入侵檢測系統的缺陷：

• 無法檢測到來自網絡內部的攻擊及網絡內部的合法用戶濫用系統。

• 系統對所有的網絡報文進行分析，增加了主機的負擔，且易受DoS攻擊。

• 無法分析所傳輸的加密報文。

• 在交換式網絡中不能保證實用性。

• 易被攻擊者繞過。

• 入侵響應的延遲較大。

入侵檢測系統的預防措施如下：

• 實時阻斷攻擊：設備采用直路方式部署在網絡中，能夠在檢測到入侵時，實時對入侵活動和攻擊性網絡流量進行攔截，把其對網絡的入侵降到最低。

• 深層防護：由于新型的攻擊都隱藏在TCP/IP協議的應用層里，入侵防御能檢測報文應用層的內容，還可以對網絡數據流重組進行協議分析和檢測，并根據攻擊類型、策略等來確定哪些流量應該被攔截。

• 全方位防護：入侵防御可以提供針對蠕蟲、病毒、木馬、僵尸網絡、間諜軟件、廣告軟件、CGI（Common Gateway Interface）攻擊、跨站腳本攻擊、注入攻擊、目錄遍歷、信息泄露、遠程文件包含攻擊、溢出攻擊、代碼執行、拒絕服務、掃描工具、后門等攻擊的防護措施，全方位防御各種攻擊，保護網絡安全。

• 內外兼防：入侵防御不但可以防止來自于企業外部的攻擊，還可以防止發自于企業內部的攻擊。系統對經過的流量都可以進行檢測，既可以對服務器進行防護，也可以對客戶端進行防護。

• 不斷升級，精準防護：入侵防御特征庫會根據持續更新特征庫，以保持最高水平的安全性。您可以從升級中心定期升級設備的特征庫，以保持入侵防御的持續有效性

信息安全中的信息是指信息本身、信息處理過程、信息處理設施和信息處理器。信息安全的目標是保護信息的機密性、完整性、抗否認性、可用性。安全技術是對信息系統進行安全檢查和防護的技術，包括防火墻技術、漏洞掃描技術、入侵檢測技術、防火墻技術等。

在日常生活中提高個人信息安全意識我們應該注意以下幾點：

• 不要連接存在漏洞的風險WiFi

  公共場所中的一些免密WiFi可能實為不法分子專門搭設的虛假“釣魚”陷阱，使用一些不明“蹭網”APP時也可能“出賣”了自己的個人信息。因此需提高警惕，避免不法分子利用風險WiFi漏洞造成我們的損失。

• 不要輕易發布和透露個人信息

  在社交平臺發布日常動態是一些人的愛好，殊不知，一不小心可能泄露自己的個人信息，如曬車票、護照等泄露個人身份信息、使用“所在位置”功能泄露位置信息等，因此需盡量避免在社交平臺“說得太多”。

• 不要參與不明網絡小游戲

  朋友圈中風靡的一些來源不明的如測試小游戲，往往會先讓我們填寫自己的相關信息，如姓名、生日、手機號等，目的有可能是為了竊取你的個人信息。因此我們在參與此類活動前，要選擇信譽可靠的網站認真核驗對方的真實情況，不要貿然填寫導致個人信息泄露。

• 不要隨意丟棄快遞單、票據

  不少人有隨意丟棄快遞單、火車票、取款憑 條、信用卡對賬單等票據的習慣, 然而這些票據上往往有姓名、手機號、消費記錄等信息，隨意丟棄容易造成私人信息泄露。因此盡量不要隨意丟棄，丟棄前最好先進行抹除等處理。

• 不要忽視身份證復印件簽注

  當你需要提交給他人身份證復印件時，要在復印件上寫上簽注，內容應該包括三個方面，一是提供給哪個單位，二是提供的用途是什么，三是要注明他用無效。身份證復印件要保管好，不用的或作廢的要處理好，不能隨意丟棄。

采用代理服務器作為連接共享設備的缺點有：

• 價格更高：普通計算機無法適應7×24的不間斷運行，當網絡達到一定規模或需要實現7×24工作時，需要選用專用服務器作為代理服務器。顯然，其價格較寬帶路由器要高出很多。

