背景简介

    在数字化浪潮席卷而来的今天，信息已然成为了组织和个人最为关键的资产之一。从企业的核心商业机密，到个人的隐私数据，每一份信息都承载着重要的价值。然而，随着网络技术的迅猛发展，信息安全面临着前所未有的严峻挑战。黑客攻击、数据泄露、网络诈骗等安全事件频繁发生，给社会带来了巨大的损失和危害。

    为了筑牢信息安全的防线，保密测评应运而生。它就像是一位守护信息安全的忠诚卫士，通过一系列科学严谨的评估和测试，深入检测信息系统的安全性、保密性和合规性，及时发现潜在的安全隐患，并给出专业的整改建议，为信息系统的安稳定运行提供坚实的保障。接下来，让我们一同深入了解等保、分保、关保、密评、数评、软测这六项重要的保密测评，揭开它们神秘的面纱。

一、等保测评

1.1 等保是什么

等保，全称信息安全等级保护，是信息安全的基础保护，是我国网络安全领域的基本国策、基本制度 。它依据《中华人民共和国网络安全法》等法律法规，对信息系统按照重要性和受破坏后的危害性进行安全防护等级的划分与评估，以保障信息系统的安全稳定运行，维护国家安全、社会稳定和公民、组织的合法权益。对象包括普通企业系统、重要政务平台、云计算、物联网等。三级以上系统需每年测评。等保合规产品有下一代防火墙（NGFW）、入侵检测系统（IDS）、数据库审计设备、安全管理中心（SOC）、漏洞扫描系统等。

1.2 等保的工作流程

等保包括系统定级、系统备案、安全整改、等级测评、监督检查五个步骤。

第一步：系统定级。运营使用单位依据《信息安全技术 网络安全等级保护定级指南》，综合考虑信息系统所处理的数据重要性、业务的关键程度以及系统服务范围等因素，判断系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的损害程度，将信息系统从低到高划分为五个等级。一级为用户自主保护级，适用于一般的信息系统，受破坏后仅对公民、法人和其他组织合法权益造成损害；二级为系统审计保护级，适用于信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全的情况；三级为安全标记保护级，当信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害时适用；四级为结构化保护级，适用于系统受破坏后对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害的重要领域、重要部门中的特别重要系统以及核心系统；五级为访问验证保护级，是最高级别，用于国家重要领域、重要部门中的极端重要系统，受到破坏后会对国家安全造成特别严重损害 。

第二步：系统备案。定级完成后，第二级及以上信息系统的运营使用单位，需在规定时间内（等保 2.0 相关标准已将备案时限修改为 10 日内），到所在地区的市级以上公安机关办理备案手续。备案时需提交《信息安全等级保护备案表》，若为第三级以上信息系统，还需提供系统拓扑结构及说明、系统安全组织机构和管理制度、系统安全保护设施设计实施方案或者改建实施方案、系统使用的信息安全产品清单及其认证、销售许可证明、测评后符合系统安全保护等级的技术检测评估报告、信息系统安全保护等级专家评审意见、主管部门审核批准信息系统安全保护等级的意见等材料 。

第三步：安全建设整改。运营使用单位按照《信息安全技术 网络安全等级保护基本要求》等标准，从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等层面，对信息系统进行全面的安全建设与整改。比如在物理安全方面，完善机房的防火、防雷击、温湿度控制、电力供应等设施；网络安全上，部署防火墙、入侵检测系统等设备，保障网络架构安全、通信传输安全 。

第四步：级测评。信息系统建设完成或整改后，运营使用单位需定期（一般二级系统每两年测评一次，三级及以上系统每年测评一次）委托具备资质的第三方测评机构，依据相关标准规范，对信息系统安全等级状况进行测评。测评机构通过访谈、检查、测试等方法，对系统的安全控制措施进行评估，判断其是否符合相应等级的保护要求 ，出具《信息系统等级测评报告》。

第五步：监督检查。公安、网信等监管部门依据信息安全等级保护管理规范及相关法律法规，对运营使用单位开展等级保护工作的情况进行监督检查，查看系统是否按照规定定级、备案、测评以及安全措施是否有效落实等，督促运营使用单位持续做好信息系统的安全防护 。

1.3 等保的输出物

运营单位做等保测评最终会生成测评报告，这份报告详细记录了信息系统的安全现状，包括系统中存在的安全问题、隐患，针对这些问题提出的具体整改建议，以及最终的测评结论，判定系统是否达到相应等级的安全保护要求，为运营使用单位后续的安全改进提供了重要依据 

