【正文】 度是否為單個用戶；()測試邊界網(wǎng)絡(luò)設(shè)備，通過試圖非授權(quán)的訪問，驗(yàn)證訪問措施能否有效對系統(tǒng)資源實(shí)現(xiàn)允許或拒絕用戶訪問的控制；()訪談安全員，詢問網(wǎng)絡(luò)是否允許撥號訪問網(wǎng)絡(luò)。若允許撥號訪問，是否對用戶數(shù)量進(jìn)行限制；()檢查邊界網(wǎng)絡(luò)設(shè)備的撥號訪問控制策略，是否有限制用戶數(shù)量。()訪談審計(jì)員，詢問是否有專人負(fù)責(zé)網(wǎng)絡(luò)管理，對網(wǎng)絡(luò)設(shè)備進(jìn)行審計(jì)，采用何種產(chǎn)品進(jìn)行審計(jì)；審計(jì)包括哪些項(xiàng)。檢查部署網(wǎng)絡(luò)審計(jì)產(chǎn)品；()檢查網(wǎng)絡(luò)設(shè)備的審計(jì)記錄，查看是否有網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等事件的記錄；()檢查邊界和重要網(wǎng)絡(luò)設(shè)備的事件審計(jì)策略，查看是否包括：事件的日期和時間、用戶、事件類型、事件成功情況，及其他與審計(jì)相關(guān)的信息；()產(chǎn)生審計(jì)事件（如模擬登錄失?。瑴y試網(wǎng)絡(luò)設(shè)備的事件審計(jì)記錄是否包括：事件的日期和時間、用戶、事件類型、事件成功情況以及其它與審計(jì)相關(guān)的信息。()訪談安全員，詢問是否有對內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行監(jiān)控的措施，具體是什么措施，是否經(jīng)過審批；詢問網(wǎng)絡(luò)內(nèi)是否使用邊界完整性檢查設(shè)備工具對網(wǎng)絡(luò)進(jìn)行監(jiān)控；()檢查邊界完整性檢查工具運(yùn)行日志，查看運(yùn)行是否正常（查看是否持續(xù)對網(wǎng)絡(luò)進(jìn)行監(jiān)控）；()檢查邊界完整性檢查設(shè)備工具的配置，查看是否正確配置對網(wǎng)絡(luò)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行有效監(jiān)控；()產(chǎn)生非法外聯(lián)事件，測試邊界完整性檢查工具，是否能有效的發(fā)現(xiàn)“非法外聯(lián)”的行為。()訪談安全員，詢問網(wǎng)絡(luò)入侵防范措施有哪些；詢問是否有專門的設(shè)備對網(wǎng)絡(luò)入侵進(jìn)行防范；檢查部署的入侵防范設(shè)備；()檢查網(wǎng)絡(luò)入侵防范設(shè)備，查看是否能檢測以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等；()檢查網(wǎng)絡(luò)入侵防范設(shè)備，查看其生產(chǎn)廠商是否為正規(guī)廠商，規(guī)則庫是否為最新。()檢查網(wǎng)絡(luò)設(shè)備的身份鑒別功能；()檢查網(wǎng)絡(luò)設(shè)備，查看是否對關(guān)鍵網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；()分別用合法的地址和受限的網(wǎng)絡(luò)地址登錄網(wǎng)絡(luò)設(shè)備，測試地址限制功能；()新建一個與已存在標(biāo)識相同的用戶賬戶，測試標(biāo)識唯一性；()訪談網(wǎng)絡(luò)管理員，詢問網(wǎng)絡(luò)設(shè)備的口令策略，口令是否有復(fù)雜度并定期更換。嘗試設(shè)置弱口令，測試網(wǎng)絡(luò)設(shè)備是否設(shè)置口令復(fù)雜度檢查；()檢查網(wǎng)絡(luò)設(shè)備上的安全設(shè)置，查看其是否有對鑒別失敗采取相應(yīng)的措施的設(shè)置；()檢查通過互聯(lián)網(wǎng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時，是否采用措施（如）防止鑒別信息在傳輸過程中被竊聽。主機(jī)安全是對各網(wǎng)站服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器等的操作系統(tǒng)及數(shù)據(jù)庫進(jìn)行測評，被測的服務(wù)器涉及所有的業(yè)務(wù)類型，對于同一業(yè)務(wù)類型中功能、配置相同的服務(wù)器，采用抽樣的方式進(jìn)行測評。()檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)身份鑒別功能是否具有《信息安全等級保護(hù)操作系統(tǒng)安全技術(shù)要求》和《信息安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》第二級以上或 級以上的測試報告；()檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，查看是否提供了身份鑒別措施（如用戶名和口令等）；()訪談系統(tǒng)管理員和數(shù)據(jù)庫管理員，詢問操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的口令策略是什么，口令是否有復(fù)雜度并定期更換； ()檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，查看是否已配置了鑒別失敗處理功能，設(shè)置了非法登錄次數(shù)的限制值；查看是否設(shè)置登錄連接超時處理功能，如自動退出；()測試服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，通過多次錯誤的用戶名和口令試圖登錄系統(tǒng)、登錄超時連接，驗(yàn)證鑒別失敗處理功能是否有效；()檢查操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，是否對不同的用戶分配不同的用戶名；()測試服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，添加一個新用戶，其用戶標(biāo)識為系統(tǒng)原用戶的標(biāo)識（如用戶名或 ），查看是否不會成功；()檢查通過互聯(lián)網(wǎng)對操作系統(tǒng)或數(shù)據(jù)庫進(jìn)行遠(yuǎn)程管理時，是否采用措施（如）防止鑒別信息在傳輸過程中被竊聽。()檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的自主訪問控制功能是否具有《信息安全等級保護(hù) 操作系統(tǒng)安全技術(shù)要求》和《信息安全等級保護(hù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》第二級以上或 級以上的測試報告；()檢查系統(tǒng)和數(shù)據(jù)庫的安全策略設(shè)置，查看是否設(shè)置訪問控制功能；()檢查系統(tǒng)和數(shù)據(jù)庫用戶的權(quán)限設(shè)置，查看是否實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；()檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，查看默認(rèn)賬戶是否已重命名，默認(rèn)口令是否已修改；查看默認(rèn)用戶的訪問權(quán)限是否已被嚴(yán)格限制；()檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的訪問控制列表，查看授權(quán)用戶中是否不存在過期的帳號、無用的帳號、共享賬戶等。()訪談審計(jì)員，詢問是否對服務(wù)器上的操作系統(tǒng)和數(shù)據(jù)庫進(jìn)行審計(jì)，采用何種產(chǎn)品進(jìn)行審計(jì)，系統(tǒng)或數(shù)據(jù)庫自身的審計(jì)功能還是第三方審計(jì)產(chǎn)品；檢查審計(jì)產(chǎn)品的產(chǎn)品型號、版本等信息；()檢查操作系統(tǒng)和數(shù)據(jù)庫的審計(jì)記錄，審計(jì)范圍是否覆蓋到服務(wù)器上每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；()檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，查看審計(jì)策略是否覆蓋系統(tǒng)內(nèi)重要的安全相關(guān)事件，例如，重要用戶行為（如用超級用戶命令改變用戶身份，刪除系統(tǒng)表）、系統(tǒng)資源的異常使用、重要系統(tǒng)命令的使用（如刪除客體）等；()檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，查看審計(jì)記錄信息是否包括事件發(fā)生的日期與時間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、身份鑒別事件中請求的來源（如末端標(biāo)識符）、事件的結(jié)果等內(nèi)容；()測試服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，在系統(tǒng)和數(shù)據(jù)庫上以某個用戶試圖產(chǎn)生一些重要的安全相關(guān)事件（如鑒別失敗等），測試安全審計(jì)的覆蓋情況和記錄情況與要求是否一致；()測試服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，在系統(tǒng)上以某個系統(tǒng)用戶試圖刪除、修改或覆蓋審計(jì)記錄。