GBT 22239-2019 信息安全技术 网络安全等级保护基本要求 解读与测评指南

GB/T22239-2019信息安全技术网络安全等级保护基本要求解读与测评指南文档类型：标准解读与测评实施指南版本号：V1.0发布日期：2026-06-17适用标准：GB/T22239-2019《信息安全技术网络安全等级保护基本要求》适用人群：网络运营者、安全管理人员、等级保护测评人员、系统集成商、IT审计师、企业信息化负责人建议阅读时间：约150分钟文档分类：标准解读/实施指导/测评指南关键词：等级保护，等保2.0，安全通用要求，安全测评，云计算安全，物联网安全，工控安全，定级备案第一部分：文档概览1.1文档说明GB/T22239-2019《信息安全技术网络安全等级保护基本要求》（即业界通称的“等保2.0”基本要求）是指导我国各行业网络系统进行安全建设和安全评估的核心技术标准。本指南站在网络运营者和等级测评人员的双重视角，不仅对标准条文进行体系化的解读，更将每一个安全要求转化为可检查、可评价、可落地的测评要点和整改行动项。指南涵盖安全通用要求以及云计算、移动互联、物联网、工业控制系统四大安全扩展要求，并提供可直接用于现场测评的检查清单和记录表格模板。使用者可将本指南作为等保建设对标手册、等保测评复习资料、内部安全审计checklist，以及安全方案设计的参考蓝本。【合规提醒】本文档为基于GB/T22239-2019的个人/机构解读与测评指南，仅供学习参考，不构成任何法律、认证或官方合规意见。正式实施时，请以标准正式文本及相关法律法规为准。标准内容可能更新，使用前请确认最新有效版本。1.2摘要等保2.0将保护对象从传统信息系统扩展至云计算、大数据、物联网等新业态，并确立了“一个中心、三重防护”的安全架构。然而标准文本体系庞大、条款抽象，网络运营者面对数百项安全要求时，常陷入“不知该从何建起”的困惑；测评人员在现场判断时，也容易因对条款理解深浅不一而导致尺度差异。本指南系统梳理了GB/T22239-2019的全部安全要求，将每一级别的安全控制点转化为明确的“测评指标描述”“测评实施方法”和“预期结果”，并结合不同保护等级给出常见的高风险判定示例。指南最后提供了一套可定制的检查清单和测评报告框架，帮助读者快速实现从标准理解到现场操作的过渡。1.3学习目标完成本指南的学习后，您将能够：准确描述等保2.0各级别的安全保护能力要求及“一个中心、三重防护”的纵深防御体系。针对第一级至第四级系统，逐项列出安全通用要求中的控制点及对应的测评核查项。独立完成对传统信息系统及云计算、移动互联等扩展场景的等级保护符合性检查。编制符合规范的网络安全等级保护定级报告、测评报告及安全整改建议书。识别等保测评中的常见高风险项和合规陷阱，避免因错误解读标准而导致的不符合项。1.4适用人群适用角色核心需求阅读建议网络运营者（甲方安全负责人）对标标准查找差距，准备测评重点阅读第三部分安全要求解读及第五部分检查清单，逐条对照改进。等级保护测评师现场测评判断依据与操作指引精读第三、四部分，将第四部分测评方法作为现场作业手册。系统集成商/安全厂商为客户提供符合等保要求的方案关注第三部分的特定场景要求，利用检查清单撰写建设方案。IT审计师从审计角度评估等保合规性结合第四部分测评要点和第五部分checklist建立审计程序。信息化负责人了解等保工作整体框架和成本通读第二部分背景术语和第六部分文档模板，建立全局认知。