信息安全技术-网络安全等级保护测评要求-第1部分：安全通用要求-编制说明

信息安全技术网络安全等级保护安全设计技术要求第4部分：物联网安全要求1范围本标准依据《网络安全等级保护安全设计技术要求第1部分：安全通用要求》和《网络安全等级保护基本要求第4部分：物联网安全扩展要求》，规范了信息系统等级保护安全设计要求对物联网系统的扩展设计要求，包括第一级至第四级物联网系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求。

本标准适用于指导信息系统等级保护物联网系统安全技术方案的设计和实施，也可作为信息安全职能部门对物联网系统进行监督、检查和指导的依据。

2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 25069-2010信息安全技术术语GB17859-1999计算机信息系统安全保护等级划分准则GB/T 22240-2008信息安全技术信息系统安全等级保护定级指南GB/T 25070-2010网络安全等级保护安全设计技术要求第1部分：安全通用要求GB/T 22239.4-XXXX网络安全等级保护基本要求第4部分：物联网安全扩展要求GB/T XXXX物联网第2部分：术语GB/T XXXX物联网第3部分：参考体系结构与通用技术要求3术语和定义下列术语和定义适用于本标准。

3.1定级系统classified system按照已确定安全保护等级的物联网系统。

定级系统分为第一级、第二级、第三级和第四级物联网系统。

3.2定级系统安全保护环境security environment of classified system由安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心构成的对定级系统进行安全保护的环境。

定级系统安全保护环境包括第一级物联网系统安全保护环境、第二级物联网系统安全保护环境、第三级物联网系统安全保护环境、第四级物联网系统安全保护环境以及定级系统的安全互联。

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。

但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。

矚慫润厲钐瘗睞枥庑赖。

矚慫润厲钐瘗睞枥庑赖賃。

根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。

聞創沟燴鐺險爱氇谴净。

聞創沟燴鐺險爱氇谴净祸。

1.2制定本标准的目的和意义《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。

这就要求等级测评过程规范、测评结论准确、公正及可重现。

残骛楼諍锩瀨濟溆塹籟。

残骛楼諍锩瀨濟溆塹籟婭。

《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。

酽锕极額閉镇桧猪訣锥。

酽锕极額閉镇桧猪訣锥顧。

伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。

国家标准《信息安全技术网络产品和服务安全通用要求》编制说明一、任务来源《信息安全技术网络产品和服务安全通用要求》是国家标准化管理委员会2017年下达的信息安全国家标准制定项目，国标立项号20193257-T-469，由中国电子技术标准化研究院、北京赛西科技发展有限责任公司、公安部第三研究所、中国信息安全测评中心、中国网络安全审查技术与认证中心、国家信息技术安全研究中心、中国电子信息产业发展研究院、中科院信息工程研究所、中国信息通信研究院、国家信息中心、国家计算机网络与信息安全管理中心、中电数据服务有限公司、中国软件评测中心、工业和信息化部电子第五研究所、中国电子科技集团公司第十五研究所、中科院软件所、公安部第一研究所、阿里巴巴（北京）软件服务有限公司、联想（北京）有限公司、阿里云计算有限公司、浪潮电子信息产业股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司、启明星辰信息技术集团股份有限公司、中国电力科学研究院有限公司、北京神州绿盟科技有限公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、北京威努特技术有限公司、山谷网安科技股份有限公司、国家应用软件产品质量监督检验中心、新华三技术有限公司、浙江蚂蚁小微金融服务集团股份有限公司、深信服科技股份有限公司、西门子（中国）有限公司、奇安信科技集团股份有限公司等单位共同参与了该标准的起草工作。

标准主要起草人包括：刘贤刚、李京春、顾健、李斌、李嵩、叶润国、孙彦、谢安明、胡影、王闯、许东阳、高金萍、宋好好、周开波、舒敏、吴迪、刘蓓、何延哲、方进社、崔宁宁、周亚超、张宝峰、布宁、任泽君、申永波、李汝鑫、樊洞阳、雷晓锋、鲍旭华、程广明、郭永振、白晓媛、赵江、杜晓黎、史岗、韩煜、董晶晶、刘玉岭、李凌、李娜、严妍、徐雨晴、张屹、焦玉峰、代威、石凌志、钟建伟、姚金龙、宋铮、闫韬、郭旭、王晖等。

