1、ICS 03.060A 11JR中 华 人 民 共 和 国 金 融 行 业 标 准JR/T 00722020代替 JR/T 00722012金融行业网络安全等级保护测评指南Testing and evaluation guidelines for classified protection of cybersecurity offinancial industry2020 - 11 - 11 发布2020 - 11 - 11 实施中国人民银行发 布JR/T 00722020I目次前言.II引言.III1 范围.12 规范性引用文件.13 术语和定义.14 缩略语.55 等级测评概述.55.1
2、等级测评方法.55.2 单项测评和整体测评.56 第二级测评要求.66.1 安全测评通用要求.66.2 云计算安全测评扩展要求.546.3 移动互联安全测评扩展要求.616.4 物联网安全测评扩展要求.647 第三级测评要求.707.1 安全测评通用要求.707.2 云计算安全测评扩展要求.1497.3 移动互联安全测评扩展要求.1657.4 物联网安全测评扩展要求.1718 第四级测评要求.1818.1 安全测评通用要求.1818.2 云计算安全测评扩展要求.2678.3 移动互联安全测评扩展要求.2888.4 物联网安全测评扩展要求.2959 整体测评.3059.1 概述.3059.2 安
3、全控制点测评.3059.3 安全控制点间测评.3059.4 区域间测评.30510 测评结论.30510.1 风险分析和评价.30510.2 等级测评结论.306附录 A(资料性附录)测评力度.307附录 B(资料性附录)大数据可参考安全评估方法.309附录 C(规范性附录)测评单元编号说明.330参考文献.331JR/T 00722020II前言本标准按照GB/T 1.12009给出的规则起草。本标准代替JR/T 00722012 金融行业信息系统信息安全等级保护测评指南 , 与JR/T 00722012相比,主要技术变化如下:修改了“等级测评概述”(见第 5 章,2012 年版第 3 章)
4、;删除了“等级测评过程”(见 2012 年版第 4 章);删除了“测评准备”(见 2012 年版第 5 章);删除了“测评方案”(见 2012 年版第 6 章);修改了“第二级测评要求”的“安全测评通用要求”中“安全物理环境” “安全通信网络” “安全区域边界”“安全计算环境”“安全管理中心”“安全管理制度”“安全管理机构”“安全管理人员”“安全建设管理”“安全运维管理”相关要求项(见 6.1,2012 年版 7.1.1);增加了 “第二级测评要求” 中 “云计算安全测评扩展要求” “移动互联安全测评扩展要求” “物联网安全测评扩展要求”(见第 6 章);修改了“第三级测评要求”的“安全测评通
5、用要求”中“安全物理环境” “安全通信网络” “安全区域边界”“安全计算环境”“安全管理中心”“安全管理制度”“安全管理机构”“安全管理人员”“安全建设管理”“安全运维管理”相关要求项(见 7.1,2012 年版 7.1.2);增加了 “第三级测评要求” 中 “云计算安全测评扩展要求” “移动互联安全测评扩展要求” “物联网安全测评扩展要求”(见第 7 章);修改了“第四级测评要求”的“安全测评通用要求”中“安全物理环境” “安全通信网络” “安全区域边界”“安全计算环境”“安全管理中心”“安全管理制度”“安全管理机构”“安全管理人员”“安全建设管理”“安全运维管理”相关要求项(见 8.1,2
6、012 年版 7.1.3);增加了 “第四级测评要求” 中 “云计算安全测评扩展要求” “移动互联安全测评扩展要求” “物联网安全测评扩展要求”(见第 8 章);删除了“分析与报告编制”(见 2012 年版第 8 章);删除了“现场单元测评检查表”(见 2012 年版附录 A);增加了“测评力度”(见附录 A);增加了“大数据可参考安全评估方法”,对金融行业大数据平台提出分级要求(见附录 B);增加了“测评单元编号说明”(见附录 C)。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会(SAC/TC 180)归口。本标准起草单位:中国人民银行科技司、中国银行保险监督管理委员会统计信息与
7、风险监测部、中国金融电子化公司、北京中金国盛认证有限公司、银行卡检测中心、中国平安保险(集团)股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司。本标准主要起草人:李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、方怡、张海燕、唐辉、李凡、王海涛、张璐、潘丽扬、邓昊、侯漫丽、孙国栋、刘文娟、赵方萌、马成龙、杜巍、崔莹、陈雪峰、渠韶光、高强裔、李博文、李金华、金朝、任勇强、岳源、朱京城、赵江、于惊涛、胡珊、谢虹、杨剑、李建彬、于国强、肖松、白阳、张宇、赵华。本标准所代替标准的历次版本发布情况为:JR/T 00722012。JR/T 00722020III引言网络安全等级保护是国家网络安全保障工