1.4 等保的参考标准

主要参考标准为《信息安全技术 网络安全等级保护基本要求》（GB/T 22239—2019 ），该标准明确了不同等级信息系统在技术和管理方面的基本安全要求，是开展等保工作的核心依据。此外，还有《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）用于指导信息系统的定级工作；《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）规范了测评的流程、方法和指标等，共同构建起等保工作的标准体系 。

二、分保测评

2.1 分保是什么

分保，即涉密信息系统分级保护，是涉密系统的安全盾牌。它是针对涉及国家秘密的信息系统，依据国家相关法律法规和标准，按照涉密程度对系统进行分级，并采取相应的安全防护措施，以确保国家秘密信息的保密性、完整性和可用性。它由国家保密局及地方各级保密局负责监督管理，是保障涉密信息安全的重要手段 。分保对象是党政军、央企等涉密单位的信息系统，核心要求是秘密级、机密级信息系统应每两年至少进行一次安全保密测评或保密检查；绝密级信息系统应每年至少进行一次安全保密测评或保密检查。分保专用产品有电磁屏蔽机柜、涉密专用三合一（USB、光驱、网格）防护设备、涉密文档加密系统、日志审计溯源平台等。

2.2 分保的工作流程

分保的核心工作流程包括系统定级、方案设计、工程实施、系统测评、系统审批、5个阶段（注意：有的地方还包括系统废止阶段的要求）。新建涉密网络、系统都需经过测评（由地方保密局设立或者授权的保密测评机构进行）和审批（地市以上保密局）才能投入运行使用；投入运行之前，需经保密工作部门审批。涉密网络投入运行后，还应接受保密局组织的安全保密风险评估。

第一步：系统定级。建设单位明确系统所处理信息的最高密级，确定系统保护等级。根据涉密信息系统处理信息的最高密级，可划分为秘密级、机密级和机密级（增强）、绝密级4个等级。

    秘密级：其防护水平不低于国家信息安全等级保护三级的要求；

    机密级：其防护水平不低于国家信息安全等级保护四级的要求；

    机密级（增强）的要求：使用单位为副省级以上的党政首脑机关，以及国防、外交、国家安全、军工等要害部门；

    绝密级：其防护水平不低于国家信息安全等级保护五级的要求。不能与城域网或广域网相连。

第二步：方案设计。建设使用单位与专业的安全服务机构就安全防护方案、技术措施、防护能力等进行协商，确定如何对涉密信息系统进行有效保护。双方商定具体的安全策略、产品选型、防护措施的实施范围和深度等，明确各自在信息系统安全防护中的责任和义务 ，并通过专家论证，负责系统审批的保密工作部门应参加论证。分级保护的技术要求包括物理安全、运行安全、信息安全保密、安全保密管理、产品选型与安全服务等五部分。

第三步：工程实施。选择具有涉密资质的供应商通过实施商定的安全防护方案和措施，将信息系统的安全风险进行 “转移”，这里的 “转移” 是指利用技术手段和管理措施降低风险发生的可能性和影响程度，例如部署防火墙、入侵检测系统等技术设备，建立完善的安全管理制度和人员培训体系等，使得原本可能面临的安全威胁得到有效控制 。

第四步：系统测评。运营使用单位需要持续对涉密信息系统的安全状况进行管理和监控，建立安全监控机制，实时监测系统的运行状态、安全事件发生情况等，定期对安全防护措施的有效性进行评估和调整，确保整个信息系统始终处于安全可控的状态 。系统工程实施完毕后，建设使用单位向国家保密局涉密信息系统保密测评中心及分中心申请完成系统测评。

第五步：系统审批。涉密系统在运行之前，需经保密工作部门审批；涉密信息系统运行期间运营使用单位需要持续对涉密信息系统的安全状况进行管理和监控，建立安全监控机制，实时监测系统的运行状态、安全事件发生情况等，定期对安全防护措施的有效性进行评估和调整，确保整个信息系统始终处于安全可控的状态（简言之是应定期进行安全保密测评和检查）；废止涉密信息系统应向保密工作部门备案，并按照保密规定妥善处理涉及国家机密信息的设备、产品和资料。

