等级保护测评讲解.ppt

1、等等等等级级保保保保护测评护测评介介介介绍绍于海翔于海翔于海翔于海翔2 2vv 主要内容主要内容主要内容主要内容 等等级保保护测评简介介 等等级保保护测评内容内容 等等级保保护测评流程流程 等等级保保护测评方式、技方式、技术和工具和工具1.1.等等级保保护测评目的目的2.2.等等级保保护测评依据依据3.3.等等级保保护测评原原则vv 等等等等级级保保保保护测评简护测评简介介介介1.1.等等级保保护测评目的目的2.2.等等级保保护测评依据依据3.3.等等级保保护测评原原则vv 等等等等级级保保保保护测评简护测评简介介介介vv 等等等等级级保保保保护测评护测评目的目的目的目的对对信息系信息系信息系

2、信息系统统安全防安全防安全防安全防护护体系能力的分析与确体系能力的分析与确体系能力的分析与确体系能力的分析与确认认，发现发现存在的安全存在的安全存在的安全存在的安全隐隐患，患，患，患，帮助运帮助运帮助运帮助运营营使用使用使用使用单单位位位位认识认识不足，不足，不足，不足，及及及及时时改改改改进进，有效提升其信息安全防有效提升其信息安全防有效提升其信息安全防有效提升其信息安全防护护水平；水平；水平；水平；等等等等级级保保保保护测评护测评的主要目的是：的主要目的是：的主要目的是：的主要目的是：遵循国家等遵循国家等遵循国家等遵循国家等级级保保保保护护有关有关有关有关规规定的要求，定的要求，定的要求，

3、定的要求，对对信息系信息系信息系信息系统统安全建安全建安全建安全建设进设进行符合性行符合性行符合性行符合性测评测评；1.1.等等级保保护测评目的目的2.2.等等级保保护测评依据依据3.3.等等级保保护测评原原则vv 等等等等级级保保保保护测评简护测评简介介介介7 7vv 等等等等级级保保保保护测评护测评依据依据依据依据1.1.信息系信息系统建建设完成后完成后，运，运营、使用、使用单位或者其主管部位或者其主管部门应当当选择符合本符合本办法法规定条件的定条件的测评机构，依据机构，依据信息系信息系统安安全等全等级保保护测评要求要求等技等技术标准准，定期，定期对信息系信息系统安全等安全等级状况开展状况

4、开展等等级测评；2.2.第三第三级信息系信息系统应当当每年每年至少至少进行一次等行一次等级测评，第四第四级信息系信息系统应当当每半年每半年至少至少进行一次等行一次等级测评，第五第五级信息系信息系统应当依据特殊安全需求当依据特殊安全需求进行等行等级测评；3.3.信息系信息系统运运营、使用、使用单位及其主管部位及其主管部门应当定期当定期对信息系信息系统安全状况、安全保安全状况、安全保护制度及措施的落制度及措施的落实情况情况进行自行自查。第。第三三级信息系信息系统应当每年至少当每年至少进行一次自行一次自查，第四，第四级信息系信息系统应当每半年至少当每半年至少进行一次自行一次自查，第五，第五级信息系信

5、息系统应当依据特当依据特殊安全需求殊安全需求进行自行自查；4.4.经测评或者自或者自查，信息系，信息系统安全状况安全状况未达到安全保未达到安全保护等等级要求的要求的，运，运营、使用、使用单位位应当当制定方案制定方案进行整改行整改信息安全等信息安全等级保保护管理管理办法法(公通字公通字200743200743号号)8 8vv 等等等等级级保保保保护测评护测评依据依据依据依据GB17859-1999 计算机信息系算机信息系统安全保安全保护等等级划分准划分准则GB/T22239-2008信息安全技信息安全技术 信息系信息系统安全等安全等级保保护基本要求基本要求GB/T 20008-2005 信息安全

6、技信息安全技术 操作系操作系统安全安全测评准准则GB/T 20009-2005 信息安全技信息安全技术 数据数据库管理系管理系统安全安全测评准准则GB/T 20010-2005 信息安全技信息安全技术 包包过滤防火防火墙测评准准则GB/T 20011-2005 信息安全技信息安全技术 路由器安全路由器安全测评准准则相相 关关 标 准准测评主要主要标准准参考技参考技术标准准GB/TXXXX-XXXX信信息息安安全全技技术信信息息系系统安安全全等等级保保护测评要要求求 (报批稿批稿)GB/T24856-2009信信息息安安全全技技术 信信息息系系统等等级保保护安安全全设计技技术要求要求1.1.等等