8、作的一项基本制度,金融行业重要系统关系到国计民生,是国家网络安全重点保护对象, 因此需要一系列适合金融行业的等级保护标准体系作为支撑, 以规范和指导金融行业等级保护工作的实施。随着云计算、移动互联、物联网、大数据等新技术的广泛应用,金融机构正根据自身发展的需要,持续推进IT架构的转型。为适应新技术、新应用和新架构情况下金融行业网络安全等级保护工作的开展,对JR/T 0071进行了修订,同时,作为测评指标进行引用的JR/T 0072也启动了修订工作。修订后的JR/T 0072依据JR/T 0071基本要求调整的内容,针对共性安全保护需求提出安全测评通用要求,针对云计算、移动互联、物联网等新技术、
9、新应用领域的个性安全保护需求提出安全测评扩展要求。JR/T 007220201金融行业网络安全等级保护测评指南1范围本标准规定了金融行业对第二级、第三级和第四级的等级保护对象的安全测评通用要求和安全测评扩展要求。本标准适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门对等级保护对象的安全状况进行安全测评。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的文件,其最新版本(包括所有的修改版)适用于本文件。GB/T 222392019信息安全技术 网络安全等级保护基本要求GB/T 284482019信息安全技术 网络安
10、全等级保护测评要求GB/T 284492018信息安全技术 网络安全等级保护测评过程指南GB/T 311672014信息安全技术 云计算服务安全指南GB/T 311682014信息安全技术 云计算服务安全能力要求GB/T 324002015云计算概览与词汇GM/T 00542018信息系统密码应用基本要求JR/T 0071.22020金融行业网络安全等级保护实施指引 第2部分:基本要求JR/T 01712020个人金融信息保护技术规范3术语和定义下列术语和定义适用于本文件。3.1访谈interview测评人员通过引导等级保护对象相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、澄清或取
11、得证据的过程。GB/T 284482019,定义3.13.2核查examine测评人员通过对测评对象(如制度文档、各类设备及相关安全配置等)进行观察、查验和分析,以帮助测评人员理解、澄清或取得证据的过程。GB/T 284482019,定义 3.23.3测试test测评人员使用预定的方法/工具使测评对象(各类设备或安全配置)产生特定的结果,将运行结果与预期的结果进行比对的过程。GB/T 284482019,定义 3.33.4JR/T 007220202评估evaluate对测评对象可能存在的威胁及其可能产生的后果进行综合评价和预测的过程。GB/T 284482019,定义 3.43.5测评对象t
12、arget of testing and evaluation等级测评过程中不同测评方法作用的对象,主要涉及相关配套制度文档、设备设施及人员等。GB/T 284482019,定义 3.53.6等级测评testing and evaluation for classified cybersecurity protection测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。GB/T 284482019,定义 3.63.7云计算cloud computing通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取
13、和管理资源的模式。注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。GB/T 311672014,定义3.13.8云服务cloud service通过云计算已定义的接口提供的一种或多种能力。GB/T 324002015,定义 3.2.83.9云服务商cloud service provider云计算服务的供应方。注:云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。GB/T 311672014,定义 3.33.10云服务客户cloud service customer为使用云计算服务同云服务商建立业务关系的参与方。GB/T 311682014,定义 3
14、.43.11云计算平台/系统cloud computing platform/system云服务商提供的云计算基础设施及其上的服务软件的集合。GB/T 222392019,定义 3.63.12团体云community cloud由一组特定的云服务客户使用和共享,且资源被云服务商或使用者控制的一种云部署和云服务模式。3.13虚拟机virtual machine通过各种虚拟化技术,为用户提供的与原有物理服务器相同的操作系统和应用程序运行环境的统称。注:虚拟机通常使用物理服务器的资源,在用户看来它与物理服务器的使用方式完全相同。JR/T 0072202033.14虚拟机监视器hypervisor运行
15、在基础物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享硬件。GB/T 222392019,定义 3.73.15资源池resource pool按照一定规则可从中获取、释放、或回收资源的物理资源或虚拟资源的集合。注:资源包括物理机、虚拟机、物理存储资源、虚拟存储资源、物理网络资源和虚拟网络资源等。3.16宿主机host machine运行虚拟机监视器的物理服务器。GB/T 222392019,定义 3.83.17敏感数据sensitive data一旦泄露可能会对用户或金融机构造成损失的数据。JR/T 0071.22020,定义 3.243.18个人金融信息personal f