2.3 分保输出物

分保最终会形成一系列输出物，其中包括与安全服务机构指定的方案，明确双方权利义务、安全防护范围和标准等；以及详细的风险监控报告，记录信息系统安全状况、风险事件、防护措施有效性评估结果等内容，为运营使用单位后续的安全改进和管理提供有力支撑 。

2.4 参考标准

主要依据《中华人民共和国保守国家秘密法》，该法明确规定存储、处理国家秘密的计算机信息系统按照涉密程度实行分级保护。此外，还有《涉及国家秘密的信息系统分级保护管理办法》等，这些法规和办法从宏观到具体，对分保的各个环节和要求进行了规范，是开展分保工作的重要准则 。

三、关保

3.1 关保的定义

关保，即关键信息基础设施保护，密码安全的检测标尺。是在网络安全等级保护制度基础上，对关键信息基础设施实行重点保护。关键信息基础设施涵盖公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等，是国家网络安全的重中之重 。

3.2 关保工作流程 

关保包括分析识别、安全防护、检查评估、监测预警、事件处置五个核心环节。

第一步：分析识别。运营者需识别关键信息基础设施，确定关键业务链，梳理相关资产、业务和系统，明确保护范围和重点，比如确定电力系统中控制发电、输电的核心信息系统 。

第二步：安全防护。制度上制定网络安全保护计划；管理机构方面设立首席网络安全官和专门网络安全管理机构；人员管理上明确安全管理责任人，开展安全背景审查、技能考核和教育培训并签订安全保密协议；技术层面，保障通信线路 “一主双备” ，对不同系统间进行安全技术防护，采取网络审计措施，在计算环境做好鉴别与授权、入侵防范等 。

第三步：检测评估。运营者可自行或委托网络安全服务机构开展检测评估，监管部门也会进行抽查。检测内容包括网络安全等级保护制度落实情况、商用密码应用安全性评估情况等，每年至少进行一次安全检测评估 ，还需定期组织或参加跨运营者的安全检测评估 。

第四步：监测预警。监测关键业务所涉及的系统，部署攻击监测设备，构建正向和逆向模型进行关联分析，建立网络安全信息共享机制；预警方面采用自动模式预警，持续获取和及时通报安全预警信息 。

第五步：事件处置。在国家网络安全事件应急预案框架下制定应急预案，每年至少组织开展 1 次应急演练 。发生安全事件时，及时向供应链涉及的相关内外部组织通报，恢复关键业务和信息系统，进行取证分析、评估恢复情况，并通报安全事件及其处置情况 ，必要时重新开展业务、资产和风险识别工作 。

3.3 关保核心输出物

关保工作最终会输出安全检测评估报告，详细记录系统安全检测情况、存在问题及改进建议；风险预警信息则能及时告知运营者潜在安全威胁；还有应急处置报告，记录安全事件发生后的处置过程和结果等 。

3.4 关保参考标准

主要有《关键信息基础设施安全保护条例》，明确关键信息基础设施保护的各方责任、认定标准、运营者义务等内容；《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022），从分析识别、安全防护等六个方面提出 111 条安全要求，为关保工作提供具体操作指引 。

四、密评

4.1 密评的定义

密评，即商用密码应用安全性评估 ，密码安全的检测标尺。是对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性和有效性进行评估 。简单来说，就是检查系统在使用商用密码时是否遵循了相关规范，能否切实保障信息安全。常用密评国密产品包括服务器密码机、国密SSL VPN网关、智能密码钥匙（Ukey）、密钥管理系统（KMS）、国密堡垒机。

4.2 密评的工作流程

密评包括申请、审批、建设、评估、报备五个核心工作流程。

第一步：申请。责任单位根据自身情况，向具备资质的测评机构提出密评申请，明确需要评估的网络和信息系统。

第二步：审批。相关部门对申请进行审批，查看申请单位和评估系统是否符合密评要求，确保评估工作的必要性和可行性 。

第三步：建设。申请通过后，责任单位编制商用密码应用建设方案，组织专家或委托测评机构进行评估，评审通过后按照方案进行系统建设，将商用密码技术、产品和服务合理集成到网络和信息系统中 。

第四步：评估。系统建设完成后，责任单位委托有资质的第三方测评机构开展密评工作。测评机构依据相关标准规范，通过访谈、检查文档、实地查看、工具测试等方式，对系统密码应用的各个方面进行全面检测分析和评估验证 。

