1、信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求(GB/T28448-2019)標(biāo)準(zhǔn)解讀原版標(biāo)準(zhǔn)詳見(jiàn)附錄0引言信息系統(tǒng)等級(jí)保護(hù)系列國(guó)家標(biāo)準(zhǔn)在我國(guó)推行信息安全工作開(kāi)展過(guò)程中發(fā)揮了重要作用， 被廣泛應(yīng)用于網(wǎng)絡(luò)安全職能部門、各行業(yè)和領(lǐng)域的網(wǎng)絡(luò)安全管理部門及等級(jí)測(cè)評(píng)機(jī)構(gòu)開(kāi)展系 統(tǒng)定級(jí)、安全建設(shè)整改、等級(jí)測(cè)評(píng)、安全自查和安全監(jiān)督檢查等相關(guān)工作。但隨著 IT技術(shù)的 飛速發(fā)展，特別是在云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用環(huán)境 下，GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求和 GB/T28448-2012信 息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求在應(yīng)用過(guò)程中遇到了一些新的問(wèn)

2、題，在適用性、 時(shí)效性、易用性、可操作性上需要進(jìn)一步完善。2017年6月1日頒布實(shí)施的中華人民共和國(guó)網(wǎng)絡(luò)安全法也要求各網(wǎng)絡(luò)安全職能部門、各行業(yè)和領(lǐng)域的網(wǎng)絡(luò)安全管理部門等配合落實(shí)國(guó)家網(wǎng) 絡(luò)安全等級(jí)保護(hù)制度，需要同時(shí)對(duì) GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基 本要求和GB/T28448-2012信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求進(jìn)行修訂。為 適應(yīng)我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作發(fā)展的需要，進(jìn)一步與新版的GB/T22239-201阱目協(xié)調(diào)，有必要對(duì) GB/T28448-2012!行修訂。2014#,公安部第三研究所(公安部信息安全等級(jí)保護(hù)評(píng)估中心)根據(jù)國(guó)家標(biāo)準(zhǔn)編號(hào)制修 訂計(jì)劃，

3、牽頭組織了對(duì)GB/T28448-2012的修訂工作，前后共有20多家單位、70多人參與修訂工 作。修訂工作歷經(jīng)調(diào)查研究、草案形成、征求意見(jiàn)稿、送審稿和報(bào)批稿等過(guò)程，收到了各行業(yè) 職能部門、用戶、專家的寶貴意見(jiàn)。2019年，信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求 (GB/T28448-2019)國(guó)家標(biāo)準(zhǔn)正式實(shí)施。本文分析了 GB/T28448-2019g生的主要變化，解讀其 內(nèi)容修訂和等級(jí)測(cè)評(píng)工作變化等主要內(nèi)容,以便讀者更好地了解和掌握GB/T28448-2019勺內(nèi)容標(biāo)準(zhǔn)主要內(nèi)容變化0.1標(biāo)準(zhǔn)文本結(jié)構(gòu)變化GB/T28448-201甑準(zhǔn)文本分為12章，3個(gè)附錄。第1章、第2章、第3章為標(biāo)準(zhǔn)的常規(guī)性

4、描述，包 括范圍、規(guī)范性引用文件、術(shù)語(yǔ)和定義；第4章為縮略語(yǔ)；第5章概要描述了安全等級(jí)保護(hù)測(cè)評(píng)方法 及單項(xiàng)測(cè)評(píng)和整體測(cè)評(píng)的構(gòu)成。第6章、第7章、第8章、第9章為重點(diǎn)章節(jié)，分別描述了第一級(jí)、第二級(jí)、第三級(jí)、第四級(jí) 測(cè)評(píng)要求，以及每級(jí)如何遵從 GB/T22239-2019勺框架描述實(shí)施測(cè)評(píng)工作。每個(gè)級(jí)別都由五部分內(nèi)容組成，包括安全通用要求、云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等相關(guān)測(cè)評(píng)實(shí)施 內(nèi)容。安全技術(shù)方面從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全 管理中心5個(gè)方面展開(kāi)；安全管理方面從安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè) 管理和安全運(yùn)維管理5個(gè)方面展開(kāi)，與基本

