网络安全等级测评是网络安全等级保护工作的核心环节，既是国家合规性要求，也是网络运营者必须履行的法定义务。依据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)等项国家标准，本文系统解读网络安全等级测评的具体方法和内容，帮助您清晰理解测评要求，有效开展网络安全建设。

　　由于业务目标、使用技术、应用场景的差异，不同的等级保护对象会以不同的形态出现，形态不同的等级保护对象面临的威胁有所不同，安全保护需求也会有所差异，为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护，在《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)中，对不同等级保护对象的安全通用要求和安全扩展要求作出具体规定。

　　网络安全等级测评则需依据信息系统的等级，从中遴选相应等级的安全测评指标，并遵循《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)对信息系统的安全现状予以评估。

　　测评对象包括数据机房、网络设备、安全设备、服务器/存储设备、终端/现场设备、系统管理软件/平台、业务应用系统/平台、安全相关人员、机房、介质以及管理文档。

　　测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动，获取相关证据，了解有关信息，访谈人员包括：网络安全主管、信息系统安全管理员、系统管理员、网络管理员、资产管理员等。

　　检查基本要求中规定的必须具有的制度、策略、操作规程等文档是否齐备，是否有完整的制度执行情况记录以及文件的完整性和这些文件之间的内部一致性。

　　实地观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况，测评其是否达到了相应等级的安全要求。

　　利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确。

　　通过对测评对象按照预定的方法使其产生特定的响应等活动，查看、分析响应输出结果，获取证据以证明等级保护措施是否得以有效，包括漏洞扫描和渗透测试。

　　➤第二级定级对象

　　依据《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)中测评对象确定原则和方法：第二级定级对象的等级测评，测评对象的种类和数量都较多，重点抽查重要的设备、设施、人员和文档等。抽查的测评对象种类主要考虑以下几个方面：

　　——主机房(包括其环境、设备和设施等)，如果某一辅机房中放置了服务于整个定级对象或对定级对象的安全性起决定作用的设备、设施，那么也应该作为测评对象;

　　——存储被测定级对象重要数据的介质的存放环境;

　　——整个系统的网络拓扑结构;

　　——安全设备，包括防火墙、入侵检测设备、防病毒网关等;

　　——边界网络设备(可能会包含安全设备)，包括路由器、防火墙和认证网关等;

　　——对整个定级对象或其局部的安全性起决定作用的网络互联设备，如核心交换机、汇聚层交换机、核心路由器等;

　　——承载被测定级对象核心或重要业务、数据的服务器(包括其操作系统和数据库);

　　——重要管理终端;

　　——能够代表被测定级对象主要使命的业务应用系统;

　　——信息安全主管人员、各方面的负责人员;

　　——涉及到定级对象安全的所有管理制度和记录。

　　在本级定级对象测评时，定级对象中配置相同的安全设备、边界网络设备、网络互联设备以及服务器应至少抽查两台作为测评对象。