1.2 网络安全评估标准设计要点

1.2.1 以总体国家安全观为指导，树立正确的网络安全观

《中共中央关于坚持和完善中国特色社会主义制度 推进国家治理体系和治理能力现代化若干重大问题的决定》指出，要完善国家安全体系，就要坚持总体国家安全观，统筹发展和安全，坚持人民安全、政治安全、国家利益至上有机统一。总体国家安全观，强调以人民安全为宗旨，以政治安全为根本，以经济安全为基础，以军事、文化、社会安全为保障，以促进国际安全为依托，统筹发展和安全、外部安全和内部安全、国土安全和国民安全、传统安全和非传统安全、自身安全和共同安全，维护各领域国家安全，构建国家安全体系，走中国特色国家安全道路。

近些年来，党中央对网络安全作出了一系列重要指示精神和决策部署，以总体国家安全观为基础，构建并形成了中国特色的网络安全观。从网络安全的定位看，没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众的切身利益也难以得到保障，网络安全为人民、网络安全靠人民；从安全和发展的关系看，网络安全和信息化是一体之两翼、驱动之双轮，以安全保发展、以发展促安全；从网络安全防御看，网络安全的本质在对抗，对抗的本质在攻防两端的能力较量；从数据安全看，要强化国家关键数据资源保护能力，增强数据安全预警和溯源能力；从网络安全法治看，要秉持互联网不是法外之地，坚持依法治网、依法办网、依法上网的原则；从网络安全技术能力看，要大力发展核心技术，加强关键信息基础设施安全保障，供应链的“命门”不能掌握在别人手里，最关键、最核心的技术要立足自主创新、自立自强；从网络安全人才建设看，要认识到“网络空间的竞争，归根结底是人才的竞争”，要形成人才培养、技术创新、产业发展的良性生态；从互联网国际治理看，要尊重网络主权，维护和平安全，促进开放合作，构建良好秩序，构建网络空间命运共同体。

随着经济社会的快速发展和人民物质生活水平的稳步提升，互联网（包括工业互联网）已经成为现代社会和经济发展的重要基础设施。作为虚拟的人造空间，互联网的独特性在于它的开放性、全球互联、非中心化及架构层（设施层、协议层和信息层）之间的相互关联。因此，维护网络安全，必须是整体的、开放的、动态的、相对的和共同的，而不是割裂的、静态的、封闭的、绝对的和孤立的。

只有树立了正确的网络安全观，才能准确把握网络安全形势、内容、条件和态势变化的新特点、新趋势和新要求，系统回应各种网络安全挑战，探索具有中国特色的网络安全道路。其中，各级组织的领导和管理层的网络安全观，直接决定了该组织对网络安全工作的认识、对相关规律的把握、责任的压实、资源的投入、措施的制定及落实的有效性。因此，同行评估标准的设计，必须以总体国家安全观为指导，促进、指导和引导各类各级组织的网络安全主体责任承担者，不断树立和强化正确的网络安全观。

1.2.2 切实履行法律责任和义务，有效落实《网络安全法》《密码法》《数据安全法》和《个人信息保护法》等[1]法律要求

1.《中华人民共和国网络安全法》明确了网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置及法律责任等

① 国家建立和完善网络安全标准体系，推进网络安全社会化服务体系建设，支持创新网络安全管理方式，开展经常性网络安全宣传教育与培训，采取多种方式培养网络安全人才。

② 《中华人民共和国网络安全法》明确要求网络运营者应当按照网络安全等级保护制度的要求，制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；采取数据分类、重要数据备份和加密等措施；最终保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

③ 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

④ 关键信息基础设施的运营者还应当设置专门的安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；定期对从业人员进行网络安全教育、技术培训和技能考核；对重要系统和数据库进行容灾备份；制定网络安全事件应急预案，并定期进行演练。

⑤ 建设关键信息基础设施，同时应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

⑥ 关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。相关单位应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。