5、要求形成了相互對(duì)照、和諧統(tǒng)一的標(biāo)準(zhǔn)文本結(jié)構(gòu)。 第10章為略掉的第五級(jí)測(cè)評(píng)要求。第11章描述了系統(tǒng)整體測(cè)評(píng)方法，在單項(xiàng)測(cè)評(píng)的基礎(chǔ)上，從 系統(tǒng)整體的角度綜合考慮如何進(jìn)行系統(tǒng)性的測(cè)評(píng)。分別從安全控制點(diǎn)測(cè)評(píng)、安全控制點(diǎn)問(wèn)測(cè) 評(píng)和區(qū)域間測(cè)評(píng)（包含層面間測(cè)評(píng)）等3個(gè)方面進(jìn)行描述，分析了在進(jìn)行系統(tǒng)整體測(cè)評(píng)時(shí)需要考慮的內(nèi)容。第12章概要說(shuō)明了測(cè)評(píng)結(jié)論的得出方法及測(cè)評(píng)結(jié)論主要包括的內(nèi)容等。附錄A的述了各種測(cè)評(píng)方法的測(cè)評(píng)強(qiáng)度，并具體描述了針對(duì)不同等級(jí)保護(hù)對(duì)象的測(cè)評(píng)強(qiáng)度。 附錄B的述了大數(shù)據(jù)的可參考安全評(píng)估方法。附錄 0述了測(cè)評(píng)指標(biāo)編碼規(guī)則及專用縮略語(yǔ)。 0.2等級(jí)測(cè)評(píng)內(nèi)容的變化由于等級(jí)保護(hù)對(duì)象的內(nèi)涵發(fā)生變化，GB

6、/T28448-201皴照應(yīng)用領(lǐng)域分為安全測(cè)評(píng)通用要求和 安全測(cè)評(píng)擴(kuò)展要求。安全測(cè)評(píng)通用要求是指不管等級(jí)保護(hù)對(duì)象形態(tài)如何，均需遵循的安全測(cè)評(píng) 要求。安全測(cè)評(píng)擴(kuò)展要求是指針對(duì)云計(jì)算安全擴(kuò)展要求、大數(shù)據(jù)安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò) 展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求提出的特殊安全測(cè)評(píng)要求。0.3等級(jí)測(cè)評(píng)技術(shù)框架的變化等級(jí)測(cè)評(píng)技術(shù)框架由原標(biāo)準(zhǔn)的單元測(cè)評(píng)和整體測(cè)評(píng)調(diào)整為單項(xiàng)測(cè)評(píng)和整體測(cè)評(píng)。單項(xiàng)測(cè)評(píng) 是針對(duì)安全控制點(diǎn)下的各安全要求項(xiàng)的測(cè)評(píng)，支持測(cè)評(píng)結(jié)果的可重復(fù)性和可再現(xiàn)性。單項(xiàng)測(cè)評(píng) 由四部分內(nèi)容組成，分別是測(cè)評(píng)指標(biāo)、測(cè)評(píng)對(duì)象、測(cè)評(píng)實(shí)施和單元判定。修訂后的單項(xiàng)測(cè)評(píng)中 測(cè)評(píng)指標(biāo)更加細(xì)化，由

