完全覆盖从客户终端到数据库后台的整个业务流程，也可以是其中一部分。《银行业定级指南》中就明确指出，“部署有应用服务器或者数据库服务器的前置系统”可以作为应用系统类定级对象独立定级。
c）包含相互关联的多个资源。

3.4.1.2工业控制系统 28

下面三层应作为一个整体对象定级，各要素不单独定级；生产管理要素可单独定级。
对于大型工业控制系统，可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。

3.4.1.3云计算平台 28

云服务客户和云服务商侧的云计算平台/系统分别作为单独的定级对象定级。
大型云计算平台，宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

3.4.1.4物联网 29

物联网主要包括感知、网络传输和处理应用等特征要素，应将以上要素作为一个整体对象定级，各要素不应单独定级。

3.4.1.5采用移动互联技术的系统 29

采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素，可作为一个整体独立定级或与相关联业务系统一起定级，各要素不单独定级。

3.4.2通信网络设施 29

对于电信网、广播电视传输网等通信网络设施，应分别依据安全责任主体、服务类型和服务地域等因素将其划分为不同的定级对象。
跨省的行业或单位的专用通信网可作为一个整体对象定级，或分区域划分为若干个定级对象。

3.4.3数据资源 30

当安全责任主体相同时，大数据、大数据平台/系统宜作为一个整体对象定级；当安全责任主体不同时，大数据应独立定级。

3.5确定安全保护等级 30

3.5.1初步确定等级 30

3.5.2定级核准与审核 31

专家评审、报请行业主管（监管）部门核准（如果有）

3.5.3特殊对象的定级说明 31

通信网络设施、云计算平合和大数据平台等支撑类定级对象，应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级，原则上应不低于其承载的等级保护对象的安全保护等级。

3.6定级调整 31

3.7定级报告编制 32

3.7.1定级对象描述 32

对于信息系统类对象来说，重点是说明其是否具备定级对象的三个基本特征，主要从安全责任主体、主要构成要素和业务应用情况等三个方面展开；
1.安全责任主体：确定对其负有主要安全责任的单位或部门来作为该网络的安全责任主体。如安全责任较分散（如业务部门负责前期建设，信息中心负责后期运维），则安全责任主体可由共同的上级单位或部门承担或指定。
2.主要构成要素：网络结构、系统边界和边界设备以及主要软硬件设备设施等，明确其是由多个资源互联互通，边界清晰的一个整体。
3.业务应用情况：，业务应用描述不是琐碎的系统功能罗列，而应是从顶级菜单（模块）功能对应的定级单位职能或业务角度进行描述
对于云计算平台、物联网、移动互联系统等定级对象，则需要进一步突出其特征要素。

3.7.2安全保护等级确定 32

3.7.2.1业务信息安全保护等级的确定 32

3.7.2.2系统服务安全保护等级的确定 33

3.7.2.3定级对象安全保护等级的确定 33

第4章 网络安全等级保护基本要求 34

4.1概述 34

4.1.1修订背景 34

4.1.2修订过程 34

4.1.3主要变化

云计算安全扩展：增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云计算环境管理”和“云服务商选择”
移动互联安全扩展：增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。
物联网安全扩展：增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。
工业控制系统安全扩展：要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。
取消了原来安全控制点的S、A、G标注。

4.2描述模型 35

4.2.1等级保护对象 35

4.2.2安全保护能力 36

应对威胁的能力可以细分为防护能力，检测能力和响应恢复能力。
防护能力着重于防止破坏发生所体现出的能力
检测能力着重于于对破坏可能性检测所体现出的能力
响应恢复能力着重于对检测到的破坏行为进行处置响应并且能从破坏中恢复所体现出的能力。

