等級保護(hù)2.0四級通用要求測評方法

安全物理環(huán)境物理位置選擇測評單元（L4-PES1-01）該測評單元包括以下要求：a）測評指標(biāo)：機(jī)房場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。b）測評對象：記錄類文檔和機(jī)房。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查所在建筑物是否具有建筑物抗震設(shè)防審批文檔；2）應(yīng)核查是否不存在雨水滲漏；3）應(yīng)核查門窗是否不存在因風(fēng)導(dǎo)致的塵土嚴(yán)重；4）應(yīng)核查屋頂、墻體、門窗和地面等是否不存在破損開裂。d）單元判定：如果1）~4）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-PES1-02）該測評單元包括以下要求：a）測評指標(biāo)：機(jī)房場地應(yīng)避免設(shè)在建筑物的頂層或地下室，否則應(yīng)加強(qiáng)防水和防潮措施。b）測評對象：機(jī)房。測評實(shí)施：應(yīng)核查機(jī)房是否不位于所在建筑物的頂層或地下室，如果否，則核查機(jī)房是否采取了防水和防潮措施。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。物理訪問控制測評單元（L4-PES1-03）該測評單元包括以下要求：a）測評指標(biāo)：機(jī)房出入口應(yīng)配置電子門禁系統(tǒng)、控制、鑒別和記錄進(jìn)入的人員。b）測評對象：機(jī)房電子門禁系統(tǒng)。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查出人口是否配置電子門禁系統(tǒng)；2）應(yīng)核查電子門禁系統(tǒng)是否可以鑒別、記錄進(jìn)入的人員信息。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-PES1-04）該測評單元包括以下要求：a）測評指標(biāo)：重要區(qū)域應(yīng)配置第二道電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。b）測評對象：機(jī)房電子門禁系統(tǒng)。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查重要區(qū)域出人口是否配置第二道電子門禁系統(tǒng)；2）應(yīng)核查電子門禁系統(tǒng)是否可以鑒別、記錄進(jìn)入的人員信息。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。防盜竊和防破壞測評單元（L4-PES1-05）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)識。b）測評對象：機(jī)房設(shè)備或主要部件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查機(jī)房內(nèi)設(shè)備或主要部件是否固定；2）應(yīng)核查機(jī)房內(nèi)設(shè)備或主要部件上是否設(shè)置了明顯且不易除去的標(biāo)識。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-PES1-06）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)將通信線纜鋪設(shè)在隱蔽安全處。b）測評對象：機(jī)房通信線纜。c）測評實(shí)施：應(yīng)核查機(jī)房內(nèi)通信線纜是否鋪設(shè)在隱蔽安全處，如橋架中等。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。測評單元（L4-PES1-07）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)設(shè)置機(jī)房防盜報警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)。b）測評對象：機(jī)房防盜報警系統(tǒng)或視頻監(jiān)控系統(tǒng)。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查機(jī)房內(nèi)是否配置防盜報警系統(tǒng)或有專人值守的視頻監(jiān)控系統(tǒng)；2）應(yīng)核查防盜報警系統(tǒng)或視頻監(jiān)控系統(tǒng)是否啟用。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。防雷擊測評單元（L4-PES1-08）該測評單元包括以下要求：測評指標(biāo)：應(yīng)將各類機(jī)柜、設(shè)施和設(shè)備等通過接地系統(tǒng)安全接地。b）測評對象：機(jī)房。c）測評實(shí)施：應(yīng)核查機(jī)房內(nèi)機(jī)柜、設(shè)施和設(shè)備等是否進(jìn)行接地處理。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。測評單元（L4-PES1-09）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)采取措施防止感應(yīng)雷，例如設(shè)置防雷保安器或過壓保護(hù)裝置等。b）測評對象：機(jī)房防雷設(shè)施。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查機(jī)房內(nèi)是否設(shè)置防感應(yīng)雷措施；2）應(yīng)核查防雷裝置是否通過驗(yàn)收或國家有關(guān)部門的技術(shù)檢測。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。防火測評單元（L4-PES1-10）該測評單元包括以下要求：a）測評指標(biāo)：機(jī)房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火。b）測評對象：機(jī)房防火設(shè)施。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查機(jī)房內(nèi)是否設(shè)置火災(zāi)自動消防系統(tǒng)；2）應(yīng)核查火災(zāi)自動消防系統(tǒng)是否可以自動檢測火情、自動報警并自動滅火。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-PES1-11）該測評單元包括以下要求：a）測評指標(biāo)：機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級的建筑材料。b）測評對象：機(jī)房驗(yàn)收類文檔。c）測評實(shí)施；應(yīng)核查機(jī)房驗(yàn)收文檔是否明確相關(guān)建筑材料的耐火等級。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。測評單元（L4-PES1-12）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)對機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置隔離防火措施。b）測評對象：機(jī)房管理員和機(jī)房。