标准搜索结果: 'GB/T 28448-2019'
| 标准编号 | GB/T 28448-2019 (GB/T28448-2019) | | 中文名称 | 信息安全技术 网络安全等级保护测评要求 | | 英文名称 | Information security technology - Evaluation requirement for classified protection of cybersecurity | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 290,247 | | 发布日期 | 2019-05-10 | | 实施日期 | 2019-12-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 28448-2019
Information security technology--Evaluation requirement for classified protection of cybersecurity
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 28448-2012
信息安全技术
网络安全等级保护测评要求
2019-05-10发布
2019-12-01实施
国 家 市 场 监 督 管 理 总 局
中国国家标准化管理委员会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 等级测评概述 2
5.1 等级测评方法 2
5.2 单项测评和整体测评 3
6 第一级测评要求 3
6.1 安全测评通用要求 3
6.2 云计算安全测评扩展要求 19
6.3 移动互联安全测评扩展要求 22
6.4 物联网安全测评扩展要求 23
6.5 工业控制系统安全测评扩展要求 25
7 第二级测评要求 27
7.1 安全测评通用要求 27
7.2 云计算安全测评扩展要求 64
7.3 移动互联安全测评扩展要求 72
7.4 物联网安全测评扩展要求 75
7.5 工业控制系统安全测评扩展要求 77
8 第三级测评要求 81
8.1 安全测评通用要求 81
8.2 云计算安全测评扩展要求 138
8.3 移动互联安全测评扩展要求 151
8.4 物联网安全测评扩展要求 156
8.5 工业控制系统安全测评扩展要求 162
9 第四级测评要求 167
9.1 安全测评通用要求 167
9.2 云计算安全测评扩展要求 228
9.3 移动互联安全测评扩展要求 242
9.4 物联网安全测评扩展要求 247
9.5 工业控制系统安全测评扩展要求 253
10 第五级测评要求 259
11 整体测评 259
11.1 概述 259
11.2 安全控制点测评 260
11.3 安全控制点间测评 260
11.4 区域间测评 260
12 测评结论 260
12.1 风险分析和评价 260
12.2 等级测评结论 260
附录A(资料性附录) 测评力度 262
附录B(资料性附录) 大数据可参考安全评估方法 264
附录C(规范性附录) 测评单元编号说明 284
参考文献 285
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准代替 GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》,与
GB/T 28448-2012相比,主要变化如下:
---将标准名称变更为《信息安全技术 网络安全等级保护测评要求》;
---每个级别增加了云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展
要求和工业控制系统安全测评扩展要求等内容;
---增加了等级测评、测评对象、云服务商和云服务客户等相关术语和定义(见第3章,2012年版
的第3章);
---将针对控制点的单元测评细化调整为针对要求项的单项测评,删除了“测评框架”(见2012年
版的4.1)和“等级测评内容”(见2012年版的4.2);
---增加了大数据可参考安全评估方法(见附录B)和测评单元编号说明(见附录C)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:公安部第三研究所(公安部信息安全等级保护评估中心)、中国电子技术标准化研
究院、国家信息中心、中国科学院信息工程研究所(信息安全国家重点实验室)、北京大学、新华三技术有
限公司、成都科来软件有限公司、中国移动通信集团有限公司、北京鼎普科技股份有限公司、北京微步在
线科技有限公司、北京梆梆安全科技有限公司、北京迅达云成科技有限公司、中国电子科技集团公司第
十五研究所(信息产业信息安全测评中心)、公安部第一研究所、北京信息安全测评中心、国家能源局信
息中心(电力行业信息安全等级保护测评中心)、全球能源互联网研究院、北京卓识网安技术股份有限公