7、針對(duì)原標(biāo)準(zhǔn)中的安全控制點(diǎn)的測(cè)評(píng)調(diào)整為針對(duì)安全控制點(diǎn)下的安全要求 項(xiàng)的測(cè)評(píng)，更有助于測(cè)評(píng)實(shí)施工作的開(kāi)展。整體測(cè)評(píng)是在單項(xiàng)測(cè)評(píng)基礎(chǔ)上，對(duì)定級(jí)對(duì)象整體安全保護(hù)能力的判斷。整體測(cè)評(píng)內(nèi)容由 原標(biāo)準(zhǔn)的安全控制點(diǎn)問(wèn)測(cè)評(píng)、層面間測(cè)評(píng)和區(qū)域間測(cè)評(píng)等方面調(diào)整為安全控制點(diǎn)測(cè)評(píng)、安全 控制點(diǎn)間測(cè)評(píng)和區(qū)域間測(cè)評(píng)（包含層面間測(cè)評(píng)）。另外，為了更好地讓測(cè)評(píng)人員明確測(cè)評(píng)工作的作用對(duì)象，在測(cè)評(píng)單元中增加測(cè)評(píng)對(duì)象。測(cè) 評(píng)對(duì)象是指等級(jí)測(cè)評(píng)過(guò)程中不同測(cè)評(píng)方法作用的對(duì)象，主要涉及相關(guān)配套制度文檔、設(shè)備設(shè)施 及人員等。0.4測(cè)評(píng)方法的變化測(cè)評(píng)方法包括訪談、核查和測(cè)試。訪談是指測(cè)評(píng)人員通過(guò)引導(dǎo)等級(jí)保護(hù)對(duì)象相關(guān)人員進(jìn)行 有目的、有針對(duì)性的交

8、流，幫助測(cè)評(píng)人員理解、澄清或取得證據(jù)的過(guò)程。核查是指測(cè)評(píng)人員通過(guò)對(duì)測(cè)評(píng)對(duì)象（如各類設(shè)備、各類系統(tǒng)軟件和制度文檔等）進(jìn)行觀察、查驗(yàn)和分析，幫助測(cè)評(píng)人員理解、澄清或取得證據(jù)的過(guò)程。測(cè)試是指測(cè)評(píng)人員使用預(yù)定的方法/工具使測(cè)評(píng)對(duì)象產(chǎn)生特定的結(jié)果，并將運(yùn)行結(jié)果與預(yù)期的結(jié)果進(jìn)行比對(duì)的過(guò)程。新版標(biāo)準(zhǔn)在配置核查和測(cè)試驗(yàn)證方面要求更加嚴(yán)格。測(cè)評(píng)結(jié)果判定要求采信配置核查結(jié)果， 同時(shí)要求對(duì)安全策略進(jìn)行測(cè)試驗(yàn)證。測(cè)試驗(yàn)證包括漏洞掃描、策略有效性驗(yàn)證、數(shù)據(jù)抓包分析、 數(shù)據(jù)通信監(jiān)聽(tīng)、數(shù)據(jù)備份恢復(fù)、應(yīng)急響應(yīng)和滲透測(cè)試等。0.5 測(cè)評(píng)要求在級(jí)差上的變化等級(jí)測(cè)評(píng)強(qiáng)度由測(cè)評(píng)廣度和測(cè)評(píng)深度來(lái)描述。測(cè)評(píng)廣度越大，范圍越大，包含的測(cè)評(píng)

9、對(duì)象 就越多，測(cè)評(píng)實(shí)際投入程度越高。測(cè)評(píng)深度越深，越需要在細(xì)節(jié)上展開(kāi)，測(cè)評(píng)實(shí)際投入程度也 越高。表1從測(cè)評(píng)廣度和測(cè)評(píng)深度兩方面詳細(xì)分析了不同測(cè)評(píng)方法的測(cè)評(píng)力度在不同級(jí)別的等 級(jí)保護(hù)對(duì)象安全測(cè)評(píng)中的具體體現(xiàn)。表1不同級(jí)別的等級(jí)保護(hù)對(duì)象的測(cè)評(píng)力度要求測(cè)評(píng)力度測(cè)評(píng)方法第一級(jí)第二級(jí)第三級(jí)第四級(jí)廣度訪談測(cè)評(píng)對(duì)象在種類和數(shù)量上抽 樣，種類和數(shù)量都較少測(cè)評(píng)對(duì)象在種類和數(shù)量上抽樣，種類和數(shù)量都較多測(cè)評(píng)對(duì)象在數(shù)量上抽樣，在種類上基本覆蓋測(cè)評(píng)對(duì)象在數(shù)量上抽樣，在種類上全部覆蓋核查測(cè)試深度訪談簡(jiǎn)要充分較全面全面核查測(cè)試功能測(cè)試功能測(cè)試功能測(cè)試和測(cè)試驗(yàn)證功能測(cè)試和測(cè)試驗(yàn)證測(cè)評(píng)的廣度和深度落實(shí)到訪談、核查和測(cè)試 3種不

