1 范圍
本標準規(guī)定了不同級別的等級保護對象的安全測評通用要求和安全測評擴展要求。
本標準適用于安全測評服務(wù)機構(gòu)�����、等級保護對象的運營使用單位及主管部門對等級保護對象的安全狀況進行安全測評并提供指南,也適用于網(wǎng)絡(luò)安全職能部門進行網(wǎng)絡(luò)安全等級保護監(jiān)督檢查時參考使用��。
注:第五級等級保護對象是非常重要的監(jiān)督管理對象��,對其有特殊的管理模式和安全測評要求�����,所以不在本標準中進行描述��。
2 規(guī)范性引用文件
下列文件對于本文件的應(yīng)用是必不可少的�。凡是注日期的引用文件,僅注日期的版本適用于本文件��。凡是不注日期的引用文件���,其最新版本(包括所有的修改單)適用于本文件���。
GB 17859-1999 計算機信息系統(tǒng) 安全保護等級劃分準則
GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求
GB/T 25069 信息安全技術(shù) 術(shù)語
GB/T 25070-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求
GB/T 28449-2018 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評過程指南
GB/T 31167-2014 信息安全技術(shù) 云計算服務(wù)安全指南
GB/T 31168-2014 信息安全技術(shù) 云計算服務(wù)安全能力要求
GB/T 32919-2016 信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南
3 術(shù)語和定義
GB 17859-1999、GB/T 25069��、GB/T 22239-2019���、GB/T 25070-2019����、GB/T 31167-2014、GB/T 31168-2014和GB/T 32919-2016界定的以及下列術(shù)語和定義適用于本文件���。為了便于使用,以下重復(fù)列出了GB/T31167-2014和GB/T 31168-2014中的一些術(shù)語和定義����。
3.1
訪談 interview
測評人員通過引導(dǎo)等級保護對象相關(guān)人員進行有目的的(有針對性的)交流以幫助測評人員理解、澄清或取得證據(jù)的過程�����。
3.2
核查 examine
測評人員通過對測評對象(如制度文檔��、各類設(shè)備及相關(guān)安全配置等)進行觀察�����、查驗和分析�,以幫助測評人員理解、澄清或取得證據(jù)的過程�����。
3.3
測試 test
測評人員使用預(yù)定的方法/工具使測評對象(各類設(shè)備或安全配置)產(chǎn)生特定的結(jié)果,將運行結(jié)果與
預(yù)期的結(jié)果進行比對的過程���。
3.4
評估 evaluate
對測評對象可能存在的威脅及其可能產(chǎn)生的后果進行綜合評價和預(yù)測的過程�。
3.5
測評對象 target of testing and evaluation
等級測評過程中不同測評方法作用的對象����,主要涉及相關(guān)配套制度文檔、設(shè)備設(shè)施及人員等����。
3.6
等級測評 testing and evaluation for classified cybersecurity protection
測評機構(gòu)依據(jù)國家網(wǎng)絡(luò)安全等級保護制度規(guī)定,按照有關(guān)管理規(guī)范和技術(shù)標準�����,對非涉及國家秘密的網(wǎng)絡(luò)安全等級保護狀況進行檢測評估的活動���。
3.7
云服務(wù)商 cloud service provider
云計算服務(wù)的供應(yīng)方�。
注:云服務(wù)商管理�����、運營、支撐云計算的計算基礎(chǔ)設(shè)施及軟件��,通過網(wǎng)絡(luò)交付云計算的資源�。
[GB/T 31167-2014,定義3.3]
3.8
云服務(wù)客戶 cloud service customer
為使用云計算服務(wù)同云服務(wù)商建立業(yè)務(wù)關(guān)系的參與方��。
[GB/T 31168-2014����,定義3.4]
3.9
虛擬機監(jiān)視器 hypervisor
運行在基礎(chǔ)物理服務(wù)器和操作系統(tǒng)之間的中間軟件層,可允許多個操作系統(tǒng)和應(yīng)用共享硬件�。
3.10
宿主機 host machine
運行虛擬機監(jiān)視器的物理服務(wù)器����。
