为了推动等级标准的实际执行与实施，对计算机信息系统安全等级保护评估工具进行实际使用与测试，验证安全等级保护评估方法与思路，公安部启动了计算机系统安全保护等级评估试点。选择了四个省和两个部委的6个单位和行业进行试点。武汉市规划国土资源管理局（以下简称武汉市规划国土局）被确定为湖北省的试点单位。武汉市土地管理信息中心与公安部计算机信息系统安全产品质量监督检验中心一起对武汉市规划国土局内部网进行了全面的安全评估。依据《计算机信息系统安全等级保护评估准则》及相关等级标准，就评估结果对内部网的安全状况进行了分析和总结。

工作思路与评估方法
《计算机信息系统安全保护等级划分准则》将我国的计算机信息系统安全确定为5个等级，由低到高依次是“用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级”，对每一等级的计算机信息系统在物理安全、运行安全、信息安全等安全功能要素和安全保证等方面提出了具体技术要求。信息系统安全等级保护就是采用“调查?测试?评估?分析?改进”的工作步骤，对信息系统依照安全保护等级进行评估，确定信息系统的重点保护对象和保护等级，找出安全隐患，提出改进方案，提升系统安全保护措施，保障系统安全。

因为信息系统用户主要通过应用服务的方式访问被保护的重点对象，所以在评估过程中，以应用服务的访问途径为切入点，选取相应的路径进行安全要素的评测与分析。信息系统安全等级评估的技术部分主要包括以下两个方面：

安全要素评估 
需要评估的安全要素包括：身份鉴别、自主访问控制、客体重用、完整性、审计。通过如下几种方式评估安全要素的实现状况：

对应用服务的工作流程、流程中所传输的数据内容、所经过的传输环节（客户终端、路由器、交换机、中心服务器节点）对数据采取的保护措施、应用服务支撑平台（如SQL Server 2000等）的安全状况、应用服务流程中各组件自身的安全状况进行调查。

根据验证方案，现场操作人员协助评估工程师完成一次全过程的应用服务。评估工程师根据此过程中所采取或所能采取的安全保护措施，确定安全要素在访问路径上的实现状况实施现场验证。

根据评估的结果，总结系统安全要素的实现状况，确定信息系统所达到的安全等级，提出可行的安全建议，并撰写完善的安全评估报告。

安全保证要求评估  安全保证要求评估主要以与协助人员交流，查阅并分析系统开发过程中相关的文档资料为主。考察的内容包括信息系统安全功能自身安全保护、密码支持、生命周期支持、配置管理、开发、测试、指导性文档、脆弱性分析、交付与运行等。

武汉市规划国土局信息系统网络拓扑结构一共划分为四个VLAN区域。其中VLAN14区域为武汉市规划国土资源管理局的各个分局和局属院所，VLAN10、VLAN11、VLAN12属于市局内网部分。

根据对信息系统的调查分析，确定将NAS服务和办公自动化应用服务作为评估的切入点，将信息系统划分为四个实体层面进行评价，即物理层面、计算机网络层面、系统层面、应用层面。物理安全体现为环境安全、设备安全、媒体安全。计算机网络层面主要包括交换机（cisco3500、cisco9300、cisco2950）和路由器。系统层面主要指服务器上的操作系统（Windows 2000 Server）与数据库系统（SQL2000 Server）。应用层面指实现应用服务的应用软件，包括NAS应用软件、办公自动化应用软件。

评估结果统计分析与评价
依据相关标准《GB17859-1999计算机信息系统安全保护等级划分准则》和《GA/T391-2002计算机信息系统安全等级保护管理要求》，按照管理要求第一级和第二级的评估标准的80项管理要求，武汉市规划国土局信息系统的安全管理评估结果中，满足要求的共计30项，部分满足要求的共计30项，没有满足要求的共计20项，对没有满足的管理要求，按照不适用、技术、预算、时间、文化、环境、其它等7个方面的原因进行了分析归类，其中不适用指评估原则不适用本系统；技术指由于安全管理技术不全面而没有考虑到的原因；预算指出于经费考虑没有实施的原因；时间指项目已列入计划，实施只是时间问题。

根据计算机信息系统安全等级保护管理的第一和第二级要求，武汉市规划国土局较好地实施了对其信息系统的基本管理，也基本实现了操作规程管理（分别对应于安全保护等级中的用户自主保护级和系统审计保护级）。评价具体如下：

管理目标和范围方面  有统一的安全管理机构以及较完整的安全管理计划，但计划还不全面，如安全管理计划并没有涉及风险管理的内容。安全目标和安全范围具体，有详细的安全管理文档描述和说明，对信息系统的网络、物理设备以及自主开发应用系统实施了生命周期的全程管理，制定了设备购买及其安全操作方面的操作规程，但安全操作规程尚不完善。

人员与职责要求方面  安全管理机构符合要求，任命了安全管理员，并赋予其相应的安全管理权限。安全管理员都有一定的专业技术水平，安全负责人在安全工作方面具有相应的经验和技能，并且都基本履行了相应的职责，但在风险分析和安全性评估方面的工作有所欠缺。