10、同的測(cè)評(píng)方法上，能夠體現(xiàn)出測(cè)評(píng)實(shí)施 過(guò)程中訪談、核查和測(cè)試的投入程度的不同。對(duì)于不同等級(jí)的測(cè)評(píng)工作的強(qiáng)度可由以下3個(gè)方面來(lái)體現(xiàn)：1）使用不同測(cè)評(píng)方法在實(shí)際現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施過(guò)程中，安全技術(shù)方面的測(cè)評(píng)方法以配置核查和測(cè)試驗(yàn)證為主。安全 管理方面可以使用訪談方式進(jìn)行測(cè)評(píng)。使用不同測(cè)評(píng)方法能體現(xiàn)出測(cè)評(píng)實(shí)施過(guò)程中訪談、核查 和測(cè)試的測(cè)評(píng)強(qiáng)度的不同。2）不同級(jí)別測(cè)評(píng)對(duì)象范圍不同第一級(jí)和第二級(jí)測(cè)評(píng)對(duì)象的范圍為關(guān)鍵設(shè)備，第三級(jí)為主要設(shè)備，第四級(jí)為所有設(shè)備。不 同級(jí)別測(cè)評(píng)對(duì)象范圍不同，能體現(xiàn)出測(cè)評(píng)實(shí)施過(guò)程中訪談、核查和測(cè)試的測(cè)評(píng)廣度的不同。3）不同級(jí)別現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施工作不同第一級(jí)和二級(jí)以核查安全機(jī)制為主，第三級(jí)和第四

11、級(jí)先核查安全機(jī)制，再測(cè)試驗(yàn)證安全策 略的有效性。1新標(biāo)準(zhǔn)下的等級(jí)測(cè)評(píng)標(biāo)準(zhǔn)使用在針對(duì)某級(jí)別等級(jí)保護(hù)對(duì)象進(jìn)行等級(jí)測(cè)評(píng)時(shí)，無(wú)論該等級(jí)保護(hù)對(duì)象使用何種特定技術(shù)或處 于何種特定的應(yīng)用場(chǎng)景，都必須使用安全測(cè)評(píng)通用要求對(duì)等級(jí)保護(hù)對(duì)象進(jìn)行測(cè)評(píng)，再結(jié)合等級(jí) 保護(hù)對(duì)象采用的具體技術(shù)架構(gòu)或應(yīng)用場(chǎng)景選用相關(guān)安全測(cè)評(píng)擴(kuò)展要求進(jìn)行等級(jí)測(cè)評(píng)。例如，某單位的等級(jí)保護(hù)對(duì)象采用了云計(jì)算技術(shù)和大數(shù)據(jù)技術(shù)，在進(jìn)行等級(jí)測(cè)評(píng)時(shí)，首先使用 GB/T2844即的安全測(cè)評(píng)通用要求部分,再使用大數(shù)據(jù)安全測(cè)評(píng)擴(kuò)展要求部分和云計(jì)算安全測(cè) 評(píng)擴(kuò)展要求部分進(jìn)行等級(jí)測(cè)評(píng)。測(cè)評(píng)對(duì)象選擇由于新技術(shù)新應(yīng)用的迅速發(fā)展，等級(jí)保護(hù)對(duì)象的形態(tài)發(fā)生了變化，導(dǎo)致等級(jí)測(cè)評(píng)對(duì)