⑦ 国家建立网络安全监测预警和信息通报制度。负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。相关单位应建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。

网络安全同行评估，是网络安全管理方式和社会化服务体系的一种创新实践。网络安全评估标准的设计，应该有利于将《中华人民共和国网络安全法》中的上述要求，落实到受评方网络安全保障各项日常工作中。从评估的角度看，就是要能够有效识别受评方在遵循《中华人民共和国网络安全法》方面存在的不足或管理缺陷，及时制定和有效实施整改措施。

2.《中华人民共和国密码法》规定：密码工作坚持总体国家安全观，遵循统一领导、分级负责，创新发展、服务大局，依法管理、保障安全的原则

① 国家对密码实行分类管理。核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。商用密码用于保护不属于国家秘密的信息。

② 公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。在有线、无线通信中传递的国家秘密信息，以及存储、处理国家秘密信息的信息系统，应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。

③ 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

网络安全评估标准的设计，应该贯彻落实《中华人民共和国密码法》中的相关要求，具体贯彻执行《信息安全技术 信息系统密码应用基本要求》（GB/T 39786—2021）等技术标准，在关键信息基础设施规划、设计、建设、使用和运行维护过程中，有效落实商用密码的网络产品和服务及应用安全性评估要求。

3.《中华人民共和国数据安全法》规定：维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力

① 维护数据安全是维护国家安全的必然要求。数据是国家基础性战略资源，没有数据安全就没有国家安全。《中华人民共和国数据安全法》贯彻落实总体国家安全观，聚焦数据安全领域中的风险隐患，加强国家数据安全工作的统筹协调，确立了数据分类分级管理、数据安全审查、数据安全风险评估、监测预警和应急处置等基本制度。通过建立健全各项制度措施，提升国家数据安全保障能力，有效应对数据这一非传统领域的国家安全风险与挑战，切实维护国家主权、安全和发展利益。

② 维护数据安全是维护人民群众合法权益的客观需要。数字经济为人民群众生产生活提供了很多便利，同时各类数据的拥有主体更加多样，处理活动更加复杂，一些企业、机构忽视数据安全保护、利用数据侵害人民群众合法权益的问题也十分突出，社会反映强烈。《中华人民共和国数据安全法》明确了相关主体依法依规开展数据活动，建立健全数据安全管理制度，加强风险监测和及时处置数据安全事件等义务和责任，通过严格规范数据处理活动，切实加强数据安全保护，让广大人民群众在数字化发展中获得更多的幸福感、安全感。

③ 维护数据安全是促进数字经济健康发展的重要举措。近年来，国家不断推进网络强国、数字中国、智慧社会建设，以数据为新生产要素的数字经济蓬勃发展，数据的竞争已成为国际竞争的重要领域。《中华人民共和国数据安全法》坚持安全与发展并重，在规范数据活动的同时，对支持促进数据安全与发展的措施、推进政务数据开放利用等做出相应规定，通过促进数据依法合理有效利用，充分发挥数据的基础资源作用和创新引擎作用，加快形成以创新为主要引领和支撑的数字经济，更好地服务国家经济社会发展。

④ 维护数据安全是要求相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展；开展数据处理活动应当依照法律、法规的相关规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动的相关人员，应当在网络安全等级保护制度的基础上，履行数据安全保护义务；重要数据的处理应当明确数据安全负责人和管理机构，落实数据安全保护责任。

网络安全评估标准的设计，必须贯彻落实《中华人民共和国数据安全法》的有关要求，通过采取必要措施，促进数据处于有效保护和合法利用的状态，切实为受评方数据安全能力提升提供指导和帮助。

4.《中华人民共和国个人信息保护法》细化、完善了个人信息保护应遵循的原则和个人信息处理规则，明确了个人信息处理活动中的权利义务边界

① 确立了个人信息保护原则。在处理个人信息时应当遵循合法、正当、必要和诚信的原则，具有明确、合理的目的并与处理目的直接相关，采取对个人权益影响最小的方式，限于实现处理目的的最小范围，公开处理规则，保证信息质量，对个人信息采取安全保护措施等。