1.5目录第一部分：文档概览1.1文档说明1.2摘要1.3学习目标1.4适用人群1.5目录1.6阅读导引第二部分：标准背景与核心术语2.1等保2.0发布背景与体系构成2.2核心术语速览第三部分：安全通用要求深度解读3.1整体框架：“一个中心、三重防护”3.2安全物理环境3.3安全通信网络3.4安全区域边界3.5安全计算环境3.6安全管理中心3.7安全管理制度与机构3.8安全管理人员3.9安全建设管理3.10安全运维管理第四部分：等级保护测评实施指南4.1测评流程与基本方法4.2安全通用要求测评指标与实施4.3扩展要求测评要点（云计算、移动互联、物联网、工控）4.4测评风险判定与常见不符合项第五部分：合规检查清单5.1安全通用要求检查清单（三级为例）第六部分：文件与记录模板6.1定级报告参考模板6.2测评报告框架第七部分：常见问题与审核/迎检应对指南第八部分：风险提示与使用限制附录附录A：等级保护定级要素参考表附录B：常见防护措施与标准条款映射表更新记录1.6阅读导引若您正准备迎接首次等保测评，建议从第二部分的术语和第三部分的安全框架开始，然后直接跳至第五部分，对照检查清单逐项自评。若您已是测评人员，可直接查阅第四部分的测评实施指南，其中详细描述了每个安全控制点的检查方法和预期结果。第六部分的模板可作为编制定级报告和测评报告的起点。第二部分：标准背景与核心术语2.1等保2.0发布背景与体系构成GB/T22239-2019于2019年12月1日正式实施，替代了2008年版的等保1.0基本要求。其核心变化体现在三个方面：一是保护对象从信息系统扩展为网络和信息系统，并将云计算、移动互联、物联网、工业控制系统作为独立的安全扩展要求纳入；二是架构上摒弃了原来的物理安全、网络安全、主机安全等十个安全域，转而采用“安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心”的五类技术要求和四类管理要求，形成“一个中心、三重防护”的纵深防御架构；三是强化了可信验证，要求在计算环境中建立信任根，实现从系统启动到应用运行的全链条信任支撑。整个等保2.0标准家族除本基本要求外，还包括GB/T22240（定级指南）、GB/T28448（测评要求）、GB/T28449（测评过程指南）等，共同构成设计、实施、测评、改进的闭环。本文档以基本要求为核心，并充分融入测评要求的内容，以实现“对标+检查”双效合一。2.2核心术语速览术语标准定义（转述）通俗理解等级保护对象网络安全等级保护直接作用的对象，包括信息系统、通信网络设施和数据资源等。您需要按等保要求保护的那个“目标系统”，可以是一个网站、一个内部OA系统，也可以是一个云计算平台。安全保护能力网络安全等级保护对象能够抵御威胁、发现安全事件以及在遭到损害后能够恢复系统运行的能力。就是系统“扛打、能发现、能恢复”的综合本事，级别越高，本事越大。一个中心、三重防护等保2.0技术设计核心思想：一个安全管理中心，加上安全计算环境、安全区域边界、安全通信网络的三层防护。就像一座城堡：环境防护是城墙和城门（边界），通信防护是通往城堡的道路安全（通信），计算环境防护是城内房屋的坚固（计算环境），管理中心就是城堡的中军帐（统一指挥）。可信验证基于硬件信任根，对系统引导程序、操作系统、应用程序等进行可信度量，确保计算环境不被篡改和对抗的可信计算功能。给计算机装一个“防篡改芯片”，从按下开机键那一刻就层层校验，保证系统核心没被动过手脚。这在四级系统中是强制要求。控制点标准中为某一安全领域设定的若干具体安全要求点。标准中带编号的那些具体要求，比如a)。每个控制点都是测评师要检查的一个具体项。预期结果针对某个控制点，测评人员期望看到的证据或状态。测评师检查你系统时，希望看到的那个“理想样子”，比如“防火墙策略已启用并禁止了高危端口”。本章小结：等保2.0的核心升级在于扩展了保护对象、重塑了安全架构、强化了主动防御。理解“一个中心、三重防护”的纵深防御逻辑，是掌握后面数百个控制点的基础。术语表中的每个关键词，都会在后续章节中反复出现。第三部分：安全通用要求深度解读本章按照等保2.0的技术要求和管理要求两大类，逐层拆解各级安全控制点。解读深度依据控制点在测评中的关注度和实施难度分为核心和重要两级，均采用“条款要求概要→三层次解读→实施要点→操作步骤→常见误区”的模式。