• 對管理員技術要求高：在代理服務器上，不僅要安裝和配置代理服務器軟件，而且還要設置網絡防火墻和病毒防火墻。因此，要求管理員具有較高的技術水平。

• 維護難度大：代理服務器必須根據需要不斷地修改網絡防火墻的配置，不斷地下載病毒庫更新文件，不斷地升級系統安全補丁。因此，服務器的維護任務非常艱巨。

• 運行不穩定：服務器與普通計算機一樣，也會由于操作系統問題，或者其他軟、硬件問題而癱瘓，甚至會屢屢遭到病毒的攻擊，所以，與由純硬件構建的寬帶路由器相比，代理服務器的運行不太穩定。

預防網絡安全攻擊的措施有以下這些：

• 更新您的設備，操作系統，插件程序，瀏覽器至最新版本：之所有網絡犯罪分子能夠成功攻擊大部分原因是您的設備，系統，插件，瀏覽器舊版本存在漏洞而沒有及時進行打補丁修復和更新！制造商推出的新版本是在舊版本基礎上修復了錯誤并消除了產品安全漏洞，使其更加安全可靠，有助于保護您免受已知漏洞的攻擊。

• 設置賬戶訪問權限：訪問權限不應是所有人共享，而是應針對需要完成該工作的人員設置訪問權限。比如，誰能訪問數據庫，服務器等。通過限制訪問權限，可以減少潛在的風險，以防其賬戶遭到破壞。

• 設置強而獨特的密碼：建議設置強而獨特的密碼，比如密碼位數長且無意義無規律的密碼代替傳統密碼。這樣，網絡犯罪分子就很難猜測或暴力破解您的密碼了。

• 加強網絡安全意識培訓：人為的錯誤和過失是企業網絡安全的最大威脅，所以給內部員工培訓網絡安全知識，加強員工的網絡安全意識，遵守良好的安全慣例，這也會有效防御惡意軟件的攻擊。

• 安裝防病毒軟件和防惡意軟件工具：在終端設備上安裝使用防病毒，防惡意軟件的的軟件工具，提前做好防御工作。

• 使用數字證書保護您的網站和電子郵件：數字證書可以通過身份認證和加密功能提供安全性。例如：SSL/TLS證書是網站安全證書，可實現用戶與站點的Web服務器之間安全，加密的數據傳輸，還能向終端用戶證明企業身份，讓瀏覽器和用戶知道您的網站是合法網站，而不是網絡釣魚網站。

《工業控制系統安全指南》列出的部分針對工業控制系統的可能攻擊者。

1. 炫技黑客

炫技黑客入侵網絡，只為獲得挑戰的快感或獲得在攻擊社團中吹噓的資本。雖然遠程攻擊需要一定的技能或計算機知識，但可以從互聯網上下載攻擊腳本和協議，從而向受害者發動攻擊，攻擊工具越來越高級且容易使用。許多炫技黑客并不具備必要的專業知識便能對目標造成威脅。攻擊者遍布全球，威脅較大，其造成的孤立的或短暫的網絡中斷可能引起嚴重損害。

2. 僵尸網絡操縱者

僵尸網絡操縱者入侵系統不是為了挑戰或炫耀，而是將多個系統聯合起來發動攻擊，散布垃圾郵件和惡意軟件。在黑市有時可以獲得攻破系統和網絡的服務，例如，購買一次拒絕服務攻擊或使用發送垃圾郵件、釣魚方式攻擊服務器。

3. 犯罪團伙

犯罪團伙試圖攻擊系統以獲取錢財。具體來說，有組織的犯罪團伙利用垃圾郵件、釣魚方式、間諜軟件/惡意軟件進行身份盜竊和在線欺詐。國際企業間諜和有組織的犯罪團伙也通過自己的能力進行工業間諜活動和大規模的貨幣盜竊，并聘請或發展攻擊人才，從而構成對國家的威脅。一些犯罪團伙可能用網絡攻擊威脅某個組織，從而試圖勒索錢財。

另外，工業控制系統面臨的威脅來源包括對抗性來源，如敵對政府、恐怖組織、工業間諜、心懷不滿的員工、惡意入侵者等；自然威脅來源，如因為系統的復雜性、人為錯誤和意外事故、設備故障和自然災害等造成的威脅。

環狀網絡拓撲結構的優點如下：

• 實時性高：由于傳輸時間固定，非常適用于對數據傳輸要求較高的場合。

• 可靠性高：由于存在旁路電路，某個結點發生故障可以自動旁路，此時加入與移出結點都不會引起停機。

• 路由選擇短：由于兩結點之間只有唯一一條通路，大大簡化了路徑選擇的時間。

• 電纜長度短：環狀拓撲所需電纜長度和總線拓撲相似。

• 傳輸速率高：環狀網絡是單方向傳輸，非常適合采用光纖，傳輸速率高。

安全操作系統的設計主要包括以下這些原則：

• 最小特權原則：為使無意或惡意的攻擊所造成的損失最低，對于系統中的每個用戶和程序，必須按照“需要”原則，使其盡可能少地使用特權，即只給予用戶完成任務或操作所需要的特權，拒絕給予超過其所需權限以外的任何特權；