4.2.3安全要求分类 36

4.3逐级增强的特点 38

4.3.1总体描述 38

4.3.2控制点增加 38

4.3.3要求项增加 38

212应该是211

4.3.4控制强度增强 39

4.4各级安全要求 39

4.4.1安全通用要求 39

4.4.1.1安全物理环境 39

4.4.1.2安全通信网络 40

4.4.1.3安全区域边界 40

4.4.1.4安全计算环境 40

4.4.1.5安全管理中心 41

4.4.1.6安全管理制度 41

4.4.1.7安全管理机构 41

4.4.1.8人员安全管理 42

4.4.1.9安全建设管理 42

4.4.1.10安全运维管理 42

4.4.2安全扩展要求 43

4.4.2.1云计算安全扩展要求 43

4.4.2.2移动互联安全扩展要求 44

4.4.2.3物联网安全扩展要求 44

4.4.2.4工业控制系统安全扩展要求 45

4.5安全要求的选择和使用 46

保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）；
保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）；
其他安全保护类要求（简记为G）。
根据定级结果，根据系统服务保证性等级选择相应级别的系统服务保证类（A类）安全要求；
根据业务信息安全性等级选择相应级别的业务信息安全类（S类）安全要求；
根据系统安全等级选择相应级别的安全通用要求（G类）和安全扩展要求（G类）。

第5章 设计技术要求解读 49

5.1概述 49

5.1.1标准定位 49

5.1.2背景介绍 49

5.1.3主要修订 49

增加了云计算、移动互联、物联网、工业控制类定级对象的设计框架和设计技术要求。
增加了安全计算环境、安全区域边界的“可信验证”技术要求。
增加了安全通信网络的“可信连接验证”技术要求。

5.1.4章节内容 49

5.2核心技术思想 50

5.2.1安全环境描述 50

5.2.2安全防护模型 51

PPDR安全模型，即策略-保护-检测-响应。

5.2.3核心技术理念 51

技术理念：“可信、可控、可管”

