01 附表1 等保2.0各类测评对象-通用要求对标适用性参考.xlsxVIP

序号 测评项目(三级) 通用领域-测评对象适用性 备注

网络设备 安全设备 操作系统 数据库管理系统 中间件 系统管理软件 应用软件

安全类或层面 安全控制点 GB/T22239测评指标 GB/T28448测评对象 GB/T28448《测评要求》（测评实施内容） 路由器 交换机 无线接入设备 安全网关（含防火墙） 终端安全 IDS、IPS、APT等 网络防病毒 反垃圾邮件产品、安全邮件服务器 综合网管、安管平台、SOC、堡垒机 安全审计、上网行为管理 服务器（操作系统） 终端（操作系统）

1 安全通信网络 网络架构 a)应保证网络设备的业务处理能力满足业务高峰期需要 路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件 1)应核查业务高峰时期一段时间内主要网络设备的CPU使用率和内存使用率是否满足需要；

2)应核查网络设备是否从未出现过因设备性能问题导致的宕机情况；

3)应测试验证设备是否满足业务高峰期需求。 √ √ √ √ △ △ △ 部分安全设备：串联在主干网络中的安全设备也应考虑性能处理能力。

2 b)应保证网络各个部分的带宽满足业务高峰期需要 综合网管系统等 1)应核查综合网管系统各通信链路带宽是否满足高峰时段的业务流量需要；

2)应测试验证网络带宽是否满足业务高峰期需求。 √ √ √ △ △ △ △ △综合网管等集中管理类产品上可以查看

3 c)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址 路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件 1)应核查是否依据重要性、部门等因素划分不同的网络区域；

2)应核查相关网络设备配置信息，验证划分的网络区域是否与划分原则一致。 √ √ √ √

4 d)应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段 网络拓扑 1)应核查网络拓扑图是否与实际网络运行环境一致；

2)应核查重要网络区域是否未部署在网络边界处；

3)应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段，如网闸、防火墙和设备访问控制列表（ACL）等。 √ √ √ 需结合网络拓扑

5 e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性 网络管理员和网络拓扑 应核查是否有关键网络设备、安全设备和关键计算设备的硬件冗余（主备或双活等）和通信线路冗余 √ √ √ △ √ 1、需结合网络拓扑

2、安全设备：串联在主干网络中的安全设备也应考虑性能处理能力。

6 通信传输 a)应采用校验技术或密码技术保证通信过程中数据的完整性 提供校验技术或密码技术功能的设备或组件 1)应核查是否在数据传输过程中使用校验技术或密码技术来保证其完整性；

2)应测试验证密码技术设备或组件能否保证通信过程中数据的完整性。 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ 网络全局角度考虑，针对业务数据+管理数据

7 b)应采用密码技术保证通信过程中数据的保密性 提供密码技术功能的设备或组件 1)应核查是否在通信过程中采取保密措施，具体采用哪些技术措施；

2)应测试验证在通信过程中是否对数据进行加密。 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ 网络全局角度考虑，针对业务数据+管理数据

8 可信验证 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心 提供可信验证的设备或组件、提供集中审计功能的系统 1)应核查是否基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证；

2)应核查是否在应用程序的关键执行环节进行动态可信验证；

3)应测试验证当检测到通信设备的可信性受到破坏后是否进行报警；

4)应测试验证结果是否以审计记录的形式送至安全管理中心。 √ √ √ √ 针对通信设备-全局性测评

9 安全区域边界 边界防护 a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信 网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件 1)应核查在网络边界处是否部署访问控制设备；

2)应核查设备配置信息是否指定端口进行跨越边界的网络通信，指定端口是否配置并启