为控制篇幅，部分较低级别或基础性要求以表格对照形式给出。3.1整体框架：“一个中心、三重防护”在深入具体控制点前，必须先建立起对等保2.0技术架构的整体感。该架构可概括为：一个中心：安全管理中心。负责统一管理、监控、审计和协同，相当于整个安全体系的大脑。要求对安全设备、安全事件和安全策略进行集中管控，并实现日志的集中分析和关联。三重防护：安全计算环境：最内层，保护服务器、终端、应用和数据。包括身份鉴别、访问控制、安全审计、入侵防范、数据完整性保密性等。安全区域边界：中层，在不同网络区域之间实施防护。包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计等。安全通信网络：最外层，保障数据在传输过程中的安全。包括通信传输加密、网络架构的可靠性和冗余性等。任何一项具体的控制点，都可以在这个架构中找到它的位置。例如，“确保重要数据传输的保密性”属于安全通信网络，“应限制终端非法外联”属于安全区域边界，“应对操作系统进行最小权限安装”属于安全计算环境。3.2安全物理环境条款要求概要：等保2.0要求依据等级，对机房或设备所在物理环境提供物理访问控制、防盗防破坏、防雷防火防水、温湿度控制、电力供应和电磁防护等能力。核心条款解读：物理访问控制【标准意图】防止未授权人员物理接触核心设备，是安全的第一道门。即使是最高级别的网络安全措施，如果攻击者能走进机房直接拔走硬盘，一切都化为乌有。【企业痛点】部分中小企业没有独立机房，服务器就放在办公室角落或杂物间，无法做到严格的进出管控。即便是大型企业，对于托管在IDC的服务器，也容易忽视对IDC方物理安全能力的合同约束和定期核查。【合规后果】测评时会直接判定物理访问控制不符合，这属于高风险项。因其可能导致设备的直接物理损坏或数据窃取，影响范围广且难以溯源。实施要点划分明确的物理安全区域，如公共区、办公区、机房区，并设置电子门禁或至少使用机械锁。配置7×24小时视频监控，录像保存时间根据级别要求（三级不低于90天）。对人员出入进行审批登记，保留访客记录，并由内部人员全程陪同。操作步骤划定物理区域用隔断、栅栏等将核心网络设备和服务器所在的区域与其他区域隔离开。如无法设置独立机房，至少应部署带锁的机柜，并置于可管控的房间内。部署访问控制设备在机房入口安装电子门禁系统，使用刷卡或指纹识别，确保只有授权人员可进入。门禁系统应具备掉电自动解锁功能，以保证消防疏散。安装监控与环境监控在机房内和入口处部署视频监控探头，确保无死角。配备温湿度、烟感、漏水检测等传感器，并接入集中监控平台，异常时自动报警。建立管理制度并培训制定《机房安全管理制度》，明确出入流程、审批权限和违规处罚。每半年至少组织一次相关人员培训，并将制度在机房门口张贴。常见误区将门禁卡片随意借给同事或外部人员使用，导致进出记录失真。视频监控录像覆盖周期不足，或者只在工作时间开启，夜间和节假日无监控。机柜钥匙随手放在机柜顶部或附近抽屉，形同虚设。3.3安全通信网络本部分重点解读通信传输加密和网络架构安全两个核心要求。核心条款解读：通信传输加密与完整性【标准意图】等保2.0要求对远程管理、重要业务数据在通信过程中的保密性和完整性进行保护，防止数据在链路上被窃听或篡改。【企业痛点】大量企业仍在使用Telnet、HTTP、FTP等明文协议进行管理或传输数据，尤其是管理员远程维护时图方便使用Windows远程桌面而未启用网络级身份验证和加密，或者内网不同网段之间没有任何加密措施，认为“内网就是安全的”。【合规后果】通信未加密将直接导致安全通信网络部分的高风险项，被认为无法保障数据传输安全，可能引发数据泄露和中间人攻击。实施要点梳理所有管理通道和数据传输路径，识别出使用明文协议的场景。为远程管理启用SSH、HTTPS、IPsecVPN等加密协议。对关键业务系统与数据库之间、不同安全域之间的数据交换，采用TLS/SSL或VPN加密。