5.3设计框架 52

5.3.1通用安全技术设计框架 52

一个中心（安全管理中心）、三重防护（安全计算环境、安全区域边界、安全通信网络）

5.3.2云计算安全技术设计框架 52

5.3.3移动互联安全技术设计框架 53

5.3.4物联网安全计算设计框架 54

5.3.5工业控制安全技术设计框架 54

5.4设计策略 55

5.5设计技术要求 56

5.5.1通用安全设计技术要求 56

本小节都从一个中心三个防护进行展开
1）安全计算环境
第一级系统安全保护环境在安全计算环境方面的主要技术要求包括：采用基于用户名、口令的鉴别机制进行用户身份鉴别；为操作系统、数据库、应用系统构建主体粒度为用户/用户组、客体粒度为文件和数据库表的自主访问控制机制；构建采用常规校验方法的用户数据完整性保护机制，安装恶意代码防范软件，并定级进行更新；基于可信计算技术，对计算节点的BIOS、引导程序、操作系统内核等进行可信验证，并在检测到其可信性受到破坏后进行报警。
第二级系统安全保护环境在安全计算环境方面的主要技术要求包括：在第一级系统安全要求基础上，强化了安全审计、数据保密性保护、客体安全重用及可信验证的要求；能创建和维护对受保护客体的访问审计轨迹，并能防止未授权用户对其进行修改或破坏；采用密码等技术，对在安全计算环境中存储和处理的用户数据进行保密性保护；要求对客体进行初始指派、分配或再分配一个主体之前，应撤消对该客体所含信息的所有授权，当主体获得对一个已被释放的客体的访问权时，该主体不能获得原主体活动所产生的任何信息；基于可信计算技术，在第一级可信验证基础上，对应用程序进行可信验证，并将验证结果形成审计记录。
第三级系统安全保护环境在安全计算环境方面的主要技术要求包括：在第二级系统安全要求基础上，强化了身份鉴别、强制访问控制、可信验证、配置可信检查及恶意代码防范的要求；采用堡垒机、系统加固或应用网关等产品，为服务器、数据库、应用系统构建双因子身份认证机制；在二级系统的自主访问控制基础上，为服务器、数据库及应用系统构建强制访问控制机制；基于可信计算技术，在第二级可信验证基础上，对应用程序的行为及操作系统的关键内存区域进行可信验证；基于基线核查技术，对服务器及应用的关键安全配置进行检查，及时修复不符的配置信息；要求采用主动免疫可信计算检验机制及时识别入侵和病毒行为，并将其有效阻断，为定级系统构建主动防御的安全机制。
第四级系统安全保护环境在安全计算环境方面的主要基本要求包括：在第三级系统安全要求基础上，强化了可信验证的要求，基于可信计算技术，在第三级可信验证基础上，将可信验证的结果送至管理中对进行关联分析。
2）安全区域边界
第一级系统安全保护环境在安全区域边界方面的主要技术要求包括：根据区域边界安全控制策略，使用包过滤技术、基于数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否允许该数据包通过区域边界；部署恶意代码防护网关，并定期进行升级和更新；基于可信计算技术，对边界设备的BIOS、引导程序、操作系统内核等进行可信验证，并在检测到其可信性受到破坏后进行报警。
第二级系统安全保护环境在安全区域边界方面的主要技术要求包括：在第一级系统安全要求基础上，强化了区域边界安全审计、区域边界完整性保护以及可信验证的要求；要求在安全区域边界设置必要的审计机制、防恶意代码网关以及边界探测软件，由安全管理中心管理；基于可信计算技术，对边界网关设备的安全管控程序进行可信验证，并将验证结果形成审计记录。
第三级系统安全保护环境在安全区域边界方面的主要技术要求包括：在第二级系统安全要求基础上，强化了区域边界访问控制以及可信验证的要求；采用软件定义边界等相关技术，在数据包经过区域边界时，对源及目标计算节点的身份、地址、端口和应用协议等进行可信验证；基于可信计算技术，对边界网关设备的安全管控程序及其行为，以及设备操作系统的关键内存区域进行可信验证，并将验证结果形成审计记录。
第四级系统安全保护环境在安全区域边界方面的主要技术要求包括：在第三级系统安全要求基础上，强化了可信验证的要求；基于可信计算技术，对边界网关设备的安全管控程序及其行为，以及设备操作系统的关键内存区域进行可信验证，并将验证结果送至管理中心，进行关联分析。
3）安全通信网络
第一级系统安全保护环境在安全通信网络方面的主要技术要求包括：采用VPN等产品，检验网络传输数据的完整性，并能发现其完整性被破坏的情况；基于可信计算的可信连接技术，在设备连接网络时，对源和目标平台身份进行可信验证。
第二级系统安全保护环境在安全通信网络方面的主要技术要求包括：在第一级系统安全要求基础上，强化了通信网络安全审计、通信网络传输保密性保护及可信连接验证要求；需部署网络安全审计、VPN等产品，确保网络数据传输完整性以及网络数据传输保密性保护等安全要求；基于可信技术的可信连接技术，在设备连接网络时，对源和目标平台身份及应用程序进行可信验证。
第三级系统安全保护环境在安全网络方面的主要技术要求包括：在第二级系统安全要求基础上，强化了可信连接验证要求；基于可信计算的可信连接技术，在设备连接网络时，对源和目标平台身份、应用程序以及关键行为进行可信验证。
第四级系统安全保护环境在安全通信网络方面的主要技术要求包括：在第三级系统安全要求基础上，强化了可信连接验证要求；基于可信计算的可信连接技术，在设备连接网络时，对源和目标平台身份、应用程序以及关键行为进行可信验证，并将验证结果送至管理中心，进行关联分析。
4）安全管理中心
第一级系统安全保护环境对集中管理中心不做要求。
第二级系统安全保护环境要求集中式的管理中心，该管理中心的系统管理和审计管理需要相互独立，系统管理可通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份和授权管理、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复以及恶意代码防范等。审计管理可通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等。
第三级系统安全管理中心需要遵循系统管理员、安全管理员和审计管理员三权分立的要求。其中安全管理员对系统中的主体、客体进行统一标记，对主体进行授权，配置统一的安全策略。
第四级系统安全管理中心在三级基础上，没有特殊要求。

