1 范圍

     本標準規定了(le)不(bu)同(tong)級(ji)別的(de)(de)等級(ji)保護對象(xiang)的(de)(de)安全(quan)測評(ping)(ping)通用要求和安全(quan)測評(ping)(ping)擴展要求。

      本標準適用(yong)于安(an)全(quan)測評服務機構、等級(ji)保(bao)護(hu)對(dui)象的運營(ying)使(shi)用(yong)單(dan)位及主管(guan)部(bu)門對(dui)等級(ji)保(bao)護(hu)對(dui)象的安(an)全(quan)狀況(kuang)進行安(an)全(quan)測評并提供指南，也適用(yong)于網絡安(an)全(quan)職能部(bu)門進行網絡安(an)全(quan)等級(ji)保(bao)護(hu)監(jian)督檢(jian)查(cha)時(shi)參考(kao)使(shi)用(yong)。

      注：第五(wu)級(ji)等級(ji)保護對(dui)(dui)象(xiang)是非常重要(yao)(yao)的監督管(guan)理對(dui)(dui)象(xiang)，對(dui)(dui)其有特殊(shu)的管(guan)理模式和安全測評要(yao)(yao)求，所以不在本標準(zhun)中進行描述。

2 規范性引用文件

      下列(lie)文(wen)(wen)(wen)件對(dui)于本文(wen)(wen)(wen)件的(de)應用是(shi)必(bi)不可少的(de)。凡是(shi)注(zhu)日(ri)期的(de)引(yin)用文(wen)(wen)(wen)件，僅注(zhu)日(ri)期的(de)版本適用于本文(wen)(wen)(wen)件。凡是(shi)不注(zhu)日(ri)期的(de)引(yin)用文(wen)(wen)(wen)件，其(qi)最新版本（包括所有的(de)修改單）適用于本文(wen)(wen)(wen)件。

      GB 17859-1999 計算機(ji)信(xin)息系統 安(an)全保護等級劃(hua)分準則

      GB/T 22239-2019 信息安全(quan)(quan)技(ji)術 網絡(luo)安全(quan)(quan)等級保護基本(ben)要求

      GB/T 25069 信息(xi)安(an)全(quan)技術 術語

      GB/T 25070-2019 信息安(an)全(quan)技術 網絡安(an)全(quan)等級保護安(an)全(quan)設計(ji)技術要求

     ; GB/T 28449-2018 信(xin)息安全(quan)技術 網絡安全(quan)等級保(bao)護測評過程指南

      GB/T 31167-2014 信(xin)息(xi)安全技術 云(yun)計算(suan)服(fu)務(wu)安全指南

      GB/T 31168-2014 信息(xi)安全技(ji)術 云(yun)計算服務安全能力(li)要求

      GB/T 32919-2016 信(xin)息(xi)安(an)全技術 工業控制系統安(an)全控制應用(yong)指南

3 術(shu)語和定義(yi)

      GB 17859-1999、GB/T 25069、GB/T 22239-2019、GB/T 25070-2019、GB/T 31167-2014、GB/T 31168-2014和GB/T 32919-2016界(jie)定的以(yi)及下列(lie)術語和定義適用于本文件(jian)。為了便于使用，以(yi)下重復列(lie)出了GB/T31167-2014和GB/T 31168-2014中的一些術語和定義。

3.1

      訪談 interview

      測評人(ren)員通過引導等級保護對象相(xiang)關人(ren)員進行有目的的（有針對性的）交(jiao)流(liu)以幫(bang)助測評人(ren)員理解(jie)、澄清或取得證(zheng)據的過程。

3.2

      核查 examine

      測(ce)(ce)評(ping)(ping)人(ren)員(yuan)通過對測(ce)(ce)評(ping)(ping)對象（如制度文檔(dang)、各類設(she)備(bei)及(ji)相關安(an)全配置等）進行觀察、查驗(yan)和(he)分(fen)析，以(yi)幫助測(ce)(ce)評(ping)(ping)人(ren)員(yuan)理解、澄清(qing)或(huo)取得(de)證據的過程。

3.3

      測試 test

      測評人員使用(yong)預定的(de)(de)方法(fa)/工具(ju)使測評對(dui)象(xiang)（各類設備或安全配置）產生特定的(de)(de)結果，將(jiang)運行結果與