司、中国电力科学研究院、南京南瑞集团公司、国电南京自动化股份有限公司、南方电网科学研究院、中
国电子信息产业集团公司第六研究所、工业和信息化部计算机与微电子发展研究中心(中国软件评测中
心)、启明星辰信息技术集团股份有限公司、北京烽云互联科技有限公司、华普科工(北京)有限公司。
本标准主要起草人:陈广勇、李明、黎水林、马力、曲洁、于东升、艾春迪、郭启全、葛波蔚、祝国邦、
陆磊、张宇翔、毕马宁、沙淼淼、李升、胡红升、陈雪鸿、袁静、章恒、张益、毛澍、王斌、尹湘培、王勇、高亚楠、
焦安春、赵劲涛、于俊杰、徐衍龙、马晓波、江雷、黄顺京、朱建兴、苏艳芳、禄凯、何申、霍珊珊、于运涛、
陈震、任卫红、孙惠平、万晓兰、马红霞、薛锋、赵林林、刘金刚、胡越宁、周晓雪、李亚军、杨洪起、孟召瑞、
李飞、王江波、阚志刚、刘健、陶源、李秋香、许凤凯、王绍杰、李晨旸、李凌、朱世顺、张五一、陈华军、张洁昕、
张彪、李汪蔚、王雪、蔡学琳、胡娟、刘静、周峰、郝鑫、马闽、段伟恒。
本标准所代替标准的历次版本发布情况为:
---GB/T 28448-2012。
引 言
为了配合《中华人民共和国网络安全法》的实施,同时适应云计算、移动互联、物联网和工业控制等
新技术、新应用情况下网络安全等级保护工作的开展,需对GB/T 28448-2012进行修订。同时,作为
测评指标进行引用的GB/T 22239-2008也启动了修订工作。修订的思路和方法依据GB/T 22239调
整的内容,针对共性安全保护需求提出安全测评通用要求,针对云计算、移动互联、物联网和工业控制等
新技术、新应用领域的个性安全保护需求提出安全测评扩展要求,形成新的《信息安全技术 网络安全
等级保护测评要求》标准。
本标准是网络安全等级保护相关系列标准之一。
与本标准相关的标准包括:
---GB/T 25058 信息安全技术 信息系统安全等级保护实施指南;
---GB/T 22240 信息安全技术 信息系统安全等级保护定级指南;
---GB/T 22239 信息安全技术 网络安全等级保护基本要求;
---GB/T 25070 信息安全技术 网络安全等级保护安全设计技术要求;
---GB/T 28449 信息安全技术 网络安全等级保护测评过程指南。
信息安全技术
网络安全等级保护测评要求
1 范围
本标准规定了不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求。
本标准适用于安全测评服务机构、等级保护对象的运营使用单位及主管部门对等级保护对象的安全
状况进行安全测评并提供指南,也适用于网络安全职能部门进行网络安全等级保护监督检查时参考使用。
注:第五级等级保护对象是非常重要的监督管理对象,对其有特殊的管理模式和安全测评要求,所以不在本标准中
进行描述。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17859-1999 计算机信息系统 安全保护等级划分准则
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 25069 信息安全技术 术语
GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求
GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南
GB/T 31167-2014 信息安全技术 云计算服务安全指南
GB/T 31168-2014 信息安全技术 云计算服务安全能力要求
GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南
3 术语和定义
GB 17859-1999、GB/T 25069、GB/T 22239-2019、GB/T 25070-2019、GB/T 31167-2014、
GB/T 31168-2014和GB/T 32919-2016界定的以及下列术语和定义适用于本文件。为了便于使用,
以下重复列出了GB/T 31167-2014和GB/T 31168-2014中的一些术语和定义。
3.1
访谈 interview
测评人员通过引导等级保护对象相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、
澄清或取得证据的过程。
3.2
核查 examine
测评人员通过对测评对象(如制度文档、各类设备及相关安全配置等)进行观察、查验和分析,以帮
助测评人员理解、澄清或取得证据的过程。
3.3
测试 test
测评人员使用预定的方法/工具使测评对象(各类设备或安全配置)产生特定的结果,将运行结果与
预期的结果进行比对的过程。
3.4
评估 evaluate
对测评对象可能存在的威胁及其可能产生的后果进行综合评价和预测的过程。
3.5
等级测评过程中不同测评方法作用的对象,主要涉及相关配套制度文档、设备设施及人员等。
3.6
测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密