② 规范了处理活动保障权益。紧紧围绕规范个人信息处理活动、保障个人信息权益，构建了以“告知-同意”为核心的个人信息处理规则。相关单位或组织在处理个人信息时应当在事先充分告知的前提下取得个人同意，在个人信息处理的重要事项发生变更时，相关单位或组织应当重新向个人告知并取得其同意。

③ 禁止“大数据杀熟”，规范自动化决策。个人信息处理者在利用个人信息进行自动化决策时，应当保证决策透明和结果公平、公正，不得对个人在交易价格等交易条件方面实行不合理的差别待遇。

④ 严格保护敏感个人信息。敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。《中华人民共和国个人信息保护法》规定，只有在具有特定的目的和充分的必要性，相关单位和组织并采取严格保护措施的情形下，方可处理敏感个人信息，同时应当事前进行影响评估，并向个人告知处理的必要性及对个人权益的影响。

⑤ 强化了个人信息处理者的义务。个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。《中华人民共和国个人信息保护法》规定，个人信息处理者应按照相关规定，制定内部管理制度和操作规程；采取相应的安全技术措施，指定负责人对其个人信息处理活动进行监督，定期对其个人信息处理活动进行合规审计，对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估；履行个人信息泄露通知和补救义务等。

⑥ 赋予大型网络平台特别的义务。《中华人民共和国个人信息保护法》对大型互联网平台设定了特别的个人信息保护义务，包括按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；遵循公开、公平、公正的原则，制定平台规则；对严重违法处理个人信息的平台内产品或者服务提供者，禁止其继续提供服务；定期发布个人信息保护社会责任报告，接受社会监督。

同行评估标准的设计，必须贯彻落实《中华人民共和国个人信息保护法》的有关要求，通过采取必要措施，促进个人信息处于有效保护和合法利用的状态，切实为受评方个人信息管理安全能力提升提供指导和帮助。

1.2.3 落实国家和行业主管部门相关法规、条例和指导意见要求

2021年9月1日起施行的《关键信息基础设施安全保护条例》，明确规定了国家关键信息基础设施覆盖范围和认定规则，详细规定了国家网信部门、公安部门、保护工作部门及关键信息基础设施的运营者和网络安全服务机构等主体的责任、义务和保障促进措施，明确要求“安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用”，明确要求“依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性”。

2021年8月《党委（党组）网络安全工作责任制实施办法》公开发布，明确提出，按谁主管谁负责，属地管理的原则，班子主要负责人是网络安全的第一负责人，承担主要领导责任，主管网络安全的领导班子成员是直接负责人，承担重要领导责任；建立和落实网络安全责任制，把网络安全纳入重要议事日程，明确网络安全工作机构，加大人力、财力、物力的支持与保障；统一组织网络安全保护和重大事件处置；组织开展经常性网络安全宣传教育，支持安全技术产业发展；各级网络安全和信息化领导小组应当加强和规范本部门信息汇集、分析和研判工作；组织信息通报，统筹协调网络安全检查；应建立网络安全责任制考核制度，将考核结果作为领导干部综合考核评价的重要内容；审计部门将网络安全建设和绩效纳入审计范畴。

2019年4月1日起施行的《中央企业负责人经营业绩考核办法》（国资委令第40号），首次将网络安全事件与生产安全责任事故并列。在《中央企业负责人经营业绩考核办法》第三十四条中明确，“建立重大事项报告制度。企业发生较大及以上生产安全责任事故和网络安全事件、重大及以上突发环境事件、重大及以上质量事故、重大资产损失、重大法律纠纷案件、重大投融资和资产重组等，对经营业绩产生重大影响的，应及时向国资委报告。”在《中央企业负责人经营业绩考核办法》第四十八条中明确，“企业法定代表人及相关负责人……，违反国家法律法规和规定，导致发生较大及以上网络安全事件，将受到扣分、调整、降职、责任追究或司法查处”。