預期的結果(guo)進行比(bi)對的過程。

3.4

      評(ping)估 evaluate

      對(dui)測評(ping)(ping)對(dui)象可能存在(zai)的(de)威(wei)脅(xie)及其(qi)可能產生(sheng)的(de)后果進行綜(zong)合評(ping)(ping)價和預測的(de)過程。

3.5

      測評(ping)對象 target of testing and evaluation

      等(deng)級測(ce)(ce)評(ping)過程中(zhong)不同測(ce)(ce)評(ping)方法作用的(de)對象，主要(yao)涉及相關配(pei)套制度文檔、設(she)備設(she)施及人員等(deng)。

3.6

      等級測(ce)評 testing and evaluation for classified cybersecurity protection

      測評機構(gou)依(yi)據(ju)國(guo)家(jia)網(wang)絡安全等(deng)級保(bao)護制度(du)規定(ding)，按照(zhao)有關(guan)管理規范(fan)和技術標準(zhun)，對非涉及國(guo)家(jia)秘(mi)密(mi)的網(wang)絡安全等(deng)級保(bao)護狀況進行檢測評估的活(huo)動。

3.7

      云服務商 cloud service provider

      云(yun)計算服務(wu)的供應方(fang)。

      注：云服務(wu)商(shang)管理、運(yun)營、支撐云計(ji)(ji)算的計(ji)(ji)算基礎設施及軟件，通過網絡交付云計(ji)(ji)算的資源。

  ;    ［GB/T 31167-2014，定義(yi)3.3］

3.8

      云服務客(ke)戶 cloud service customer

      為使用云計(ji)算服務同云服務商建立業務關系的參與方。

   ;   ［GB/T 31168-2014，定(ding)義(yi)3.4］

3.9

      虛擬機(ji)監(jian)視器(qi) hypervisor

      運(yun)行在基礎物理服務器和(he)操作(zuo)(zuo)系(xi)統之間(jian)的中間(jian)軟(ruan)件(jian)層，可允許多個操作(zuo)(zuo)系(xi)統和(he)應用共享硬(ying)件(jian)。

3.10

      宿(su)主機(ji) host machine

     ; 運行(xing)虛擬機監視器(qi)的物(wu)理服務(wu)器(qi)。

4 縮略語

      下列縮略語適(shi)用于本文件(jian)。

      AP：無(wu)線訪問接(jie)入點（Wireless Access Point）

      APT：高級持續性威脅（Advanced Persistent Threat）

      DDoS：分布式拒絕服務（Distributed Denial of Service）

      SSID：服務集標識（Service Set Identifier）

      WEP：有(you)線等效加密（Wired Equivalent Privacy）

      ViFi：無(wu)線保真（Wireless Fidelity）

      WPS:WiF 保護設(she)置(zhi)（Wi-FFi Protected Setup)

5 等(deng)級測評(ping)概(gai)述

5.1 等級測評方法

      等級測(ce)評(ping)實(shi)(shi)施的(de)基本方法是(shi)針對特定的(de)測(ce)評(ping)對象，采用相關的(de)測(ce)評(ping)手段，遵從一定的(de)測(ce)評(ping)規程，獲取需(xu)要的(de)證(zheng)據數據，給出是(shi)否達(da)到特定級別安全保(bao)護(hu)能力的(de)評(ping)判。等級測(ce)評(ping)實(shi)(shi)施的(de)詳細流程和方法見

