發布日期:2023-03-24 12:18 瀏覽次數:
本標準規定了不同級別的等級保護對象的安全測評通用要求和安全測評擴展要求。
本標準適用于安全測評服務機構、等級保護對象的運營使用單位及主管部門對等級保護對象的安全狀況進行安全測評并提供指南,也適用于網絡安全職能部門進行網絡安全等級保護監督檢查時參考使用。
注:第五級等級保護對象是非常重要的監督管理對象,對其有特殊的管理模式和安全測評要求,所以不在本標準中進行描述。
下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB 17859-1999 計算機信息系統 安全保護等級劃分準則
GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求
GB/T 25069 信息安全技術 術語
GB/T 25070-2019 信息安全技術 網絡安全等級保護安全設計技術要求
GB/T 28449-2018 信息安全技術 網絡安全等級保護測評過程指南
GB/T 31167-2014 信息安全技術 云計算服務安全指南
GB/T 31168-2014 信息安全技術 云計算服務安全能力要求
GB/T 32919-2016 信息安全技術 工業控制系統安全控制應用指南
GB 17859-1999、GB/T 25069、GB/T 22239-2019、GB/T 25070-2019、GB/T 31167-2014、GB/T 31168-2014和GB/T 32919-2016界定的以及下列術語和定義適用于本文件。為了便于使用,以下重復列出了GB/T31167-2014和GB/T 31168-2014中的一些術語和定義。
3.1
訪談 interview
測評人員通過引導等級保護對象相關人員進行有目的的(有針對性的)交流以幫助測評人員理解、澄清或取得證據的過程。
3.2
核查 examine
測評人員通過對測評對象(如制度文檔、各類設備及相關安全配置等)進行觀察、查驗和分析,以幫助測評人員理解、澄清或取得證據的過程。
3.3
測試 test
測評人員使用預定的方法/工具使測評對象(各類設備或安全配置)產生特定的結果,將運行結果與
預期的結果進行比對的過程。
3.4
評估 evaluate
對測評對象可能存在的威脅及其可能產生的后果進行綜合評價和預測的過程。
3.5
測評對象 target of testing and evaluation
等級測評過程中不同測評方法作用的對象,主要涉及相關配套制度文檔、設備設施及人員等。
3.6
等級測評 testing and evaluation for classified cybersecurity protection
測評機構依據國家網絡安全等級保護制度規定,按照有關管理規范和技術標準,對非涉及國家秘密的網絡安全等級保護狀況進行檢測評估的活動。
3.7
云服務商 cloud service provider
云計算服務的供應方。
注:云服務商管理、運營、支撐云計算的計算基礎設施及軟件,通過網絡交付云計算的資源。
[GB/T 31167-2014,定義3.3]
3.8
云服務客戶 cloud service customer
為使用云計算服務同云服務商建立業務關系的參與方。
[GB/T 31168-2014,定義3.4]
3.9
虛擬機監視器 hypervisor
運行在基礎物理服務器和操作系統之間的中間軟件層,可允許多個操作系統和應用共享硬件。
3.10
宿主機 host machine
運行虛擬機監視器的物理服務器。
下列縮略語適用于本文件。
AP:無線訪問接入點(Wireless Access Point)
APT:高級持續性威脅(Advanced Persistent Threat)
DDoS:分布式拒絕服務(Distributed Denial of Service)
SSID:服務集標識(Service Set Identifier)
WEP:有線等效加密(Wired Equivalent Privacy)
ViFi:無線保真(Wireless Fidelity)
WPS:WiF 保護設置(Wi-FFi Protected Setup)
5.1 等級測評方法
等級測評實施的基本方法是針對特定的測評對象,采用相關的測評手段,遵從一定的測評規程,獲取需要的證據數據,給出是否達到特定級別安全保護能力的評判。等級測評實施的詳細流程和方法見
GB/T 28449-2018。
本標準中針對每一個要求項的測評就構成一個單項測評,針對某個要求項的所有具體測評內容構成測評實施。單項測評中的每一個具體測評實施要求項(以下簡稱“測評要求項”)是與安全控制點下面所包括的要求項(測評指標)相對應的。在對每一要求項進行測評時,可能用到訪談、核查和測試三種測評方法,也可能用到其中一種或兩種。測評實施的內容完全覆蓋了GB/T 22239-2019及GB/T 25070-2019中所有要求項的測評要求,使用時應當從單項測評的測評實施中抽取出對于GB/T 22239-2019中每一個要求項的測評要求,并按照這些測評要求開發測評指導書,以規范和指導等級測評活動。
根據調研結果,分析等級保護對象的業務流程和數據流,確定測評工作的范圍。結合等級保護對象的安全級別,綜合分析系統中各個設備和組件的功能和特性,從等級保護對象構成組件的重要性、安全性、共享性、全面性和恰當性等幾方面屬性確定技術層面的測評對象,并將與其相關的人員及管理文檔確定為管理層面的測評對象。測評對象可以根據類別加以描述,包括機房、業務應用軟件、主機操作系統、數據庫管理系統、網絡互聯設備、安全設備、訪談人員及安全管理文檔等。
等級測評活動中涉及測評力度,包括測評廣度(覆蓋面)和測評深度(強弱度)。安全保護等級較高的測評實施應選擇覆蓋面更廣的測評對象和更強的測評手段,可以獲得可信度更高的測評證據,測評力度的具體描述參見附錄A。
每個級別測評要求都包括安全測評通用要求、云計算安全測評擴展要求、移動互聯安全測評擴展要求、物聯網安全測評擴展要求和工業控制系統安全測評擴展要求5個部分。大數據可參考安全評估方法參見附錄B。
5.2 單項測評和整體測評
等級測評包括單項測評和整體測評。
單項測評是針對各安全要求項的測評,支持測評結果的可重復性和可再現性。本標準中單項測評由測評指標、測評對象、測評實施和單元判定結果構成。為方便使用針對每個測評單元進行編號,具體描述見附錄C。
整體測評是在單項測評基礎上,對等級保護對象整體安全保護能力的判斷。整體安全保護能力從縱深防護和措施互補兩個角度評判。
6.1 安全測評通用要求
6.1.1 安全物理環境
6.1.1.1 物理訪問控制
6.1.1.1.1 測評單元(L1-PES1-01)
該測評單元包括以下要求:
a)測評指標:機房出入口應安排專人值守或配置電子門禁系統,控制、鑒別和記錄進入的人員。
b)測評對象:機房電子門禁系統和值守記錄。
c)測評實施:應核查是否安排專人值守或配置電子門禁系統。
d)單元判定:如果以上測評實施內容為肯定,則符合本測評單元指標要求,否則不符合本測評單元指標要求。
以上為標準部分內容,如需看標準全文,請到相關授權網站購買標準正版。