7、级保保护测评目的目的2.2.等等级保保护测评依据依据3.3.等等级保保护测评原原则vv 等等等等级级保保保保护测评简护测评简介介介介1010vv 等等等等级级保保保保护测评护测评原原原原则则 标标准性原准性原准性原准性原则则 测评工作的开展、方案的工作的开展、方案的设计和具体和具体实施均需依据我施均需依据我国等国等级保保护的相关的相关标准准进行。行。1111vv 等等等等级级保保保保护测评护测评原原原原则则 标标准性原准性原准性原准性原则则 规规范性原范性原范性原范性原则则 为用用户提供提供规范的服范的服务，工作中的，工作中的过程和文档需具有程和文档需具有 良好的良好的规范性，可以便于范性，可

8、以便于项目的跟踪和控制。目的跟踪和控制。1212vv 等等等等级级保保保保护测评护测评原原原原则则 标标准性原准性原准性原准性原则则 可控性原可控性原可控性原可控性原则则规规范性原范性原范性原范性原则则为用户提供规范的服务。工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制 测评过程和所使用的工具具程和所使用的工具具备可控性，可控性，测评项目所采用目所采用的工具都的工具都经过多次多次测评项目考目考验，或者是根据具体要，或者是根据具体要求和求和组织的具体网的具体网络特点定制的，具有良好的可控性。特点定制的，具有良好的可控性。1313vv 等等等等级级保保保保护测评护测评原原原原则则

9、标标准性原准性原准性原准性原则则 可控性原可控性原可控性原可控性原则则 整体性原整体性原整体性原整体性原则则规规范性原范性原范性原范性原则则为用户提供规范的服务。工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制 测评服服务从从组织的的实际需求出需求出发，从，从业务角度角度进行行测评，而不是局限于网而不是局限于网络、主机等、主机等单个的安全个的安全层面，涉及到面，涉及到安全管理和安全管理和业务运运营，保障整体性和全面性。，保障整体性和全面性。1414vv 等等等等级级保保保保护测评护测评原原原原则则 标标准性原准性原准性原准性原则则 可控性原可控性原可控性原可控性原则则 整体性原整

10、体性原整体性原整体性原则则最小影响原最小影响原最小影响原最小影响原则则 规规范性原范性原范性原范性原则则为用户提供规范的服务。工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制 测评工作具工作具备充分的充分的计划性，不划性，不对现有的运有的运行和行和业务的正常提供的正常提供产生生显著影响，尽可著影响，尽可能小地影响系能小地影响系统和网和网络的正常运行。的正常运行。1515vv 等等等等级级保保保保护测评护测评原原原原则则 标标准性原准性原准性原准性原则则 可控性原可控性原可控性原可控性原则则 整体性原整体性原整体性原整体性原则则最小影响原最小影响原最小影响原最小影响原则则 规规范性

11、原范性原范性原范性原则则保密性原保密性原保密性原保密性原则则 从公司、人从公司、人员、过程三个程三个方面方面进行保密控制：行保密控制：1.1.测评公司与甲方双方公司与甲方双方签署保密署保密协议，不得利用，不得利用测评中的任何数据中的任何数据进行行其他有其他有损甲方利益的活甲方利益的活动；2.2.人人员保密，公司内部保密，公司内部签订保密保密协议；3.3.在在测评过程中程中对测评数数据据严格保密。格保密。1616vv 等等等等级级保保保保护测评护测评原原原原则则 标标准性原准性原准性原准性原则则 可控性原可控性原可控性原可控性原则则 整体性原整体性原整体性原整体性原则则最小影响原最小影响原最小影

12、响原最小影响原则则 规规范性原范性原范性原范性原则则保密性原保密性原保密性原保密性原则则 根据被根据被测信息系信息系统的的实际业务需求、需求、功能需求、以及功能需求、以及对应的安全建的安全建设情况，开展情况，开展针对性性较强的的测评工工作。作。个性化原个性化原个性化原个性化原则则 1717vv 主要内容主要内容主要内容主要内容 等等级保保护测评简介介 等等级保保护测评内容内容 等等级保保护测评流程流程 等等级保保护测评方式、技方式、技术和工具和工具 等等级保保护相关政策介相关政策介绍vv 等等等等级级保保保保护测评护测评内容内容内容内容测评内内容容测评内容覆盖内容覆盖组织的重要信息的重要信息资