二、编制原则当前，网络产品和服务中经常出现多种网络安全问题，例如，个人信息泄露、默认口令、后门、木马等，严重影响用户安全或国家安全。

国家标准《信息安全技术网络安全等级保护安全设计技术要求第1部分：通用设计要求》（征求意见稿）编制说明一、工作简况1.1任务来源《信息安全技术信息系统等级保护安全设计技术要求第1部分：通用设计要求》是国家标准化管理委员会 2014年下达的信息安全国家标准制定项目，国标计划号为：GB/T 25070.1-2010，由公安部第一研究所承担，参与单位包括北京工业大学、北京中软华泰信息技术有限责任公司、中国电子信息产业集团有限公司第六研究所、工业和信息化部电信研究院、阿里云计算技术有限公司、公安部第三研究所、中国信息安全测评中心、国家信息技术安全研究中心、浙江中烟工业有限责任公司、中央电视台、北京江南天安科技有限公司、华为技术有限公司、浪潮电子信息产业股份有限公司、浪潮集团、北京启明星辰信息安全技术有限公司。

1.2主要工作过程1)准备阶段2014年3月，在公安部11局的统一领导下，公安部第一研究所同协作单位共同成立标准编写项目组。

2）调研阶段标准起草组成立以后，项目组收集了大量国内外相关标准，进行了研讨，对信息安全的模型、威胁和脆弱性进行了充分讨论。

同时项目组参考了国内等级保护相关标准，为了真实了解行业内的安全要求，项目组也对行业内的企事业单位进行了调研。

3）编写阶段2014年4月，标准起草组组织了多次内部研讨会议，邀请了来自国内相关领域著名的专家、学者开展交流与研讨，确定了标准的总体技术框架、核心内容。

标准起草组按照分工，对标准各部分进行了编写，形成了《信息安全技术信息系统等级保护安全设计技术要求第1部分：通用设计要求》（草案）。

4）首次征求专家意见2014年4月，公安部11局组织业内专家对标准初稿进行了研讨，专家对标准范围、内容、格式等进行了详细讨论，提出了很多宝贵意见。

项目组根据专家意见，对标准进行了修改。

5）第二次征求专家意见2014年9、10月，公安部11局组织业内专家对标准初稿再次进行了研讨，专家再次对标准范围、内容、格式等进行了详细讨论，提出了宝贵意见。

信息安全技术网络安全等级保护基本要求第1部分安全通用要求1 范围本部分规定了不同等级保护对象的安全通用要求，对于采用移动互联、云计算、大数据、物联网和工业控制等新技术、新应用的保护对象，除使用本部分外还需参考其他的安全扩展要求。

本部分适用于指导分等级的非涉密保护对象的安全建设和监督管理。

2 规范性引用文件下列文件中的条款通过在本部分的引用而成为本部分的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本部分。

GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 25069-2010信息安全技术术语3 术语和定义GB/T 25069-2010和GB 17859-1999确立的以及下列术语和定义适用于本部分。

3.1 安全保护能力 security protection ability能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。

4 网络安全等级保护概述4.1 不同等级的安全保护对象安全等级保护对象是指等级保护工作中的保护对象，主要包括网络基础设施、信息系统、大数据、云计算平台、物联网、工控系统等；安全等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级。