2020年7月公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》，提出了四大工作目标，包括深入贯彻实施网络安全等级保护制度，建立并实施关键信息基础设施安全保护制度，网络安全监测预警和应急处置能力显著提升，网络安全综合防控体系基本形成。同时提出了四方面的具体要求：①深入贯彻实施国家网络安全等级保护制度，包括深化网络定级备案工作，定期开展网络安全等级测评，科学开展安全建设整改，强化安全责任落实，加强供应链安全管理，落实密码安全防护要求；②建立并实施关键信息基础设施安全保护制度，包括组织认定关键信息基础设施，明确关键信息基础设施安全保护工作职能分工，落实关键信息基础设施重点防护措施，加强重要数据和个人信息保护，强化核心岗位人员和产品服务的安全管理；③加强网络安全保护工作协作配合，包括加强网络安全立体化监测体系建设，加强网络安全信息共享和通报预警，加强网络安全应急处置机制建设，加强网络安全事件处置和案件侦办，加强网络安全问题隐患整改督办；④加强网络安全工作各项保障，包括加强组织领导、加强经费政策保障、加强考核评价、加强技术攻关、加强人才培养。

中华人民共和国国家发展和改革委员会、国家能源局、中华人民共和国生态环境部和国家国防科技工业局在2018年5月发布的《关于进一步加强核电运行安全管理的指导意见》中，专门就“加强核电厂网络安全管理”提出了明确要求，相关要求包括将网络安全纳入核电安全管理体系，加强能力建设，保障核电厂网络安全。①开展网络安全能力建设。核电厂要建立健全电力监控系统安全防护管理制度，对网络威胁进行评估和风险分析，合理配置网络安全监控工具，建立防范网络攻击、数据操纵或篡改的能力，定期开展网络安全检查。核电集团和核电厂要加强网络安全能力建设，研究建立核电厂网络安全实验室、工业控制系统测试平台等基础设施。②做好网络等级保护测评。核电厂要制定生产控制大区、管理信息大区安全防护总体方案，完成等级保护对象的定级、备案，并定期进行等级测评，制定网络安全事件应急响应预案并定期进行演练。③开展网络安全培训及评估工作。支持行业组织开展网络安全相关人员的技术培训，建立网络安全保护规范和协作机制，开展核电厂网络安全同行评估。

网络安全同行评估首次以政府主管部门指导意见的形式，被确定为网络安全能力的一种提升模式和服务方式。其他行业如交通、金融、证券、电信、水利等政府主管部门，也都提出了本行业网络安全保障工作相关指导意见和政策要求。网络安全评估标准的设计应该便于指导受评方有效贯彻落实国家和行业主管部门相关法规、条例和指导意见要求。

1.2.4 集成应用和有效落实网络安全等级保护等最新系列标准

近几年来，国家加快了网络安全相关技术标准的建设。网络安全等级保护2.0标准体系中的主要标准陆续发布实施，包括《信息安全技术 网络安全等级保护基本要求》（GB/T 22239—2019）、《信息安全技术 网络安全等级保护测评要求》（GB/T 28448—2019）、《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T 25070—2019）、《信息安全技术 网络安全等级保护安全管理中心技术要求》（GB/T 36958—2018）、《信息安全技术 网络安全等级保护测试评估技术指南》（GB/T 36627—2018）、《信息安全技术 网络安全等级保护测评过程指南》（GB/T 28449—2018）、《信息安全技术 网络安全等级保护定级指南》（GB/T 22240—2020）等。图1-1为网络安全等级保护2.0标准体系构成示意图。