第五步：报备。测评通过后，责任单位将密评结果向所在地设区的市级密码管理部门备案，接受监管部门的监督管理 。

4.3 密评输出物和参考标准

密评最终会产生《密码应用方案评估报告》，对密码应用方案的合理性、合规性进行分析评估，提出改进建议；还有《密码应用安全性评估报告》，详细记录系统密码应用的实际情况、存在的问题以及最终的评估结论 。主要参考国家密码管理部门发布的法规、标准及行业规范，如《信息安全技术 信息系统密码应用基本要求》（GB/T 39786-2021）等。该标准从总体要求、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理以及安全管理等多个层面，规定了信息系统密码应用的基本要求；还有 SM 系列密码算法标准，规定了一系列国产商用密码算法，保障密码技术的安全性和合规性 。

五、数评

5.1 数评的定义

数评，即数据安全评估，是数据安全的评估手段。对数据的安全性、完整性、可用性等方面进行全面评估的过程。在当今数字化时代，数据成为了组织和企业的核心资产之一，数评能够帮助企业了解自身数据安全状况，识别潜在风险，为数据安全防护提供有力依据 。常用数评技术产品有数据脱敏一体机、隐私技术硬件模块、数据分类分级平台、API安全网关等。

5.2 数评的工作流程

数评包括数据梳理、风险评估、现状评估、出具报告4个核心环节。

第一步：数据梳理。全面梳理组织内部的数据资产，明确数据的类型、存储位置、使用方式、所有者等信息，绘制数据资产地图。例如区分客户信息、财务数据、业务运营数据等不同类型的数据，确定它们分别存储在哪些数据库、文件系统或云端服务中 。

第二步：风险评估。识别数据面临的各种安全风险，如数据泄露风险、数据篡改风险、数据丢失风险等。分析风险发生的可能性和影响程度，对风险进行优先级排序 。比如评估黑客攻击导致数据泄露的可能性，以及一旦发生数据泄露对企业声誉、业务运营、法律合规等方面的影响 。

第三步：现状评估。对现有的数据安全措施进行评估，包括数据加密、访问控制、数据备份恢复、安全审计等措施是否有效实施，是否符合相关标准和规范要求 。查看企业是否对敏感数据进行了加密存储，访问控制策略是否合理，是否定期进行数据备份并验证备份的可用性 。

第四步：出具报告。根据评估结果，编制详细的数据安全评估报告，给出数据安全状况的总体评价，指出存在的问题和风险点，提出针对性的改进建议和措施 。报告中可能会明确指出企业在数据访问控制方面存在权限划分不细致的问题，并建议细化权限设置，实施最小权限原则 。

5.3 数评输出物和参考标准

数评的主要输出物是数据安全评估报告，这份报告内容涵盖数据资产梳理情况、风险评估结果、现状评估详情、安全问题和风险点汇总、改进建议和措施等，为企业决策层和相关部门提供数据安全方面的详细信息，指导后续的数据安全建设和改进工作 。参考标准是《数据安全法》。它是数据领域基础性法律 。建立数据分类分级、风险评估等管理制度；规范数据处理活动，明确数据处理者义务；保障政务数据安全，推动数据开放利用；对危害数据安全行为设定法律责任，是数评工作的重要法律依据 。

六、软测

6.1 软测的定义

软测，及软件测评，是软件质量的把关工序。由非软件开发主体（如独立测试公司、认证机构） 依据既定需求、标准或规范，对软件的 “功能、性能、安全性、兼容性、可靠性、易用性” 等质量属性进行全面检测与评估的过程。通过客观、公正、专业的测试手段，验证软件是否满足需求规格、符合行业标准及质量要求，规避开发方自测试的主观性偏差和使用方测试资源不足的问题，常见于政府项目验收、企业核心系统采购、软件产品上市前合规性验证等场景。

6.2 软测的工作流程

软件测评需遵循 “计划性、系统性、可追溯性” 原则，典型流程分为测评准备、测评计划、测试用例设计、测试环境搭建、测试执行、测试总结6 个阶段。

第一步：测评准备。明确测评范围、目标和资源，避免测试遗漏或资源浪费。根据需求文档（如用户需求说明书、软件规格说明书）、设计文档（如架构设计、数据库设计），与需求方（如甲方、开发团队）确认测评范围（如仅测核心功能，还是含性能 / 安全）、验收标准（如缺陷等级定义、通过率要求），同时组建测评团队（划分功能测试、性能测试、安全测试角色），准备测试环境（硬件、操作系统、网络配置）和工具（如功能测试工具 Postman、性能测试工具 JMeter）。

