1 范圍
本標(biāo)準(zhǔn)規(guī)定了不同級別的等級保護(hù)對象的安全測評通用要求和安全測評擴(kuò)展要求�。
本標(biāo)準(zhǔn)適用于安全測評服務(wù)機(jī)構(gòu)��、等級保護(hù)對象的運(yùn)營使用單位及主管部門對等級保護(hù)對象的安全狀況進(jìn)行安全測評并提供指南���,也適用于網(wǎng)絡(luò)安全職能部門進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)監(jiān)督檢查時參考使用���。
注:第五級等級保護(hù)對象是非常重要的監(jiān)督管理對象,對其有特殊的管理模式和安全測評要求�,所以不在本標(biāo)準(zhǔn)中進(jìn)行描述。
2 規(guī)范性引用文件
下列文件對于本文件的應(yīng)用是必不可少的�。凡是注日期的引用文件,僅注日期的版本適用于本文件��。凡是不注日期的引用文件��,其最新版本(包括所有的修改單)適用于本文件。
GB 17859-1999 計算機(jī)信息系統(tǒng) 安全保護(hù)等級劃分準(zhǔn)則
GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求
GB/T 25069 信息安全技術(shù) 術(shù)語
GB/T 25070-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求
GB/T 28449-2018 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評過程指南
GB/T 31167-2014 信息安全技術(shù) 云計算服務(wù)安全指南
GB/T 31168-2014 信息安全技術(shù) 云計算服務(wù)安全能力要求
GB/T 32919-2016 信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南
3 術(shù)語和定義
GB 17859-1999��、GB/T 25069�����、GB/T 22239-2019�、GB/T 25070-2019��、GB/T 31167-2014�����、GB/T 31168-2014和GB/T 32919-2016界定的以及下列術(shù)語和定義適用于本文件���。為了便于使用����,以下重復(fù)列出了GB/T31167-2014和GB/T 31168-2014中的一些術(shù)語和定義��。
3.1
訪談 interview
測評人員通過引導(dǎo)等級保護(hù)對象相關(guān)人員進(jìn)行有目的的(有針對性的)交流以幫助測評人員理解�����、澄清或取得證據(jù)的過程。
3.2
核查 examine
測評人員通過對測評對象(如制度文檔����、各類設(shè)備及相關(guān)安全配置等)進(jìn)行觀察、查驗(yàn)和分析�����,以幫助測評人員理解����、澄清或取得證據(jù)的過程。
3.3
測試 test
測評人員使用預(yù)定的方法/工具使測評對象(各類設(shè)備或安全配置)產(chǎn)生特定的結(jié)果����,將運(yùn)行結(jié)果與
預(yù)期的結(jié)果進(jìn)行比對的過程。
3.4
評估 evaluate
對測評對象可能存在的威脅及其可能產(chǎn)生的后果進(jìn)行綜合評價和預(yù)測的過程�。
3.5
測評對象 target of testing and evaluation
等級測評過程中不同測評方法作用的對象,主要涉及相關(guān)配套制度文檔�、設(shè)備設(shè)施及人員等。
3.6
等級測評 testing and evaluation for classified cybersecurity protection
測評機(jī)構(gòu)依據(jù)國家網(wǎng)絡(luò)安全等級保護(hù)制度規(guī)定�����,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對非涉及國家秘密的網(wǎng)絡(luò)安全等級保護(hù)狀況進(jìn)行檢測評估的活動�����。
3.7
云服務(wù)商 cloud service provider
云計算服務(wù)的供應(yīng)方�。
注:云服務(wù)商管理、運(yùn)營�����、支撐云計算的計算基礎(chǔ)設(shè)施及軟件�,通過網(wǎng)絡(luò)交付云計算的資源���。
[GB/T 31167-2014�����,定義3.3]
3.8
云服務(wù)客戶 cloud service customer
為使用云計算服務(wù)同云服務(wù)商建立業(yè)務(wù)關(guān)系的參與方����。
[GB/T 31168-2014�,定義3.4]
3.9
虛擬機(jī)監(jiān)視器 hypervisor
運(yùn)行在基礎(chǔ)物理服務(wù)器和操作系統(tǒng)之間的中間軟件層,可允許多個操作系統(tǒng)和應(yīng)用共享硬件��。
3.10
宿主機(jī) host machine
運(yùn)行虛擬機(jī)監(jiān)視器的物理服務(wù)器�。
4 縮略語
下列縮略語適用于本文件���。
AP:無線訪問接入點(diǎn)(Wireless Access Point)
APT:高級持續(xù)性威脅(Advanced Persistent Threat)
