在北京市信息安全等级保护工作中，我中心承担了市属电子政务信息安全等级测评工作。安全等级测评是根据等级保护的管理规范和技术要求，对已经实施了安全等级保护的网络与信息系统进行符合性测评，检测信息系统在安全技术、安全管理等方面是否符合已确定的安全等级的要求；对于尚未符合要求的网络和信息系统，分析和评估潜在威胁、薄弱环节以及现有安全防护措施，综合考虑信息系统的重要性和面临的安全威胁等因素，提出相应的整改方案，并在系统整改后进行复测确认，以确保信息系统的安全保护措施符合相应安全等级的基本安全要求。

 　　为保障安全等级保护工作的顺利实施，我中心还为各级党政机关的信息系统安全定级、制定安全要求、安全工程实施工作提供咨询服务。

 　　信息系统安全等级测评的主要内容：

　　◇体系结构评审

　　对信息系统的设计方案和安全解决方案进行静态分析，对该系统达到安全要求的可能性给出结论。

　　◇管理体系核查

　　对信息系统的管理及运行维护部门进行安全管理核查。核查内容涉及到针对信息安全所制定的规章制度的合理性、完整性、适用性及制度的落实情况。

　　◇系统脆弱性测试

　　通过脆弱性检测和渗透测试，发现信息系统的网络、数据库、应用系统存在的脆弱性和安全隐患。

　　◇系统安全功能测试

　　根据系统的等级保护安全要求，分别对系统的网络层、操作系统层、公共应用平台层、应用系统层进行标识鉴别、审计、通信、用户数据保护、安全管理、安全功能保护、资源利用、评估对象访问、可信路径/信道、脆弱性管理和恶意代码防范等安全功能方面的检测。

　　◇安全配置检查

　　对信息系统涉及到的所有网络设备、操作系统、数据库系统和应用软件的安全性配置进行检查。

信息系统等级测评案例

　　大兴区政府信息系统是大兴区政府电子政务网的核心业务系统。该系统始建于2001年，经过多年的建设、运营、维护，目前已是一个具有千兆骨干带宽的城域网。

　　受大兴区信息中心委托，北京信息安全测评中心于2006年8月到2006年12月对大兴区政府信息系统进行了信息安全等级测评（二级）。本次安全测评经历了前期调研、检前准备、现场检测、综合评估、系统复测五个阶段，通过安全测评，我们全面地了解该系统在技术和管理方面的安全现状，分析了系统所面临的各种脆弱性、威胁和风险，并根据《北京市大兴区政府信息系统等级保护安全要求》提出了相应的安全问题和整改建议，在系统主管单位组织完成整改之后进行了整改复测。

 　　北京市工商业联合会门户网站是一个集信息平台、服务平台为一体的综合网站，是北京市工商业联合会内外宣传的窗口、工作交流的窗口、服务会员的窗口。为保证该网站在2006年12月上旬正式开通的安全，北京市工商业联合会委托北京信息安全测评中心对该网站系统进行了安全测评，本次安全测评时间为2006年12月1日--2006年12月6日。

　　通过本次对北京市工商业联合会网站系统的安全测评，我们全面地了解该系统的安全状况，分析了系统所面临的各种风险。我们认为北京市工商业联合会网站系统安全保障采用了一定技术手段，初步建立了由防病毒、防火墙等措施组成的安全防护技术体系，但本次测评我们也发现该网站存在网络安全域划分不合理、服务器磁盘无冗余机制、应用系统和业务数据缺乏备份、防病毒系统尚未部署、操作系统和网络设备弱口令、审计功能不完善、用户权限分配不合理等安全隐患。

　　北京信息安全测评中心积极指导该网站的系统集成商和软件开发商根据检测报告中所列出的安全问题进行整改，确保了该网站的顺利开通。