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)訪談機(jī)房管理員是否進(jìn)行了區(qū)域劃分；2）應(yīng)核查各區(qū)域間是否采取了防火措施進(jìn)行隔離。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要水，否則不符合或部分符合本測評單元指標(biāo)要求。防水和防潮測評單元（L4-PES1-13）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透。b）測評對象：機(jī)房。c）測評實(shí)施：應(yīng)核查機(jī)房的窗戶、屋頂和墻壁是否采取了防雨水滲透的措施。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。測評單元（L4-PES1-14）該測評單元包括以下要求：a）測評指標(biāo)；應(yīng)采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。b）測評對象：機(jī)房。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查機(jī)房內(nèi)是否采取了防止水蒸氣結(jié)露的措施；2）應(yīng)核查機(jī)房內(nèi)是否采取了排泄地下積水，防止地下積水滲透的措施。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-PES1-15）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)安裝對水敏感的檢測儀表或元件，對機(jī)房進(jìn)行防水檢測和報警。b）測評對象：機(jī)房漏水檢測設(shè)施。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查機(jī)房內(nèi)是否安裝了對水敏感的檢測裝置；2）應(yīng)核查防水檢測和報警裝置是否啟用。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。防靜電測評單元（L4-PES1-16）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)采用防靜電地板或地面并采用必要的接地防靜電措施。b）測評對象：機(jī)房。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查機(jī)房內(nèi)是否安裝了防靜電地板或地而；2）應(yīng)核查機(jī)房內(nèi)是否采用了接地防靜電措施。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-PES1-17）該測評單元包括以下要求：a）測評指標(biāo)；應(yīng)采取措施防止靜電的產(chǎn)生，例如采用靜電消除器、佩戴防靜電手環(huán)等。b）測評對象：機(jī)房。c）測評實(shí)施：應(yīng)核查機(jī)房內(nèi)是否配備了防靜電設(shè)備。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。溫濕度控制測評單元（L4-PES1-18）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)設(shè)置溫濕度自動調(diào)節(jié)設(shè)施，使機(jī)房溫濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。b）測評對象：機(jī)房溫濕度調(diào)節(jié)設(shè)施。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查機(jī)房是否配備了專用空調(diào)；2）應(yīng)核查機(jī)房內(nèi)溫濕度是否在設(shè)備運(yùn)行所允許的范圍之內(nèi)。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。電力供應(yīng)測評單元（L4-PES1-19）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備。b）測評對象：機(jī)房供電設(shè)施。c）測評實(shí)施：應(yīng)核查機(jī)房供電線路上是否配置了穩(wěn)壓器和過電壓防護(hù)設(shè)備。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。測評單元（L4-PES1-20）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)提供短期的備用電力供應(yīng)，至少滿足設(shè)備在斷電情況下的正常運(yùn)行要求。b）測評對象：機(jī)房供電設(shè)施。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否配備UPS等后備電源系統(tǒng)；2）應(yīng)核查UPS等后備電源系統(tǒng)是否滿足設(shè)備在斷電情況下的正常運(yùn)行要求。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-PES1-21）該測評單元包括以下要求：測評指標(biāo)：應(yīng)設(shè)置冗余或并行的電力電纜線路為計算機(jī)系統(tǒng)供電。b）測評對象：機(jī)房管理員和機(jī)房。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)訪談機(jī)房管理員機(jī)房供電是否來自兩個不同的變電站；2）應(yīng)核查機(jī)房內(nèi)是否設(shè)置了冗余或并行的電力電纜線路為計算機(jī)系統(tǒng)供電。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-PES1-22）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)提供應(yīng)急供電設(shè)施。b）測評對象：機(jī)房應(yīng)急供電設(shè)施。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否配置了應(yīng)急供電設(shè)施；2）應(yīng)核查應(yīng)急供電設(shè)施是否可用。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。電磁防護(hù)測評單元（L4-PES1-23）該測評單元包括以下要求：a）測評指標(biāo)：電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。b）測評對象：機(jī)房線纜。c）測評實(shí)施：應(yīng)核查機(jī)房內(nèi)電源線纜和通信線纜是否隔離鋪設(shè)。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。測評單元（L4-PES1-24）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)對關(guān)鍵設(shè)備或關(guān)鍵區(qū)域?qū)嵤╇姶牌帘巍）測評對象：機(jī)房關(guān)鍵設(shè)備或區(qū)域。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查機(jī)房內(nèi)是否針對關(guān)鍵區(qū)域?qū)嵤┝穗姶牌帘危?）