• 經濟性原則：保護系統的設計應小型化、簡單、明確，同時應該經過完備測試或嚴格驗證的；

• 開放性原則：保護機制應該是公開的，雖然保密系統安全機制會給滲透一個系統增加一定的難度，但是系統的安全性不應依賴于系統設計的保密性，而是要通過健全的安全機制來實現；

• 完整的訪問控制機制：操作系統對每個訪問，都必須進行合法性檢查，防止非法存取；

• 基于“允許”的設計原則：操作系統應當標識什么資源是可存取的，而不應該標識什么資源是不可存取的；

• 權限分離：系統的管理權限由多個用戶承擔，使入侵者不會擁有對系統全部資源的存取權限；

• 避免信息流的隱蔽通道：可共享實體提供了信息流的隱蔽通道，系統應采取物理或邏輯分離的方法，以防止這種隱蔽通道；

• 方便使用：系統應該為用戶提供友好的用戶接口。

防火墻常見部署位置有以下兩種：

• 部署在內外網之間：部署在內部網絡和外部網絡之間，需要將防火墻與內部網絡、外部網絡以及DMZ 三個區域相連的接口分別配置成不同網段的IP 地址，重新規劃原有的網絡拓撲，此時相當于一臺路由器。采用路由模式時，可以完成ACL 包過濾、ASPF 動態過濾、NAT 轉換等功能。然而，路由模式需要對網絡拓撲進行修改（內部網絡用戶需要更改網關、路由器需要更改路由配置等），這是一件相當費事的工作，因此在使用該模式時需權衡利弊。

• 橋接在內網中：將防火墻看作是一個橋接設備，并且在橋接設備上賦予了過濾的能力。由于橋接設備工作在OSI模型的第二層（也就是數據鏈路層），所以不會有任何路由的問題。并且，防火墻本身也不需要指定IP地址，因此，這種防火墻的部署能力和隱密能力都相當強，從而可以很好地應對黑客對防火墻自身的攻擊，因為黑客很難獲得可以訪問的IP地址。

內網安全的主要內容包括以下四個方面：

• 系統安全：系統安全主要用于界定單個計算機或設備節點的安全問題，保障所有系統的安全是建立安全系統的基礎。“木桶上最短的一塊木板決定了桶能裝的水量”，這個短板理論同樣適用于信息安全領域。如果某個系統具有較低的安全性，那么與該系統處于同一網絡中的其它系統同樣會因此面臨安全威脅。惡意者一旦獲取了內部網絡中一臺系統的訪問權，就相當于獲得了代表合法用戶的通行證，余下的破壞行為將簡單得多。所以并不能因為工作的繁雜性而忽視了保障內網系統的安全，對這一問題坐視不理將面臨非常嚴重的后果。在保障系統安全方面，常見而必要的工作包括系統加固、補丁管理、配置管理等等。在處理這些工作的時候，應用系統的安全問題也要獲得充分的考慮。只是在硬件層面以及操作系統層面進行系統安全管理并不是系統安全的全部工作，一些應用程序的漏洞也能夠造成與操作系統漏洞同樣嚴重的結果，每個系統節點上運行的應用也需要以同樣的規格獲得處理。由于計算環境并不是恒久不變的，所以能夠在動態的環境中良好的完成這些工作才能有效的保障系統安全。

• 網絡安全：相對于系統安全，網絡安全主要涵蓋了節點之間的安全問題。在很多安全體系當中都會將通信安全做為很重要的部分獨立出來，而網絡安全的范疇還要比通信安全更加廣泛一些。通訊安全領域主要關注的是網絡的拓撲結構、所使用的網絡協議、所使用的網絡設備以及執行的網絡服務等等。這些因素都會在很大程度上影響內網安全性，例如邏輯星型網絡和邏輯環形網絡在處理的時候就會有較大的不同，而 IP 協議的問題也和 IPX 協議非常不同。除了這些問題之外，網絡安全部分還應該包括訪問控制方面的問題。目前的訪問控制管理主要著眼于通過認證和授權等操作，保障信息在使用過程中的保密性、完整性和可用性。訪問控制可以賦予網絡中所有系統相應的角色和權限，從而使網絡節點之間的信息訪問受到妥善的管理，在通信安全的基礎上進一步保障多個節點之間的信息安全。