13、产技技术层面面：测评和和分分析析在在网网络和和主主机机上上存存在在的的安安全全技技术风险，包包括括物物理理环境境、网网络设备、主主机机系系统、数数据据库、应用用系系统等等软硬件硬件设备管管理理层面面：从从组织的的人人员、组织结构构、管管理理制制度度、系系统运运行行保保障障措措施施，以以及及其其它它运运行行管管理理规范范等等角角度度，分分析析业务运运作作和和管管理理方面存在的安全缺陷方面存在的安全缺陷通通过对以以上上各各种种安安全全威威胁的的分分析析和和汇总，形形成成组织的的安安全全测评报告告根根据据组织的的安安全全测评报告告和和安安全全现状状，提提出出相相应的的安安全全整整改改建建议，指，指导

14、下一步的信息安全建下一步的信息安全建设1919vv 主要内容主要内容主要内容主要内容 等等级保保护测评简介介 等等级保保护测评内容内容 等等级保保护测评流程流程 等等级保保护测评方式、技方式、技术和工具和工具 等等级保保护相关政策介相关政策介绍vv 等等等等级级保保保保护测评护测评流程流程流程流程进进行培行培行培行培训训交流交流交流交流前期沟通前期沟通 制定制定制定制定计计划与培划与培划与培划与培训训 确定确定确定确定项项目范目范目范目范围围和目和目和目和目标标提出工作限制要求提出工作限制要求提出工作限制要求提出工作限制要求项项目目目目进进度安排度安排度安排度安排确定确定确定确定项项目目目目协

15、调协调会制度会制度会制度会制度vv 等等等等级级保保保保护测评护测评流程流程流程流程基本信息基本信息基本信息基本信息调查调查前期沟通前期沟通 制定制定制定制定计计划与培划与培划与培划与培训训 前期客前期客前期客前期客户户沟通交流沟通交流沟通交流沟通交流小小小小组讨论组讨论文档文档文档文档查查看看看看现场现场勘勘勘勘查查收集收集收集收集资资料料料料 基本信息基本信息基本信息基本信息 业务应业务应用用用用 网网网网络结络结构构构构 系系系系统统构成构成构成构成vv 等等等等级级保保保保护测评护测评流程流程流程流程确定确定确定确定测评测评范范范范围围前期沟通前期沟通 制定制定制定制定计计划与培划与培

16、划与培划与培训训 获获得被得被得被得被测评测评系系系系统统的信息的信息的信息的信息确定具体确定具体确定具体确定具体测评对测评对象象象象确定确定确定确定测评测评工作的方法工作的方法工作的方法工作的方法制定制定制定制定测评测评工作工作工作工作计计划划划划收集收集收集收集资资料料料料 测评规测评规划划划划 形成形成形成形成测评测评指指指指标标制定制定制定制定测评测评方案方案方案方案vv 等等等等级级保保保保护测评护测评流程流程流程流程前期沟通前期沟通 制定制定制定制定计计划与培划与培划与培划与培训训 收集收集收集收集资资料料料料 测评规测评规划划划划 测评实施施等等等等级测评实级测评实施施施施 物理

17、安全物理安全物理安全物理安全 网网网网络络安全安全安全安全 主机安全主机安全主机安全主机安全 应应用安全用安全用安全用安全数据安全数据安全数据安全数据安全及及及及备备份恢复份恢复份恢复份恢复 安全管理制度安全管理制度安全管理制度安全管理制度 安全管理机构安全管理机构安全管理机构安全管理机构 人人人人员员安全管理安全管理安全管理安全管理 系系系系统统建建建建设设管理管理管理管理 系系系系统统运运运运维维管理管理管理管理访访 谈谈检检 查查测测 试试vv 等等等等级级保保保保护测评护测评流程流程流程流程判断安全管理与判断安全管理与判断安全管理与判断安全管理与测评测评指指指指标标的符合度的符合度的符

18、合度的符合度前期沟通前期沟通 制定制定制定制定计计划与培划与培划与培划与培训训 收集收集收集收集资资料料料料 测评规测评规划划划划 测评实施施等等等等级测评实级测评实施施施施 分析系分析系分析系分析系统统差距差距差距差距 判断安全技判断安全技判断安全技判断安全技术术与与与与测评测评指指指指标标的符合度的符合度的符合度的符合度vv 等等等等级级保保保保护测评护测评流程流程流程流程前期沟通前期沟通 制定制定制定制定计计划与培划与培划与培划与培训训 收集收集收集收集资资料料料料 测评规测评规划划划划 测评实施施等等等等级测评实级测评实施施施施 分析系分析系分析系分析系统统差距差距差距差距 形成形成报

