1 范圍

     本標(biāo)準(zhǔn)規(guī)定了不同級別的等級保護(hù)對象的安全測評通用要求和安全測評擴(kuò)展要求。

      本標(biāo)準(zhǔn)適用于安全測評服務(wù)機(jī)構(gòu)、等級保護(hù)對象的運營使用單位及主管部門對等級保護(hù)對象的安全狀況進(jìn)行安全測評并提供指南，也適用于網(wǎng)絡(luò)安全職能部門進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)監(jiān)督檢查時參考使用。

      注：第五級等級保護(hù)對象是非常重要的監(jiān)督管理對象，對其有特殊的管理模式和安全測評要求，所以不在本標(biāo)準(zhǔn)中進(jìn)行描述。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB 17859-1999 計算機(jī)信息系統(tǒng) 安全保護(hù)等級劃分準(zhǔn)則

      GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求

      GB/T 25069 信息安全技術(shù) 術(shù)語

      GB/T 25070-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求

      GB/T 28449-2018 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評過程指南

      GB/T 31167-2014 信息安全技術(shù) 云計算服務(wù)安全指南

      GB/T 31168-2014 信息安全技術(shù) 云計算服務(wù)安全能力要求

      GB/T 32919-2016 信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南

3 術(shù)語和定義

      GB 17859-1999、GB/T 25069、GB/T 22239-2019、GB/T 25070-2019、GB/T 31167-2014、GB/T 31168-2014和GB/T 32919-2016界定的以及下列術(shù)語和定義適用于本文件。為了便于使用，以下重復(fù)列出了GB/T31167-2014和GB/T 31168-2014中的一些術(shù)語和定義。

3.1

      訪談 interview

      測評人員通過引導(dǎo)等級保護(hù)對象相關(guān)人員進(jìn)行有目的的（有針對性的）交流以幫助測評人員理解、澄清或取得證據(jù)的過程。

3.2

      核查 examine

      測評人員通過對測評對象（如制度文檔、各類設(shè)備及相關(guān)安全配置等）進(jìn)行觀察、查驗和分析，以幫助測評人員理解、澄清或取得證據(jù)的過程。

3.3

      測試 test

      測評人員使用預(yù)定的方法/工具使測評對象（各類設(shè)備或安全配置）產(chǎn)生特定的結(jié)果，將運行結(jié)果與

預(yù)期的結(jié)果進(jìn)行比對的過程。

3.4

      評估 evaluate

      對測評對象可能存在的威脅及其可能產(chǎn)生的后果進(jìn)行綜合評價和預(yù)測的過程。

3.5

      測評對象 target of testing and evaluation

      等級測評過程中不同測評方法作用的對象，主要涉及相關(guān)配套制度文檔、設(shè)備設(shè)施及人員等。

3.6

      等級測評 testing and evaluation for classified cybersecurity protection

      測評機(jī)構(gòu)依據(jù)國家網(wǎng)絡(luò)安全等級保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對非涉及國家秘密的網(wǎng)絡(luò)安全等級保護(hù)狀況進(jìn)行檢測評估的活動。

3.7

      云服務(wù)商 cloud service provider

      云計算服務(wù)的供應(yīng)方。

      注：云服務(wù)商管理、運營、支撐云計算的計算基礎(chǔ)設(shè)施及軟件，通過網(wǎng)絡(luò)交付云計算的資源。

      ［GB/T 31167-2014，定義3.3］

3.8

      云服務(wù)客戶 cloud service customer

      為使用云計算服務(wù)同云服務(wù)商建立業(yè)務(wù)關(guān)系的參與方。

      ［GB/T 31168-2014，定義3.4］

3.9

      虛擬機(jī)監(jiān)視器 hypervisor

      運行在基礎(chǔ)物理服務(wù)器和操作系統(tǒng)之間的中間軟件層，可允許多個操作系統(tǒng)和應(yīng)用共享硬件。

3.10

      宿主機(jī) host machine

      運行虛擬機(jī)監(jiān)視器的物理服務(wù)器。

4 縮略語

      下列縮略語適用于本文件。

      AP：無線訪問接入點（Wireless Access Point）

      APT：高級持續(xù)性威脅（Advanced Persistent Threat）

      DDoS：分布式拒絕服務(wù)（Distributed Denial of Service）

      SSID：服務(wù)集標(biāo)識（Service Set Identifier）

      WEP：有線等效加密（Wired Equivalent Privacy）

      ViFi：無線保真（Wireless Fidelity）

      WPS:WiF 保護(hù)設(shè)置（Wi-FFi Protected Setup)