按照《中华人民共和国网络安全法》“三同步”的基本要求，有效贯彻落实网络安全等级保护2.0系列标准，提升网络的本体安全和本质安全综合防护能力和水平，也是网络安全同行评估工作的重要出发点和最终落脚点。

在网络安全等级保护基本要求的规范性附录中，特别给出了网络安全等级保护安全框架（如图1-2），对开展网络安全等级保护工作，提出了五点总体要求。

① 应首先明确等级保护对象，等级保护对象包括通信网络设施、信息系统（包含采用移动互联等技术的系统）、云计算平台/系统、大数据平台/系统、物联网、工业控制系统等。应按照《信息安全技术 网络安全等级保护定级指南》（GB/T 22240—2020），确定等级保护对象的安全保护等级。

② 应根据不同等级保护对象的安全保护等级，按照《信息安全技术 网络安全等级保护基本要求》（GB/T 22239—2019）及相关技术标准等要求，完成网络安全建设或安全整改工作。

③ 应针对等级保护对象的特点建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系。

④ 应依据国家网络安全等级保护政策和标准，开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。

⑤ 应在较高级别等级保护对象的安全建设和安全整改中，注重使用可信计算、强制访问控制、审计追查、结构化保护和多级互联等一些关键技术。

网络安全等级保护安全框架，以及上述五点总体要求，是网络安全评估标准架构设计的重要依据。

1.2.5 充分借鉴国内金融电力等行业在网络安全领域的良好实践

国内电力和金融等行业，在贯彻落实国家网络安全等级保护制度、构建“三化六防”综合安全保障体系和能力建设等方面，走在了国内前列。其中，最主要的良好实践体现为几个主要标准，包括《电力监控系统网络安全防护导则》（GB/T 36572—2018）、《电力监控系统网络安全评估指南》（GB/T 38318—2019）、《工业控制系统安全检查指南》（GB/T 37980—2019）、《金融行业网络安全等级保护实施指引》（JR/T 0071—2020）、《金融行业网络安全等级保护测评指南》（JR/T 0072-2020）等。

电力行业的相关组织提出并严格奉行“安全分区、网络专用、横向隔离、纵向认证”的原则，构建网络安全纵深防御技术和管理综合防护体系。该防护体系从安全防护技术、应急备用措施、全面安全管理三个方面形成立体结构，三个方面互为支撑、相互融合、动态关联，形成动态的三维立体结构，如图1-3所示。

其中，安全防护技术维度主要包括基础设施安全、体系结构安全、系统本体安全、可信安全免疫等；应急备用措施维度主要包括冗余备用、应急响应、多道防线等；全面安全管理维度主要包括全体人员安全管理、全部设备安全管理、全生命周期安全管理、融入安全生产管理体系，如图1-4所示。电力行业网络安全防护体系运行时涵盖了网络和工业控制系统的规划设计、研究开发、施工建设、安装调试、系统改造、运行管理、退役报废等各个阶段，且电力行业网络安全防护体系应随计算机技术、网络通信技术、安全防护技术、工业控制技术的发展而不断完善。

金融行业的相关组织按照等级保护2.0系列标准要求，以国家等级保护要求为原则，以金融行业特点为基础，形成了兼顾技术与管理的金融行业网络安全保障总体框架，如图1-5所示。

该框架包含两项要求和两个体系，遵循技管交互、综合保障的原则。两项要求指由技术要求和管理要求形成的综合保障要求，技术要求包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五方面的要求；管理要求包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五方面要求。两个体系指由技术体系和管理体系形成的综合保障体系。技术体系以“一个中心，三重防护”为核心理念，划分安全计算环境、安全区域边界、安全通信网络与安全管理中心，并且结合金融行业的系统与业务现状，进行分区分域保护；管理体系遵从生命周期原理，对建立、实施和执行、监控和审计、保持和改进四个过程进行科学化的管理，通过循环改进的思路形成“生命环”的管理方法。