()訪談系統(tǒng)管理員，詢問入侵防范產(chǎn)品的廠家、版本和安裝部署情況；詢問是否按要求進(jìn)行產(chǎn)品升級；()檢查服務(wù)器系統(tǒng)，查看是否對主機(jī)賬戶進(jìn)行控制，以限制對重要賬戶的添加和更改等；()檢查是否專門設(shè)置了升級服務(wù)器實(shí)現(xiàn)了對服務(wù)器的補(bǔ)丁升級；()檢查服務(wù)器是否已經(jīng)及時更新了操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)廠商新公布的補(bǔ)丁。()檢查服務(wù)器系統(tǒng)和終端系統(tǒng)，查看是否安裝實(shí)時檢測與查殺惡意代碼的軟件產(chǎn)品；查看檢測與查殺惡意代碼軟件產(chǎn)品的廠家、版本號和惡意代碼庫名稱；()檢查服務(wù)器和終端系統(tǒng)的實(shí)時檢測與查殺惡意代碼的軟件產(chǎn)品，查看是否支持統(tǒng)一管理（網(wǎng)絡(luò)版殺毒軟件）。()檢查服務(wù)器操作系統(tǒng)，查看是否設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；()測試服務(wù)器操作系統(tǒng)，任選一個用戶帳戶，登錄服務(wù)器，用合法和非法的終端接入方式、網(wǎng)絡(luò)地址試圖登錄服務(wù)器，驗(yàn)證重要服務(wù)器操作系統(tǒng)是否通過終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；()檢查終端操作系統(tǒng)，查看是否在安全策略設(shè)置中設(shè)定登錄終端的操作超時鎖定。應(yīng)用安全是對用電信息系統(tǒng)、對外服務(wù)網(wǎng)站系統(tǒng)和遠(yuǎn)程客戶服務(wù)系統(tǒng)的應(yīng)用安全保障情況進(jìn)行測評。()檢查應(yīng)用系統(tǒng)是否采用身份標(biāo)識和鑒別措施，測試應(yīng)用系統(tǒng)，通過注冊用戶，并登錄系統(tǒng)，查看登錄是否成功，驗(yàn)證其身份標(biāo)識和鑒別功能是否有效；()檢查應(yīng)用系統(tǒng)設(shè)計(jì)文檔，查看應(yīng)用系統(tǒng)的鑒別信息是否采取加密存儲、加密傳輸?shù)确绞綄?shí)現(xiàn)保密性；查看應(yīng)用系統(tǒng)的存儲文件、抓取網(wǎng)絡(luò)數(shù)據(jù)包，驗(yàn)證鑒別信息是否采取了保密措施；()檢查總體規(guī)劃設(shè)計(jì)文檔，查看其是否有系統(tǒng)采取了唯一標(biāo)識（如用戶名、或其他屬性）的說明；()測試應(yīng)用系統(tǒng)，通過注冊與已存在賬戶具有相同標(biāo)識的賬戶，驗(yàn)證是否不成功；注冊新帳戶，設(shè)置口令為，驗(yàn)證系統(tǒng)鑒別信息復(fù)雜度檢查功能是否啟用；()訪談系統(tǒng)管理員，詢問應(yīng)用系統(tǒng)是否具有登錄失敗處理的功能，是如何進(jìn)行處理的；()測試應(yīng)用系統(tǒng)，驗(yàn)證其登錄失敗處理，非法登錄次數(shù)限制，登錄連接超時自動退出等功能是否有效。()檢查應(yīng)用系統(tǒng)設(shè)計(jì)文檔，查看系統(tǒng)是否提供訪問控制機(jī)制；是否依據(jù)安全策略控制用戶對客體（如文件和數(shù)據(jù)庫中的數(shù)據(jù)）的訪問；()以不同的身份登錄應(yīng)用系統(tǒng)，驗(yàn)證其訪問控制功能是否有效；()檢查應(yīng)用系統(tǒng)的訪問控制策略，查看其自主訪問控制的覆蓋范圍是否包括與信息安全直接相關(guān)的主體、客體及它們之間的操作；自主訪問控制的粒度是否達(dá)到主體為用戶級，客體為文件、數(shù)據(jù)庫表級（如數(shù)據(jù)庫表、視圖、存儲過程等）；()檢查應(yīng)用系統(tǒng)，查看應(yīng)用系統(tǒng)是否有對授權(quán)主體進(jìn)行系統(tǒng)功能操作和對數(shù)據(jù)訪問權(quán)限進(jìn)行設(shè)置的功能；測試應(yīng)用系統(tǒng)，通過授權(quán)主體設(shè)置特定用戶對系統(tǒng)功能進(jìn)行操作和對