16、inancial information金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。注:本标准中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。JR/T 01712020,定义 3.23.19个人金融信息主体personal financial data subject个人金融信息所标识的自然人。JR/T 01712020,定义3.43.20移动互联mobile communication采用无线通信技术将移动终端接入有线网络的过程。GB/T 222392019,定义 3.93.21移动终端mob
17、ile device在移动业务中使用的终端设备,包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。GB/T 222392019,定义 3.103.22无线接入设备wireless access device采用无线通信技术将移动终端接入有线网络的通信设备。GB/T 222392019,定义 3.113.23无线接入网关wireless access gateway部署在无线网络与有线网络之间,对有线网络进行安全防护的设备。JR/T 007220204GB/T 222392019,定义 3.123.24移动应用软件mobile application针对移动终端开发的应用软件。GB/T
18、222392019,定义 3.133.25移动终端管理系统mobile device managementsystem用于进行移动终端设备管理、应用管理和内容管理的专用软件,包括客户端软件和服务端软件。GB/T 222392019,定义 3.143.26物联网internet of things;IOT将感知节点设备(含 RFID)通过互联网等网络连接起来构成的一个应用系统,其融合信息系统和物理世界实体,是虚拟世界与现实世界的结合。注:改写 GB/T 222392019,定义 3.15。3.27网关节点设备The sensor layer gateway将感知节点设备所采集的数据传输到数据处理
19、中心的关键出口,连接传统信息网络(有线网、移动网等)和传感网的设备。注:简单的感知层网关只是对感知数据的转发(因电力充足),而智能的感知层网关可以包括对数据进行适当处理、数据融合等业务。3.28感知节点设备sensor node物联网系统的最终端设备或器件,能够通过有线、无线方式发起或终结通信,采集物理信息和/或接受控制的实体设备。注:感知节点设备也叫感知终端设备(end sensor)、终端感知节点设备(end sensor node)。3.29感知网关节点设备sensor layergateway将感知节点所采集的数据进行汇总、适当处理或数据融合,并进行转发的装置。GB/T 2223920
20、19,定义 3.173.30动态口令one-time-password(OTP),dynamic password基于时间、事件等方式动态生成的一次性口令。GM/T 00542018,定义 3.13.31安全单元security element;SE负责关键数据的安全存储的部件。3.32大数据big data具有数量巨大、种类多样、流动速度快、特征多变等特性,并且难以用传统数据体系结构和数据处理技术进行有效组织、存储、计算、分析和管理的数据集。3.33大数据平台big data platformJR/T 007220205采用分布式存储和计算技术,提供大数据的访问和处理,支持大数据应用安全高效
21、运行的软硬件集合。注:大数据平台通常包括监视大数据的存储、输入/输出、操作控制等大数据服务软硬件基础设施。4缩略语下列缩略语适用于本文件。AP:无线访问接入点(Wireless Access Point)CPU:中央处理单元(Central Processing Unit)DDoS:分布式拒绝服务攻击(Distributed Denial of Service)DoS:拒绝服务(Denial of Service)HTTPS:安全超文本传输协议(HyperText Transfer Protocol Secure)IP:互联网协议(Internet Protocol)IT:信息技术(Infor
22、mation Technology)RFID:射频识别(Radio Frequency Identification)SQL:结构化查询语言(Structured Query Language)SSID:服务集标识(Service Set Identifier)VPN:虚拟专用网络(Virtual Private Network)WEP:有线等效加密(Wired Equivalent Privacy)WPS:WiFi 保护设置(WiFi Protected Setup)XSS:跨站脚本攻击(Cross-Site Scripting)5等级测评概述5.1等级测评方法等级测评实施的基本方法是针对特