技管交互指技术要求与管理要求的交融及技术体系与管理体系互补，从安全保障要求和安全保障方法两方面体现技术与管理并重的基本思想。综合保障指该框架通过对保障要求和保障方法的综合考虑，通过技术与管理的有效结合，在遵循国家等级保护要求的前提下，满足金融行业的业务特殊性要求。

综合参考和应用电力、金融等行业的新标准和良好实践，是开展网络安全评估标准设计的一个重要特点。

1.2.6 有效落实“三化六防”网络安全防护措施，推动关键技术的应用

经过近些年的实网实战演练和各方面的经验反馈，为有效提升网络安全综合防护能力和水平，建立网络安全保护的良好生态，落实网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施，已经变得十分重要和必要。网络安全评估标准的设计，应按照“三化六防”的基本思路，侧重构建能够有效应对实战化和常态化网络安全挑战的新型活化网络安全综合防护体系，建立使之常态化有效执行的责任压实机制和运维工作机制，做实网络安全资产管理、策略管理、账户管理、权限管理、漏洞补丁升级等基础性工作及专业规范的日常运维工作。

网络安全技术能力建设非常关键。网络安全评估标准设计，应引导和指导受评方充分重视和持续加强网络安全技术能力建设。安全建设和安全整改涉及一些关键技术，其有效应用是网络安全防护的重要保障。

① 可信计算技术：相关单位应针对计算资源构建保护环境，以可信计算基（TCB）为基础，实现软件和硬件的计算资源可信，针对信息资源构建业务流程控制链，基于可信计算技术实现访问控制和安全认证，密码操作调用和资源管理等，构建以可信计算技术为基础的等级保护核心技术体系。

② 强制访问控制：相关单位应在高等级保护对象中使用强制访问控制机制，强制访问控制机制需要总体设计、全局考虑。在通信网络、操作系统、应用系统各个方面实现访问控制标记和强制访问控制策略，进行统一的主客体安全标记，安全标记随数据全程流动，并在不同访问控制点之间实现访问控制策略的关联，构建各个层面强度一致的访问控制体系。

③ 审计追查技术：相关单位应立足于现有的大量事件采集、数据挖掘、智能事件关联和基于业务的运维监控技术，突破海量数据处理瓶颈，通过对审计数据快速提取，满足信息处理中对于检索速度和准确性的需求。同时，还应建立事件分析模型，发现高级安全威胁，并追查威胁路径、定位威胁源头，实现对攻击行为的有效防范和追查。

④ 结构化保护技术：相关单位应通过良好的模块结构与层次设计等方法保证自身网络具有较强的抗渗透能力，为安全功能的正常运行提供保障。高等级保护对象的安全功能不可被篡改、不可被绕转，隐蔽信道不可被利用，通过保障安全功能的正常运行，使系统具备源于自身结构的、主动性的防御能力，利用可信计算技术实现结构化保护。

⑤ 多级互联技术：相关单位应在保证各等级保护对象自治和安全的前提下，有效控制异构等级保护对象间的安全互操作，从而实现分布式资源的共享和交互。随着对结构网络化、业务应用分布化和动态性要求越来越高，多级互联技术应在不破坏原有等级保护对象正常运行和安全的前提下，实现不同级别之间的多级安全互联、互通和数据交换。

以上设计要点及其简要分析，是网络安全评估标准设计和关键技术应用的基本要求，应贯穿于评估标准文件设计的全过程和全要素。同时，网络安全评估标准，应该与网络安全等级保护和关键信息基础设施安全保护在标准和方法上形成支撑和优势互补，在充分借鉴国际核能领域同行评估成功实践的基础上，一方面切实满足“合法合规、系统全面、集成应用和务实有效”的网络安全评估标准设计原则，另一方面能够按照“聚焦管理改进”“持续追求卓越”的网络安全工作理念，常态化地发现缺陷和隐患并及时完成有效整改，持续提升网络安全整体防护能力。