• 數據安全：數據是信息化的核心要素，也是信息資產的直接體現。任何計算機中的數據都有價值，只是價值的高低不同，所以數據備份是數據安全范疇的最基本問題。無論是什么樣的計算環境，都應該制訂相應的備份計劃和策略以保障數據不被盜取、破壞和非法使用，這樣才能使用戶的權益得到保護。隨著信息化設施對用戶的重要性不斷增強，當今的數據備份已經不再局限于制作數據的副本這樣簡單的層次，而是發展成為涵蓋了數據可用性的更加全面的數據管理方案。在一些高端的應用環境中，數據安全更多的被包含在業務連續性計劃這樣的整體性規劃當中。另外一種比較主要的數據保護手段就是加密，高強度的加密結合有計劃的密鑰管理可以提供具有極高可靠性的數據安全環境。事實上，加密已經成為到各個功能層次中的極為重要的信息保護手段。

• 安全管理：與以上所列的三個方面相比，安全管理更多的集中于抽象層次的內容，即著眼于整個內網環境的管理規劃和執行。可以說，安全管理既是獨立于內網安全其它范疇的存在，又與每個范疇具有生生相息、不可分割的關系。安全管理所圍繞的中心是安全策略，實際上安全策略也是所有信息安全實踐當中的綱領。內網安全策略中包含了針對具體需求所產生出來的計劃、方法以及示例，從較高的層面統合整個內網安全管理。除此之外，內網安全策略中還應包含很多規范性內容，例如所適用的范疇以及例外等等。

這種劃分方式并不一定能夠完美的容納內網安全的所有要素，例如物理安全、安全教育等許多非常重要的部分都沒有顯示的在這種劃分下獲得體現，但是這種劃分方法確實能夠較為清晰和系統的包容內網安全的絕大部分要素，并有效用于內網安全的規劃和認知。由于系統安全和網絡安全部分可以很好的涵蓋內部網絡中的計算設施，所以將物理安全這樣的問題分別在這兩個分類中體現也是相當直觀的，而安全教育方面的內容也可以在安全管理部分進行規定。

深信服的防火墻一般在幾十秒到幾分鐘就可以啟動，但是不同型號的和同型號不同配置的防火墻啟動時間也不近相同，一些比較大型的防火墻或者交換機需要幾分鐘內才能完成重啟連接所有網絡，需要耐心等待一會，一般此類設備都是有指示燈來表明工作狀態的。

防火墻技術是通過有機結合各類用于安全管理與篩選的軟件和硬件設備，幫助計算機網絡于其內、外網之間構建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術。

防火墻技術的功能主要在于及時發現并處理計算機網絡運行時可能存在的安全風險、數據傳輸等問題，其中處理措施包括隔離與保護，同時可對計算機網絡安全當中的各項操作實施記錄與檢測，以確保計算機網絡運行的安全性，保障用戶資料與信息的完整性，為用戶提供更好、更安全的計算機網絡使用體驗。

腳本型病毒有以下特點：

• 編寫簡單：一個以前對病毒一無所知的病毒愛好者可以在很短的時間里編出一個新型病毒來。

• 破壞力大：其破壞力不僅表現在對用戶系統文件及性能的破壞。他還可以使郵件服務器崩潰，網絡發生嚴重阻塞。

• 傳播范圍大：這類病毒通過htm文檔，Email附件或其它方式，可以在很短時間內傳遍世界各地。

• 感染力強：由于腳本是直接解釋執行，并且它不需要像PE病毒那樣，需要做復雜的PE文件格式處理，因此這類病毒可以直接通過自我復制的方式感染其他同類文件，并且自我的異常處理變得非常容易。 5.欺騙性強。腳本病毒為了得到運行機會，往往會采用各種讓用戶不大注意的手段，譬如，郵件的附件名采用雙后綴，如.jpg.vbs，由于系統默認不顯示后綴，這樣，用戶看到這個文件的時候，就會認為它是一個jpg圖片文件。

• 病毒源碼容易被獲取，變種多：由于VBS病毒解釋執行，其源代碼可讀性非常強，即使病毒源碼經過加密處理后，其源代碼的獲取還是比較簡單。因此，這類病毒變種比較多，稍微改變一下病毒的結構，或者修改一下特征值，很多殺毒軟件可能就無能為力。