數(shù)據(jù)進(jìn)行訪問的權(quán)限，然后以該用戶登錄，驗(yàn)證用戶權(quán)限管理功能是否有效；()檢查應(yīng)用系統(tǒng)，查看其是否有限制默認(rèn)用戶訪問權(quán)限的功能，并已配置使用；測試應(yīng)用系統(tǒng)，可通過用默認(rèn)用戶（默認(rèn)密碼）登錄，并用該用戶進(jìn)行操作（包括合法、非法操作），驗(yàn)證系統(tǒng)對默認(rèn)用戶訪問權(quán)限的限制；()檢查應(yīng)用系統(tǒng)，用不同身份的帳戶登錄系統(tǒng)，查看其特權(quán)用戶的權(quán)限是否分離（如將系統(tǒng)管理員、安全員和審計(jì)員的權(quán)限分離），權(quán)限之間是否相互制約。()檢查應(yīng)用系統(tǒng)，查看其當(dāng)前審計(jì)范圍是否覆蓋到每個用戶（是否有每個用戶的審計(jì)記錄）；()檢查重要應(yīng)用系統(tǒng)，查看其審計(jì)策略是否覆蓋系統(tǒng)內(nèi)重要的安全相關(guān)事件，例如用戶標(biāo)識與鑒別、自主訪問控制的所有操作記錄、重要用戶行為（如用超級用戶命令改變用戶身份，刪除系統(tǒng)表）、重要系統(tǒng)命令的使用（如刪除客體）等；()檢查應(yīng)用系統(tǒng)，查看其審計(jì)記錄信息是否包括事件發(fā)生的日期與時間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、事件的結(jié)果等內(nèi)容；()測試應(yīng)用系統(tǒng)，在系統(tǒng)上以某個用戶登錄，進(jìn)行鑒別失敗測試、刪除客體測試，測試安全審計(jì)的覆蓋情況和記錄情況與要求是否一致；()測試應(yīng)用系統(tǒng)，在系統(tǒng)上以某個系統(tǒng)用戶登錄，試圖刪除、修改或覆蓋審計(jì)記錄，測試安全審計(jì)的保護(hù)情況與要求是否一致。()檢查設(shè)計(jì)驗(yàn)收文檔，查看其是否有通信完整性的說明，如果有則查看其是否有系統(tǒng)是根據(jù)校驗(yàn)碼判斷對方數(shù)據(jù)包的有效性的描述；()測試應(yīng)用系統(tǒng)，使用獲取通信雙方的數(shù)據(jù)包，查看其是否有驗(yàn)證碼。()檢查設(shè)計(jì)驗(yàn)收文檔，查看其是否有通信保密性的說明，采用何種方式進(jìn)行通信保密；()測試應(yīng)用系統(tǒng)，在系統(tǒng)上以某個系統(tǒng)用戶登錄，是否能在通信雙方建立連接之前，利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證（如建立加密通道前是否利用密碼技術(shù)進(jìn)行會話初始驗(yàn)證）；()測試應(yīng)用系統(tǒng)，發(fā)送帶敏感信息的數(shù)據(jù)，通過獲取通信雙方數(shù)據(jù)包的內(nèi)容，查看系統(tǒng)在通信過程中，對整個報文或會話過程進(jìn)行加密的功能是否有效。()測試應(yīng)用系統(tǒng)，通過輸入符合要求的數(shù)據(jù)格式和長度、輸入不符合要求的數(shù)據(jù)格式和長度，驗(yàn)證系統(tǒng)人機(jī)接口有效性檢驗(yàn)功能是否正確；()查看設(shè)計(jì)文檔，檢查系統(tǒng)是否在故障發(fā)生時，仍能提供一部分功能；()模擬產(chǎn)生故障，驗(yàn)證故障發(fā)生時緊急措施是否有效。()測試應(yīng)用系統(tǒng)，在通信過程中，一方的通信線路失效，查看另一方是否能自動結(jié)束會話，測試當(dāng)通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方是否能自動結(jié)束會話的功能是否有效；()檢查應(yīng)用系統(tǒng)，是否對單個帳戶多重并發(fā)會話數(shù)進(jìn)行限制；()使用工具令同一個用戶產(chǎn)生多個會話，會話數(shù)超過限制，驗(yàn)證多重會話的限制功能是否有效；()檢查應(yīng)用系統(tǒng)，查看系統(tǒng)是否有最大并發(fā)會話連接數(shù)的限制；()測試應(yīng)用系統(tǒng)，通過使用壓力測試工具對系統(tǒng)進(jìn)行超過最大并發(fā)會話連接數(shù)進(jìn)行連接，驗(yàn)證系統(tǒng)能否正確地限制最大并發(fā)會話連接數(shù)。數(shù)據(jù)安全測評是從業(yè)務(wù)數(shù)據(jù)的完整性、保密性、備份與恢復(fù)三個方面進(jìn)行測評，通過訪談、配置檢查的方式測評信息系統(tǒng)的管理數(shù)據(jù)及業(yè)務(wù)數(shù)據(jù)等的數(shù)據(jù)安全保障情況。