應(yīng)核查機(jī)房內(nèi)是否為關(guān)鍵設(shè)備配備了電磁屏蔽裝置。d）單元判定：如果1）或2）為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)測評單元（L4-CNS1-01）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要。b）測評對象：路由器、交換機(jī)、無線接人設(shè)備和防火墻等提供網(wǎng)絡(luò)通信功能的設(shè)備或相關(guān)組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查業(yè)務(wù)高峰時期一段時間內(nèi)主要網(wǎng)絡(luò)設(shè)備的CPU使用率和內(nèi)存使用率是否滿足需要；2）應(yīng)核查網(wǎng)絡(luò)設(shè)備是否從未出現(xiàn)過因設(shè)備性能問題導(dǎo)致的宕機(jī)情況；3）應(yīng)測試驗(yàn)證設(shè)備是否滿足業(yè)務(wù)高峰期需求。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CNS1-02）該測評單元包括以下要求：測評指標(biāo)：應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要。b）測評對象：綜合網(wǎng)管系統(tǒng)等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查綜合網(wǎng)管系統(tǒng)各通信鏈路帶寬是否滿足高峰時段的業(yè)務(wù)流量需要；2）應(yīng)測試驗(yàn)證網(wǎng)絡(luò)帶寬是否滿足業(yè)務(wù)高峰期需求。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CNS1-03）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址。b）測評對象：路由器、交換機(jī)、無線接人設(shè)備和防火墻等提供網(wǎng)絡(luò)通信功能的設(shè)備或相關(guān)組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否依據(jù)重要性、部門等因素劃分不同的網(wǎng)絡(luò)區(qū)域；2）應(yīng)核查相關(guān)網(wǎng)絡(luò)設(shè)備配置信息，驗(yàn)證劃分的網(wǎng)絡(luò)區(qū)域是否與劃分原則一致。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CNS1-04）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段。b）測評對象：網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)拓?fù)洹）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查網(wǎng)絡(luò)拓?fù)鋱D是否與實(shí)際網(wǎng)絡(luò)運(yùn)行環(huán)境一致；2）應(yīng)核查重要網(wǎng)絡(luò)區(qū)域是否未部署在網(wǎng)絡(luò)邊界處；3）應(yīng)核查重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間是否采取可靠的技術(shù)隔離手段，如網(wǎng)閘、防火墻和設(shè)備訪問控制列表（ACL）等。d）單元判定：如果1）~3）均為肯定。則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CNS1-05）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計算設(shè)備的硬件冗余，保證系統(tǒng)的可用性。b）測評對象：網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)拓?fù)洹）測評實(shí)施：應(yīng)核查是否有關(guān)鍵網(wǎng)絡(luò)設(shè)備、安全設(shè)備和關(guān)鍵計算設(shè)備的硬件冗余（主備或雙活等）和通信線路冗余。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。測評單元（L4-CNS1-06）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)按照業(yè)務(wù)服務(wù)的重要程度分配帶寬，優(yōu)先保障重要業(yè)務(wù)。b）測評對象：路由器、交換機(jī)和流量控制設(shè)備等提供帶寬控制功能的設(shè)備或相關(guān)組件。c）測評實(shí)施：應(yīng)核查帶寬控制設(shè)備是否按照業(yè)務(wù)服務(wù)的重要程度配置并啟用了帶寬策略。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。通信傳輸測評單元（L4-CNS1-07）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。b）測評對象：提供密碼技術(shù)功能的設(shè)備或組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否在數(shù)據(jù)傳輸過程中使用密碼技術(shù)來保證其完整性；2）應(yīng)測試驗(yàn)證密碼技術(shù)設(shè)備或組件能否保證通信過程中數(shù)據(jù)的完整性。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CNS1-08）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性。b）測評對象：提供密碼技術(shù)功能的設(shè)備或組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否在通信過程中采取保密揩施，具體采用哪些技術(shù)揩施；2）應(yīng)測試驗(yàn)證在通信過程中是否對數(shù)據(jù)進(jìn)行加密。d）單元判定：如果1）和2）為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CNS1-09）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)在通信前基于密碼技術(shù)對通信的雙方進(jìn)行驗(yàn)證或認(rèn)證。b）測評對象：提供密碼技術(shù)功能的設(shè)備或組件。c）測評實(shí)施；應(yīng)核查是否能在通信雙方建立連接之前利用密碼技術(shù)進(jìn)行會話初始化驗(yàn)證或認(rèn)證。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。測評單元（L4-CNS1-10）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)基于硬件密碼模塊對重要通信過程進(jìn)行密碼運(yùn)算和密鑰管理。