信息安全等级保护检查工具箱技术白皮书

信息安全保障体系咨询服务技术白皮书杭州安恒信息技术有限公司二〇二〇年八月目录1.公司简介 (2)2.信息安全保障体系咨询服务 (3)2.1.概述 (3)2.2.参考标准 (4)2.3.信息安全保障体系建设的指导思想 (4)2.4.信息安全保障体系建设的基本原则 (5)3.信息安全保障体系的内容 (6)3.1.信息安全的四个领域 (6)3.2.信息安全策略体系 (6)3.2.1.信息安全战略 (7)3.2.2.信息安全政策标准体系框架 (7)3.3.信息安全管理体系 (8)3.4.信息安全技术体系框架 (9)3.5.信息安全运营体系 (11)4.信息安全保障体系的建设过程 (13)4.1.信息安全保障体系的总体建设方法 (13)4.2.信息安全策略的定义 (13)4.2.1.信息安全策略的通用性特征 (14)4.2.2.信息安全策略的建立过程 (15)4.3.企业信息安全管理体系的建设 (17)4.3.1.安全管理体系总体框架 (17)4.3.2.信息安全环境和标准体系框架 (18)4.3.3.信息安全意识培养 (18)4.3.4.信息安全组织 (21)4.3.5.信息安全审计监督 (21)4.4.企业信息安全运营体系的建设 (25)4.5.企业信息安全技术体系的建设 (27)4.5.1.安全技术设计目标 (27)4.5.2.安全技术体系的建设 (27)5.为什么选择安恒信息 (28)5.1.特性 (28)5.2.优点 (28)5.3.效益 (28)1.公司简介杭州安恒信息技术有限公司(DBAPPSecurity)，简称“安恒信息”，是业界领先的应用安全及数据库安全整体解决方案提供商，专注于应用安全前沿趋势的研究和分析，核心团队拥有多年应用安全和数据库安全的深厚技术背景以及最佳安全攻防实践经验，以全球领先具有完全自主知识产权的专利技术，致力于为客户提供应用安全、数据库安全、不良网站监测、安全管理平台等整体解决方案。

信息安全等级保护检查工具箱系统技术白皮书国家信息技术安全研究中心版权声明本技术白皮书是国家信息技术安全研究中心研制的信息系统安全等级保护检查工具箱产品的描述。

与内容相关的权利归国家信息技术安全研究中心所有。

白皮书中的任何内容未经本中心许可，不得转印、复制。

联系方式：国家信息技术安全研究中心地址：北京市海淀区农大南路1号硅谷亮城 2号楼C座4层电话:0简介国家信息技术安全研究中心（以下简称，中心）是适应国家信息安全保障需要批准组建的国家级科研机构，是从事信息安全核心技术研究、为国家信息安全保障服务的事业单位。

中心成立于2005年，是国家有关部门明确的信息安全风险评估专控队伍、等级保护测评单位、国家网络与信息安全应急响应技术支撑团队和国家电子政务非保密项目信息安全专业测评机构。

中心通过系统安全性检测、产品安全性检测、信息安全技术支持、信息安全理论研究、远程监控服务等项目，为国家基础信息网络和重要信息系统及社会各界提供多种形式的信息安全技术服务。

为提高我国基础信息网络和重要信息系统的安全防护水平，中心自主研发了一系列安全防护和检测工具产品。

主要有：恶意代码综合监控系统、信息系统等级保护检查/测评工具箱、安全内网管控系统、网上银行安全控件、系统安全检测工具集、网络数据流安全监测系统、商品密码安全性检测工具集、漏洞扫描评估系统等。

中心还积极承担国家“863”、国家发改委专项和密码发展基金等国家重点科研项目；积极承担国家下达的多项信息安全标准制定和研究任务；紧密跟踪国内外信息安全发展，采取多种形式为国家有关部门和行业提供信息安全咨询和培训服务。

经过多年的发展，中心服务的足迹遍及30余个省市自治区，为政府机关、电信、电力、金融、海关、铁路、广电、税务等行业部门的数百个单位、上千个重要信息系统提供了信息安全产品、咨询和测评服务。

目录1前言随着信息技术的迅速发展，社会对信息化的依赖程度越来越高，网络与信息系统的安全问题也更加的突出，为了保障基础网络和重要信息系统安全，更好地维护国家安全与社会秩序，我国推出了等级保护制度。

