為了推動等級標準的實際執行與實施，對計算機信息系統安全等級保護評估工具進行實際使用與測試，驗證安全等級保護評估方法與思路，公安部啟動了計算機系統安全保護等級評估試點。選擇了四個省和兩個部委的6個單位和行業進行試點。武漢市規劃國土資源管理局（以下簡稱武漢市規劃國土局）被確定為湖北省的試點單位。武漢市土地管理信息中心與公安部計算機信息系統安全產品質量監督檢驗中心一起對武漢市規劃國土局內部網進行了全面的安全評估。依據《計算機信息系統安全等級保護評估準則》及相關等級標準，就評估結果對內部網的安全狀況進行了分析和總結。

工作思路與評估方法
《計算機信息系統安全保護等級劃分準則》將我國的計算機信息系統安全確定為5個等級，由低到高依次是“用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級”，對每一等級的計算機信息系統在物理安全、運行安全、信息安全等安全功能要素和安全保證等方面提出了具體技術要求。信息系統安全等級保護就是采用“調查?測試?評估?分析?改進”的工作步驟，對信息系統依照安全保護等級進行評估，確定信息系統的重點保護對象和保護等級，找出安全隱患，提出改進方案，提升系統安全保護措施，保障系統安全。

因為信息系統用戶主要通過應用服務的方式訪問被保護的重點對象，所以在評估過程中，以應用服務的訪問途徑為切入點，選取相應的路徑進行安全要素的評測與分析。信息系統安全等級評估的技術部分主要包括以下兩個方面：

安全要素評估 
需要評估的安全要素包括：身份鑒別、自主訪問控制、客體重用、完整性、審計。通過如下幾種方式評估安全要素的實現狀況：

對應用服務的工作流程、流程中所傳輸的數據內容、所經過的傳輸環節（客戶終端、路由器、交換機、中心服務器節點）對數據采取的保護措施、應用服務支撐平臺（如SQL Server 2000等）的安全狀況、應用服務流程中各組件自身的安全狀況進行調查。

根據驗證方案，現場操作人員協助評估工程師完成一次全過程的應用服務。評估工程師根據此過程中所采取或所能采取的安全保護措施，確定安全要素在訪問路徑上的實現狀況實施現場驗證。

根據評估的結果，總結系統安全要素的實現狀況，確定信息系統所達到的安全等級，提出可行的安全建議，并撰寫完善的安全評估報告。

安全保證要求評估  安全保證要求評估主要以與協助人員交流，查閱并分析系統開發過程中相關的文檔資料為主。考察的內容包括信息系統安全功能自身安全保護、密碼支持、生命周期支持、配置管理、開發、測試、指導性文檔、脆弱性分析、交付與運行等。

武漢市規劃國土局信息系統網絡拓撲結構一共劃分為四個VLAN區域。其中VLAN14區域為武漢市規劃國土資源管理局的各個分局和局屬院所，VLAN10、VLAN11、VLAN12屬于市局內網部分。

根據對信息系統的調查分析，確定將NAS服務和辦公自動化應用服務作為評估的切入點，將信息系統劃分為四個實體層面進行評價，即物理層面、計算機網絡層面、系統層面、應用層面。物理安全體現為環境安全、設備安全、媒體安全。計算機網絡層面主要包括交換機（cisco3500、cisco9300、cisco2950）和路由器。系統層面主要指服務器上的操作系統（Windows 2000 Server）與數據庫系統（SQL2000 Server）。應用層面指實現應用服務的應用軟件，包括NAS應用軟件、辦公自動化應用軟件。

評估結果統計分析與評價
依據相關標準《GB17859-1999計算機信息系統安全保護等級劃分準則》和《GA/T391-2002計算機信息系統安全等級保護管理要求》，按照管理要求第一級和第二級的評估標準的80項管理要求，武漢市規劃國土局信息系統的安全管理評估結果中，滿足要求的共計30項，部分滿足要求的共計30項，沒有滿足要求的共計20項，對沒有滿足的管理要求，按照不適用、技術、預算、時間、文化、環境、其它等7個方面的原因進行了分析歸類，其中不適用指評估原則不適用本系統；技術指由于安全管理技術不全面而沒有考慮到的原因；預算指出于經費考慮沒有實施的原因；時間指項目已列入計劃，實施只是時間問題。

根據計算機信息系統安全等級保護管理的第一和第二級要求，武漢市規劃國土局較好地實施了對其信息系統的基本管理，也基本實現了操作規程管理（分別對應于安全保護等級中的用戶自主保護級和系統審計保護級）。評價具體如下：

管理目標和范圍方面  有統一的安全管理機構以及較完整的安全管理計劃，但計劃還不全面，如安全管理計劃并沒有涉及風險管理的內容。安全目標和安全范圍具體，有詳細的安全管理文檔描述和說明，對信息系統的網絡、物理設備以及自主開發應用系統實施了生命周期的全程管理，制定了設備購買及其安全操作方面的操作規程，但安全操作規程尚不完善。

人員與職責要求方面  安全管理機構符合要求，任命了安全管理員，并賦予其相應的安全管理權限。安全管理員都有一定的專業技術水平，安全負責人在安全工作方面具有相應的經驗和技能，并且都基本履行了相應的職責，但在風險分析和安全性評估方面的工作有所欠缺。