的网络安全等级保护状况进行检测评估的活动。
3.7
云服务商 cloudserviceprovider
云计算服务的供应方。
注:云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。
[GB/T 31167-2014,定义3.3]
3.8
云服务客户 cloudservicecustomer
为使用云计算服务同云服务商建立业务关系的参与方。
[GB/T 31168-2014,定义3.4]
3.9
虚拟机监视器 hypervisor
运行在基础物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享硬件。
3.10
宿主机 hostmachine
运行虚拟机监视器的物理服务器。
4 缩略语
下列缩略语适用于本文件。
WiFi:无线保真(WirelessFidelity)
5 等级测评概述
5.1 等级测评方法
等级测评实施的基本方法是针对特定的测评对象,采用相关的测评手段,遵从一定的测评规程,获
取需要的证据数据,给出是否达到特定级别安全保护能力的评判。等级测评实施的详细流程和方法见
GB/T 28449-2018。
本标准中针对每一个要求项的测评就构成一个单项测评,针对某个要求项的所有具体测评内容构
成测评实施。单项测评中的每一个具体测评实施要求项(以下简称“测评要求项”)是与安全控制点下面
所包括的要求项(测评指标)相对应的。在对每一要求项进行测评时,可能用到访谈、核查和测试
三种测评方法,也可能用到其中一种或两种。测评实施的内容完全覆盖了 GB/T 22239-2019及
GB/T 25070-2019中所有要求项的测评要求,使用时应当从单项测评的测评实施中抽取出对于
GB/T 22239-2019中每一个要求项的测评要求,并按照这些测评要求开发测评指导书,以规范
和指导等级测评活动。
根据调研结果,分析等级保护对象的业务流程和数据流,确定测评工作的范围。结合等级保护对象
的安全级别,综合分析系统中各个设备和组件的功能和特性,从等级保护对象构成组件的重要性、安全
性、共享性、全面性和恰当性等几方面属性确定技术层面的测评对象,并将与其相关的人员及管理文档
确定为管理层面的测评对象。测评对象可以根据类别加以描述,包括机房、业务应用软件、主机操作系
统、数据库管理系统、网络互联设备、安全设备、访谈人员及安全管理文档等。
等级测评活动中涉及测评力度,包括测评广度(覆盖面)和测评深度(强弱度)。安全保护等级较高
的测评实施应选择覆盖面更广的测评对象和更强的测评手段,可以获得可信度更高的测评证据,测评力
度的具体描述参见附录A。
每个级别测评要求都包括安全测评通用要求、云计算安全测评扩展要求、移动互联安全测评扩展要
求、物联网安全测评扩展要求和工业控制系统安全测评扩展要求5个部分。大数据可参考安全评估方
法参见附录B。
5.2 单项测评和整体测评
等级测评包括单项测评和整体测评。
单项测评是针对各安全要求项的测评,支持测评结果的可重复性和可再现性。本标准中单项测评
由测评指标、测评对象、测评实施和单元判定结果构成。为方便使用针对每个测评单元进行编号,具体
描述见附录C。
整体测评是在单项测评基础上,对等级保护对象整体安全保护能力的判断。整体安全保护能力从
纵深防护和措施互补两个角度评判。
6 第一级测评要求
6.1 安全测评通用要求
6.1.1 安全物理环境
6.1.1.1 物理访问控制
6.1.1.1.1 测评单元(L1-PES1-01)
该测评单元包括以下要求:
a) 测评指标:机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。
b) 测评对象:机房电子门禁系统和值守记录。
c) 测评实施:应核查是否安排专人值守或配置电子门禁系统。
d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单
元指标要求。
6.1.1.2 防盗窃和防破坏
6.1.1.2.1 测评单元(L1-PES1-02)
该测评单元包括以下要求:
a) 测评指标:应将设备或主要部件进行固定,并设置明显的不易除去的标识。
b) 测评对象:机房设备或主要部件。
c) 测评实施包括以下内容:
1) 应核查机房内设备或主要部件是否固定;
2) 应核查机房内设备或主要部件上是否设置了明显且不易除去的标识。
d) 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评
单元指标要求。
6.1.1.3 防雷击
6.1.1.3.1 测评单元(L1-PES1-03)
该测评单元包括以下要求:
a) 测评指标:应将各类机柜、设施和设备等通过接地系统安全接地。
b) 测评对象:机房。
c) 测评实施:应核查机房内机柜、设施和设备等是否进行接地处理。
d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单
元指标要求。