信息安全等级保护目标白皮书信息安全等级保护目标白皮书（覆盖等保二级和三级）目录1．第二级等保安全目标 (3)1.1. 技术目标 (3)1.2. 管理目标 (5)2．第三级等保安全目标 (7)2.1. 技术目标 (7)2.2. 管理目标 (10)3．等级保护二级、三级要求比较 (13)3.1. 技术要求比较 (13)3.2. 管理要求比较 (27)1．第二级等保安全目标第二级信息系统应实现以下目标。

1.1.技术目标O2-1. 应具有抵抗一般强度地震、台风等自然灾难造成破坏的能力O2-2. 应具有防止雷击事件导致重要设备被破坏的能力O2-3. 应具有防水和防潮的能力O2-4. 应具有灭火的能力O2-5. 应具有检测火灾和报警的能力O2-6. 应具有温湿度自动检测和控制的能力O2-7. 应具有防止电压波动的能力O2-8. 应具有对抗短时间断电的能力O2-9. 应具有防止静电导致重要设备被破坏的能力O2-10. 具有基本的抗电磁干扰能力O2-11. 应具有对传输和存储数据进行完整性检测的能力O2-12. 应具有对硬件故障产品进行替换的能力O2-13. 应具有系统软件、应用软件容错的能力O2-14. 应具有软件故障分析的能力O2-15. 应具有合理使用和控制系统资源的能力O2-16. 应具有记录用户操作行为的能力O2-17. 应具有对用户的误操作行为进行检测和报警的能力O2-18. 应具有控制机房进出的能力O2-19. 应具有防止设备、介质等丢失的能力O2-20. 应具有控制机房内人员活动的能力O2-21. 应具有控制接触重要设备、介质的能力O2-22. 应具有对传输和存储中的信息进行保密性保护的能力O2-23. 应具有对通信线路进行物理保护的能力O2-24. 应具有限制网络、操作系统和应用系统资源使用的能力O2-25. 应具有能够检测对网络的各种攻击并记录其活动的能力O2-26. 应具有发现所有已知漏洞并及时修补的能力O2-27. 应具有对网络、系统和应用的访问进行控制的能力O2-28. 应具有对数据、文件或其他资源的访问进行控制的能力O2-29. 应具有对资源访问的行为进行记录的能力O2-30. 应具有对用户进行唯一标识的能力O2-31. 应具有对用户产生复杂鉴别信息并进行鉴别的能力O2-32. 应具有对恶意代码的检测、阻止和清除能力O2-33. 应具有防止恶意代码在网络中扩散的能力O2-34. 应具有对恶意代码库和搜索引擎及时更新的能力O2-35. 应具有保证鉴别数据传输和存储保密性的能力O2-36. 应具有对存储介质中的残余信息进行删除的能力O2-37. 应具有非活动状态一段时间后自动切断连接的能力O2-38. 应具有网络边界完整性检测能力O2-39. 应具有重要数据恢复的能力1.2.管理目标O2-40. 应确保建立了安全职能部门，配备了安全管理人员，支持信息安全管理工作O2-41. 应确保配备了足够数量的管理人员，对系统进行运行维护O2-42. 应确保对主要的管理活动进行了制度化管理O2-43. 应确保建立并不断完善、健全安全管理制度- 10 -O2-44. 应确保能协调信息安全工作在各功能部门的实施O2-45. 应确保能控制信息安全相关事件的授权与审批O2-46. 应确保建立恰当可靠的联络渠道，以便安全事件发生时能得到支持O2-47. 应确保对人员的行为进行控制O2-48. 应确保对人员的管理活动进行了指导O2-49. 应确保安全策略的正确性和安全措施的合理性O2-50. 应确保对信息系统进行合理定级O2-51. 应确保安全产品的可信度和产品质量O2-52. 应确保自行开发过程和工程实施过程中的安全O2-53. 应确保能顺利地接管和维护信息系统O2-54. 应确保安全工程的实施质量和安全功能的准确实现O2-55. 应确保机房具有良好的运行环境O2-56. 应确保对信息资产进行标识管理O2-57. 应确保对各种软硬件设备的选型、采购、发放、使用和保管等过程进行控制O2-58. 应确保各种网络设备、服务器正确使用和维护O2-59. 应确保对网络、操作系统、数据库管理系统和应用系统进行安全管理O2-60. 应确保用户具有鉴别信息使用的安全意识O2-61. 应确保定期地对通信线路进行检查和维护O2-62. 应确保硬件设备、存储介质存放环境安全，并对其的使用进行控制和保护O2-63. 应确保对支撑设施、硬件设备、存储介质进行日常维护和管理O2-64. 应确保系统中使用的硬件、软件产品的质量O2-65. 应确保各类人员具有与其岗位相适应的技术能力O2-66. 应确保对各类人员进行相关的技术培训O2-67. 应确保提供的足够的使用手册、维护指南等资料O2-68. 应确保内部人员具有安全方面的常识和意识O2-69. 应确保具有设计合理、安全网络结构的能力O2-70. 应确保密码算法和密钥的使用符合国家有关法律、法规的规定O2-71. 应确保任何变更控制和设备重用要申报和审批，并对其实行制度化的管理O2-72. 应确保在事件发生后能采取积极、有效的应急策略和措施O2-73. 应确保信息安全事件实行分等级响应、处置2．第三级等保安全目标第三级信息系统应实现以下目标。