使用证书或预共享密钥进行双向认证，防止中间人攻击。操作步骤清查协议使用扫描工具或人工排查方式，列出网内所有管理IP和业务IP，标记出使用Telnet、HTTP、FTP、VNC等协议的端口。替换或加固针对Web管理，强制跳转HTTPS，并禁用HTTP。针对远程桌面，要求必须使用网络级身份认证和RDP加密。对于SSH，禁止使用SSHv1，并限制root直接登录。部署VPN或加密隧道对于跨广域网的内部数据同步或备份链路，使用IPsecVPN或专线加密机。对于移动办公接入，部署SSLVPN网关，并进行设备合规检查后放行。验证与记录通过抓包工具验证加密生效，确保传输的数据不可直接读取。相关配置变更纳入变更管理流程，并在日志中记录。常见误区仅面向互联网的业务启用HTTPS，但内网各个系统间的API调用仍然走HTTP。使用了加密但算法选择不当，如仍采用SSL3.0或RC4等已被视为不安全的算法。密钥和证书管理缺失，证书过期后无人更新，导致服务中断。3.4安全区域边界核心条款解读：边界防护与访问控制【标准意图】通过划分安全域并在域边界部署防火墙、WAF、IDS/IPS等设备，实现非法外联控制、非授权访问拦截和攻击检测。【企业痛点】网络边界不清，内部办公网、生产网、测试网混杂在一起，没有有效隔离；或者虽然有防火墙，但策略设置过于宽松，如“anytoany”允许，失去了访问控制意义。【合规后果】区域边界安全是测评重点，如果发现可随意穿越的网络边界或存在无管控的非法外联，属于严重不符合。非法外联尤其危险，因为可能绕开了所有安全管控措施。实施要点依据系统功能和数据敏感度，划分不同的安全域，如互联网接入域、核心生产域、办公域、管理域等。在各域边界部署访问控制设备（防火墙、网闸等），配置基于白名单的访问控制策略。对终端进行限制，禁止未授权的外联行为（如私接无线网卡、代理软件等）。启用入侵防范机制，对网络攻击行为（如端口扫描、暴力破解）进行检测和阻断。操作步骤绘制全网络拓扑全面梳理网络设备、链路和区域接口，形成准确的网络拓扑图，并标注出各安全域的边界。制定访问控制策略基于最小权限原则，编写防火墙策略，只允许业务必需的协议和端口通过。例如，仅允许办公网到服务器区的特定应用端口，禁止办公终端直接访问数据库。加固终端通过域组策略或终端管理软件，禁止修改网络配置、禁用非必要网卡；部署终端安全管理软件，对非法外联行为进行探测和阻断，并及时报警。部署检测设备在关键边界旁路部署IDS或串联部署IPS，启用入侵防范规则库，并对告警进行7×24小时监测和响应。定期对规则库进行更新。常见误区只在互联网边界部署防火墙，而内部各区域之间没有任何访问控制。无线网络直接接入核心生产域，没有独立划分访客VLAN并做准入控制。对于已发现的非法外联行为，仅进行警告而不做强制阻断，留下安全隐患。3.5安全计算环境安全计算环境是控制点最多的部分，涵盖身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据完整性、数据保密性、数据备份恢复、剩余信息保护和个人信息保护等十余个子类。本节仅对其中的身份鉴别和安全审计进行深度展开，其余以表格对照。核心条款解读：身份鉴别【标准意图】确保每一个操作系统的账户（包括用户和程序）都能被唯一标识和有效验证，且不能使用弱口令或空口令，从而防止冒用身份。【企业痛点】口令策略薄弱几乎是所有测评中最高频的不符合项。例如：口令长度不足、复杂性要求未启用、口令无失效周期、多个管理员共享同一个root账户、SSH允许空口令或密钥登录却无口令保护等。【合规后果】身份鉴别失败直接导致高风险判定，意味着系统的第一道技术防线失效，攻击者可能直接获得系统控制权。实施要点每个用户必须拥有唯一身份标识和专用账户，禁用或删除共享账户。强制启用口令复杂度策略：最小长度、大小写字母+数字+特殊字符的组合。设置口令失效周期（如90天），到期强制修改，且新口令不得与前5次重复。