1 范圍

     本標(biāo)準(zhǔn)規(guī)定了不同級(jí)別的等級(jí)保護(hù)對(duì)象的安全測(cè)評(píng)通用要求和安全測(cè)評(píng)擴(kuò)展要求。

      本標(biāo)準(zhǔn)適用于安全測(cè)評(píng)服務(wù)機(jī)構(gòu)、等級(jí)保護(hù)對(duì)象的運(yùn)營使用單位及主管部門對(duì)等級(jí)保護(hù)對(duì)象的安全狀況進(jìn)行安全測(cè)評(píng)并提供指南，也適用于網(wǎng)絡(luò)安全職能部門進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)監(jiān)督檢查時(shí)參考使用。

      注：第五級(jí)等級(jí)保護(hù)對(duì)象是非常重要的監(jiān)督管理對(duì)象，對(duì)其有特殊的管理模式和安全測(cè)評(píng)要求，所以不在本標(biāo)準(zhǔn)中進(jìn)行描述。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB 17859-1999 計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則

      GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

      GB/T 25069 信息安全技術(shù) 術(shù)語

      GB/T 25070-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求

      GB/T 28449-2018 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程指南

      GB/T 31167-2014 信息安全技術(shù) 云計(jì)算服務(wù)安全指南

      GB/T 31168-2014 信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求

      GB/T 32919-2016 信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南

3 術(shù)語和定義

      GB 17859-1999、GB/T 25069、GB/T 22239-2019、GB/T 25070-2019、GB/T 31167-2014、GB/T 31168-2014和GB/T 32919-2016界定的以及下列術(shù)語和定義適用于本文件。為了便于使用，以下重復(fù)列出了GB/T31167-2014和GB/T 31168-2014中的一些術(shù)語和定義。

3.1

      訪談 interview

      測(cè)評(píng)人員通過引導(dǎo)等級(jí)保護(hù)對(duì)象相關(guān)人員進(jìn)行有目的的（有針對(duì)性的）交流以幫助測(cè)評(píng)人員理解、澄清或取得證據(jù)的過程。

3.2

      核查 examine

      測(cè)評(píng)人員通過對(duì)測(cè)評(píng)對(duì)象（如制度文檔、各類設(shè)備及相關(guān)安全配置等）進(jìn)行觀察、查驗(yàn)和分析，以幫助測(cè)評(píng)人員理解、澄清或取得證據(jù)的過程。

3.3

      測(cè)試 test

      測(cè)評(píng)人員使用預(yù)定的方法/工具使測(cè)評(píng)對(duì)象（各類設(shè)備或安全配置）產(chǎn)生特定的結(jié)果，將運(yùn)行結(jié)果與

預(yù)期的結(jié)果進(jìn)行比對(duì)的過程。

3.4

      評(píng)估 evaluate

      對(duì)測(cè)評(píng)對(duì)象可能存在的威脅及其可能產(chǎn)生的后果進(jìn)行綜合評(píng)價(jià)和預(yù)測(cè)的過程。

3.5

      測(cè)評(píng)對(duì)象 target of testing and evaluation

      等級(jí)測(cè)評(píng)過程中不同測(cè)評(píng)方法作用的對(duì)象，主要涉及相關(guān)配套制度文檔、設(shè)備設(shè)施及人員等。

3.6

      等級(jí)測(cè)評(píng) testing and evaluation for classified cybersecurity protection

      測(cè)評(píng)機(jī)構(gòu)依據(jù)國家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國家秘密的網(wǎng)絡(luò)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。

3.7

      云服務(wù)商 cloud service provider

      云計(jì)算服務(wù)的供應(yīng)方。

      注：云服務(wù)商管理、運(yùn)營、支撐云計(jì)算的計(jì)算基礎(chǔ)設(shè)施及軟件，通過網(wǎng)絡(luò)交付云計(jì)算的資源。

      ［GB/T 31167-2014，定義3.3］

3.8

      云服務(wù)客戶 cloud service customer

      為使用云計(jì)算服務(wù)同云服務(wù)商建立業(yè)務(wù)關(guān)系的參與方。

      ［GB/T 31168-2014，定義3.4］

3.9

      虛擬機(jī)監(jiān)視器 hypervisor

      運(yùn)行在基礎(chǔ)物理服務(wù)器和操作系統(tǒng)之間的中間軟件層，可允許多個(gè)操作系統(tǒng)和應(yīng)用共享硬件。

3.10

      宿主機(jī) host machine

      運(yùn)行虛擬機(jī)監(jiān)視器的物理服務(wù)器。

4 縮略語

      下列縮略語適用于本文件。

      AP：無線訪問接入點(diǎn)（Wireless Access Point）

      APT：高級(jí)持續(xù)性威脅（Advanced Persistent Threat）

      DDoS：分布式拒絕服務(wù)（Distributed Denial of Service）

      SSID：服務(wù)集標(biāo)識(shí)（Service Set Identifier）

      WEP：有線等效加密（Wired Equivalent Privacy）

      ViFi：無線保真（Wireless Fidelity）

      WPS:WiF 保護(hù)設(shè)置（Wi-FFi Protected Setup)

5 等級(jí)測(cè)評(píng)概述

5.1 等級(jí)測(cè)評(píng)方法

      等級(jí)測(cè)評(píng)實(shí)施的基本方法是針對(duì)特定的測(cè)評(píng)對(duì)象，采用相關(guān)的測(cè)評(píng)手段，遵從一定的測(cè)評(píng)規(guī)程，獲取需要的證據(jù)數(shù)據(jù)，給出是否達(dá)到特定級(jí)別安全保護(hù)能力的評(píng)判。等級(jí)測(cè)評(píng)實(shí)施的詳細(xì)流程和方法見