第二步：测评计划。输出正式的测评计划，作为后续测试的 “行动指南”。明确测评对象（如软件版本、模块）、测评类型（功能 / 性能 / 安全 / 兼容性等）、制定时间计划、定义风险与应对方案。

第三步：测试用例设计。将抽象需求转化为可执行的测试步骤，确保测试覆盖全面。工作内容包括基于需求文档，采用 “等价类划分”“边界值分析”“场景法”“错误推测法” 等方法设计测试用例（包含 “用例编号、测试模块、测试目的、前置条件、测试步骤、预期结果、优先级” 等要素），最后组织用例评审（开发、产品、测试三方参与），修正遗漏或错误的用例。

第四步：测试环境搭建。构建与 “生产环境一致或等效” 的测试环境，避免环境差异导致的测试偏差。工作内容包括搭建硬件环境（如服务器配置、客户端设备）、软件环境（操作系统、数据库、中间件版本）、网络环境（带宽、延迟、并发数模拟）、准备测试数据（需注意数据隐私保护，避免使用真实用户数据）、验证环境可用性（如数据库连接正常、接口可访问、功能模块可启动）。

第五步：测试执行。按照测试用例逐步执行，记录实际结果与缺陷。按优先级执行用例，若实际结果与预期结果不一致，记录缺陷（需包含 “缺陷编号、模块、标题、复现步骤、实际结果、预期结果、缺陷等级（致命 / 严重 / 一般 / 轻微）、附件（截图 / 日志）”）；提交缺陷至管理工具（如 JIRA、禅道），并跟踪缺陷修复进度（开发修复后，测试需 “回归测试” 验证是否解决）；执行 “回归测试”（修复缺陷后，验证原缺陷是否解决，且未引入新缺陷）和 “冒烟测试”（版本更新后，快速验证核心功能是否可用，避免无效测试）。

第六步：测试总结。汇总测试结果，输出客观的测评报告，为产品决策提供依据。工作内容包括统计测试数据、分析测试结果（如未修复的缺陷影响、软件是否满足验收标准）、撰写测评报告（含测试概述、测试范围、测试结果、缺陷分析、风险提示、结论建议）；最后提交报告给需求方，必要时组织报告评审，解答疑问。

6.3 软测输出物与参考标准

软件测评核心输出是盖章版的《软件测评报告》（包括测试范围、测试用例、测试计划、缺陷报告、冒烟报告等）。参考标准有ISO/IEC 25010《系统与软件质量要求和评价（SQuaRE）— 质量模型》、ISO/IEC 29119：《软件测试标准》、IEEE 829《软件测试文档标准》、GB/T 25000.10-2016《系统与软件质量要求和评价》。国家级第三方测评机构有国家信息中心软件评测中心、中国软件评测中心（CSTC）、中国赛宝实验室（CESI）等。

“三保二评一测”关系与区别

 分保独立与等保，由国家保密局垂直管理；等保是关保和密评的基础；关保需同步满足等保三级与密评要求；密评依托等保定级，支撑关保数据加密；数评与关保、密拼共享数据加密和访问控制模块。数据安全评估主要是基于《数据安全法》的数据全生命周期安全管理评估，聚焦数据分类分级、跨境传输、隐私保护。分保、等保、关保、密评简称“三保一评”，聚焦信息系统自身的安全防护，四者之间的关系如下。

等保、分保、关保、密评、软测和数评，它们从不同维度出发，共同构建起了网络安全的坚固防线。等保为信息系统安全提供了基础保障，分保则重点守护涉密信息，关保针对关键信息基础设施，密评聚焦密码安全，软测保障软件质量，数评确保数据安全。每一项测评都有着明确的定义、严谨的工作流程、重要的输出物以及科学的参考标准，在维护网络安全的过程中发挥着不可或缺的作用。

随着信息技术的飞速发展，网络安全的重要性愈发凸显。未来，保密测评也将不断与时俱进。各项保密测评之间的协同配合也将更加紧密，形成全方位、多层次的信息安全保障体系，为数字时代的信息安全保驾护航，让我们在享受信息技术带来便利的同时，无需担忧信息泄露的风险 。