12、象也發(fā) 生了變化。以云計(jì)算平臺(tái)和傳統(tǒng)信息系統(tǒng)的測(cè)評(píng)對(duì)象為例，測(cè)評(píng)對(duì)象選擇如表2所示。女王類或 層面云計(jì)算平臺(tái)測(cè)評(píng)對(duì)象傳統(tǒng)測(cè)評(píng)對(duì)象安全 物理 環(huán)境機(jī)房及基礎(chǔ)設(shè)施機(jī)房及基礎(chǔ)設(shè)施安全 通信 網(wǎng)絡(luò)網(wǎng)絡(luò)結(jié)構(gòu)、通信傳輸設(shè)備、可信驗(yàn)證設(shè)備、虛擬化網(wǎng)絡(luò)結(jié)構(gòu)傳統(tǒng)網(wǎng)絡(luò)設(shè)備、傳統(tǒng)安全設(shè)備、 傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)安全 區(qū)域 邊界網(wǎng)絡(luò)設(shè)備、安全設(shè)備、虛擬網(wǎng)絡(luò)設(shè)備虛擬安全設(shè)備傳統(tǒng)網(wǎng)絡(luò)設(shè)備、傳統(tǒng) 安全設(shè)備、傳統(tǒng)網(wǎng)絡(luò) 結(jié)構(gòu)安全 計(jì)算 環(huán)境網(wǎng)絡(luò)設(shè)備、安全設(shè)備、虛擬網(wǎng)絡(luò)設(shè)備虛擬安全設(shè)備、物理機(jī)、宿主機(jī)、虛擬機(jī)、虛擬機(jī) 監(jiān)視器、云管理平臺(tái)、數(shù)據(jù)庫(kù)管理系統(tǒng)、終端、應(yīng)用系統(tǒng)、云應(yīng)用開(kāi)發(fā)平臺(tái)、中間件、云業(yè)務(wù)管理系統(tǒng)、配置文件、鏡像文件、快照業(yè)務(wù)

13、數(shù)據(jù)、用戶隱私、鑒別信息等、傳統(tǒng)主機(jī)、數(shù)據(jù)庫(kù)管理系統(tǒng)、終 端、應(yīng)用系統(tǒng)中間件、配置文 件、業(yè)務(wù)數(shù)據(jù)、用戶隱私、鑒別信息等表2測(cè)評(píng)對(duì)象選擇由表2可以看出，與傳統(tǒng)信息系統(tǒng)相比，采用新技術(shù)新應(yīng)用的等級(jí)保護(hù)對(duì)象的測(cè)評(píng)對(duì)象發(fā) 生了很大變化。在進(jìn)行等級(jí)測(cè)評(píng)時(shí)，應(yīng)根據(jù)被測(cè)等級(jí)保護(hù)對(duì)象采用新技術(shù)新應(yīng)用的情況，依據(jù) 測(cè)評(píng)對(duì)象選擇規(guī)則合理選擇測(cè)評(píng)對(duì)象。測(cè)評(píng)作業(yè)指導(dǎo)書開(kāi)發(fā)測(cè)評(píng)作業(yè)指導(dǎo)書的開(kāi)發(fā)包括安全物理環(huán)境（包括相應(yīng)的安全擴(kuò)展要求）、安全通信網(wǎng)絡(luò)（包括相應(yīng)的安全擴(kuò)展要求）、安全區(qū)域邊界（包括相應(yīng)的安全擴(kuò)展要求） 安全計(jì)算環(huán)境（包括相應(yīng)的安全擴(kuò)展要求）、安全管理中心（包括云計(jì)算安全擴(kuò)展要求）和安 全管理（包括相應(yīng)的安