b）測評對象：提供密碼技術(shù)功能的設(shè)備或組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否基于硬件密碼模塊產(chǎn)生密鑰并進(jìn)行密碼運(yùn)算；2）應(yīng)核查相關(guān)產(chǎn)品是否獲得有效的國家密碼管理主管部門規(guī)定的檢測報告或密碼產(chǎn)品型號證書。d）單元判定：如果1）和2）為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。可信驗(yàn)證測評單元（L4-CNS1-11）該測評單元包括以下要求：a）測評指標(biāo)：可基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證，在檢測到其可信性受到破壞后進(jìn)行報警，并將驗(yàn)證結(jié)果形成審計記錄送至安全管理中心，并進(jìn)行動態(tài)關(guān)聯(lián)感知。b）測評對象：提供可信驗(yàn)證的設(shè)備或組件、提供集中審計功能的系統(tǒng)。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證；2）應(yīng)核查是否在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證；3）應(yīng)測試驗(yàn)證當(dāng)檢測到通信設(shè)備的可信性受到破壞后是否進(jìn)行報警；4）應(yīng)測試驗(yàn)證結(jié)果是否以審計記錄的形式送至安全管理中心；5）應(yīng)核查是否能夠進(jìn)行動態(tài)關(guān)聯(lián)感知。d）單元判定：如果1）~5）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。安全區(qū)域邊界邊界防護(hù)測評單元（L4-ABS1-01）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信。b）測評對象：網(wǎng)閘、防火墻、路由器、交換機(jī)和無線接人網(wǎng)關(guān)設(shè)備等提供訪問控制功能的設(shè)備或相關(guān)組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查在網(wǎng)絡(luò)邊界處是否部署訪問控制設(shè)備；2）應(yīng)核查設(shè)備配置信息是否指定端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信，指定端口是否配置并啟用了安全策略；3）應(yīng)采用其他技術(shù)手段（如非法無線網(wǎng)絡(luò)設(shè)備定位、核查設(shè)備配置信息等）核查或測試驗(yàn)證是否不存在其他未受控端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-ABS1-02）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制。b）測評對象：終端管理系統(tǒng)或相關(guān)設(shè)備。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否采用技術(shù)措施防止非授權(quán)設(shè)備接人內(nèi)部網(wǎng)絡(luò)；2）應(yīng)核查所有路由器和交換機(jī)等相關(guān)設(shè)備閑置端口是否均已關(guān)閉。d）單元判定：如果1）和2）均為肯定，則符合木測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-ABS1-03）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制。b）測評對象：終端管理系統(tǒng)或相關(guān)設(shè)備。c）測評實(shí)施；應(yīng)核查是否采用技術(shù)措施防止內(nèi)部用戶存在非法外聯(lián)行為。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。測評單元（L4-ABS1-04）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)限制無線網(wǎng)絡(luò)的使用，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。b）測評對象：網(wǎng)絡(luò)拓?fù)浜蜔o線網(wǎng)絡(luò)設(shè)備。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查無線網(wǎng)絡(luò)的部署方式，是否單獨(dú)組網(wǎng)后再連接到有線網(wǎng)絡(luò)；2）應(yīng)核查無線網(wǎng)絡(luò)是否通過受控的邊界防護(hù)設(shè)備接人到內(nèi)部有線網(wǎng)絡(luò)。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-ABS1-05）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)能夠在發(fā)現(xiàn)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為或內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為時，對其進(jìn)行有效阻斷。b）測評對象：終端管理系統(tǒng)或相關(guān)設(shè)備。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否采用技術(shù)措施能夠?qū)Ψ鞘跈?quán)設(shè)備接人內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行有效阻斷；2）應(yīng)核查是否采用技術(shù)措施能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行有效阻斷；3）應(yīng)測試驗(yàn)證是否能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為或內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行有效阻斷。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-ABS1-06）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)采用可信驗(yàn)證機(jī)制對接人到網(wǎng)絡(luò)中的設(shè)備進(jìn)行可信驗(yàn)證，保證接人網(wǎng)絡(luò)的設(shè)備真實(shí)可信。b）測評對象：終端管理系統(tǒng)或相關(guān)設(shè)備。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否采用可信驗(yàn)證機(jī)制對接入到網(wǎng)絡(luò)中的設(shè)備進(jìn)行可信驗(yàn)證；2）應(yīng)測試驗(yàn)證是否能夠?qū)B接到內(nèi)部網(wǎng)絡(luò)的設(shè)備進(jìn)行可信驗(yàn)證。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。訪問控制測評單元（L4-ABS1-07）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信。