对管理账户（如root、administrator）开启登录失败处理机制，连续失败后锁定账户。启用双因素认证，尤其是远程管理访问或应用系统的管理后台。操作步骤配置操作系统口令策略在Linux系统中，编辑/etc/pam.d/system-auth文件，加入pam_cracklib.so或pam_pwquality.so模块，设置口令最小长度、字符种类和重复限制。在Windows中，通过本地安全策略或组策略配置。清理和规范账户清查所有系统账户列表，删除离职人员、测试账户、默认账户。为每一个管理员创建个人命名账户（如zhang.san），并移除sudo的ALL权限，仅授予必要的命令。配置登录失败锁在Linux上，配置pam_tally2模块，实现连续5次失败锁定30分钟。在Windows上，设置账户锁定阈值和观察期。部署双因素认证对于SSH登录，可结合GoogleAuthenticator或硬件令牌进行二次验证。对应用系统，集成LDAP或SSO并启用MFA。常见误区只对操作系统的用户设置了口令策略，但数据库、网络设备、应用系统的口令策略仍然为空或默认。开启了密钥登录，却未给私钥设置口令，等同于无密码登录。密码复杂度策略仅在创建用户时生效，已存在用户如果没有主动修改，仍使用弱口令。核心条款解读：安全审计【标准意图】要求对用户行为、重要安全事件进行记录，并保护审计日志不被非授权访问、篡改或删除，以实现事后溯源和责任认定。【企业痛点】审计日志配置不全面，很多系统只记录了登录日志，却没有记录操作命令和关键配置变更；日志存储在本地且容易被删除；日志时间没有与授时源同步，导致事件无法准确追溯。【合规后果】安全审计不满足要求属于中高风险，意味着系统失去了“可追溯性”，一旦发生安全事件，无法确定事件源头、范围和责任人。实施要点开启所有设备的审计功能，覆盖用户登录、关键操作、配置变更、安全事件等。对日志进行集中收集和存储，配置独立的日志服务器，并设定严格访问控制。启用NTP服务，确保所有设备和系统时间一致。保护审计日志不被非授权删除或修改，例如设置日志服务器的append-only属性。操作步骤启用系统审计策略在Linux上配置auditd服务，添加对/etc/passwd、/etc/shadow的写入监控，记录所有sudo操作。在Windows上，开启“审核登录事件”、“审核对象访问”、“审核策略更改”等高级审核策略。部署集中日志平台使用rsyslog或nxlog将所有服务器的日志实时发送到集中日志平台（如ELK、Graylog或商业SIEM）。配置日志平台的用户权限，仅允许安全管理员查阅。配置时间同步在内网部署一台NTP服务器，所有服务器和设备从该NTP服务器同步时间。周期性检查时间偏差，确保日志时间戳准确。日志完整性保护在日志平台启用数据加密存储和校验机制，设定日志保留周期（如6个月），并对日志备份进行管理。对关键日志，可定期生成哈希值并离线存档。常见误区审计策略开启过全，导致海量无用日志，淹没真正的安全事件，又没有设置有效的告警规则。审计进程占用了大量系统资源，管理员索性就关闭了审计服务。仅仅收集日志，不做任何分析和告警，等测评前再临时整理，失去实时发现威胁的价值。其他安全计算环境控制点速查表（三级系统）控制点简要要求常见不符合示例访问控制最小权限、敏感标记、策略控制普通用户有sudo权限；数据库未配置细粒度字段级访问控制。入侵防范最小安装、漏洞扫描、主机IDS服务器运行了不必要的web、ftp服务；已知高危漏洞未修复。恶意代码防范防病毒软件部署、病毒库更新服务器未安装防病毒；防病毒软件过期超30天。数据完整性存储和传输的数据完整性校验内部系统间通过共享文件夹传输文件，无任何校验机制。数据保密性敏感数据的存储加密数据库中存储的身份证号码、手机号以明文存在。数据备份恢复本地备份、异地备份、恢复演练只做了本地全量备份，无异地备份；从未进行过恢复测试。