14、全擴(kuò)展要求）等方面，其中，安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域 邊界、安全管理中心和安全管理等為全局性測(cè)評(píng)，安全計(jì)算環(huán)境需要根據(jù)設(shè)備類型和型號(hào)分別 制定作業(yè)指導(dǎo)書。以云計(jì)算平臺(tái)的安全區(qū)域邊界和安全計(jì)算環(huán)境為例，安全區(qū)域邊界屬于全局性測(cè)評(píng)，此部 分測(cè)評(píng)作業(yè)指導(dǎo)書的指標(biāo)項(xiàng)和測(cè)評(píng)實(shí)施項(xiàng)來(lái)源于安全測(cè)評(píng)通用要求和云計(jì)算安全測(cè)評(píng)擴(kuò)展要求 中的相關(guān)部分。由于安全計(jì)算環(huán)境部分的測(cè)評(píng)作業(yè)指導(dǎo)書與設(shè)備類型和型號(hào)相關(guān)，所以可能涉 及的作業(yè)指導(dǎo)書包括路由器（包括虛擬路由器）安全測(cè)評(píng)作業(yè)指導(dǎo)書、交換機(jī)（包括虛擬交換 機(jī)）安全測(cè)評(píng)作業(yè)指導(dǎo)書、防火墻（包括虛擬防火墻）安全測(cè)評(píng)作業(yè)指導(dǎo)書、操作系統(tǒng)（包括 虛擬機(jī)）安全測(cè)評(píng)作業(yè)

15、指導(dǎo)書、數(shù)據(jù)庫(kù)安全測(cè)評(píng)作業(yè)指導(dǎo)書、宿主機(jī)操作系統(tǒng)安全測(cè)評(píng)作業(yè)指 導(dǎo)書和云操作系統(tǒng)安全測(cè)評(píng)作業(yè)指導(dǎo)書等。單項(xiàng)測(cè)評(píng)單項(xiàng)測(cè)評(píng)從安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理、 安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心十個(gè)方面逐一展 開(kāi)。1）安全物理環(huán)境單項(xiàng)測(cè)評(píng)安全物理環(huán)境的單項(xiàng)測(cè)評(píng)主要針對(duì)機(jī)房的基礎(chǔ)物理設(shè)施環(huán)境及相關(guān)的硬件設(shè)備和介質(zhì)等進(jìn)行。 部分安全物理環(huán)境安全的測(cè)評(píng)涉及終端所在的辦公場(chǎng)地。測(cè)評(píng)的主要內(nèi)容包括物理位置選擇、物 理訪問(wèn)控制、防雷、防火、防水、防潮、防盜竊、防破壞、溫濕度控制、電力供應(yīng)、電磁防護(hù)等。 測(cè)評(píng)對(duì)象包括各種制度類、規(guī)程類、記錄和

16、證據(jù)類等文檔，各類安全管理人員和機(jī)房各類基礎(chǔ)設(shè) 備。其中，各類安全管理人員主要為安全主管、系統(tǒng)管理員、審計(jì)管理員、安全管理員和其他相 關(guān)人員；機(jī)房各類基礎(chǔ)設(shè)備包括電子門禁系統(tǒng)、機(jī)房監(jiān)控系統(tǒng)、防盜報(bào)警系統(tǒng)、防感應(yīng)雷措施、 火災(zāi)自動(dòng)檢測(cè)、報(bào)警和滅火、溫濕度自動(dòng)調(diào)控、UPS備用發(fā)電系統(tǒng)和屏蔽機(jī)柜/機(jī)房等。 2）安全通信網(wǎng)絡(luò)單項(xiàng)測(cè)評(píng)安全通信網(wǎng)絡(luò)的單項(xiàng)測(cè)評(píng)主要針對(duì)組織中的數(shù)據(jù)通信網(wǎng)絡(luò)進(jìn)行，由網(wǎng)絡(luò)設(shè)備、安全設(shè)備和 通信鏈路及其組件構(gòu)成，目的是保證等級(jí)保護(hù)對(duì)象各個(gè)部分進(jìn)行安全通信傳輸。測(cè)評(píng)內(nèi)容主要 包括網(wǎng)絡(luò)架構(gòu)、通信傳輸和可信驗(yàn)證等。測(cè)評(píng)對(duì)象包括路由器、交換機(jī)、無(wú)線接入設(shè)備和防火 墻等提供網(wǎng)絡(luò)通信功能的設(shè)備