信息系统安全测评业务白皮书第 1 章信息系统安全测评信息系统安全是关乎国家稳定、企业生存与发展的重大课题，在信息技术日益发展的今天，如何通过信息系统安全测评工作，最大限度使组织结构预知存在的安全隐患，最大限度地保证国家重要基础设施和重点行业的安全稳定运营，已经成为当前我国信息安全工作的重点。

信息技术作为支撑企业业务服务的重要基础性设施，直接影响组织机构的对外服务。

是否可以通过主动地、定期地系统安全测评，做到事前规避？现实情况是很多组织机构在信息安全测评工作方面还存在巨大的误区和盲区。

信息系统安全测评工作成为组织机构信息系统建设、运营过程中的短板。

中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构，职能是开展信息安全漏洞分析和风险评估工作。

开展信息系统安全测评工作，旨在引入信息系统安全测评方法，利用先进技术测试手段、风险度量方法和切实的测评角度，确保组织机构将安全风险降低到可接受的程度，从而保障其业务安全稳定运营。

第 2 章测评类型信息系统安全测评致力于为国家重要行业、部委提供科学、客观、规范、务实的安全评估套餐式服务，经过长期的标准研究、工具探索、项目实践以及众多信息安全专家的反复论证，现已形成系列服务产品，包括：1、信息安全风险评估2、信息系统安全等级保护测评3、信息系统安全评估4、远程渗透测试5、信息系统安全监控6、信息系统安全方案评审2.1 信息安全风险评估2.1.1 评估目标由我中心高级测评工程师和咨询专家共同组成的评估团队，采用众多漏洞测试工具和工作模版，从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地为保障信息安全提供科学依据。

2.1.2 适用对象具有风险管理意识，关注信息系统安全风险的国家重要行业、部委。

等级保护检查工具箱 技术白皮书国家信息技术安全研究中心2011年06月版权声明本技术白皮书是国家信息技术安全研究中心“网探”系列安全产品的描述，与内容相关的权利归国家信息技术安全研究中心所有。

白皮书中的任何内容未经本中心许可，不得转印、复制。

目录1前言 (1)2系统概述 (3)3系统组成 (5)4产品功能 (6)5产品特点 (7)6应用部署 (13)7用户收益 (14)8关于中心 (15)1 前言随着信息技术的迅速发展，社会对信息化的依赖程度越来越高，网络与信息系统的安全问题也更加突出，为保障基础网络和重要信息系统安全，更好地维护国家安全与社会秩序，我国推出了等级保护制度，自1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》以来，等级保护相关工作大致经过了起步、发展及推行三个阶段，颁布《中华人民共和国计算机信息系统安全保护条例》、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）、《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66 号）、《电子政务信息安全等级保护实施指南（试行）》（国信办25号文）、《信息系统安全保护等级定级指南》（公信安［2005］1431号）等多项国家或部门级法令制度及管理办法，并制定《计算机信息系统安全保护等级划分准则》（GB-T 17859-1999）、《计算机信息系统安全等级保护操作系统技术要求》（GA 388-2002）、《计算机信息系统安全等级保护数据库管理系统技术要求》（GA/T 389-2002）、《计算机信息系统安全等级保护通用技术要求》（GA/T 390-2002）、《计算机信息系统安全等级保护管理要求》（GA 391-2002）等多组国家或行业信息安全标准，配合并支持国家信息安全等级保护制度的落实工作。