23、定的测评对象,采用相关的测评手段,遵从一定的测评规程,获取需要的证据数据,给出是否达到特定级别安全保护能力的评判。等级测评实施的详细流程和方法见GB/T284492018。本标准中针对每一个要求项的测评就构成一个单项测评,针对某个要求项的所有具体测评内容构成测评实施。单项测评中的每一个具体测评实施要求项(以下简称“测评要求项”)是与安全控制点下面所包括的要求项(测评指标)相对应的。在对每一要求项进行测评时,可能用到访谈、核查和测试三种测评方法, 也可能用到其中一种或两种。 测评实施的内容完全覆盖了JR/T 0071.22020中所有要求项的测评要求,使用时应当从单项测评的测评实施中抽取出对于J
24、R/T 0071.22020中每一个要求项的测评要求,并按照这些测评要求开发测评指导书,以规范和指导等级测评活动。根据调研结果,分析等级保护对象的业务流程和数据流,确定测评工作的范围。结合等级保护对象的安全级别,综合分析系统中各个设备和组件的功能和特性,从等级保护对象构成组件的重要性、安全性、共享性、全面性和恰当性等几方面属性确定技术层面的测评对象,并将与其相关的人员及管理文档确定为管理层面的测评对象。测评对象可以根据类别加以描述,包括机房、业务应用软件、主机操作系统、数据库管理系统、网络互联设备、安全设备、访谈人员及安全管理文档等。等级测评活动中涉及测评力度,包括测评广度(覆盖面)和测评深度
25、(强弱度)。安全保护等级较高的测评实施应选择覆盖面更广的测评对象和更强的测评手段,可以获得可信度更高的测评证据,测评力度的具体描述参见附录A。每个级别测评要求都包括安全测评通用要求、云计算安全测评扩展要求、移动互联安全测评扩展要求和物联网安全测评扩展要求4个部分,大数据可参考安全评估方法参见附录B。与金融机构系统特色相结合,新增金融行业增强安全保护类(F类)要求,F2表示第二级增强安全保护要求,F3表示第三级增强安全保护要求,F4表示第四级增强安全保护要求。5.2单项测评和整体测评等级测评包括单项测评和整体测评。JR/T 007220206单项测评是针对各安全要求项的测评,支持测评结果的可重复
26、性和可再现性。本标准中单项测评由测评指标、测评对象、测评实施和单元判定结果构成。为方便使用,针对每个测评单元进行编号,具体描述见附录C。整体测评是在单项测评基础上,对等级保护对象整体安全保护能力的判断。整体安全保护能力从纵深防护和措施互补两个角度评判。6第二级测评要求6.1安全测评通用要求6.1.1安全物理环境6.1.1.1物理位置选择测评单元(L2-PES1-01)该测评单元包括以下要求:a)测评指标:机房场地应选择在具有防震、防风和防雨等能力的建筑内。b)测评对象:记录表单类文档和机房。c)测评实施包括以下内容:1)应核查所在建筑物是否具有建筑物抗震设防审批文档。2)应核查机房是否不存在雨
27、水渗漏。3)应核查机房门窗是否不存在因风导致尘土严重的情况。4)应核查屋顶、墙体、门窗和地面等是否没有破损开裂。d)单元判定:如果 1)4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。测评单元(L2-PES1-02)该测评单元包括以下要求:a)测评指标:机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。b)测评对象:机房。c)测评实施:应核查机房是否不位于所在建筑物的顶层或地下室,如果否,则核查机房是否采取了防水和防潮措施。d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。6.1.1.2物理访问控制
28、测评单元(L2-PES1-03)该测评单元包括以下要求:a)测评指标:机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。b)测评对象:机房电子门禁系统和值守记录。c)测评实施包括以下内容:1)应核查是否安排专人值守或配置电子门禁系统。2)应核查相关记录是否能够控制、鉴别和记录进入的人员。d)单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。测评单元(L2-PES1-04)该测评单元包括以下要求:a)测评指标:可对机房划分区域进行管理,并根据各区域特点提出相应的访问控制要求可对机房划分区域进行管理,并根据各区域特点提出相
29、应的访问控制要求。(F2F2)b)测评对象:机房。c)测评实施包括以下内容:JR/T 0072202071)应核查机房区域划分是否合理,是否根据各区域特点提出相应的访问控制要求。2)应核查相关记录是否能够控制、鉴别和记录进入的人员。d)单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。6.1.1.3防盗窃和防破坏测评单元(L2-PES1-05)该测评单元包括以下要求:a)测评指标:应将设备或主要部件进行固定,并设置明显的不易除去的标识。b)测评对象:机房设备或主要部件。c)测评实施包括以下内容:1)应核查机房内设备或主要部件是否固定。2)应
