附录：相关安全标准符合度附1信息系统分级保护测评相关要求
根据BMB222007《涉及国家秘密的信息系统分级保护测评指南》要求，将机密级信息系统测评要求归纳如下：测评小项SAN存储文件服务器安全隐患安全增强系统解决的问题
相关要求
测评方法
权限划分
（1）
a检查管理员和用户机密级相关要求权限划分的相关管理a应对用户按最小授制度，查看制度中是否权原则进行权限划分；有最小授权、相互制约b管理员间的权限应和互相监督的相关规能够相互制约、互相监定；督，避免由于权限过于b测试用户的权限划集中带来的安全风险。分情况是否符合最小授权原则；机密级增强要求c测试系统管理员、c系统内配置管理权安全保密管理员和安限应与安全审计权限全审计员的权限划分，分开。验证是否能够相互制约和互相监督。
1无法通过技术手段限制系统管理员权限；2普通用户可通过系统或AD域漏洞，获得系统管理员及其他高权限。3安全审计员往往由系统管理员兼任，无法做到相互制约与监督。
1限制系统管理员权限，系统管理员无法看到所有数据；2实现系统管理员、安全管理员、安全审计员“三员”权限划分，使其相互制约；
访问控制策略
（2）
检查系统是否对涉密机密级相关要求信息、重要信息和主体应对系统内涉密信息进行了分类分级，并对和重要信息的访问采主体访问涉密信息和用强制访问控制策略。重要信息采取了分级的强制访问控制策略。
无法对存储于NAS或文件服务器上的涉密信息采取分级的访问控制策略。
通过对不同用户和用户组、目录和目录组制定访问策略，对涉密信息、重要信息实现强制访问控制，同时使得系统管理员和非授权用户无法越权获取权限范围之外信息。
f访问控制粒度
（2）
（基本测评项）
a检查应用系统、数据库系统中的涉密信机密级一般要求：息和重要信息是否进应按照主体类别、客体行分类。类别进行涉密信息和b检查应用系统、数重要信息的访问控制。据库系统是否对用户进行分类机密级增强要求c通过以授权用户和涉密信息和重要信息非授权用户身份访问的访问控制，主体应控涉密信息和重要信息，制到单个用户，客体应测试应用系统、数据库控制到信息类别。系统是否只允许授权用户访问其权限范围内的信息。
1非授权用户可以通过AD域漏洞获得高级用户权限或管理员权限；2访问控制r