DDoS:分布式拒絕服務(wù)(Distributed Denial of Service)
SSID:服務(wù)集標(biāo)識(Service Set Identifier)
WEP:有線等效加密(Wired Equivalent Privacy)
ViFi:無線保真(Wireless Fidelity)
WPS:WiF 保護(hù)設(shè)置(Wi-FFi Protected Setup)
5 等級測評概述
5.1 等級測評方法
等級測評實(shí)施的基本方法是針對特定的測評對象,采用相關(guān)的測評手段��,遵從一定的測評規(guī)程�����,獲取需要的證據(jù)數(shù)據(jù)�����,給出是否達(dá)到特定級別安全保護(hù)能力的評判���。等級測評實(shí)施的詳細(xì)流程和方法見
GB/T 28449-2018��。
本標(biāo)準(zhǔn)中針對每一個要求項(xiàng)的測評就構(gòu)成一個單項(xiàng)測評����,針對某個要求項(xiàng)的所有具體測評內(nèi)容構(gòu)成測評實(shí)施�。單項(xiàng)測評中的每一個具體測評實(shí)施要求項(xiàng)(以下簡稱“測評要求項(xiàng)”)是與安全控制點(diǎn)下面所包括的要求項(xiàng)(測評指標(biāo))相對應(yīng)的。在對每一要求項(xiàng)進(jìn)行測評時�����,可能用到訪談、核查和測試三種測評方法����,也可能用到其中一種或兩種。測評實(shí)施的內(nèi)容完全覆蓋了GB/T 22239-2019及GB/T 25070-2019中所有要求項(xiàng)的測評要求��,使用時應(yīng)當(dāng)從單項(xiàng)測評的測評實(shí)施中抽取出對于GB/T 22239-2019中每一個要求項(xiàng)的測評要求�,并按照這些測評要求開發(fā)測評指導(dǎo)書,以規(guī)范和指導(dǎo)等級測評活動����。
根據(jù)調(diào)研結(jié)果�,分析等級保護(hù)對象的業(yè)務(wù)流程和數(shù)據(jù)流,確定測評工作的范圍�。結(jié)合等級保護(hù)對象的安全級別,綜合分析系統(tǒng)中各個設(shè)備和組件的功能和特性���,從等級保護(hù)對象構(gòu)成組件的重要性�����、安全性�����、共享性�����、全面性和恰當(dāng)性等幾方面屬性確定技術(shù)層面的測評對象�,并將與其相關(guān)的人員及管理文檔確定為管理層面的測評對象。測評對象可以根據(jù)類別加以描述��,包括機(jī)房�����、業(yè)務(wù)應(yīng)用軟件�����、主機(jī)操作系統(tǒng)�����、數(shù)據(jù)庫管理系統(tǒng)����、網(wǎng)絡(luò)互聯(lián)設(shè)備����、安全設(shè)備���、訪談人員及安全管理文檔等����。
等級測評活動中涉及測評力度�����,包括測評廣度(覆蓋面)和測評深度(強(qiáng)弱度)�。安全保護(hù)等級較高的測評實(shí)施應(yīng)選擇覆蓋面更廣的測評對象和更強(qiáng)的測評手段,可以獲得可信度更高的測評證據(jù)�,測評力度的具體描述參見附錄A�。
每個級別測評要求都包括安全測評通用要求、云計算安全測評擴(kuò)展要求���、移動互聯(lián)安全測評擴(kuò)展要求���、物聯(lián)網(wǎng)安全測評擴(kuò)展要求和工業(yè)控制系統(tǒng)安全測評擴(kuò)展要求5個部分。大數(shù)據(jù)可參考安全評估方法參見附錄B�。
5.2 單項(xiàng)測評和整體測評
等級測評包括單項(xiàng)測評和整體測評����。
單項(xiàng)測評是針對各安全要求項(xiàng)的測評�����,支持測評結(jié)果的可重復(fù)性和可再現(xiàn)性�����。本標(biāo)準(zhǔn)中單項(xiàng)測評由測評指標(biāo)�����、測評對象�����、測評實(shí)施和單元判定結(jié)果構(gòu)成��。為方便使用針對每個測評單元進(jìn)行編號���,具體描述見附錄C����。
整體測評是在單項(xiàng)測評基礎(chǔ)上,對等級保護(hù)對象整體安全保護(hù)能力的判斷����。整體安全保護(hù)能力從縱深防護(hù)和措施互補(bǔ)兩個角度評判。
6 第一級測評要求
6.1 安全測評通用要求
6.1.1 安全物理環(huán)境
6.1.1.1 物理訪問控制
6.1.1.1.1 測評單元(L1-PES1-01)
該測評單元包括以下要求:
a)測評指標(biāo):機(jī)房出入口應(yīng)安排專人值守或配置電子門禁系統(tǒng)�����,控制�����、鑒別和記錄進(jìn)入的人員�。
b)測評對象:機(jī)房電子門禁系統(tǒng)和值守記錄。
c)測評實(shí)施:應(yīng)核查是否安排專人值守或配置電子門禁系統(tǒng)��。
d)單元判定:如果以上測評實(shí)施內(nèi)容為肯定����,則符合本測評單元指標(biāo)要求���,否則不符合本測評單元指標(biāo)要求���。
以上為標(biāo)準(zhǔn)部分內(nèi)容���,如需看標(biāo)準(zhǔn)全文,請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版��。