• 使得病毒生產機實現起來非常容易：所謂病毒生產機，就是可以按照用戶的意愿，生產病毒的機器(當然，這里指的是程序)，目前的病毒生產機，之所以大多數都為腳本病毒生產機，其中最重要的一點還是因為腳本是解釋執行的，實現起來非常容易，具體將在我們后面談及。

加強服務器安全預防腳本病毒的措施有以下這些：

• 制定內部數據安全風險管理制度：制定公司內部數據泄露和其他類型的安全風險協議，包括分配不同部門以及人員管理賬號、密碼等權限，定期更新密碼避免被黑客盜取，以及其他可行措施。

• 及時更新軟件版本：及時更新軟件版本，以避免你的服務器安全處于危險之中，使其漏洞被黑客利用并入侵。使用專業的安全漏洞掃描程序是一種保持軟件實時更新的方式之一。

• 定期對服務器進行備份：為防止不能預料的系統故障或用戶不小心的非法操作，必須對系統進行安全備份。除了對全系統進行每月一次的備份外，還應對修改過的數據進行每周一次的備份。同時，應該將修改過的重要系統文件存放在不同服務器上，如果原始數據不幸損壞、丟失等情況發生時，你可以利用備份數據保證業務正常運行。

• 定期安全檢測：定期進行安全檢測，確保服務器安全，在非默認端口上設置標準和關鍵服務、保證防火墻處于最佳設置等，定期進行安全掃描，防止病毒入侵。

• 關閉不需要的服務和端口：服務器操作系統在安裝時，會啟動一些不需要的服務，這樣會占用系統的資源，而且也會增加系統的安全隱患。對于一段時間內完全不會用到的服務器，可以完全關閉。

• 安裝和設置防火墻：現在有許多基于硬件或軟件的防火墻，很多安全廠商也都推出了相關的產品。對服務器安全而言，安裝防火墻非常必要。這樣進入服務器中的流量都是經常防火墻過濾之后的流量，防火墻內其他的流量直接被隔離出來，防火墻中一定要安裝入侵檢測和入侵防御系統，這樣才能發揮防火墻的最大作用。在安裝防火墻之后，你需要根據自身的網絡環境，對防火墻進行適當的配置以達到最好的防護效果。

• 安裝網絡殺毒軟件：現在網絡上的病毒非常猖獗，這就需要安裝商業級反惡意軟件和反病毒引擎，對服務器進行實時保護。同時，在網絡殺毒軟件的使用中，必須要定期或及時升級殺毒軟件，并且每天自動更新病毒庫。

• 監測系統日志：通過運行系統日志程序，系統會記錄下所有用戶使用系統的情形，包括最近登錄時間、使用的賬號、進行的活動等。日志程序會定期生成報表，通過對報表進行分析，你可以知道是否有異常現象。

• 接入專業的高防服務：目前DDOS還沒有什么徹底解決的方法，只能通過專業的網絡高防服務進行防御。

網關防病毒技術的四種實現方式如下：

• 基于代理服務器的方式實現：此種方式主要是依靠代理服務器對數據進行還原，在數據通過代理服務器時將數據根據不同協議進行還原，再利用其安裝在代理服務器內的掃描引擎對其進行病毒的查殺。

• 基于防火墻協議還原的方式實現：此種方式主要是利用防火墻的協議還原功能，將數據包還原為不同協議的文件，然后傳送到相應的病毒掃描服務器進行查殺，掃描后再將該文件傳送回防火墻進行數據傳輸。病毒掃描服務器可以有多個，防火墻內的防病毒代理根據不同協議，將相應的協議數據轉送到不同的病毒掃描服務器。

• 基于郵件服務器的方式實現：此種方式也可認為是以郵件服務器為網關，在郵件服務器上安裝相應的防病毒產品，通過將防病毒程序內嵌在郵件系統內，就可在進出郵件轉發前對郵件及其附件進行掃描并清除，從而防止病毒通過郵件網關進入企業內部。目前，郵件服務器版的防病毒產品主要支持Exchange Server、Lotus Notes和以SMTP協議的郵件系統。

• 基于信息渡船產品方式實現：它能夠實現網關處的病毒防護，信息渡船俗稱“網閘”，在產品內建立信息孤島，通過高速電子開關實現數據在信息孤島的交換。用戶只需在信息孤島內安裝防病毒模塊，就可實現對數據交換過程的病毒檢測與清除。