国家信息技术安全研究中心是国内最早从事等级保护专业测评的机构之一，提供权威的评测结论及建议，在国家信息安全等级保护工作开展至今的时间里，参与大部分相关标准的制定及具体项目实施等工作。

计算机终端保密检查检查工具技术白皮书目录1.研发背景 (1)2.适用范围 (1)3.涉密信息系统检查取证工具的技术要求 (1)4.产品功能 (2)4.1涉密计算机检查 (3)4.2非涉密计算机检查 (4)4.3增强功能 (5)5.产品优势 (6)6.典型用户 (7)7.性能指标 (7)8.检测环境 (9)1.研发背景国家保密机关为例加强对涉密计算机的管理已颁布了许多政策和法规，这些政策和法规在实际工作中执行的怎么样呢？同时只有发现了问题，才能寻找解决问题的办法，进而有效的教育涉密人员自觉遵守保密的规定。

因此，需要一款有效的检查取证工具。

它的有效性不仅要体现保密政策的要求，而且还能发现隐藏的问题；不仅性能先进，而且还要可靠和易用。

为此我们的研发人员认真的研究了国家对涉密计算机的管理政策，大量走访了各级保密管理人员，力求以公司技术优势去满足这些需求，从而奉献出一款有效的检查取证工具。

2.适用范围该系统为安全保密检查人员提供了强大的技术手段，按照“上网不涉密、涉密不上网”的原则，能够准确、全面、有效地检查出计算机存在的违规行为，辅助安全保密检查人员提出安全防护完善意见。

该工具适用于信息安全执法机构及其它指定的政府及关键部门的专用检测工具，具有极大的专业性和专用性。

3.涉密信息系统检查取证工具的技术要求以专用介质为载体的涉密信息系统检查取证工具首先必须满足国家关于介质安全性的要求，消除介质使用中泄密隐患，确保国家秘密安全；其次是要准确无误地检查出涉密计算机的各种违规操作痕迹，检查结束后能自动生成检查报表，为检查取证提供有力证据。

1.采用符合要求的专用移动存储介质，提高介质自身的安全防护能力由于涉密信息系统检查取证工具需要基于一个可移动的存储设备为载体，而普通移动存储介质无法满足涉密信息系统的特殊要求，应逐步淘汰或禁止使用，工具应采用具有安全保密功能的专用介质；2.对于“物理隔离”要求的检查标准要求涉密计算机在任何条件下，必须处于物理隔离状态，严禁接入与国际互联网及公共信息网。

仪征市公安局网安大队信息安全等级保护检测工具箱主要技术指标及要求一、投标人资质要求：1、符合《政府采购法》第二十二条规定；2、原厂商本产品具有自主知识产权，并提供相关证书；3、按照公安部《信息安全等级保护监测工具箱产品目录》和江苏省公安厅《江苏省信息安全等级保护检查工具箱选型目录》，北京锐安科技有限公司、江苏国瑞信安科技有限公司、杭州安恒信息技术有限公司、北京圣博润高新技术股份有限公司四家公司符合投标资质；4、本项目不接受代理或联合体投标。

三、软件基本技术参数及要求：（5项以上不完全满足做废标处理）1、工具箱监察管理系统功能1.1 检查计划导入1.1.1检查信息：检查单位信息、检查计划名称、检查计划起止时间等1.1.2检查表单模板信息：行业主管部门（含中央国家机关）检查表单模板、备案单位检查表单模板、信息系统（含网站）检查表单模板等相关信息1.1.3检查人员模板信息：检查人员单位、职务、警号、警衔、联系方式等1.2 任务管理1.2.1支持手动创建重要信息系统检查、行业主管部门检查、备案单位检查、网站检查、专项检查、自定义检查任务1.2.2支持检查任务并行检查及并行检查结果合并1.3 编辑打印检查通知书支持对检查单进行编辑、导入、导出、打印1.4 生产检查记录表单1.4.1检查范围：支持行业主管部门、备案单位、重要信息系统、网站四类检查对象的检查范围。

支持基本情况、定级备案、监测预警等检查范围。

1.4.2检查内容：支持系统定级情况、岗位设置情况、安全审计情况等检查内容。

1.4.3检查要点：支持检查对象检查内容具体检查指标项进行检查。

1.4.4检查结果录入类型：单项判定：支持判定是、否、不适用符合项结果；检查结果录入：支持录入检查结果记录；复合型结果录入：支持在选择符合性结果的基础上录入相应记录。