19、告告编编制安全制安全制安全制安全测评报测评报告告告告 vv 等等等等级级保保保保护测评护测评流程流程流程流程-各各各各阶阶段提交物段提交物段提交物段提交物前期沟通前期沟通 制定制定制定制定计计划与培划与培划与培划与培训训 收集收集收集收集资资料料料料 测评规测评规划划划划 测评实施施形成形成报告告系系统名称名称主管机构主管机构系系统承承载业务情况情况业务类型1生产作业 2指挥调度 3管理控制 4内部办公 5公众服务 9其他 业务描述系系统服服务情况情况服务范围10全国 11跨省（区、市）跨 个 20全省（区、市）21跨地（市、区）跨 个30地（市、区）内 99其它 服务对象1单位内部人员 2社

20、会公众人员 3两者均包括 9其他 系系统网网络平台平台覆盖范围1局域网 2城域网 3广域网 9其他 网络性质1业务专网 2互联网 9其它 系系统互互联情况情况 1与其他行业系统连接 2与本行业其他单位系统连接3与本单位其他系统连接 9其它 业务信息安全保信息安全保护等等级系系统服服务安全保安全保护等等级信息系信息系统安全保安全保护等等级1 本报告模板针对作为单一定级对象的信息系统制定。被被测系系统基本信息基本信息采集表采集表vv 等等等等级级保保保保护测评护测评流程流程流程流程-各各各各阶阶段提交物段提交物段提交物段提交物前期沟通前期沟通 制定制定制定制定计计划与培划与培划与培划与培训训 收集

21、收集收集收集资资料料料料 测评规测评规划划划划 测评实施施形成形成报告告1 本报告模板针对作为单一定级对象的信息系统制定。序号序号软件名称件名称主要功能主要功能重要程度重要程度业务应用用软件件统计表表序号序号数据数据类型型所属所属业务应用用主机主机/存存储设备重要程度重要程度关关键数据数据类别统计表表序号序号设备名称名称操作系操作系统/数据数据库管理系管理系统业务应用用软件件主机主机/存存储设备统计表表vv 等等等等级级保保保保护测评护测评流程流程流程流程-各各各各阶阶段提交物段提交物段提交物段提交物前期沟通前期沟通 制定制定制定制定计计划与培划与培划与培划与培训训 收集收集收集收集资资料料料

22、料 测评规测评规划划划划 测评实施施形成形成报告告序号序号设备名称名称用用 途途重要程度重要程度网网络互互联及安全及安全设备统计表表序号序号姓名姓名岗位位/角色角色联系方式系方式安全相关人安全相关人员统计表表序号序号文档名称文档名称主要内容主要内容安全管理文档安全管理文档统计表表序号序号威威胁分分(子子)类描述描述威威胁赋值威威胁统计表表vv 等等等等级级保保保保护测评护测评流程流程流程流程-各各各各阶阶段提交物段提交物段提交物段提交物前期沟通前期沟通 制定制定制定制定计计划与培划与培划与培划与培训训 收集收集收集收集资资料料料料 测评规测评规划划划划 测评实施施形成形成报告告1 1、项目概述

23、目概述2 2、工作依据、工作依据3 3、工作内容、工作内容4 4、任、任务分工分工5 5、时间计划划6 6、项目目评审测评工作工作计划划1 1、项目概述目概述2 2、测评对象象3 3、测评指指标4 4、测评方式和工具方式和工具5 5、层面面测评实施施6 6、系、系统测评实施施测评方案方案vv 等等等等级级保保保保护测评护测评流程流程流程流程-各各各各阶阶段提交物段提交物段提交物段提交物前期沟通前期沟通测评实施施形成形成报告告类别测评内容内容结果果记录符合情况符合情况网网络访问控控制制a)a)应在在网网络边界界部部署署访问控控制制设备，启启用用访问控制功能；控制功能；b)b)c)c)d)d)e)

24、e)f)f)g)g)h)h)等等等等级测评实级测评实施施施施 分析系分析系分析系分析系统统差距差距差距差距 现场测评结果果记录表表vv 等等等等级级保保保保护测评护测评流程流程流程流程-各各各各阶阶段提交物段提交物段提交物段提交物前期沟通前期沟通测评实施施形成形成报告告序号序号名称名称测评指指标子子类网网络结构构安全安全网网络访问控制控制网网络安全安全审计边界界完整性完整性检查网网络入侵入侵防范防范恶意意代代码防范防范网网络设备防防护1 1IOS_IOS_路路 由由器器 _内内部部_1部分部分符合符合4/74/7符合符合0/40/4符合符合0/60/6符合符合0/20/2不符不符合合2/22/