GB/T 28449-2018。

      本標(biao)(biao)準中(zhong)針對(dui)每(mei)一(yi)(yi)個(ge)要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)項的(de)(de)(de)測(ce)(ce)(ce)(ce)(ce)評(ping)(ping)(ping)(ping)(ping)(ping)就(jiu)構成一(yi)(yi)個(ge)單項測(ce)(ce)(ce)(ce)(ce)評(ping)(ping)(ping)(ping)(ping)(ping)，針對(dui)某個(ge)要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)項的(de)(de)(de)所(suo)有具體測(ce)(ce)(ce)(ce)(ce)評(ping)(ping)(ping)(ping)(ping)(ping)內容構成測(ce)(ce)(ce)(ce)(ce)評(ping)(ping)(ping)(ping)(ping)(ping)實(shi)施(shi)。單項測(ce)(ce)(ce)(ce)(ce)評(ping)(ping)(ping)(ping)(ping)(ping)中(zhong)的(de)(de)(de)每(mei)一(yi)(yi)個(ge)具體測(ce)(ce)(ce)(ce)(ce)評(ping)(ping)(ping)(ping)(ping)(ping)實(shi)施(shi)要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)項（以下(xia)簡稱(cheng)“測(ce)(ce)(ce)(ce)(ce)評(ping)(ping)(ping)(ping)(ping)(ping)要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)項”）是與安全控(kong)制點下(xia)面所(suo)包(bao)括的(de)(de)(de)要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)項（測(ce)(ce)(ce)(ce)(ce)評(ping)(ping)(ping)(ping)(ping)(ping)指標(biao)(biao)）相(xiang)對(dui)應(ying)的(de)(de)(de)。在對(dui)每(mei)一(yi)(yi)要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)項進行測(ce)(ce)(ce)(ce)(ce)評(ping)(ping)(ping)(ping)(ping)(ping)時(shi)，可能(neng)用到訪談、核查和(he)測(ce)(ce)(ce)(ce)(ce)試三種測(ce)(ce)(ce)(ce)(ce)評(ping)(ping)(ping)(ping)(ping)(ping)方(fang)法，也可能(neng)用到其中(zhong)一(yi)(yi)種或兩種。測(ce)(ce)(ce)(ce)(ce)評(ping)(ping)(ping)(ping)(ping)(ping)實(shi)施(shi)的(de)(de)(de)內容完全覆蓋了GB/T 22239-2019及(ji)GB/T 25070-2019中(zhong)所(suo)有要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)項的(de)(de)(de)測(ce)(ce)(ce)(ce)(ce)評(ping)(ping)(ping)(ping)(ping)(ping)要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)，使用時(shi)應(ying)當從單項測(ce)(ce)(ce)(ce)(ce)評(ping)(ping)(ping)(ping)(ping)(ping)的(de)(de)(de)測(ce)(ce)(ce)(ce)(ce)評(ping)(ping)(ping)(ping)(ping)(ping)實(shi)施(shi)中(zhong)抽取出對(dui)于(yu)GB/T 22239-2019中(zhong)每(mei)一(yi)(yi)個(ge)要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)項的(de)(de)(de)測(ce)(ce)(ce)(ce)(ce)評(ping)(ping)(ping)(ping)(ping)(ping)要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)，并按照這些測(ce)(ce)(ce)(ce)(ce)評(ping)(ping)(ping)(ping)(ping)(ping)要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)開發測(ce)(ce)(ce)(ce)(ce)評(ping)(ping)(ping)(ping)(ping)(ping)指導書，以規范和(he)指導等(deng)級測(ce)(ce)(ce)(ce)(ce)評(ping)(ping)(ping)(ping)(ping)(ping)活動。

      根據調研結(jie)果，分(fen)析等(deng)級保(bao)護對(dui)(dui)象(xiang)的(de)(de)(de)業務流程(cheng)和(he)數據流，確(que)定測(ce)(ce)評工作的(de)(de)(de)范圍(wei)。結(jie)合等(deng)級保(bao)護對(dui)(dui)象(xiang)的(de)(de)(de)安全(quan)級別，綜合分(fen)析系統中各個設(she)備和(he)組件(jian)(jian)的(de)(de)(de)功能和(he)特性(xing)(xing)(xing)，從等(deng)級保(bao)護對(dui)(dui)象(xiang)構(gou)成組件(jian)(jian)的(de)(de)(de)重要性(xing)(xing)(xing)、安全(quan)性(xing)(xing)(xing)、共(gong)享性(xing)(xing)(xing)、全(quan)面(mian)(mian)性(xing)(xing)(xing)和(he)恰當性(xing)(xing)(xing)等(deng)幾方面(mian)(mian)屬性(xing)(xing)(xing)確(que)定技(ji)術層面(mian)(mian)的(de)(de)(de)測(ce)(ce)評對(dui)(dui)象(xiang)，并將與其(qi)相關的(de)(de)(de)人(ren)員(yuan)及(ji)管(guan)(guan)理(li)文檔確(que)定為管(guan)(guan)理(li)層面(mian)(mian)的(de)(de)(de)測(ce)(ce)評對(dui)(dui)象(xiang)。測(ce)(ce)評對(dui)(dui)象(xiang)可以根據類別加以描(miao)述，包括(kuo)機房、業務應用軟件(jian)(jian)、主機操作系統、數據庫管(guan)(guan)理(li)系統、網(wang)絡互聯(lian)設(she)備、安全(quan)設(she)備、訪(fang)談(tan)人(ren)員(yuan)及(ji)安全(quan)管(guan)(guan)理(li)文檔等(deng)。