1.5 检查执行1.5.1针对每个检查要点应提供相应的检查方法，检查结果判定依据等相关检查知识，以便引导进行现场检查。

国瑞信安信息安全等级保护检查工具箱技术白皮书江苏国瑞信安科技有限公司目录第一章概述 .................................................................................................... 错误！未定义书签。

1.1产品背景.......................................................................................... 错误！未定义书签。

1.2产品概述.......................................................................................... 错误！未定义书签。

1.3建设依据.......................................................................................... 错误！未定义书签。

第二章产品架构 ............................................................................................ 错误！未定义书签。

2.1产品整体架构.................................................................................. 错误！未定义书签。

2.2产品技术架构.................................................................................. 错误！未定义书签。

第三章产品特点 ............................................................................................ 错误！未定义书签。

信息安全技术等级保护2.01.引言1.1 概述概述信息安全技术等级保护2.0是一种针对信息系统和网络安全的等级保护机制，旨在为不同等级的信息系统提供相应的安全防护措施和技术支持。

这一机制基于我国信息安全技术等级保护标准以及各行各业的实际需求，对传统的信息安全等级保护进行了深入的研究和改进。

随着信息系统和网络的快速发展，信息安全问题日益突出。

传统的信息安全等级保护往往只针对特定的行业和应用场景，难以满足不断更新迭代的信息系统和网络环境的需求。

因此，信息安全技术等级保护2.0应运而生，旨在提供更为灵活、适用性更强的信息安全保护方案。

与传统的信息安全技术等级保护相比，2.0版本具有更高的可扩展性和兼容性。

它将信息安全等级划分为多个具体的级别，根据不同级别的信息系统特点和安全需求，为其提供相应的安全技术规范和控制要求。

同时，2.0版本还针对新兴技术和应用场景进行了更为精细和全面的安全评估，以确保信息系统和网络在面临新威胁时能够有效应对。

本文将对信息安全技术等级保护2.0的背景和特点进行深入探讨。

通过对这一机制的分析和解读，旨在增强读者对信息安全保护的理解和认识，引起广大企事业单位对信息安全的重视和关注。

此外，本文还将对未来信息安全技术等级保护的发展趋势进行展望，为读者提供参考和借鉴。

1.2文章结构1.2 文章结构本文将按照以下结构进行论述。

首先，在引言部分，我们将概述信息安全技术等级保护2.0的背景，以及明确本文的目的。

接下来，在正文部分，我们将详细探讨信息安全技术等级保护2.0的背景，包括其发展历程、相关标准的演进等内容。

随后，我们将介绍信息安全技术等级保护2.0的特点，包括其具备的安全性能和功能，以及与传统技术等级保护的不同之处。

最后，在结论部分，我们将对本文进行总结，并对信息安全技术等级保护2.0的未来发展进行展望。

通过以上结构，本文将全面介绍并分析信息安全技术等级保护2.0的相关内容，希望能够对读者提供一个清晰的了解。

【文档密级：限制分发】明鉴®信息安全等级保护检查工具箱产品白皮书杭州安恒信息技术有限公司二〇一三年十二月文档编辑记录操作日期操作人操作说明版本号2013/10/21 冯旭杭创建文档V1.0 2013/10/21 邹龙调整了部分描述、增加了部分内容、图片V1.0 2013/10/23 莫金友精减相关功能描述V1.0目录1.背景 (5)2.产品概述 (6)2.1.产品概述 (6)2.2.产品组成与简介 (7)2.3.产品适用范围 (7)2.4.产品用途 (8)3.产品功能 (10)3.1.产品功能结构 (10)3.2.明鉴®信息安全等级保护工具箱主要功能 (11)3.2.1.在线安全检查 (11)3.2.1.1网站安全检查工具 (11)3.2.1.2 数据库安全检查工具 (11)3.2.1.U盘安全检查工具 (11)3.2.3.Windows主机配置检查工具 (11)3.2.4.Linux主机配置检查工具 (11)3.2.5.网络设备配置检查工具 (12)3.2.6.网站恶意代码检查工具 (12)3.2.7.主机病毒检查工具 (12)3.2.8.主机木马检查工具 (12)3.2.9.弱口令检查工具 (12)3.2.10.SQL注入验证检查工具 (13)3.2.11.辅助工具 (13)3.2.12.分析平台功能 (14)3.3.等级保护监察管理系统主要功能 (14)3.3.1.统一展现 (14)3.3.2.统计分析 (15)3.3.3.数据汇总 (15)3.3.4.检查管理 (16)3.3.5.资源管理 (16)3.3.6.日志管理 (17)4.产品部署与使用 (18)4.1.工具箱的部署与使用 (18)4.2.分析平台的部署与使用 (19)4.3.监察管理系统的部署与使用 (19)5.产品优势 (21)5.1.前瞻性 (21)5.2.权威性 (21)5.3.全面性 (21)5.4.准确性 (21)5.5.便捷性 (21)5.6.高效性 (21)5.7.兼容性 (21)5.8.安全性 (21)6.客户受益与结论 (22)1.背景从1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》，我国第一次提出信息系统由公安部门牵头实行等级保护开始，截止目前等级保护工作已经形成主管明确、标准完善、流程清晰、执行积极的良好态势。