第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。

但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。

根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。

1.2制定本标准的目的和意义《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。

这就要求等级测评过程规范、测评结论准确、公正及可重现。

《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。

伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。

作为《基本要求》的姊妹标准，《测评要求》需要同步修订，依据《基本要求》的更新内容对应修订相关的单元测评章节。

信息安全技术网络安全等级保护测评要求第2部分：云计算安全扩展要求Information security technology—Testing and evaluation requirement for classified protection of network security Part 2: Testing and evaluation requirement of cloud computing security目录前言 (IV)引言 (V)1 范围 (1)2 规范性引用文件 (1)3 术语与定义 (1)4 概述 (3)4.1 测评描述框架 (3)4.2 测评使用方法 (4)5 第二级云计算平台单元测评 (4)5.1 安全技术测评 (4)5.1.1 物理和环境安全 (4)5.1.1.1 物理位置选择 (4)5.1.2 网络与通信安全 (5)5.1.2.1 网络架构 (5)5.1.2.2 访问控制 (7)5.1.2.3 入侵防范 (9)5.1.3 设备和计算安全 (10)5.1.3.1 身份鉴别 (10)5.1.3.2 访问控制 (10)5.1.3.3 安全审计 (10)5.1.3.4 入侵防范 (12)5.1.3.5 资源控制 (13)5.1.3.6 镜像和快照保护 (14)5.1.4 应用和数据安全 (15)5.1.4.1 安全审计 (11)5.1.4.2 资源控制 (11)5.1.4.3 接口安全 (11)5.1.4.4 数据完整性 (11)5.1.4.5 数据备份和恢复 (11)5.2 安全管理测评 (14)5.2.1 安全管理机构和人员 (15)5.2.1.1 授权和审批 (15)5.2.2 系统安全建设管理 (15)5.2.2.1 测试验收 (15)5.2.2.2 云服务商选择 (15)5.2.2.3 供应链管理 (22)6 第三级云计算平台测评单元 (23)6.1 安全技术测评 (23)6.1.1 物理和环境安全 (23)6.1.1.1 物理位置选择 (23)6.1.2 网络和通信安全 (24)6.1.2.1 网络架构 (24)6.1.2.2 访问控制 (27)6.1.2.3 入侵防范 (30)6.1.2.4 安全审计 (31)6.1.3 设备和计算安全 (25)6.1.3.1 身份鉴别 (33)6.1.3.2 访问控制 (33)6.1.3.3 安全审计 (34)6.1.3.4 入侵防范 (37)6.1.3.5 恶意代码防范 (38)6.1.3.6 资源控制 (38)6.1.3.7 镜像和快照保护 (41)6.1.4 应用和数据安全 (42)6.1.4.1 安全审计 (42)6.1.4.2 资源控制 (44)6.1.4.3 接口安全 (45)6.1.4.4 数据完整性 (45)6.1.4.5 数据保密性 (46)6.1.4.6 数据备份和恢复 (47)6.1.4.7 剩余信息保护 (49)6.2 安全管理测评 (49)6.2.1 安全管理机构和人员 (49)6.2.1.1 授权和审批 (49)6.2.2 系统安全建设管理 (50)6.2.2.1 安全方案设计 (50)6.2.2.2 测试验收 (50)6.2.2.3 云服务商选择 (51)6.2.2.4 供应链管理 (55)6.2.3 系统安全运维管理 (56)6.2.3.1 监控和审计管理 (56)7 第四级云计算平台单元测评 (58)7.1 安全技术测评 (58)7.1.1 物理和环境安全 (58)7.1.1.1 物理位置选择 (58)7.1.2 网络和通信安全 (58)7.1.2.1 网络架构 (58)7.1.2.2 访问控制 (62)7.1.2.3 入侵防范 (64)7.1.2.4 安全审计 (65)7.1.3 设备和计算安全 (67)7.1.3.1 身份鉴别 (67)7.1.3.2 访问控制 (67)7.1.3.3 安全审计 (68)7.1.3.4 入侵防范 (71)7.1.3.5 恶意代码防范 (72)7.1.3.6 资源控制 (72)7.1.3.7 镜像和快照保护 (75)7.1.4 应用和数据安全 (76)7.1.4.1 安全审计 (76)7.1.4.2 资源控制 (78)7.1.4.3 接口安全 (79)7.1.4.4 数据完整性 (79)7.1.4.5 数据保密性 (80)7.1.4.6 数据备份和恢复 (81)7.1.4.7 剩余信息保护 (83)7.2 安全管理测评 (83)7.2.1 安全管理机构和人员 (83)7.2.1.1 授权和审批 (83)7.2.2 系统安全建设管理 (84)7.2.2.1 安全方案设计 (84)7.2.2.2 测试验收 (84)7.2.2.3 云服务商选择 (85)7.2.2.4 供应链管理 (85)7.2.3 系统安全运维管理 (86)7.2.3.1 监控和审计管理 (86)8 云计算平台整体测评 (88)8.1 概述 (88)8.2 安全控制点测评 (89)8.3 安全控制点间测评 (89)8.4 层面测评 (89)9 测评结论 (89)9.1 各层面的测评结论 (89)9.2 风险分析和评价 (90)9.3 测评结论 (90)附录 A （资料性附录）测评力度 (91)附录 B （资料性附录）测评单元编号说明 (93)参考文献 (94)前言GB/T 28448 《信息安全技术网络安全等级保护测评要求》拟分成部分出版，各部分将按照应用的领域划分成安全通用测评要求和具体领域的安全扩展测评要求。

信息安全技术网络安全等级保护测评要求第2部分：云计算安全扩展要求1 范围本部分规定了对不同等级的等级保护对象是否符合GB/T 22239.2-20XX所进行的测试评估活动的要求，包括对第二级等级保护对象、第三级等级保护对象和第四级等级保护对象进行安全测试评估的要求。

本部分略去对第一级等级保护对象、第五级等级保护对象进行安全测评评估的要求。

本部分规定了不同等级的保护对象的云计算安全扩展测评要求，除使用本部分外，还需参考通用测评要求。

本部分适用于信息安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象安全等级保护状况进行的安全测试评估。

信息安全监管职能部门依法进行的信息系统安全等级保护监督检查可以参考使用。

2 规范性引用文件下列文件对于本部分的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本部分。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本部分。

GB/T 25069-2010 信息安全技术术语GB17859-1999 计算机信息系统安全保护等级划分准则GB/T 22239.1-20XX 信息安全技术网络安全等级保护基本要求第1部分：安全通用要求GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南GB/T 28448.1-20XX 信息安全技术网络安全等级保护测评要求第1部分：通用测评要求GB/T 28449-20XX 信息安全技术信息系统安全等级保护测评过程指南GB/T 22239.2-20XX 信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求GB/T 25070.2-20XX 信息安全技术网络安全等级保护安全设计技术要求第2部分：云计算信息安全等级保护安全设计技术要求3 术语与定义GB/T 25069-2010、GB/T 28448.1-20XX和GB/T 22239.2-20XX界定的以及下列术语和定义适用于本部分。