30、核查机房内设备或主要部件上是否设置了明显且不易除去的标识。d)单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。测评单元(L2-PES1-06)该测评单元包括以下要求:a)测评指标:应将通信线缆铺设在隐蔽安全处。b)测评对象:机房通信线缆。c)测评实施:应核查机房内通信线缆是否铺设在隐蔽安全处,如桥架中等。d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。测评单元(L2-PES1-07)该测评单元包括以下要求:a)测评指标:应建立机房应建立机房视频监控系统和视频监控系统和动环监控系统,对机房风
31、冷水电设备、消防设施、门禁系动环监控系统,对机房风冷水电设备、消防设施、门禁系统等重要设施实行全面监控,视频监控记录和门禁系统出入记录至少保存统等重要设施实行全面监控,视频监控记录和门禁系统出入记录至少保存 3 3 个月个月。(F2F2)b)测评对象:机房视频监控系统和动环监控系统。c)测评实施包括以下内容:1)应核查机房是否配置视频监控系统和动环监控系统。2)应核查视频监控系统和动环监控系统是否启用。3)应核查视频监控系统和动环监控系统是否对机房风冷水电设备、消防设施、门禁系统等重要设施实行全面监控,并核查视频监控记录和门禁系统出入记录是否至少保存 3 个月。d)单元判定:如果 1)3)均为
32、肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。6.1.1.4防雷击测评单元(L2-PES1-08)该测评单元包括以下要求:a)测评指标:应将各类机柜、设施和设备等通过接地系统安全接地。b)测评对象:机房。c)测评实施:应核查机房内机柜、设施和设备等是否进行接地处理。d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。6.1.1.5防火测评单元(L2-PES1-09)JR/T 007220208该测评单元包括以下要求:a)测评指标:机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。b)测评对象:机房防火设施
33、。c)测评实施包括以下内容:1)应核查机房内是否设置火灾自动消防系统。2)应核查火灾自动消防系统是否可以自动检测火情、自动报警,并自动灭火。d)单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。测评单元(L2-PES1-10)该测评单元包括以下要求:a)测评指标:机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。b)测评对象:机房验收类文档。c)测评实施:应核查机房验收文档是否明确相关建筑材料的耐火等级。d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。测评单元(L2-PES1-11)
34、该测评单元包括以下要求:a)测评指标:机房内部通道设置、装修装饰材料、设备线缆等应满足消防要求,并对机房进行消防机房内部通道设置、装修装饰材料、设备线缆等应满足消防要求,并对机房进行消防验收验收。(F2F2)b)测评对象:机房验收类文档。c)测评实施:应核查机房验收类文档,是否明确内部通道设置、装修装饰材料、设备线缆等满足消防验收要求。d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。6.1.1.6防水和防潮测评单元(L2-PES1-12)该测评单元包括以下要求:a)测评指标:应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。b)测评对象:机房。c
35、)测评实施:应核查窗户、屋顶和墙壁是否采取了防雨水渗透的措施。d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。测评单元(L2-PES1-13)该测评单元包括以下要求:a)测评指标:应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。b)测评对象:机房。c)测评实施包括以下内容:1)应核查机房内是否采取了防止水蒸气结露的措施。2)应核查机房内是否采取了排泄地下积水,防止地下积水渗透的措施。d)单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。6.1.1.7防静电测评单元(L2-PES1-14
36、)该测评单元包括以下要求:JR/T 007220209a)测评指标:应采用防静电地板或地面并采用必要的接地防静电措施。b)测评对象:机房。c)测评实施包括以下内容:1)应核查机房内是否安装了防静电地板或地面。2)应核查机房内是否采用了接地防静电措施。d)单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。6.1.1.8温湿度控制测评单元(L2-PES1-15)该测评单元包括以下要求:a)测评指标:应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。b)测评对象:机房温湿度调节设施。c)测评实施包括以下内容:1)应核查机房内