信息安全保障体系咨询服务技术白皮书杭州安恒信息技术有限公司二〇二二年三月目录1. 公司简介....................................................................................................错误!未定义书签。

2. 信息安全保障体系咨询服务....................................................................错误!未定义书签。

. 概述................................................................................................错误!未定义书签。

. 参考标准........................................................................................错误!未定义书签。

. 信息安全保障体系建设的指导思想............................................错误!未定义书签。

. 信息安全保障体系建设的基本原则............................................错误!未定义书签。

3. 信息安全保障体系的内容........................................................................错误!未定义书签。

. 信息安全的四个领域....................................................................错误!未定义书签。

. 信息安全策略体系........................................................................错误!未定义书签。

信息安全等级保护白皮书内蒙古信元信息安全评测有限责任公司目录一、背景 (3)二、计算机信息系统安全等级保护是什么 (3)2.1计算机信息系统 (3)2.2信息安全等级保护 (4)三、等级保护内容 (4)3.1 为什么要做等级保护 (4)3.2等级保护内容 (6)3.3相关政策及法律依据 (6)3.4等级保护工作意义 (8)四、信息系统安全保护等级的划分与保护 (10)4.1“自主定级、自主保护”与国家监管 (10)4.2信息系统安全保护等级 (10)4.3信息系统安全保护等级的定级要素 (11)4.4五级保护和监管 (11)五、等级保护具体内容和要求 (12)5.1信息安全等级保护定级工作 (12)5.2 信息安全等级保护备案工作 (17)5.3安全建设整改工作 (19)5.4 等级保护测评工作 (34)5.5 信息安全等级保护监督检查 (42)六、内蒙古信息安全等级保护测评中心 (43)6.1 团队组成 (43)一、背景随着我国信息化建设程度越来越高，关系国计民生的重要领域信息系统已成为国家的关键基础设施，信息资源已成为重要的战略资源之一。

当前，我国基础信息网络和重要信息系统安全面临的形势十分严峻，既有外部威胁，又有自身脆弱性和薄弱环节。

信息安全滞后于信息化发展；信息系统安全建设和管理的目标不明确；信息安全保障工作的重点不突出；信息安全监督管理缺乏依据和标准；监管措施有待到位，监管体系尚待完善。

1994年经党中央和国务院批准，国家信息化领导小组决定加强信息安全保障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全，要抓紧安全等级保护制度建设。

这一重大决定，明确落实了《中华人民共和国计算机信息系统安全保护条例》（国务院令147号）中关于实行信息安全等级保护制度的有关规定，提出了从整体上根本上解决国家信息安全问题的办法,进一步确定了信息安全的发展主线、中心任务，提出了总要求。

对信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。

国家信息安全测评信息安全产品分级评估业务白皮书版本：4.0©版权2013—中国信息安全测评中心二〇一三年八月目录1．简介 (1)1.1引言 (2)1.2目的和意义 (2)1.3业务范围 (2)2．分级评估业务介绍 (2)2.1业务特点 (3)2.1.1国家权威，国际认可 (3)2.1.2公平、公正、保密 (3)2.1.3技术成熟 (3)2.2业务需求 (3)2.2.1对用户 (3)2.2.2对企业 (4)2.2.3对政府 (4)2.3依据标准 (4)2.4业务实施 (4)2.4.1证据需求 (4)2.4.2业务流程 (6)2.4.3评估内容 (8)2.4.4人员及时间 (9)2.4.5资费标准 (10)2.4.6业务监督 (10)2.5业务输出 (10)2.6 FAQ (10)1．简介1.1 引言目前，众多组织机构开展了针对安全产品的多样化的测评业务，这些测评业务为人们了解产品的功能特点及实现方式提供了良好的途径。