信息安全技术网络安全等级保护测评要求信息安全技术是指为了保护信息系统中的信息不受到未经授权的访问、使用、披露、破坏、修改、干扰或者泄露的行为而采取的技术手段和管理措施。

网络安全等级保护测评是对信息系统网络安全等级保护的有效性进行评估和检测，以保障信息系统的安全性和可靠性。

本文将就信息安全技术网络安全等级保护测评要求进行详细介绍。

首先，网络安全等级保护测评要求包括对信息系统的网络安全等级进行评估和检测。

评估的内容包括信息系统的网络结构、网络设备、网络拓扑、网络接入控制、网络安全设备和网络安全管理等方面。

检测的内容包括网络设备的漏洞扫描、入侵检测、安全审计和安全监控等方面。

通过评估和检测，可以全面了解信息系统的网络安全等级保护情况，及时发现存在的安全隐患和漏洞，为制定安全防护措施提供依据。

其次，网络安全等级保护测评要求包括对信息系统的网络安全防护措施进行评估和检测。

评估的内容包括网络访问控制、网络边界防护、网络安全监控、网络安全事件响应和网络安全管理等方面。

检测的内容包括网络设备的安全配置、安全补丁管理、网络安全设备的性能和稳定性等方面。

通过评估和检测，可以全面了解信息系统的网络安全防护措施的有效性和可靠性，及时发现存在的安全风险和漏洞，为提升网络安全等级保护水平提供依据。

再次，网络安全等级保护测评要求包括对信息系统的网络安全管理进行评估和检测。

评估的内容包括网络安全策略、网络安全规范、网络安全培训、网络安全意识和网络安全文档等方面。

检测的内容包括网络安全管理的执行情况、网络安全管理的效果和网络安全管理的改进等方面。

通过评估和检测，可以全面了解信息系统的网络安全管理的完整性和有效性，及时发现存在的管理漏洞和不足，为加强网络安全管理提供依据。

最后，网络安全等级保护测评要求包括对信息系统的网络安全应急响应进行评估和检测。

评估的内容包括网络安全事件的响应预案、网络安全事件的处置流程、网络安全事件的响应能力和网络安全事件的响应效果等方面。

a) ；网络安全等级保护基本要求 第 1 部分：安全通用要求一、技术要求:基本要求第一级 第二级第三级第四级物理位置的选择/a) 机房出入口应安排专人值 a) 机房场地应选择在具有防 震、防风和防雨等能力的建筑 内；b) 机房场地应避免设在建筑 物的顶层或地下室，否则应加 强防水和防潮措施 a)a) ; b) ;a) 机房出入口应配置电子门禁 a) ; b) ;a) ;物理访问控制守或配置电子门禁系统，控制、 鉴别和记录进入的人员系统 ，控制、鉴别和记录进入 的人员b) 重要区域应配置第二道电 子门禁系统，控制、鉴别和记 录进入的人员 物理 和环 境安 全防盗窃和防破坏a) 应将机房设备或主要部件 进行固定，并设置明显的不易 除去的标记a) ；b) 应将通信线缆铺设在隐蔽 处，可铺设在地下或管道中。

a) ； b) ；c) 应设置机房防盗报警系统 或设置有专人值守的视频监控 系统a) ; b) ; c) ;a) 应将各类机柜、设施和设 a) a) ;防雷击备等通过接地系统安全接地b) 应采取措施防止感应雷， 例如设置防雷保安器或过压保 b) ;护装置等a)机房应设置灭火设备a) 机房应设置火灾自动消防 a) ；a) ;防火系统，能够自动检测火情、自 动报警，并自动灭火； b) 机房及相关的工作房间和 辅助房应采用具有耐火等级的 b) ；c) 应对机房划分区域进行管 理，区域和区域之间设置隔离 防火措施。

b) ; c) ;建筑材料防水和防潮a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透a)；b)应采取措施防止机房内水蒸气结露和地下积水的转移与a)；b)；c)应安装对水敏感的检测仪a);b);c);防静电/渗透a)应安装防静电地板并采用必要的接地防静电措施表或元件，对机房进行防水检测和报警。

a)；b)应采用措施防止静电的产生，例如采用静电消除器、佩a);b);戴防静电手环等。

温湿度控制电力供应a)机房应设置必要的温、湿度控制设施，使机房温、湿度的变化在设备运行所允许的范围之内a)应在机房供电线路上配置稳压器和过电压防护设备a)机房应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围之内a)；b)应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求a)电源线和通信线缆应隔离a);a)；b)；c)应设置冗余或并行的电力电缆线路为计算机系统供电。