個人可以進行以下操作防御apt攻擊：

• 使用威脅情報：這包括APT操作者的最新信息、從分析惡意軟件獲取的威脅情報、已知的C2網站、已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行、以及惡意鏈接和網站。威脅情報在進行商業銷售，并由行業網絡安全組共享。企業必須確保情報的相關性和及時性。威脅情報被用來建立“絆網”來提醒你網絡中的活動。

• 建立強大的出口規則：除網絡流量（必須通過代理服務器）外，阻止企業的所有出站流量，阻止所有數據共享和未分類網站。阻止SSH、FTP、Telnet或其他端口和協議離開網絡。這可以打破惡意軟件到C2主機的通信信道，阻止未經授權的數據滲出網絡。

• 聘請安全分析師：安全分析師的作用是配合威脅情報、日志分析以及提醒對APT的積極防御。這個職位的關鍵是經驗。

• 對未知文件進行檢測：一般通過沙箱技術罪惡意程序進行模擬執行，通過對程序的行為分析和評估來判斷未知文件是否存在惡意威脅。

• 對終端應用監控：一般采用文件信譽與嘿白名單技術在終端上檢測應用和進程。

• 使用大數據分析方法：基于大數據分析的方法，通過網路取證，將大數據分析技術和沙箱技術結合全面分析APT攻擊。

網絡安全審計從審計級別上可分為三種類型：系統級審計、應用級審計和用戶級審計。

• 系統級審計：系統級審計主要針對系統的登人情況、用戶識別號、登人嘗試的日期和具體時間、退出的日期和時間、所使用的設備、登人后運行程序等事件信息進行審查。典型的系統級審計日志還包括部分與安全無關的信息，如系統操作、費用記賬和網絡性能。這類審計卻無法跟蹤和記錄應用事件，也無法提供足夠的細節信息。

• 應用級審計：應用級審計主要針對的是應用程序的活動信息，如打開和關閉數據文件，讀取、編輯、 刪除記錄或字段的等特定操作，以及打印報告等。

• 用戶級審計：用戶級審計主要是審計用戶的操作活動信息，如用戶直接啟動的所有命令，用戶所有的鑒別和認證操作，用戶所訪問的文件和資源等信息。

等級保護測評包括技術測評和管理測評兩大部分。技術測評包括物理安全、主機安全、網絡安全、應用安全和數據安全與備份五個技術層面。管理測評包括安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五個技術層面，等級保護測評一共包括69項。

技術測評共38項：

• 物理安全

物理安全測評項包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、機房供配電、電磁防護、設備安全防護、存儲介質安全防護。共12項。

• 主機安全

主機安全測評項包括身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制。共7項。

• 網絡安全

網絡安全測評項包括結構安全、安全審計、訪問控制、邊界完整性檢查、惡意代碼防范、入侵防范和網絡設備防護。三級要求主要增強點：結構安全擴展到對重要網段采取可靠的技術隔離，在網絡邊界增加對惡意代碼檢測和清除;安全審計增強審計數據分析和保護，生成審計報表;訪問控制擴展到對進出網絡的信息內容過濾。一般情況下共7項。

• 應用安全

應用安全測評項包括身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制。三級要求主要增強點：身份鑒別要求組合鑒別技術;訪問控制和安全審計基本同主機安全增強要求;要求對通信過程中的整個報文或會話過程進行加密。一般情況下共9項。

• 數據安全與備份

　　數據安全與備份測評項包括數據完整性、數據保密性、數據的備份和恢復。三級要求主要增強點：對系統管理數據、鑒別信息和重要業務數據在存儲過程和傳輸過程中完整性進行檢測和恢復，采用加密或其他有效措施實現以上數據傳輸和存儲的保密性;供異地數據備份等。一般情況下共3項。

管理測評共31項：

• 安全管理制度

安全管理制度測評項主要包括管理制度、制定和發布、評審和修訂。共3項。

• 安全管理機構

安全管理機構測評項主要包括崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查。共5項。

• 人員安全管理

人員安全管理測評項主要包括人員錄用、人員離崗、人員考核、安全意識教育和培訓、外部人員訪問管理。共5項。

• 系統建設管理

系統建設管理測評項包括系統定級、安全方案設計、產品采購和使用、自行軟件開發、外部軟件開發、工程實施、測試驗收、系統交付、系統備案、等級測評、安全服務商選擇。共11項.

• 系統運維管理

系統運維管理測評項包括環境管理、資產管理、介質管理、設備灌流、監控管理和安全管理中心、網絡安全管理、系統安全管理。共7項。