GB-T 45577-2025 数据安全技术 数据安全风险评估方法 - 附录A - 数据安全技术.xlsxVIP

项目编号： 项目名称：

核查对象： 数据安全技术 安全层面/安全类： 数据安全技术

IP地址： / 资产类别： 数据安全技术

核查时间： 测评作业指导书： 数据安全技术

序号 安全类 安全子类 评估项 评估方法 结果记录 无问题情况 配合人员

1 网络安全防护 网络安全防护 a）网络拓扑结构、网络区域划分、IP地址分配、网络带宽设置等网络资源管理情况； 1、人员访谈、文档查验，询问网络拓扑结构、区域划分、IP地址分配和网络带宽设置的情况，了解网络资源管理的具体实施和优化机制。

2、技术核验。查看网络策略表及验证网络防火墙等设备的网络策略配置情况，重点查看是否涉及any策略及互联网暴露的网络策略 网络安全相关人员

2 网络安全防护 网络安全防护 b）网络隔离、边界防护等措施的有效性； 1、人员访谈，查验网络拓扑图，了解数据所对应系统的部署位置；

2、安全核查，重点了解并查看内部边界、外部互联网边界采集了哪些访问控制措施和安全防范措施。 网络安全相关人员

3 网络安全防护 网络安全防护 c）安全策略和配置核查情况； 1、人员访谈、文档查验，针对于数据所对应的网络系统，是否制定了总体网络安全框架或安全策略文件；

2、安全核查，核查相关安全设备配置，是否与安全框架或安全策略文件要求相匹配。 网络安全相关人员

4 网络安全防护 网络安全防护 d）网络访问控制、安全审计情况； 1、人员访谈、安全核查，对于重要网络节点，重要网络边界处是否有网络审计设备，能够对系统或数据的访问、重要事件和行为进行安全审计。 网络安全相关人员

5 网络安全防护 网络安全防护 e）安全漏洞发现及常见漏洞修复、处置情况； 1、人员访谈。访谈技术人员，了解漏洞的发现机制，如漏洞扫描、渗透测试等。

2、文档核查。查看技术扫描报告，查看漏洞修复记录或漏洞变更报告。

网络安全相关人员

6 网络安全防护 网络安全防护 f）异常流量、恶意代码和钓鱼邮件发现及处置情况； 1、人员访谈、安全核查，针对于数据所对应的网络系统，是否部署了相关安全防护设备对异常流量、恶意代码、钓鱼邮件等行为进行检测和防护。 网络安全相关人员

7 网络安全防护 网络安全防护 g）外部攻击、内部攻击、新型攻击的发现和处置情况； 1、人员访谈、安全核查，针对于数据所对应的网络系统，是否部署了相关安全防护设备对内部攻击、外部攻击、新型攻击行为进行检测和防护。 网络安全相关人员

8 网络安全防护 网络安全防护 h）未授权连接内网、外网、无线网等情况； 1、人员访谈。了解当前办公环境、生产环境的网络情况。询问是否有未授权连接内网、外网和无线网的检测和处置措施，了解网络连接的管理和监控机制。

网络安全相关人员

9 网络安全防护 网络安全防护 i）通信链路、网络设备、计算设备等关键设备的冗余情况； 1、人员访谈、安全核查，针对于数据所对应的网络系统，重要设备和网络节点是否采用容易方式部署，重要节点是否存在单点故障，影响数据处理系统的高可用性。 网络安全相关人员

10 网络安全防护 网络安全防护 j）对第三方组件进行安全核查、修复、更新的情况； 1、人员访谈、安全核查，了解第三方组件安全核查、修复和更新的机制。询问是否定期进行安全核查，并及时修复和更新第三方组件。

2、查看安全扫描报告及漏洞修复记录 网络安全相关人员

11 网络安全防护 网络安全防护 k）服务器、数据库、端口、数据资源在互联网的暴露及管理情况； 1、人员访谈，了解存储数据的数据库、数据资源的管理方式，其管理系统、访问端口是否向互联网开放。

2、技术测试，通过端口扫描或防火墙映射规则，检查是否存在管理端口暴露在互联网的情况，若应业务需要必须互联网访问，是否做好必要的安全防范措施。 网络安全相关人员

12 网络安全防护 网络安全防护 l）处理重要数据、核心数据的信息系统，应按照有关规定满足相应网络安全等级保护要求。属于关键信息基础设施的，还应无问题关键信息基础设施安全保护要求。 1、人员访谈，处理重要数据、核心数据的信息系统是否进行了等级保护备案

2、文档查验，检查备案材料及测评报告，是否定期开展测评工作。 网络安全相关人员

13 身份鉴别与访问控制 身份鉴别 a）建立用户、设备、应用系统的身份鉴别机制情况，身份标识是否具有唯一性； 1、人员访谈、技术测试，了解数据存储、处理所对应的数据库、设备、应用系统，用户身份鉴别情况，是否存在多人共用账号的情况。 涉及服务器、数据库、应用管理人员

14 身份鉴别与访问控制 身份鉴别 b）身份鉴别信息是否具有复杂度要求并定期更换； 1、人员访谈、安全核查、技术测试，检查身份鉴别信息是否具有复杂度要求并定期更换；是否存在弱口令情况