剩余信息保护释放存储空间时清除数据虚拟机删除后，底层的VMDK文件未进行安全擦除就直接释放。个人信息保护仅采集必需信息，屏蔽展示界面显示全部身份证号；用户无法撤回同意条款。本章小结：安全计算环境是等保技术要求的最终落脚点，涵盖了从操作系统到应用数据的安全底线。身份鉴别和审计是所有保护级别的共性要求，也是每次测评中发现问题最多的领域。网络运营者应将这两项作为安全基线建设的最优先任务，而非等到测评时才进行临时修补。第四部分：等级保护测评实施指南4.1测评流程与基本方法一次典型的等级保护测评通常包括测评准备、方案编制、现场测评、报告编制四个阶段。现场测评时，测评师会交替使用三种基本方法：访谈：通过询问系统管理员、开发人员和安全主管，了解安全策略的制定和执行情况。检查：查阅管理制度文档、网络拓扑图、安全配置截图、运维记录和审计日志。测试：使用工具扫描漏洞、探测端口、验证加密有效性，或直接进行渗透测试。对于每一个安全控制点，测评师需要根据测评指标描述，灵活运用上述方法获取证据，并与预期结果比对，作出符合、不符合或不适用等判定。4.2安全通用要求测评指标与实施以3.3节的安全通信网络中的“通信传输加密”为例，展示一个控制点的完整测评实施过程。测评指标描述应保证网络各个部分的通信传输过程中数据的保密性和完整性。测评实施方法访谈询问网络管理员：关键数据传输在哪些网段之间发生？采用了什么加密措施（如VPN、TLS）？是否对所有管理链路都启用了加密？检查①调阅网络拓扑图和设备配置，确认VPN网关、防火墙加密策略的部署位置和配置参数。②登录相关服务器，检查SSH、TLS等服务的配置，确认禁用了不安全的协议和算法。③检查相关安全策略文档是否明确规定了传输加密要求。测试①使用抓包工具在关键链路旁路抓取数据包，检查传输内容是否为密文。②使用nmap或SSLScan工具检测远程管理端口所支持的加密算法，确认不存在已知弱算法。③尝试使用明文协议（如Telnet）连接管理端口，确认被拒绝。预期结果网络拓扑图清晰标注了加密覆盖范围。关键设备管理端口仅开放SSH或HTTPS，且使用了强加密算法。抓包分析结果证实数据在传输中不可读。有明确的传输加密策略文档。常见不符合场景内部ERP服务器与数据库服务器之间的连接通过HTTP明文传输，可被抓包获取到SQL查询语句。核心交换机支持SSHv2但同时允许SSHv1，被测评工具识别为弱算法。有传输加密策略文件，但实际部署与文件描述不符，如策略要求对“所有重要数据链路加密”，但财务系统链路未覆盖。4.3扩展要求测评要点对于云计算、移动互联等扩展要求，除满足安全通用要求外，还必须针对其特有威胁进行检查。由于篇幅，以下仅以云计算扩展要求为例。云计算安全扩展要求测评要点速查控制点测评重点常见问题基础设施位置确认云服务商机房位于中国境内，查看SLA合同。使用海外云服务商，数据存储位置不明确。虚拟化安全检查虚拟化平台是否进行了最新补丁更新，是否部署了虚拟化防火墙。VMwareESXi版本过旧，存在远程代码执行漏洞。多租户隔离审查云服务商的隔离机制（如VPC、安全组），并测试是否可访问非授权资源。在同一VPC内，子网间未设访问控制，可横向移动。镜像和快照保护确认云主机自定义镜像为私有，快照功能设置了访问权限。自定义镜像被误设为共享，内含数据库密码等敏感信息。审计与合规要求云服务商提供SOC报告或等保测评报告，查看其合规性。云服务商以商业秘密为由拒绝提供安全合规证明。4.4测评风险判定与常见不符合项等保测评中对控制点不符合的风险判定主要依据：是否可能被威胁轻易利用、影响范围是单一设备还是整个系统、发生后能否恢复。以下列出三级系统中较常见的几项高风险不符合：系统存在弱口令或空口令。任何可通过网络登录的账户（包括应用、数据库、中间件）存在弱口令，均极有可能被判为高风险。关键设备或系统未开启安全审计，或审计日志可被非授权删除。