37、是否配备了专用空调。2)应核查机房内温湿度是否在设备运行所允许的范围之内。d)单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。6.1.1.9电力供应测评单元(L2-PES1-16)该测评单元包括以下要求:a)测评指标:应在机房供电线路上配置稳压器和过电压防护设备。b)测评对象:机房供电设施。c)测评实施:应核查供电线路上是否配置了稳压器和过电压防护设备。d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。测评单元(L2-PES1-17)该测评单元包括以下要求:a)测评指标:应提供短期的备用电力
38、供应,至少满足设备在断电情况下的正常运行要求。b)测评对象:机房备用供电设施。c)测评实施包括以下内容:1)应核查机房是否配备 UPS 等后备电源系统。2)应核查 UPS 等后备电源系统是否满足设备在断电情况下的正常运行要求。d)单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。测评单元(L2-PES1-18)该测评单元包括以下要求:a)测评指标:机房重要区域、重要设备应提供机房重要区域、重要设备应提供 UPSUPS 供电供电。(F2F2)b)测评对象:机房备用供电设施。c)测评实施包括以下内容:1)应核查机房重要区域、重要设备是否配备 U
39、PS 等后备电源系统。2)应核查 UPS 等后备电源系统是否满足设备在断电情况下的正常运行要求。d)单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。6.1.1.10电磁防护JR/T 0072202010测评单元(L2-PES1-19)该测评单元包括以下要求:a)测评指标:电源线和通信线缆应隔离铺设,避免互相干扰。b)测评对象:机房线缆。c)测评实施:应核查机房内电源线缆和通信线缆是否隔离铺设。d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。6.1.2安全通信网络6.1.2.1网络架构测评单
40、元(L2-CNS1-01)该测评单元包括以下要求:a)测评指标:应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。b)测评对象:路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件。c)测评实施包括以下内容:1)应核查是否依据重要性、部门等因素划分不同的网络区域。2)应核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致。d)单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。测评单元(L2-CNS1-02)该测评单元包括以下要求:a)测评指标:应避免将重要网络区域部署在边界处,重要网络区域与其
41、他网络区域之间应采取可靠的技术隔离手段。b)测评对象:网络拓扑。c)测评实施包括以下内容:1)应核查网络拓扑图是否与实际网络运行环境一致。2)应核查重要网络区域是否未部署在网络边界处。3)应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,如网闸、防火墙和设备访问控制列表(ACL)等。d)单元判定:如果 1)3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。6.1.2.2通信传输测评单元(L2-CNS1-03)该测评单元包括以下要求:a)测评指标:应采用校验技术保证通信过程中数据的完整性。b)测评对象:提供校验技术功能的设备或组件。c)测评实施:应核查
42、是否在数据传输过程中使用校验技术来保证其完整性。d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。6.1.2.3可信验证测评单元(L2-CNS1-04)该测评单元包括以下要求:a)测评指标:可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。JR/T 0072202011b)测评对象:提供可信验证的设备或组件、提供集中审计功能的系统。c)测评实施包括以下内容:1)应核查是否基于可信根对通信设备的系统引导程序、系统程序、重要配置参数
43、和通信应用程序等进行可信验证。2)应核查当检测到通信设备的可信性受到破坏后是否进行报警。3)应核查验证结果是否以审计记录的形式送至安全管理中心。d)单元判定:如果 1)3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。6.1.3安全区域边界6.1.3.1边界防护测评单元(L2-ABS1-01)该测评单元包括以下要求:a)测评指标:应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。b)测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件。c)测评实施包括以下内容:1)应核查在网络边界处是否部署访问控制设备。2)应核