5.5.2云计算安全设计技术要求 58

5.5.3移动互联系统设计技术要求 59

5.5.4物联网安全设计技术要求 59

5.5.5工业控制系统设计技术要求 60

5.6结构化设计 61

针对等级保护四级系统增加结构化保护要求，目标是提升等级保护四级系统安全保护环境的健壮性，防止被攻击者攻击，从而关闭或绕过安全机制攻击定级系统安全。
对结构化保护提出了三个方面的要求，分别是
安全保护部件结构化设计技术要求：安全保护部件应划分为关键安全保护部件和非关键安全保护部件，防止敏感信息危害安全策略从关键安全保护部件流向非关键安全保护部件。
安全保护部件互联结构化设计技术要求：各安全保护部件之间互联的接口功能及其调用关系应明确定义，并通过可信验证机制相互验证对方的可信性，确保安全保护部件间的可信连接。
重要参数结构化设计技术要求：重要数据结构给出明确定义，包括参数的类型，使用描述以及功能说明等，并用可信验证机制确保数据不被篡改。

5.7定级系统互联设计 62

要求：相同或不同等级的定级系统通过多级互联部件进行接口访问或数据交换，多级互联部件对其进行安全仲裁，防止敏感信息泄露或攻击入侵发生。多级互联部件可以基于企业服务总线、应用安全网关或数据交换平台等技术实现。

5.8定级系统安全保护环境设计实例 63

流程：

第6章 测评要求解读 65

6.1标准范围和定位 65

安全测评通用要求+安全测评扩展要求

6.2主要修订内容 65

1.单元测评和整体测评调整为单项测评和整体测评：单项测评由测评指标，测评对象、测评实施和单元判定构成；整体测评内容包括安全控制点测评、安全控制点间测评和区域间测评。
2.标准内容的变化：名称、等保对象变化、测评要求扩展
3.增加单元测评号：格式为XX-XXXX-XX
第1组由2位组成，第1位为字母L，第2位为数字，其中数字1为第一级，2为第二级，3为第三级，4为第四级，5为第五级。
第2组由4位组成，前3位为字母，第4位为数字。
字母代表类：
ABS：安全区域边界（Area Boundary Security）
BDS：大数据系统（Bigdata System）
CES：安全计算环境（Computing Environment Security）
CMS：安全建设管理（Construction Management Security）
CNS：安全通信网络（Communication Network Security）
HRS：安全管理人员（Human Resource Security）
MMS：安全运维管理（Maintenance Management Security）
ORS：安全管理机构（Organization and Resource Security）
PES：安全物理环境（Physical Environment Security）
PSS：安全管理制度（Policy and System Security）
SMC：安全管理中心（Security Management Center）
数字代表应用场景：1为安全测评通用要求部分，2为云计算安全测评扩展要求部分，3为移动互联安全测评扩展要求部分，4为物联网安全测评扩展要求部分，5为工业控制系统安全测评扩展要求部分。
第3组由2位数字组成，按类对基本要求中的要求项进行顺序编号。
大数据可参考安全评估方法测评单元编号为三组数据，格式为XXX-XX-XX，例如：BDS-L1-01，代表源自大数据可参考安全评估方法的第一级的第1个指标。
4.测评要求在级差上的变化：
1）不同级别使用不同测评方法：第一级主要以访谈为主进行等级测评，第二级以核查为主进行等级测评，第三级和第四级在核查基础上还要进行测试验证工作。不同级别使用不同测评方法，能体现出测评实施过程中访谈、核查和测试的测评强度的不同。
2）不同级别测评对象范围不同：第一级和第二级测评对象的范围为关键设备，第三级为主要设备，第四级为所有设备。不同级别测评对象范围不同，能体现出测评实施过程中访谈、核查和测试的测评广度的不同
3）不同级别现场测评实施工作不同：第一级和二级以核查安全机制为主，第三级和第四级先核查安全机制，再核查安全策略有效性。

6.3标准文本结构 67

6.4等级测评框架 67

单项测评+整体测评

针对基本要求各安全要求项的测评称为单项测评，单项测评是等级测评工作的基本活动，支持测评结果的可重复性和可再现性。单项测评是由测评指标、测评对象、测评实施和单元判定构成。