然而，自身功能实现的好坏是否足以衡量一个产品的质量，为用户提供放心的使用环境呢？纵观国内外信息安全界，安全事件屡有发生，产品商业机密遭到泄露，这给用户带来了极大的危害。

显然，产品设计是否全面、是否提供了足够的保密措施、保障文档是否完善，都会对用户的使用起到至关重要的作用。

信息安全产品分级评估是指依据国家标准GB/T 18336—2008，综合考虑产品的预期应用环境，通过对信息安全产品的整个生命周期，包括技术，开发、管理，交付等部分进行全面的安全性评估和测试，验证产品的保密性、完整性和可用性程度，确定产品对其预期应用而言是否足够安全，以及在使用中隐含的安全风险是否可以容忍，产品是否满足相应评估保证级的要求。

1.2 目的和意义信息安全产品分级评估的目的是促进高质量、安全和可控的IT产品的开发，分级评估的具体的目的和意义包括：1）对信息安全产品依据国家标准进行分级评估；2）判定产品是否满足标准中的安全功能和安全保证要求；3）有助于在涉及国家安全的信息安全领域中加强产品的安全性和可控性，维护国家和用户的安全利益；4）促进中国信息安全市场的优胜劣汰机制的建立和完善，规范市场。

安数云综合安全检查评估系统技术白皮书北京安数云信息技术有限公司二〇一七年三月目录1背景介绍................................................................. 错误!未定义书签。

2安全漏洞................................................................. 错误!未定义书签。

2.1系统安全漏洞 ............................................................... 错误!未定义书签。

2.1.1缓冲区溢出漏洞...................................................................... 错误!未定义书签。

2.1.2拒绝服务攻击漏洞.................................................................. 错误!未定义书签。

2.1.3弱口令漏洞.............................................................................. 错误!未定义书签。

2.2WEB应用漏洞............................................................... 错误!未定义书签。

2.2.1可用性...................................................................................... 错误!未定义书签。

2.2.2安全漏洞.................................................................................. 错误!未定义书签。

信息平安等级保护测评工具选用指引一、必须配置测试工具〔一〕漏洞扫描探测工具。

1.网络平安漏洞扫描系统。

2.数据库平安扫描系统。

〔二〕木马检查工具。

1.专用木马检查工具。

2.进程查看与分析工具。

二、选用配置测试工具〔一〕漏洞扫描探测工具。

应用平安漏洞扫描工具。

〔二〕软件代码平安分析类。

软件代码平安分析工具。

〔三〕平安攻击仿真工具〔四〕网络协议分析工具〔五〕系统性能压力测试工具1.网络性能压力测试工具2.应用软件性能压力测试工具〔六〕网络拓扑生成工具〔七〕物理平安测试工具1.接地电阻测试仪2.电磁屏蔽性能测试仪〔八〕渗透测试工具集〔九〕平安配置检查工具集〔十〕等级保护测评管理工具综合工具：漏洞扫描器：极光、Nessus、SSS等；平安基线检测工具〔配置审计等〕：能够检查信息系统中的主机操作系统、数据库、网络设备等；渗透测试相关工具：踩点、扫描、入侵涉及到的工具等；主机：sysinspector、Metasploit、木马查杀工具、操作系统信息采集与分析工具(Win,Unix)、日志分析工具、数据取证工具〔涉密〕；网络：Nipper〔网络设备配置分析〕、SolarWinds、Omnipeek、laptop〔无线检测工具〕；应用：AppScan、Webinspect、FotifySCA、Sql injection tools、挂马检测工具、webravor等。

信息平安测评工具五大网络平安评估工具1.WiresharkWireshark〔原名Ethereal〕是一个网络封包分析软件。

网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。

工作流程〔1〕确定Wireshark的位置。

如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。

〔2〕选择捕获接口。

一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。

否那么，捕获到的其它数据对自己也没有任何帮助。