这表明系统完全丧失可追溯能力，风险极高。重要数据未加密传输且未做存储加密。尤其涉及个人信息、金融数据的系统，会直接构成高风险。互联网边界没有部署任何访问控制措施（防火墙等）。系统门户大开，极易遭到攻击。【审核常见问题】测评时，测评师经常问：你们的外包开发人员是否使用了同一个账号？答案若是“是”，通常被判为共享账号，属于高风险不符合。企业应对措施是为每个外包人员创建临时账号，并在项目结束后立即注销。第五部分：合规检查清单5.1安全通用要求检查清单（三级系统为例）本清单以三级等保的安全通用要求为基准，摘录了部分核心控制点，完整的全量清单可依据此格式自行扩展。表5.1等保三级安全通用要求检查清单（部分）安全类控制点编号检查项是否不适用备注安全物理环境物理访问控制机房出入口是否配置电子门禁系统？安全物理环境物理访问控制是否有人员出入的审批和登记记录？安全通信网络通信传输是否所有远程管理均采用加密协议（SSH、HTTPS）？安全通信网络通信传输是否通过抓包验证重要数据传输未被加密？安全区域边界边界防护是否绘制了与实际一致的网络拓扑图？安全区域边界访问控制各区域边界是否部署了访问控制设备，且启用了安全策略？安全计算环境身份鉴别操作系统是否启用了口令复杂度策略？安全计算环境身份鉴别是否存在空口令或弱口令账户？安全计算环境安全审计是否开启了审计功能，且审计范围覆盖了所有用户？安全计算环境数据备份恢复是否进行了本地和异地备份？安全管理中心集中管控是否划分了单独的安全管理区域，对安全设备进行集中管理？........................使用说明：将此清单打印或在平板电脑上使用，在每项检查时，访谈和测试结合，确保每一个“是”都有对应的证据材料支撑。不适用项需在备注说明理由。第六部分：文件与记录模板6.1定级报告参考模板表6.1网络安全等级保护定级报告（简化模板）字段内容系统名称[填写系统全称，如某银行网银系统]安全保护等级第X级责任单位[单位全称]系统描述简要描述系统的服务对象、业务功能、网络拓扑、数据处理流程等。定级依据及理由依据GB/T22240-2020，从业务信息安全和系统服务安全两个维度，分别分析受侵害客体及对客体的侵害程度，最终综合确定等级。定级要素分析(1)业务信息安全：受侵害客体为...[如公民、法人]，侵害程度为...[如严重损害]，定级为第X级。(2)系统服务安全：受侵害客体为...[如社会秩序]，侵害程度为...[如一般损害]，定级为第Y级。最终等级两者取高，定为第[Z]级。专家评审意见[简述评审情况及结论]主管部门意见[若需]填报人/日期[签字、日期]6.2测评报告框架一份完整的测评报告通常包含以下章节，运营者可提前准备以加快测评过程：项目概述：测评目的、范围、依据标准、被测系统简介。测评方法：访谈、检查、测试的对象和工具。测评指标：依据GB/T28448编写的全部测评指标项。单元测评结果：按安全类分别描述每个控制点的测评对象、结果和符合性。整体测评分析：从安全控制间、层面间、区域间的关联性进行整体评估。安全问题汇总：列出所有不符合项，并进行风险分析。整改建议：针对每一项不符合提出的具体整改措施及优先级。测评结论：最终等级保护符合性结论。第七部分：常见问题与审核/迎检应对指南问题1：我们系统已全部上云，使用云服务商默认的安全组策略，能通过等保测评吗？【解答】不能简单认为云厂商默认配置就符合等保要求。等保测评的依据是GB/T22239-2019，云服务商在共享责任模型下仅对云基础设施的安全负责，您在云主机、应用、数据层的安全配置仍需自己落实。建议对照本指南的检查清单逐项自查，并请云厂商提供其基础平台通过等保的证明材料。问题2：等保2.0要求日志要保存6个月，如果存储满了，我能覆盖旧日志吗？【解答】标准要求审计记录应受到保护，避免被非预期的删除、修改或覆盖。因此不能简单地进行先进先出的覆盖，而应通过策略进行日志的转储和归档。例如