第7章 测评过程指南解读 69

7.1概述 69

7.1.1标准范围与作用 69

7.1.2与其他标准的关系 69

7.1.3标准编制思路 69

7.1.4主要修订 70

1.基本工作流程中，报告编制活动的工作任务从原来的6个调整为7个，增加了系统安全保障评估的工作任务。
2.新技术新应用相关内容补充：
■ 信息收集和分析任务中应扩充收集的资料和了解的系统情况，例如针对云计算平台的等级测评，还应收集云服务商的管理架构、技术实现机制及架构、运行情况、云计算平合的定级情况、云计算平台的等级测评结果等；针对云服务客户系统的等级测评，测评机构收集的相关资料还应包括云服务商与云服务客户的关系、定级对象的相关情况等；
■应补充的测评对象，例如云计算平台涉及的虚拟设备（虚拟机、虚拟网络设备、虚拟安全设备等）、云操作系统、云业务管理平台、虚拟机监视器、云服务客户网络控制器、云应用开发平合等；
■不同领域的特殊攻击测试方法，例如物联网系统开展工具测试时还应增加感知层渗透测试。即：应基于感知层应用场景，针对各类感知层设备（如智能卡、RFID标签、读写器等）开展嵌入式软件安全测试以及旁路攻击、置乱攻击等方面的测试。

7.1.5标准结构 71

7.2等级测评的特点 72

7.3等级测评工作要求 72

7.3.1工作要求 72

7.3.2存在的风险 73

1.可能影响系统正常运行
2.可能泄漏敏感信息
3.木马植入风险

7.3.3风险的规避 74

1.签署委托测评协议
2.签署保密协议
3.签署现场测评授权书
4.现场测评工作风险的规避
5.测评现场还原
6.规范化实施过程
7.沟通与交流

7.4基本工作过程和方法 75

7.4.1基本工作流程 75

上图是对受委托测评机构对定级对象实施初次等级测评的基本工作流程。如果被测定级对象已经实施过一次（或多次）等级测评，上图中的四个活动保持不变，但是具体任务内容会有所变化。

7.4.2测评准备活动 77

7.4.3方案编制活动 77

7.4.4现场测评活动 77

7.4.5报告编制活动 78

第8章 测评准备 79

8.1工作流程 79

测评准备活动：工作启动、信息收集和分析、工具和表单准备。

三项任务之间的关联关系以及每个任务的输入、输出产品：

表格版本：

8.2工作启动 80

8.3信息收集和分析 81

8.3.1调查表设计 81

8.3.2调查表填写 81

1）等级保护对象基本情况：明确等级保护对象包含几个定级对象，每个定级对象的安全保护等级。
2）网络信息收集：涉及网络拓扑图、网络区域划分情况、网络互联设备情况和安全设备情况等。
3）应用信息收集：涉及应用系统情况和业务数据情况等。
填写调查表中的“业务数据类别”时应遵循以下原则：
a）区分应用业务数据与支撑数据，如金融交易中的账户、交易金额为应用数据，鉴别数据、应用配置数据等为支撑数据。
b）区分业务关键数据与辅助数据，如金融交易中交易账户及交易金额为业务关键数据，而相关的客户个人信息为辅助数据。
c）依据不同的安全需求进一步区分业务关键数据，如金融交易中关注保密性要求的账户口令数据与关注完整性的金融交易数据等。
4）主机信息收集：涉及服务器设备情况、宿主机情况、存储设备情况、终端设备情况等。终端设备的信息收集对象一般包括业务专用终端、管理终端、安全设备控制台、操作员站、工程师站等。
5）物理环境信息收集：涉及等级保护对象所在物理环境的信息收集，包括机房数量、机房名称、机房物理位置等等。

8.3.3调查结果分析 82

1）整体网络结构和系统组成分析：对等级保护对象的范围、构成和应用等总体情况进行分析，包括网络结构、对外边界、定级对象的数量和级别、不同安全保护等级定级对象的分布情况和承载应用情况等。
2）定级对象边界和系统构成组件分析：
定级对象边界分析是对等级保护对象中的每个定级对象分析其系统边界，并确定其在网络中的物理边界，多个定级对象的物理边界可能为一个，例如多个定级对象共用同一个防火墙或交换机作为其边界设备。
定级对象的系统构成组件分析是对等级保护对象中的每个定级对象分析其对应的硬件、软件、信息和存储介质等。
3）定级对象的相互关联分析：对等级保护对象中的每个定级对象分析其承载的业务应用情况，包括应用架构方式、应用处理流程、处理信息类型、业务数据处理流程、服务对象、用户数量等，并通过业务应用分析定对象之间的相互关联关系。
三种情况：
各自独立，相互之间没有数据交换；
各自独立，但相互之间有数据交换；
一个应用的不同模块部署在不同的定级对象中。