17、或相關(guān)組件，綜合網(wǎng)管系統(tǒng)和相應(yīng)設(shè)計(jì) /驗(yàn)收文檔等。3）安全區(qū)域邊界單項(xiàng)測(cè)評(píng)安全區(qū)域邊界的單項(xiàng)測(cè)評(píng)主要針對(duì)系統(tǒng)邊界進(jìn)行，系統(tǒng)邊界一般包括整網(wǎng)互聯(lián)邊界和不同 級(jí)別系統(tǒng)之間的邊界。測(cè)評(píng)內(nèi)容主要包括邊界防護(hù)、訪問(wèn)控制、入侵防范、惡意代碼、反垃圾 郵件防范和安全審計(jì)等。測(cè)評(píng)對(duì)象包括網(wǎng)閘、防火墻、路由器、交換機(jī)和無(wú)線接入網(wǎng)關(guān)設(shè)備等 提供訪問(wèn)控制功能的設(shè)備或相關(guān)組件，抗 AP政擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、威脅情報(bào)檢測(cè)系統(tǒng)、 抗DDo散擊系統(tǒng)和入侵保護(hù)系統(tǒng)或相關(guān)組件，防病毒網(wǎng)關(guān)和 UTM!提供防惡意代碼功能的系統(tǒng) 或相關(guān)組件，防垃圾郵件網(wǎng)關(guān)等提供防垃圾郵件功能的系統(tǒng)或相關(guān)組件，終端管理系統(tǒng)或相關(guān) 設(shè)備等。4）安全計(jì)

18、算環(huán)境單項(xiàng)測(cè)評(píng)安全計(jì)算環(huán)境的單項(xiàng)測(cè)評(píng)主要針對(duì)構(gòu)成等級(jí)保護(hù)對(duì)象的所有設(shè)備節(jié)點(diǎn)進(jìn)行。測(cè)評(píng)內(nèi)容主 要包括身份鑒別、訪問(wèn)控制、安全審計(jì)、可信驗(yàn)證、入侵防范、惡意代碼防范、數(shù)據(jù)完整性、數(shù) 據(jù)保密性、數(shù)據(jù)備份恢復(fù)和個(gè)人信息保護(hù)等。測(cè)評(píng)對(duì)象包括終端和服務(wù)器等設(shè)備中的操作系 統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬 安全設(shè)備）、移動(dòng)終端、移動(dòng)終端管理系統(tǒng)、移動(dòng)終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn) 設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔 等、提供可信驗(yàn)證的設(shè)備或組件和提供集中審計(jì)功能的系統(tǒng)等。5）安全管理中心單項(xiàng)測(cè)評(píng)安全管理中

19、心的單項(xiàng)測(cè)評(píng)主要針對(duì)相關(guān)的集中安全管理系統(tǒng)進(jìn)行。測(cè)評(píng)內(nèi)容主要包括系統(tǒng) 管理、審計(jì)管理、安全管理和集中管控等。測(cè)評(píng)對(duì)象主要包括提供集中系統(tǒng)管理功能的系統(tǒng)、 安全審計(jì)系統(tǒng)等提供集中審計(jì)功能的系統(tǒng)和綜合網(wǎng)管系統(tǒng)等提供運(yùn)行狀態(tài)監(jiān)測(cè)功能的系統(tǒng)等。 6）安全管理方面的單項(xiàng)測(cè)評(píng)安全管理方面的單項(xiàng)測(cè)評(píng)主要包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全 建設(shè)管理和安全運(yùn)維5個(gè)方面。測(cè)評(píng)對(duì)象主要包括人員和文檔。人員包括系統(tǒng)管理員、安全審計(jì) 員、安全管理員、機(jī)房管理員和文檔管理員等。文檔包括管理文檔（策略、制度、規(guī)程），記錄類 文檔（會(huì)議記錄、運(yùn)維記錄）和其他類文檔（機(jī)房驗(yàn)收證明等）。整體測(cè)評(píng)等級(jí)保護(hù)對(duì)象整體測(cè)

