测评指标知多少

二级基本要求：在一级基本要求的基础上，技术方面，二级要求在控制点上增加了物理位置的选择、防静电、电磁防护、网络安全审计、网络入侵防范、边界完整性检查、主机安全审计、主机资源控制、应用资源控制、应用安全审计、通信保密性以及数据保密性等。管理方面，增加了审核和检查、管理制度的评审和修订、人员考核、密码管理、变更管理和应急预案管理等控制点。

三级基本要求：在二级基本要求的基础上，技术方面，在控制点上增加了网络恶意代码防范、剩余信息保护、抗抵赖等。管理方面，增加了系统备案、安全测评、监控管理和安全管理中心等控制点。

四级基本要求：在三级基本要求的基础上，技术方面，在系统和应用层面控制点上增加了安全标记、可信路径。

要求项增多，如对“身份鉴别”，一级要求“进行身份标识和鉴别”，二级增加要求“口令复杂度、登录失败保护等”，三级则要求“采用两种或两种以上组合的鉴别技术”。项目增加，要求增强。

范围增大，如对物理安全的“防静电”，二级只要求“关键设备应采用必要的接地防静电措施”，三级则在对象的范围上发生了变化，为“主要设备应采用必要的接地防静电措施”。范围的扩大，表明了该要求项强度的增强。

要求细化：如人员安全管理中的“安全意识教育和培训”，二级要求“应制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训”，三级在对培训计划进行了进一步的细化，为“应针对不同岗位制定不同培训计划”，培训计划有了针对性，更符合各个岗位人员的实际需要。

粒度细化：如网络安全中的“访问控制”，二级要求“控制粒度为网段级”，三级要求则将控制粒度细化，为“控制粒度为端口级”。由“网段级”到“端口级”，粒度上的细化，同样增强了要求的强度。