8.4工具和表单准备 83

8.5常见问题及解决方法 83

第9章 测评方案编制 84

9.1工作流程 84

主要任务包括：测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制。
以上任务由测评机构独立完成。

输入输出：

表格版：

9.2测评对象确定 85

测评力度在广度方面主要体现为测评对象的类型和数量。鉴于定级对象的复杂度和设备数量的巨大，在满足测评力度的前提下允许对系统构成组件进行抽查。
测评对象的确定一般采用抽查的方法，即：抽查定级对象中具有代表性的组件作为测评对象。并且，在测评对象确定任务中应兼顾工作投入与结果产出两者的平衡关系。
在确定测评对象时，需遵循以下原则：
重要性，应抽查对被测定级对象来说重要的服务器、数据库和网络设备等；
安全性，应抽查对外暴露的网络边界；
共享性，应抽查共享设备和数据交换平台/设备；
全面性，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型；
符合性，选择的设备、软件系统等应能符合相应等级的测评强度要求。
选择测试对象的步骤：
（1）对定级对象构成组件进行分类。如：客户端（主要考虑操作系统）、服务器（包括操作系统、数据库管理系统、应用平台和业务应用软件系统）、网络互联设备、安全设备、安全相关人员和安全管理文档。
（2）对于每一类定级对象构成组件，应依据调研结果进行重要性分析，选择对被测定级对象来说重要程度高的对象构成组件。
（3）对于步骤2获得的选择结果，可以分别进行物理位置分析、共享性分析和全面性分析，进一步完善测评对象集合。
（4）最后，依据测评力度综合进行恰当性分析，确定测评对象的种类和数量。
各个不同等级定级对象的具体测评对象样例参见《测评过程指南》附录D.3。例如：三级等保：
主机房（包括其环境、设备和设施等）和部分辅机房，应将放置了服务于定级对象的局部（包括整体）或对定级对象的局部（包括整体）安全性起重要作用的设备、设施的辅机房选取作为测评对象；
存储被测定级对象重要数据的介质的存放环境；
办公场地；
整个系统的网络拓扑结构；
安全设备，包括防火墙、入侵检测设备和防病毒网关等；
边界网络设备（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等；
对整个定级对象或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等；
承载被测定级对象主要业务或数据的服务器（包括其操作系统和数据库）；
管理终端和主要业务应用系统终端；一能够完成被测定级对象不同业务使命的业务应用系统；
业务备份系统；
信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人；
涉及到定级对象安全的所有管理制度和记录。
注意：在本级定级对象测评时，定级对象中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备，每类应至少抽查两台作为测评对象。

9.3测评指标确定 86

“安全通用要求”+“安全扩展要求”
由于定级对象不但有安全保护等级，还有业务信息安全保护等级和系统服务安全保护等级，而《基本要求》中“安全通用要求”的各项要求也分为业务信息安全保护类、系统服务安全保护类和通用安全保护类三类要求，从而对于“安全通用要求”类测评指标也应该由这三类组成。

9.4测评内容确定 88

等级测评包括单项测评和整体测评，因此，现场测评实施内容也主要从这两个方面分别展开。
主要工作包括：依据《测评要求》，将前面已经确定的测评指标和测评对象结合起来，将测评指标映射到各测评对象上，然后结合测评对象的特点，说明各测评对象所采取的测评方法。如此构成一个个可以具体实施测评的单元。
本任务中涉及到的输出主要是单项测评实施内容列表。

