规范性引用文件
- GB 17859—1999计算机信息系统安全保护等级划分准则
- GB/T 22239——2019信息安全技术﹑网络安全等级保护基本要求
- GB/T 25069信息安全技术术语
- GB/T 31168—2014信息安全技术﹑云计算服务安全能力要求
- GB/T 32919—2016信息安全技术工业控制系统安全控制应用指南
- GB/T 25070—2019信息安全技术网络安全等级保护安全设计技术要求
- GB/T 28449——2018 信息安全技术﹑网络安全等级保护测评过程指南
术语和定义
- 访谈:测评人员通过引导等级保护对象相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、澄清或取得证据的过程。
- 核查:测评人员通过对测评对象(如制度文档、各类设备及相关安全配置等)进行观察、查验和分析,以帮助测评人员理解、澄清或取得证据的过程。
- 测试:测评人员使用预定的方法/工具使测评对象(各类设备或安全配置)产生特定的结果,将运行结果与预期的结果进行对比的过程
- 评估:对测评对象可能存在的威胁及其可能产生的后果进行综合评价和预测的过程
- 测评对象:等级测评过程中不同测评方法作用的对象﹐主要涉及相关配套制度文档、设备设施及人员等
- 等级测评:测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。
- 云服务商:云计算服务的供应方
- 云服务客户:为使用云计算服务同云服务商建立业务关系的参与方
- 宿主机:运行虚拟机监视器的物理服务器
- 虚拟机监视器:运行在基础物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享硬件
缩略语
- AP:无限访问接入点
- APT:高级持续性威胁
- DDOS:分布式拒绝服务
- SSID:服务集标识
- WEP:有线等效加密
- WIFI:无线保真
- WPS:wifi保护设置
范围
- 适用安全测评服务机构,等级保护对象的运营适用单位及主管部门对等级保护对象的安全状况进行安全测评并提供指南,也适用于网络安全职能部门进行网络安全等级保护监督检查时参考使用。
- 适用不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求
等级测评概述
1.1:等级测评方法
- 等级测评实施的基本方法是针对特定的测评对象,采用相关的测评手段,遵从一定的测评规程,获取需要的证据数据,给出是否达到特定级别安全保护能力的评判
1.2:单项测评和整体测评
- 单项测评是针对各安全要求项的测评,支持测评结果的可重复性和可再现性。本标准中单项测评由测评指标,测评对象、测评实施和单元判定结果构成。为方便使用针对每个测评单元进行编号
- 整体测评是在单项测评基础上﹐对等级保护对象整体安全保护能力的判断。整体安全保护能力从纵深防护和措施互补两个角度评判。