20、評(píng)需要從安全控制點(diǎn)測(cè)評(píng)、安全控制點(diǎn)間測(cè)評(píng)和區(qū)域間測(cè)評(píng)等方面進(jìn) 行綜合安全分析，從而給出等級(jí)測(cè)評(píng)結(jié)論。1）安全控制點(diǎn)測(cè)評(píng)安全控制點(diǎn)測(cè)評(píng)是指對(duì)單個(gè)控制點(diǎn)中所有要求項(xiàng)的符合程度進(jìn)行分析和判定。在單項(xiàng)測(cè)評(píng) 完成后，如果該安全控制點(diǎn)下的所有要求項(xiàng)為符合，則該安全控制點(diǎn)符合；否則，為不符合或部分符合。2）安全控制點(diǎn)問(wèn)測(cè)評(píng)安全控制點(diǎn)間測(cè)評(píng)的目的是確定安全問(wèn)題之間的關(guān)聯(lián)對(duì)定級(jí)對(duì)象整體安全保護(hù)能力的影響， 所以需要從同一安全類或?qū)用鎯?nèi)的兩個(gè)或兩個(gè)以上不同安全控制點(diǎn)間的測(cè)評(píng)結(jié)果進(jìn)行關(guān)聯(lián)綜合分 析。在單項(xiàng)測(cè)評(píng)工作完成后應(yīng)進(jìn)行安全控制點(diǎn)問(wèn)測(cè)評(píng)，匯總統(tǒng)計(jì)定級(jí)對(duì)象的某個(gè)安全控制點(diǎn)中的 要求項(xiàng)存在不符合或部分符合的情況，綜

21、合分析在同一安全類或?qū)用鎯?nèi)是否存在不同安全控制 點(diǎn)之間具有增強(qiáng)或削弱的作用（如物理訪問(wèn)控制和防盜竊、身份鑒別和訪問(wèn)控制等）。同時(shí)分析是否存在與該要求項(xiàng)具有相似的安全功能的安全技術(shù)措施或管理措施等相關(guān)工作。根據(jù)安全控制點(diǎn)問(wèn)測(cè)評(píng)結(jié)果，綜合分析判斷其相對(duì)應(yīng)的安全保護(hù)能力是否缺失，如果經(jīng)過(guò)綜合 分析其相關(guān)聯(lián)的安全問(wèn)題不會(huì)造成定級(jí)對(duì)象整體安全保護(hù)能力的缺失，則該安全控制點(diǎn)測(cè)評(píng)結(jié) 果應(yīng)調(diào)整為符合。3）區(qū)域間測(cè)評(píng)區(qū)域間測(cè)評(píng)的目的是確定安全問(wèn)題之間的關(guān)聯(lián)對(duì)定級(jí)對(duì)象整體安全保護(hù)能力的影響，所以 需要從不同功能區(qū)域間或不同控制方式之間的關(guān)聯(lián)進(jìn)行測(cè)評(píng)分析。在單項(xiàng)測(cè)評(píng)工作完成后應(yīng)進(jìn) 行區(qū)域間測(cè)評(píng)，匯總統(tǒng)計(jì)定級(jí)對(duì)象的某個(gè)安全控制點(diǎn)下的安全要求項(xiàng)不符合或部分符合的情況。 分析在互連互通的不同安全區(qū)域之間，是否存在區(qū)域間安全功能的相互增強(qiáng)或削弱等作用，重 點(diǎn)分析定級(jí)對(duì)象的訪問(wèn)控制路徑，如不同功能區(qū)域間的數(shù)據(jù)流流向和控制方式。根據(jù)區(qū)域間測(cè)評(píng)結(jié)果，綜合分析判斷與其相對(duì)應(yīng)的安全保護(hù)能力是否缺失，如果經(jīng)過(guò)綜合分析 其相關(guān)聯(lián)的安全問(wèn)題不會(huì)造成定級(jí)對(duì)象整體安全保護(hù)能力的缺失，則該安全控制點(diǎn)測(cè)評(píng)結(jié)果應(yīng) 調(diào)整為符合。測(cè)評(píng)結(jié)論形成等級(jí)測(cè)評(píng)結(jié)論的形成需要分析匯總單項(xiàng)測(cè)評(píng)結(jié)果中存在的不符合項(xiàng)或部分符合項(xiàng)，采用風(fēng) 險(xiǎn)分析方法對(duì)所有安全