9.5工具测试方法确定 88

主要工作包括：确定工具测试的测评对象、选择测试路径、根据测试路径确定测评工具接入点。
本任务中涉及到的输出主要是工具测试方法及工具测试图。

9.6测评指导书开发 88

9.6.1测评指导书概述 88

测评指导书应具备测评对象、测评指标、测评实施（具体方法/操作步骤/记录内容）和预期结果等四要素，其中，测评对象和测评指标的组合确定具体的评内容，测评实施用于获取原始证据，预期结果则用于结果判定，四个要素缺一不可。
测评指导书通常分为技术和管理两大类。
技术类测评指导书主要以测评对象为基本单元，如测评指导书可以细分为机房（物理）安全测评指导书、服务器安全测评指导书、终端安全测评指导书、网络安全测评指导书和应用安全类测评指导书。其中，网络安全测评指导书又可以进一步细分为全局测评指导书和特定对象（类）测评指导书，前者关注涉及通信网络整体安全的测评指标，后者关注安全通信网络和安全区域边界对象共有或者某对象特有的测评指标。技术类指导书的测评实施中以核查（安全配置核查）为主，包含部分访谈和测评，处于实施的考虑可以把攻击测试的相关内容从上述指导书抽取出来，以工具为组织单元单独成册。
管理类测评指导书可以以安全分类如安全管理制度、安全管理机构等为组织单元，也可以合并为单一指导书。