5 等級測評概述

5.1 等級測評方法

      等級測評實施的基本方法是針對特定的測評對象，采用相關(guān)的測評手段，遵從一定的測評規(guī)程，獲取需要的證據(jù)數(shù)據(jù)，給出是否達(dá)到特定級別安全保護(hù)能力的評判。等級測評實施的詳細(xì)流程和方法見

GB/T 28449-2018。

      本標(biāo)準(zhǔn)中針對每一個要求項的測評就構(gòu)成一個單項測評，針對某個要求項的所有具體測評內(nèi)容構(gòu)成測評實施。單項測評中的每一個具體測評實施要求項（以下簡稱“測評要求項”）是與安全控制點下面所包括的要求項（測評指標(biāo)）相對應(yīng)的。在對每一要求項進(jìn)行測評時，可能用到訪談、核查和測試三種測評方法，也可能用到其中一種或兩種。測評實施的內(nèi)容完全覆蓋了GB/T 22239-2019及GB/T 25070-2019中所有要求項的測評要求，使用時應(yīng)當(dāng)從單項測評的測評實施中抽取出對于GB/T 22239-2019中每一個要求項的測評要求，并按照這些測評要求開發(fā)測評指導(dǎo)書，以規(guī)范和指導(dǎo)等級測評活動。

      根據(jù)調(diào)研結(jié)果，分析等級保護(hù)對象的業(yè)務(wù)流程和數(shù)據(jù)流，確定測評工作的范圍。結(jié)合等級保護(hù)對象的安全級別，綜合分析系統(tǒng)中各個設(shè)備和組件的功能和特性，從等級保護(hù)對象構(gòu)成組件的重要性、安全性、共享性、全面性和恰當(dāng)性等幾方面屬性確定技術(shù)層面的測評對象，并將與其相關(guān)的人員及管理文檔確定為管理層面的測評對象。測評對象可以根據(jù)類別加以描述，包括機(jī)房、業(yè)務(wù)應(yīng)用軟件、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)互聯(lián)設(shè)備、安全設(shè)備、訪談人員及安全管理文檔等。

      等級測評活動中涉及測評力度，包括測評廣度（覆蓋面）和測評深度（強(qiáng)弱度）。安全保護(hù)等級較高的測評實施應(yīng)選擇覆蓋面更廣的測評對象和更強(qiáng)的測評手段，可以獲得可信度更高的測評證據(jù)，測評力度的具體描述參見附錄A。

      每個級別測評要求都包括安全測評通用要求、云計算安全測評擴(kuò)展要求、移動互聯(lián)安全測評擴(kuò)展要求、物聯(lián)網(wǎng)安全測評擴(kuò)展要求和工業(yè)控制系統(tǒng)安全測評擴(kuò)展要求5個部分。大數(shù)據(jù)可參考安全評估方法參見附錄B。

5.2 單項測評和整體測評

      等級測評包括單項測評和整體測評。

      單項測評是針對各安全要求項的測評，支持測評結(jié)果的可重復(fù)性和可再現(xiàn)性。本標(biāo)準(zhǔn)中單項測評由測評指標(biāo)、測評對象、測評實施和單元判定結(jié)果構(gòu)成。為方便使用針對每個測評單元進(jìn)行編號，具體描述見附錄C。

      整體測評是在單項測評基礎(chǔ)上，對等級保護(hù)對象整體安全保護(hù)能力的判斷。整體安全保護(hù)能力從縱深防護(hù)和措施互補(bǔ)兩個角度評判。

6 第一級測評要求

6.1 安全測評通用要求

6.1.1 安全物理環(huán)境

6.1.1.1 物理訪問控制

6.1.1.1.1 測評單元（L1-PES1-01）

      該測評單元包括以下要求：

      a）測評指標(biāo)：機(jī)房出入口應(yīng)安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。

      b）測評對象：機(jī)房電子門禁系統(tǒng)和值守記錄。

      c）測評實施：應(yīng)核查是否安排專人值守或配置電子門禁系統(tǒng)。

      d）單元判定：如果以上測評實施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。