      等級測(ce)(ce)評(ping)(ping)活動中涉(she)及測(ce)(ce)評(ping)(ping)力(li)度(du)，包括測(ce)(ce)評(ping)(ping)廣(guang)度(du)（覆(fu)蓋面(mian)）和(he)測(ce)(ce)評(ping)(ping)深(shen)度(du)（強弱度(du)）。安(an)全(quan)保(bao)護(hu)等級較高的(de)測(ce)(ce)評(ping)(ping)實施應選擇(ze)覆(fu)蓋面(mian)更(geng)廣(guang)的(de)測(ce)(ce)評(ping)(ping)對象和(he)更(geng)強的(de)測(ce)(ce)評(ping)(ping)手段，可(ke)以獲得可(ke)信度(du)更(geng)高的(de)測(ce)(ce)評(ping)(ping)證據，測(ce)(ce)評(ping)(ping)力(li)度(du)的(de)具(ju)體描述參見附錄A。

      每個級別測評要求(qiu)都包括安(an)(an)(an)全測評通用要求(qiu)、云(yun)計算安(an)(an)(an)全測評擴展(zhan)要求(qiu)、移(yi)動互聯安(an)(an)(an)全測評擴展(zhan)要求(qiu)、物聯網安(an)(an)(an)全測評擴展(zhan)要求(qiu)和(he)工業控制系統安(an)(an)(an)全測評擴展(zhan)要求(qiu)5個部分。大數據(ju)可參考安(an)(an)(an)全評估方法(fa)參見附錄B。

5.2 單(dan)項測評(ping)和整體測評(ping)

      等級測(ce)評(ping)包括(kuo)單項測(ce)評(ping)和整體測(ce)評(ping)。

      單項(xiang)(xiang)測評(ping)(ping)是針對各(ge)安全要求(qiu)項(xiang)(xiang)的測評(ping)(ping)，支(zhi)持測評(ping)(ping)結果(guo)的可(ke)重復(fu)性和(he)可(ke)再(zai)現性。本標準中單項(xiang)(xiang)測評(ping)(ping)由測評(ping)(ping)指(zhi)標、測評(ping)(ping)對象、測評(ping)(ping)實(shi)施和(he)單元(yuan)判定結果(guo)構(gou)成。為方便使(shi)用針對每個測評(ping)(ping)單元(yuan)進行(xing)編號，具體(ti)描述見(jian)附錄C。

      整體(ti)測評是在單項測評基礎上(shang)，對等級保護(hu)對象整體(ti)安全保護(hu)能(neng)力的判(pan)斷。整體(ti)安全保護(hu)能(neng)力從縱深防護(hu)和(he)措施互補兩(liang)個角度評判(pan)。

6 第一級測(ce)評(ping)要求

6.1 安全測評通用要求

6.1.1 安(an)全物(wu)理環境

6.1.1.1 物理訪問控制

6.1.1.1.1 測評單(dan)元(yuan)（L1-PES1-01）

      該測(ce)評(ping)單(dan)元(yuan)包括以下(xia)要求：

      a）測評指標：機(ji)房出入口應安排專人值守(shou)或(huo)配置電(dian)子門禁系(xi)統(tong)，控(kong)制、鑒(jian)別和記錄進入的人員(yuan)。

      b）測評對象：機房(fang)電子門(men)禁系統和值守記錄(lu)。

      c）測評實施：應核查是否安(an)排專人值守或配置電子門禁(jin)系統。

      d）單(dan)元判定：如(ru)果以上測(ce)評實施(shi)內容為(wei)肯定，則符(fu)合本(ben)測(ce)評單(dan)元指標(biao)要求，否則不(bu)符(fu)合本(ben)測(ce)評單(dan)元指標(biao)要求。

以上為標準(zhun)部分(fen)內(nei)容，如需看標準(zhun)全文，請到相關授權(quan)網站購買標準(zhun)正(zheng)版。