GB/T 28449-2018。

      本標(biāo)準(zhǔn)中針對(duì)每一個(gè)要求項(xiàng)的測(cè)評(píng)就構(gòu)成一個(gè)單項(xiàng)測(cè)評(píng)，針對(duì)某個(gè)要求項(xiàng)的所有具體測(cè)評(píng)內(nèi)容構(gòu)成測(cè)評(píng)實(shí)施。單項(xiàng)測(cè)評(píng)中的每一個(gè)具體測(cè)評(píng)實(shí)施要求項(xiàng)（以下簡稱“測(cè)評(píng)要求項(xiàng)”）是與安全控制點(diǎn)下面所包括的要求項(xiàng)（測(cè)評(píng)指標(biāo)）相對(duì)應(yīng)的。在對(duì)每一要求項(xiàng)進(jìn)行測(cè)評(píng)時(shí)，可能用到訪談、核查和測(cè)試三種測(cè)評(píng)方法，也可能用到其中一種或兩種。測(cè)評(píng)實(shí)施的內(nèi)容完全覆蓋了GB/T 22239-2019及GB/T 25070-2019中所有要求項(xiàng)的測(cè)評(píng)要求，使用時(shí)應(yīng)當(dāng)從單項(xiàng)測(cè)評(píng)的測(cè)評(píng)實(shí)施中抽取出對(duì)于GB/T 22239-2019中每一個(gè)要求項(xiàng)的測(cè)評(píng)要求，并按照這些測(cè)評(píng)要求開發(fā)測(cè)評(píng)指導(dǎo)書，以規(guī)范和指導(dǎo)等級(jí)測(cè)評(píng)活動(dòng)。

      根據(jù)調(diào)研結(jié)果，分析等級(jí)保護(hù)對(duì)象的業(yè)務(wù)流程和數(shù)據(jù)流，確定測(cè)評(píng)工作的范圍。結(jié)合等級(jí)保護(hù)對(duì)象的安全級(jí)別，綜合分析系統(tǒng)中各個(gè)設(shè)備和組件的功能和特性，從等級(jí)保護(hù)對(duì)象構(gòu)成組件的重要性、安全性、共享性、全面性和恰當(dāng)性等幾方面屬性確定技術(shù)層面的測(cè)評(píng)對(duì)象，并將與其相關(guān)的人員及管理文檔確定為管理層面的測(cè)評(píng)對(duì)象。測(cè)評(píng)對(duì)象可以根據(jù)類別加以描述，包括機(jī)房、業(yè)務(wù)應(yīng)用軟件、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)互聯(lián)設(shè)備、安全設(shè)備、訪談人員及安全管理文檔等。

      等級(jí)測(cè)評(píng)活動(dòng)中涉及測(cè)評(píng)力度，包括測(cè)評(píng)廣度（覆蓋面）和測(cè)評(píng)深度（強(qiáng)弱度）。安全保護(hù)等級(jí)較高的測(cè)評(píng)實(shí)施應(yīng)選擇覆蓋面更廣的測(cè)評(píng)對(duì)象和更強(qiáng)的測(cè)評(píng)手段，可以獲得可信度更高的測(cè)評(píng)證據(jù)，測(cè)評(píng)力度的具體描述參見附錄A。

      每個(gè)級(jí)別測(cè)評(píng)要求都包括安全測(cè)評(píng)通用要求、云計(jì)算安全測(cè)評(píng)擴(kuò)展要求、移動(dòng)互聯(lián)安全測(cè)評(píng)擴(kuò)展要求、物聯(lián)網(wǎng)安全測(cè)評(píng)擴(kuò)展要求和工業(yè)控制系統(tǒng)安全測(cè)評(píng)擴(kuò)展要求5個(gè)部分。大數(shù)據(jù)可參考安全評(píng)估方法參見附錄B。

5.2 單項(xiàng)測(cè)評(píng)和整體測(cè)評(píng)

      等級(jí)測(cè)評(píng)包括單項(xiàng)測(cè)評(píng)和整體測(cè)評(píng)。

      單項(xiàng)測(cè)評(píng)是針對(duì)各安全要求項(xiàng)的測(cè)評(píng)，支持測(cè)評(píng)結(jié)果的可重復(fù)性和可再現(xiàn)性。本標(biāo)準(zhǔn)中單項(xiàng)測(cè)評(píng)由測(cè)評(píng)指標(biāo)、測(cè)評(píng)對(duì)象、測(cè)評(píng)實(shí)施和單元判定結(jié)果構(gòu)成。為方便使用針對(duì)每個(gè)測(cè)評(píng)單元進(jìn)行編號(hào)，具體描述見附錄C。

      整體測(cè)評(píng)是在單項(xiàng)測(cè)評(píng)基礎(chǔ)上，對(duì)等級(jí)保護(hù)對(duì)象整體安全保護(hù)能力的判斷。整體安全保護(hù)能力從縱深防護(hù)和措施互補(bǔ)兩個(gè)角度評(píng)判。

6 第一級(jí)測(cè)評(píng)要求

6.1 安全測(cè)評(píng)通用要求

6.1.1 安全物理環(huán)境

6.1.1.1 物理訪問控制

6.1.1.1.1 測(cè)評(píng)單元（L1-PES1-01）

      該測(cè)評(píng)單元包括以下要求：

      a）測(cè)評(píng)指標(biāo)：機(jī)房出入口應(yīng)安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。

      b）測(cè)評(píng)對(duì)象：機(jī)房電子門禁系統(tǒng)和值守記錄。

      c）測(cè)評(píng)實(shí)施：應(yīng)核查是否安排專人值守或配置電子門禁系統(tǒng)。

      d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。