55.网络安全等级保护测评2.0作业指导书（安全管理中心）V1.0.xlsxVIP

序号 测评指标 控制项 检查对象 检查方法 推荐值 判断标准

安全通用要求

1 系统管理 a）应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计； 提供集中系统管理功能的系统 1)应核查是否对系统管理员进行身份鉴别；

2)应核查是否只允许系统管理员通过特定的命令或操作界面进行系统管理操作；

3)应核查是否对系统管理的操作进行审计。 1)对系统管理员进行身份鉴别；2)只允许系统管理员通过特定的命令或操作界面进行系统管理操作；3)对系统管理的操作进行审计。 符合：1)-3)符合，则结果为符合；

部分符合：1)符合，则结果为部分符合；

不符合：1）不符合则结果为不符合。

2 b）应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等； 提供集中系统管理功能的系统 应核查是否通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等； 通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等； 符合：通过系统管理员对系统进行配置，则结果为符合；

不符合：其他情况为不符合。

3 审计管理 a）应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计； 综合安全审计系统、数据库审计系统等提供集中审计功能的系统 1)应核查是否对审计管理员进行身份鉴别；2)应核查是否只允许审计管理员通过特定的命令或操作界面进行安全审计操作；3)应核查是否对安全审计操作进行审计。 1)对审计管理员进行身份鉴别；2)只允许审计管理员通过特定的命令或操作界面进行安全审计操作；3)对安全审计操作进行审计。 符合：1)-3)符合，则结果为符合；

部分符合：1)符合，则结果为部分符合；

不符合：1）不符合则结果为不符合。

4 b）应通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等； 综合安全审计系统、数据库审计系统等提供集中审计功能的系统 应核查是否通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等； 通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等； 符合：通过审计管理员对审计记录进行分析和处理，则结果为符合；

不符合：其他情况为不符合。

5 安全管理 a）应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并对这些操作进行审计； 提供集中安全管理功能的系统 1)应核查是否对安全管理员进行身份鉴别；2)应核查是否只允许安全管理员通过特定的命令或操作界面进行安全审计操作；3)应核查是否对安全管理操作进行审计。 1)对安全管理员进行身份鉴别；2)只允许安全管理员通过特定的命令或操作界面进行安全审计操作；3)对安全管理操作进行审计。 符合：1)-3)符合，则结果为符合；

部分符合：1)符合，则结果为部分符合；

不符合：1）不符合则结果为不符合。

6 b）应通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等； 提供集中安全管理功能的系统 应核查是否通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等； 通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等； 符合：通过安全管理员对系统中的安全策略进行配置，则结果为符合；

不符合：其他情况为不符合。

7 集中管控 a）应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控； 网络拓扑 1)应核查是否划分出单独的网络区域用于部署安全设备或安全组件；2)应核查各个安全设备或安全组件是否集中部署在单独的网络区域内。 1)划分出单独的网络区域用于部署安全设备或安全组件；2)各个安全设备或安全组件集中部署在单独的网络区域内。 符合：1)-2)符合，则结果为符合；

部分符合：2)符合，则结果为部分符合；

不符合：2）不符合则结果为不符合。

8 b）应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理； 路由器、交换机和防火墙