6.1.1.4 防火
6.1.1.4.1 测评单元(L1-PES1-04)
该测评单元包括以下要求:
a) 测评指标:机房应设置灭火设备。
b) 测评对象:机房灭火设备。
c) 测评实施:应核查机房内是否配备灭火设备。
d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单
元指标要求。
6.1.1.5 防水和防潮
6.1.1.5.1 测评单元(L1-PES1-05)
该测评单元包括以下要求:
a) 测评指标:应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
b) 测评对象:机房。
c) 测评实施:应核查窗户、屋顶和墙壁是否采取了防雨水渗透的措施。
d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单
元指标要求。
6.1.1.6 温湿度控制
6.1.1.6.1 测评单元(L1-PES1-06)
该测评单元包括以下要求:
a) 测评指标:应设置必要的温湿度调节设施,使机房温湿度的变化在设备运行所允许的范围
之内。
b) 测评对象:机房温湿度控制设施。
c) 测评实施包括以下内容:
1) 应核查机房内是否配备了温湿度调节设施;
2) 应核查温湿度是否在设备运行所允许的范围之内。
d) 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评
单元指标要求。
6.1.1.7 电力供应
6.1.1.7.1 测评单元(L1-PES1-07)
该测评单元包括以下要求:
a) 测评指标:应在机房供电线路上配置稳压器和过电压防护设备。
b) 测评对象:机房供电设施。
c) 测评实施:应核查供电线路上是否配置了稳压器和过电压防护设备。
d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单
元指标要求。
6.1.2 安全通信网络
6.1.2.1 通信传输
6.1.2.1.1 测评单元(L1-CNS1-01)
该测评单元包括以下要求:
a) 测评指标:应采用校验技术保证通信过程中数据的完整性。
b) 测评对象:提供校验技术功能的设备或组件。
c) 测评实施:应核查是否在数据传输过程中使用校验技术来保护其完整性。
d) 单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单
元指标要求。
6.1.2.2 可信验证
6.1.2.2.1 测评单元(L1-CNS1-02)
该测评单元包括以下要求:
a) 测评指标:可基于可信根对通信设备的系统引导程序、系统程序等进行可信验证,并在检测到
其可信性受到破坏后进行报警。
b) 测评对象:提供可信验证的设备或组件。
c) 测评实施包括以下内容:
1) 应核查是否基于可信根对通信设备的系统引导程序、系统程序等进行可信验证;
2) 应核查当检测到通信设备的可信性受到破坏后是否进行报警。
d) 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评
单元指标要求。
6.1.3 安全区域边界
6.1.3.1 边界防护
6.1.3.1.1 测评单元(L1-ABS1-01)
该测评单元包括以下要求:
a) 测评指标:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
b) 测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相
关组件。
c) 测评实施包括以下内容:
1) 应核查在网络边界处是否部署访问控制设备;
2) 应核查设备配置信息是否指定端口进行跨越边界的网络通信,指定端口是否配置并启用
了安全策略;
3) 应采用其他技术手段(如非法无线网络设备定位、核查设备配置信息等)核查是否不存在
其他未受控端口进行跨越边界的网络通信。
d) 单元判定:如果1)~3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评
单元指标要求。
6.1.3.2 访问控制
6.1.3.2.1 测评单元(L1-ABS1-02)
该测评单元包括以下要求:
a) 测评指标:应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控
接口拒绝所有通信。
b) 测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相
关组件。
c) 测评实施包括以下内容:
1) 应核查在网络边界是否部署访问控制设备并启用访问控制策略;
2) 应核查设备的最后一条访问控制策略是否为禁止所有网络通信。
d) 单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评
单元指标要求。
6.1.3.2.2 测评单元(L1-ABS1-03)......
|