25、2不符不符合合2/22/2部分部分符合符合6/96/92 2IOS_IOS_路路 由由器器_VPN_1等等等等级测评实级测评实施施施施 分析系分析系分析系分析系统统差距差距差距差距 单元元测评结果果汇总表表vv 等等等等级级保保保保护测评护测评流程流程流程流程-各各各各阶阶段提交物段提交物段提交物段提交物前期沟通前期沟通测评实施施形成形成报告告编编制安全制安全制安全制安全测评报测评报告告告告 序号分类子类符合情况符合部分符合不符合1物理安全物理位置的选择 2物理访问控制3防盗窃和防破坏4防雷击5防火6防水和防潮7防静电8温湿度控制9电力供应10电磁防护11网络安全结构安全12访问控制13安全审

26、计14边界完整性检查15入侵防范16恶意代码防范17网络设备防护18主机安全身份鉴别19安全标记20访问控制21可信路径22安全审计23剩余信息保护24入侵防范25恶意代码防范26资源控制27应用安全身份鉴别28安全标记29访问控制30可信路径31安全审计32剩余信息保护33通信完整性34通信保密性35抗抵赖36软件容错37资源控制38数据安全及备份恢复数据完整性39数据保密性40备份和恢复41安全管理制度管理制度42制定和发布43评审和修订44安全管理机构岗位设置45人员配备46授权和审批47沟通和合作48审核和检查49人员安全管理人员录用50人员离岗51人员考核52安全意识教育和培训53外

27、部人员访问管理54系统建设管理系统定级55安全方案设计56产品采购和使用57自行软件开发58外包软件开发59工程实施60测试验收61系统交付62系统备案63等级测评64安全服务商选择65系统运维管理环境管理66资产管理67介质管理68设备管理69监控管理和安全管理中心70网络安全管理71系统安全管理72恶意代码防范管理73密码管理74变更管理75备份与恢复管理76安全事件处置77应急预案管理测评结果果统计表表vv 等等等等级级保保保保护测评护测评流程流程流程流程-各各各各阶阶段提交物段提交物段提交物段提交物前期沟通前期沟通测评实施施形成形成报告告编编制安全制安全制安全制安全测评报测评报告告告告

28、 序号序号分分类子子类符合情况符合情况符合符合部分符合部分符合不符合不符合1物物理理安安全全物理位置的物理位置的选择 2物理物理访问控制控制 3防盗窃和防破坏防盗窃和防破坏 4防雷防雷击 5防火防火 6防水和防潮防水和防潮 7防静防静电 8温湿度控制温湿度控制 9电力供力供应 10电磁防磁防护 测评结果果统计表表vv 等等等等级级保保保保护测评护测评流程流程流程流程-各各各各阶阶段提交物段提交物段提交物段提交物前期沟通前期沟通测评实施施形成形成报告告制定安全制定安全制定安全制定安全测评报测评报告告告告 1 1、测评项目概述目概述2 2、被、被测系系统情况情况3 3、等、等级测评范范围与方法与方

29、法4 4、等、等级测评内容内容5 5、等、等级测评结果果6 6、风险分析和分析和评价价7 7、系、系统安全建安全建设、整改建、整改建议附：信息系附：信息系统安全等安全等级保保护备案表案表安全安全测评报告告3535vv 主要内容主要内容主要内容主要内容 等等级保保护测评简介介 等等级保保护测评内容内容 等等级保保护测评流程流程 等等级保保护测评方式、技方式、技术和工具和工具 等等级保保护相关政策介相关政策介绍v 等等级保保护测评方式、技方式、技术和工具和工具访谈检查测试 访谈是是测评人人员通通过与信息系与信息系统有有关人关人员（个人（个人/群体）群体）进行交流、行交流、讨论等等活活动，获取取证据