4 縮略語
下列縮略語適用于本文件。
AP:無線訪問接入點(Wireless Access Point)
APT:高級持續(xù)性威脅(Advanced Persistent Threat)
DDoS:分布式拒絕服務(wù)(Distributed Denial of Service)
SSID:服務(wù)集標識(Service Set Identifier)
WEP:有線等效加密(Wired Equivalent Privacy)
ViFi:無線保真(Wireless Fidelity)
WPS:WiF 保護設(shè)置(Wi-FFi Protected Setup)
5 等級測評概述
5.1 等級測評方法
等級測評實施的基本方法是針對特定的測評對象��,采用相關(guān)的測評手段�����,遵從一定的測評規(guī)程���,獲取需要的證據(jù)數(shù)據(jù)���,給出是否達到特定級別安全保護能力的評判�����。等級測評實施的詳細流程和方法見
GB/T 28449-2018�����。
本標準中針對每一個要求項的測評就構(gòu)成一個單項測評���,針對某個要求項的所有具體測評內(nèi)容構(gòu)成測評實施。單項測評中的每一個具體測評實施要求項(以下簡稱“測評要求項”)是與安全控制點下面所包括的要求項(測評指標)相對應(yīng)的�。在對每一要求項進行測評時,可能用到訪談�����、核查和測試三種測評方法��,也可能用到其中一種或兩種�。測評實施的內(nèi)容完全覆蓋了GB/T 22239-2019及GB/T 25070-2019中所有要求項的測評要求,使用時應(yīng)當從單項測評的測評實施中抽取出對于GB/T 22239-2019中每一個要求項的測評要求���,并按照這些測評要求開發(fā)測評指導(dǎo)書�,以規(guī)范和指導(dǎo)等級測評活動。
根據(jù)調(diào)研結(jié)果���,分析等級保護對象的業(yè)務(wù)流程和數(shù)據(jù)流����,確定測評工作的范圍�。結(jié)合等級保護對象的安全級別,綜合分析系統(tǒng)中各個設(shè)備和組件的功能和特性���,從等級保護對象構(gòu)成組件的重要性���、安全性、共享性�、全面性和恰當性等幾方面屬性確定技術(shù)層面的測評對象,并將與其相關(guān)的人員及管理文檔確定為管理層面的測評對象��。測評對象可以根據(jù)類別加以描述�,包括機房、業(yè)務(wù)應(yīng)用軟件�����、主機操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)��、網(wǎng)絡(luò)互聯(lián)設(shè)備�、安全設(shè)備、訪談人員及安全管理文檔等���。
等級測評活動中涉及測評力度��,包括測評廣度(覆蓋面)和測評深度(強弱度)����。安全保護等級較高的測評實施應(yīng)選擇覆蓋面更廣的測評對象和更強的測評手段��,可以獲得可信度更高的測評證據(jù)�,測評力度的具體描述參見附錄A。
每個級別測評要求都包括安全測評通用要求��、云計算安全測評擴展要求�����、移動互聯(lián)安全測評擴展要求�、物聯(lián)網(wǎng)安全測評擴展要求和工業(yè)控制系統(tǒng)安全測評擴展要求5個部分����。大數(shù)據(jù)可參考安全評估方法參見附錄B��。
5.2 單項測評和整體測評
等級測評包括單項測評和整體測評�����。
單項測評是針對各安全要求項的測評�����,支持測評結(jié)果的可重復(fù)性和可再現(xiàn)性�����。本標準中單項測評由測評指標���、測評對象����、測評實施和單元判定結(jié)果構(gòu)成�����。為方便使用針對每個測評單元進行編號���,具體描述見附錄C����。
整體測評是在單項測評基礎(chǔ)上����,對等級保護對象整體安全保護能力的判斷。整體安全保護能力從縱深防護和措施互補兩個角度評判��。
6 第一級測評要求
6.1 安全測評通用要求
6.1.1 安全物理環(huán)境
6.1.1.1 物理訪問控制
6.1.1.1.1 測評單元(L1-PES1-01)
該測評單元包括以下要求:
a)測評指標:機房出入口應(yīng)安排專人值守或配置電子門禁系統(tǒng)��,控制�����、鑒別和記錄進入的人員�����。
b)測評對象:機房電子門禁系統(tǒng)和值守記錄����。
c)測評實施:應(yīng)核查是否安排專人值守或配置電子門禁系統(tǒng)���。
d)單元判定:如果以上測評實施內(nèi)容為肯定,則符合本測評單元指標要求���,否則不符合本測評單元指標要求�。
以上為標準部分內(nèi)容��,如需看標準全文�,請到相關(guān)授權(quán)網(wǎng)站購買標準正版。