9.6.2测评指导书的开发要求 89

9.6.3测评指导书开发说明 89

9.7测评方案文本编制 91

9.7.1概述 91

9.7.2测评方案架构 92

9.7.3测评方案编写说明 92

9.7.4测评方案编制示例 94

9.8常见问题及解决方法 102

第10章 安全技术测评 104

10.1安全物理环境测评 104

10.1.1物理位置选择 104

10.1.2物理访问控制 104

10.1.3防盗窃和防破坏 105

10.1.4防雷击 105

10.1.5防火 106

10.1.6防水和防潮 106

10.1.7防静电 107

10.1.8温湿度控制 107

10.1.9电力供应 108

10.1.10电磁防护 109

10.2安全通信网络测评 109

10.2.1网络架构 109

10.2.2通信传输 110

10.2.3可信验证 111

10.3安全区域边界测评 112

10.3.1边界防护 112

10.3.2访问控制 112

10.3.3入侵防范 113

10.3.4恶意代码和垃圾邮件防范 114

10.3.5安全审计 115

10.3.6可信验证 115

10.4安全计算环境测评 116

10.4.1身份鉴别 116

10.4.2访问控制 117

10.4.3安全审计 118

10.4.4入侵防范 118

10.4.5恶意代码防范 119

10.4.6可信验证 120

10.4.7数据完整性 121

10.4.8数据保密性 121

10.4.9数据备份恢复 122

10.4.10剩余信息保护 122

10.4.11个人信息保护 123

10.5安全管理中心测评 123

10.5.1 系统管理 123

10.5.2审计管理 124

10.5.3安全管理 124

10.5.4集中管控 125

第11章 安全管理测评 127

11.1安全管理制度 127

11.1.1安全策略 127

11.1.2管理制度 128

11.1.3制定和发布 128

11.1.4评审和修订 129

11.2安全管理机构 129

11.2.1岗位设置 130

11.2.2人员配备 130

11.2.3授权和审批 131

11.2.4沟通和合作 131

11.2.5审核和检查 132

11.3安全管理人员 132

11.3.1人员录用 133

11.3.2人员离岗 133

11.3.3安全意识教育和培训 133

11.3.4外部人员访问管理 134

11.4安全建设管理 134

11.4.1定级和备案 135

11.4.2安全方案设计 136

11.4.3产品采购和使用 136

11.4.4自行软件开发 137

11.4.5外包软件开发 137

11.4.6工程实施 137

11.4.7测试验收 138

11.4.8系统交付 138

11.4.9等级测评 139

11.4.10服务供应商管理 139

11.5安全运维管理 140

11.5.1环境管理 141

11.5.2资产管理 141

11.5.3介质管理 142

11.5.4设备维护管理 142

11.5.5漏洞和风险管理 142

11.5.6网络和系统安全管理 143

11.5.7恶意代码防范管理 143

11.5.8配置管理 144

11.5.9密码管理 144

11.5.10变更管理 144

11.5.11备份与恢复管理 145

11.5.12安全事件处置 145

11.5.13应急预案管理 146

11.5.14外包运维管理 146

第12章测评报告编制 147

12.1工作流程 147

5个主要任务：

每个任务的输入、输出产品

表格版：

12.2单项测评结果判定 148

1）针对每个测评项，分析该测评项所对抗的威胁在被测定级对象中是否存在，如果不存在，则该测评项应标为不适用项。对于适用项，则
2）分析单个测评项是否有多方面的要求内容，针对每一方面的要求内容，将一个或多个测评证据与要求内容的预期测评结果相比较；
3）如果测评证据表明所有要求内容与预期测评结果一致，则判定该测评项的单项测评结果为满分；
4）如果测评证据表明所有要求内容与预期测评结果不完全一致，则应根据测评项的具体内容和测评证据情况具体问题具体分析，举例说明如下：
——测评项包含一方面要求内容，且是针对一个测评对象的，则单项测评结果应判定为0分。
——测评项包含一方面要求内容，且测评项内容是针对多个测评对象的，则单项测评结果可判定为0.5分。
——测评项包含多方面要求内容，但要求内容之间具有密切关联关系，且是针对一个测评对象的，则单项测评结果应判定为0分。
——测评项包含多方面要求内容，且要求内容之间相对独立。应针对每一方面要求内容进行判定，若存在有的方面要求内容符合要求，有的不符合要求，则单项测评结果可判定为0.5分。
5）如果测评证据表明所有要求内容与预期测评结果均不一致，则判定该测评项的单项测评结果为0分。
本任务中涉及到的输出主要是各个测评对象对应的单项测评结果。

12.3整体测评结果分析 149

主要工作主要是针对那些部分符合和不符合要求的测评项展开综合分析，包括安全控制间、区域间/层面间的安全测评，根据综合分析结果修正安全问题风险等级。
本任务中步及到的输出主要是整体测评结果描述以及修正后的安全问题汇总。

12.4安全问题风险分析 150

主要任务是测评人员根据等级保护的相关规范和标准，采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测定级对象安全造成的影响。
本任务中涉及到的输出主要是风险分析过程及结果描述。

12.5等级测评结论形成 150

测评人员在单项测评结果汇总、风险分析的基础上，找出系统保护基本要求之间的差距，并根据等级测评结论判定原则形成等级测评结论。
70分为界，以下为差，以上每10分一个等级中、良、优。

12.6测评报告文本编制 150

内部评审时应重点关注以下几点：
·测评结果判定的准确性；
·测评结果理解和解释所需的信息的清晰、充足、正确和准确性；
·整体测评结果分析的合理性；
·风险分析方法的可行型和合理性；
·测评结果汇总与问题分析的正确性；
·测评结论的准确性；
·文本结构和内容与《等级测评报告模板》的一致性；
·报告审核、批准与签发过程的规范性。
本任务中涉及到的输出主要是《测评报告》

12.6.1测评报告架构 150

应包括以下内容：等级测评结论、总体评价、主要安全问题及整改建议、测评项目概述、被测对象描述，单项测评结果分析，整体测评结果分折、安全问题风险分析、等级测评结论、安全问题整改建议等。若被测对象构建在云计算平台上，还应包括等级测评结论扩展表（云计算安全）；若被测对象为大数据相关定级对象，还应包括等级测评结论扩展表（大数据安全）。
“测评项目概述”部分描述测评项目目的、测评依据、测评过程等项目有关的基本信息，帮助读者了解测评报告的编制背景。
“被测对象描述”部分重点描述被测系统与等级测评工作相关的基本情况，包括被测对象的定级结果、承载业务以及采用的新技术新应用、网络结构情况、测评指标、测评对象等。
“单项测评结果分析”部分针对被测定级对象在各个方面所采取的安全控制措施以及存在的问题进行分析。
“整体对评结果分析”部分描述针对单项测评结果中的不符合和部分符合项从安全控制间及区域间/层面间/等方面对单项测评的结果进行验证、分析和整体评价的过程；
“安全问题风险分析”针对存在的安全问题进行风险评估。
“等级测评结论”部分描述定级对象的等级测评结论。
“安全问题整改建议”部分描述针对系统存在的安全问题提出安全建设整改建议。

12.6.2测评报告编制说明 151

12.6.3测评报告编制示例 151

12.7常见问题及解决方案 153