30、以据以证明信息系明信息系统安全等安全等级保保护措施是否有效的一种方法。措施是否有效的一种方法。在在访谈的广度上，的广度上，应基本覆盖所有基本覆盖所有的安全相关人的安全相关人员类型，在数量上可以抽型，在数量上可以抽样；在；在访谈的深度上，的深度上，应较全面，需包全面，需包含通用和高含通用和高级的的问题以及一些有以及一些有难度和度和探索性的探索性的问题。v 等等级保保护测评方式、技方式、技术和工具和工具访谈检查测试 检查是指是指测评人人员通通过对测评对象象进行行观察、察、查验、分析等活、分析等活动，获取取证据以据以证明信息系明信息系统安全等安全等级保保护措施是措施是否有效的一种方法。否有效的一种方

31、法。在在检查的广度上，的广度上，应基本覆盖所有基本覆盖所有的的对象种象种类（文档、机制等），数量上（文档、机制等），数量上可以抽可以抽样；在；在检查的深度上，的深度上，应较为全全面，要有面，要有详细、彻底的分析、底的分析、观察和研察和研究。究。v 等等级保保护测评方式、技方式、技术和工具和工具访谈检查测试 测试是指是指测评人人员通通过对测评对象按照象按照预定定的方法的方法/工具使其工具使其产生特定的响生特定的响应等活等活动，查看、看、分析响分析响应输出出结果，果，获取取证据以据以证明信息系明信息系统安安全等全等级保保护措施是否有效的一种方法。措施是否有效的一种方法。在在测试的广度上，的广度上，

32、应基本覆盖不同基本覆盖不同类型的机型的机制，在数量、范制，在数量、范围上可以抽上可以抽样；在；在测试的深度上，的深度上，应执行安全行安全测试和渗透和渗透测试，安全，安全测试可能涉及可能涉及机制的功能机制的功能规范、高范、高级设计和操作和操作规程等文档，程等文档，渗透渗透测试可能涉及机制的所有可用文档，并可能涉及机制的所有可用文档，并试图智取智取进入信息系入信息系统。v 等等级保保护测评方式、技方式、技术和工具和工具网网络扫描描网网络扫描描用用于于本本地地或或远程程检测系系统可可能能存存在在的的弱弱点点。弱弱点点扫描描工工具具（ScannerScanner）是是一一个个或或一一组自自动化化工工具

33、具，使使用用弱弱点点扫描描工工具具能能够高高效效率率地地收收集集业务系系统的的信信息息。例例如如，一一个个网网络端端口口扫描描工工具具可可以以快快速速识别大大量量主主机机开开放放的的服服务，获得得业务系系统所所涉涉及及的的每每个个IT IT 设备的的运运行行状状态。网网络扫描描遵遵循循扫描描时间段段选择、单点点试扫、主主备分分开开等等原原则。扫描描结束束后后，提提交交经过分分析析的的扫描描报告，以及告，以及扫描原始描原始报告。告。v 等等级保保护测评方式、技方式、技术和工具和工具网网络扫描描渗渗透透测试利利用用人人工工模模拟黑黑客客攻攻击方方式式发现网网络、系系统的的弱弱点点。需需要要注注意意

34、，渗渗透透测试的的风险较其其它它几几种种手手段段要要大大得得多多，在在实际测评中需要斟酌使用。中需要斟酌使用。渗透渗透测试v 等等级保保护测评方式、技方式、技术和工具和工具网网络扫描描系系统分分析析主主要要指指网网络结构构和和边界界分分析析，它它是是测评中中对业务系系统安安全全性性进行行全全面面了了解解的的基基础。一一个个业务系系统的的网网络结构构是是整整个个业务系系统的的承承载基基础，及及时发现网网络结构构存存在在的的安安全全性性、网网络负载问题，网网络设备存存在在的的安安全全性性，抗抗攻攻击的的问题是是整整个个业务系系统测评的的重重要要环节。对测评对象象的的物物理理网网络结构构，逻辑网网络

35、结构构及及网网络的的关关键设备进行行测评(基基本本信信息息包包括括网网络带宽、协议、硬硬件件、Internet Internet 接接入入、地地理理分分布布方方式式和和网网络管管理理)，发现存存在在的的安安全全性性，合合理理性性，使使用用效效率率等等方方面面的的问题。结合合业务体体系系、系系统体体系系等等结构构的的检查逻辑网网络，由由什什么么物物理理网网络组成成以以及及网网络的的关关键设备的的位位置置所所在在对于保持网于保持网络的安全是非常重要的。的安全是非常重要的。渗透渗透测试系系统分析分析v 等等级保保护测评方式、技方式、技术和工具和工具网网络扫描描测评人人员的的经验积累累、技技术实力力同同样是是等等级保保护测评的重要因素。的重要因素。渗透渗透测试系系统分析分析人人员经验