44、查设备配置信息是否指定端口进行跨越边界的网络通信,指定端口是否配置并启用了安全策略。3)应采用其他技术手段(如非法无线网络设备定位、核查设备配置信息等)核查是否不存在其他未受控端口进行跨越边界的网络通信。d)单元判定:如果 1)3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。6.1.3.2访问控制测评单元(L2-ABS1-02)该测评单元包括以下要求:a)测评指标:应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。b)测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件。c)
45、测评实施包括以下内容:1)应核查在网络边界或区域之间是否部署访问控制设备并启用访问控制策略。2)应核查设备的最后一条访问控制策略是否为禁止所有网络通信。d)单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。测评单元(L2-ABS1-03)该测评单元包括以下要求:a)测评指标:应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化。b)测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件。c)测评实施包括以下内容:1)应核查是否不存在多余或无效的访问控制策略。2)应核查不同的访问控
46、制策略之间的逻辑关系及前后排列顺序是否合理。JR/T 0072202012d)单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。测评单元(L2-ABS1-04)该测评单元包括以下要求:a)测评指标:应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。b)测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件。c)测评实施:应核查设备的访问控制策略中是否设定了源地址、目的地址、源端口、目的端口和协议等相关配置参数。d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求
47、,否则不符合本测评单元指标要求。测评单元(L2-ABS1-05)该测评单元包括以下要求:a)测评指标:应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力,控制粒度为网控制粒度为网段级。段级。(F2F2)b)测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件。c)测评实施:应核查是否采用会话认证等机制为进出数据流提供明确的允许/拒绝访问的能力,且控制粒度为网段级。d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。6.1.3.3入侵防范测评单元(L2-ABS1-06)该测评单元包括以下要求:a)测评
48、指标:应在关键网络节点处监视网络攻击行为。b)测评对象:抗 APT 攻击系统、网络回溯系统、抗 DDoS 攻击系统、入侵保护系统和入侵检测系统或相关组件。c)测评实施包括以下内容:1)应核查是否能够检测到以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等。2)应核查相关系统或设备的规则库版本是否已经更新到最新版本。3)应核查相关系统或设备配置信息或安全策略是否能够覆盖网络所有关键节点。d)单元判定:如果 1)3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。6.1.3.4恶意代码和垃圾邮件防范测评单元(L2
49、-ABS1-07)该测评单元包括以下要求:a)测评指标:应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。b)测评对象:防病毒网关和 UTM 等提供防恶意代码功能的系统或相关组件。c)测评实施包括以下内容:1)应核查在关键网络节点处是否部署防恶意代码产品等技术措施。2)应核查防恶意代码产品运行是否正常,恶意代码库是否已经更新到最新。JR/T 0072202013d)单元判定:如果 1)和 2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。测评单元(L2-ABS1-08)该测评单元包括以下要求:a)测评指标:应在关键网络节点处对垃圾邮件
50、进行检测和防护,并维护垃圾邮件防护机制的升级和应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。(更新。(F2F2)b)测评对象:提供防垃圾邮件功能的系统或相关组件。c)测评实施包括以下内容:1)应核查在关键网络节点处是否部署防垃圾邮件产品等技术措施。2)应核查防垃圾邮件策略是否更新到最新版本。3)应核查防垃圾邮件产品运行是否正常。d)单元判定:如果 1)3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。6.1.3.5安全审计测评单元(L2-ABS1-09)该测评单元包括以下要求:a)测评指标:应在网络边界、重要网络节点进行安全审计,
浙ICP备2021020529号-1 | 浙B2-20240490 