()訪談安全管理員，詢問應(yīng)用系統(tǒng)數(shù)據(jù)在傳輸過程中是否有完整性保證措施，具體措施有哪些；()檢查操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫管理系統(tǒng)的設(shè)計(jì)驗(yàn)收文檔或相關(guān)證明性材料（如證書、檢驗(yàn)報告等）等，查看其是否有能檢測驗(yàn)證到系統(tǒng)管理數(shù)據(jù)（如域管理、目錄管理數(shù)據(jù)）、鑒別信息（如用戶名和口令）和用戶數(shù)據(jù)（如用戶數(shù)據(jù)文件）在傳輸過程中完整性受到破壞，能檢測到重要系統(tǒng)完整性受到破壞的描述；()檢查應(yīng)用系統(tǒng)，查看其是否配備檢測驗(yàn)證系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞的功能；是否配備檢測驗(yàn)證重要系統(tǒng)模塊完整性受到破壞的功能。()訪談網(wǎng)絡(luò)管理員，詢問信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備操作系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)是否采用加密或其他保護(hù)措施實(shí)現(xiàn)存儲保密性；()訪談系統(tǒng)管理員，詢問信息系統(tǒng)中的操作系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)是否采用加密或其他保護(hù)措施實(shí)現(xiàn)存儲保密性；()訪談數(shù)據(jù)庫管理員，詢問信息系統(tǒng)中的數(shù)據(jù)庫管理系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)是否采用加密或其他保護(hù)措施實(shí)現(xiàn)存儲保密性；()訪談安全管理員，詢問信息系統(tǒng)中的應(yīng)用系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)是否采用加密或其他保護(hù)措施實(shí)現(xiàn)存儲保密性；()訪談安全管理員，詢問當(dāng)使用便攜式和移動式設(shè)備時，是否加密或者采用可移動磁盤存儲敏感信息；()檢查操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用系統(tǒng)的設(shè)計(jì)驗(yàn)收文檔，查看其是否有關(guān)于應(yīng)用系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)采用加密或其他有效措施實(shí)現(xiàn)存儲保密性的描述；()檢查相關(guān)證明性材料（如證書或其他相關(guān)材料等），查看其是否有特定業(yè)務(wù)通信的通信信道的說明；()檢查應(yīng)用系統(tǒng)，查看其鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)是否采用加密或其他有效措施實(shí)現(xiàn)存儲保密性。()訪談網(wǎng)絡(luò)管理員，詢問信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備是否提供數(shù)據(jù)備份與恢復(fù)功能；在災(zāi)難發(fā)生時實(shí)現(xiàn)自動業(yè)務(wù)切換和恢復(fù)的功能；網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)是否具有高可用性；()訪談系統(tǒng)管理員，詢問信息系統(tǒng)中的操作系統(tǒng)是否提供數(shù)據(jù)備份與恢復(fù)功能；()訪談數(shù)據(jù)庫管理員，詢問信息系統(tǒng)中的數(shù)據(jù)庫管理系統(tǒng)是否提供數(shù)據(jù)備份與恢復(fù)功能；()訪談安全管理員，詢問信息系統(tǒng)中的應(yīng)用系統(tǒng)是否提供數(shù)據(jù)備份與恢復(fù)功能；()檢查主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)，查看其是否配備重要業(yè)務(wù)系統(tǒng)的備份功能，配置是否正確；()檢查網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)是否采用硬件冗余、軟件配置等技術(shù)手段提供系統(tǒng)的高可用性。安全管理制度測評采用訪談、制度文件和記