b）測評對象：網(wǎng)閘、防火墻、路由器、交換機(jī)和無線接人網(wǎng)關(guān)設(shè)備等提供訪問控制功能的設(shè)備或相關(guān)組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查在網(wǎng)絡(luò)邊界或區(qū)域之間是否部署訪問控制設(shè)備并啟用訪問控制策略；2）應(yīng)核查設(shè)備的最后一條訪問控制策略是否為禁止所有網(wǎng)絡(luò)通信。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-ABS1-08）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化。b）測評對象：網(wǎng)閘、防火墻、路由器、交換機(jī)和無線接人網(wǎng)關(guān)設(shè)備等提供訪問控制功能的設(shè)備或相關(guān)組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否不存在多余或無效的訪問控制策略；2）應(yīng)核查不同的訪問控制策略之間的邏輯關(guān)系及前后排列順序是否合理。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-ABS1-09）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出。b）測評對象：網(wǎng)閘、防火墻、路由器、交換機(jī)和無線接人網(wǎng)關(guān)設(shè)備等提供訪問控制功能的設(shè)備或相關(guān)組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查設(shè)備的訪問控制策略中是否設(shè)定了源地址、目的地址、源端口、目的端口和協(xié)議等相關(guān)配置參數(shù)；2）應(yīng)測試驗(yàn)證訪問控制策略中設(shè)定的相關(guān)配置參數(shù)是否有效。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-ABS1-10）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)能根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力。b）測評對象：網(wǎng)閘、防火墻、路由器、交換機(jī)和無線接入網(wǎng)關(guān)設(shè)備等提供訪問控制功能的設(shè)備或相關(guān)組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否采用會話認(rèn)證等機(jī)制為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；2）應(yīng)測試驗(yàn)證是否為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-ABS1-11）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)在網(wǎng)絡(luò)邊界通過通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進(jìn)行數(shù)據(jù)交換。b）測評對象：網(wǎng)閘等提供通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離功能的設(shè)備或相關(guān)組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否采取通信協(xié)議轉(zhuǎn)換或通信協(xié)議隔離等方式進(jìn)行數(shù)據(jù)交換；2）應(yīng)通過發(fā)送帶通用協(xié)議的數(shù)據(jù)等測試方式，測試驗(yàn)證設(shè)備是否能夠有效阻斷。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。入侵防范測評單元（L4-ABS1-12）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為。b）測評對象：抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊系統(tǒng)和入侵保護(hù)系統(tǒng)或相關(guān)組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查相關(guān)系統(tǒng)或組件是否能夠檢測從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；2）應(yīng)核查相關(guān)系統(tǒng)或組件的規(guī)則庫版本或威脅情報庫是否已經(jīng)更新到最新版本；3）應(yīng)核查相關(guān)系統(tǒng)或組件的配置信息或安全策略是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵節(jié)點(diǎn)；4）應(yīng)測試驗(yàn)證相關(guān)系統(tǒng)或組件的配置信息或安全策略是否有效。d）單元判定：如果1）~4）均為肯定，則符合木測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-ABS1-13）該測評單元包括以下要求：測評指標(biāo)：應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。b）測評對象：抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊系統(tǒng)和入侵保護(hù)系統(tǒng)或相關(guān)組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查相關(guān)系統(tǒng)或組件是否能夠檢測到從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；2）應(yīng)核查相關(guān)系統(tǒng)或組件的規(guī)則庫版本或威脅情報庫是否已經(jīng)更新到最新版本；3）應(yīng)核查相關(guān)系統(tǒng)或組件的配置信息或安全策略是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵節(jié)點(diǎn)；4）應(yīng)測試驗(yàn)證相關(guān)系統(tǒng)或組件的配置信息或安全策略是否有效。d）單元判定：如果1）~4）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-ABS1-14）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析。b）測評對象：抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)和威脅情報檢測系統(tǒng)或相關(guān)組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否部署相關(guān)系統(tǒng)或組件對新型網(wǎng)絡(luò)攻擊進(jìn)行檢測和分析；2）應(yīng)測試驗(yàn)證是否對網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-ABS1-15）該測評單元包括以下要求：a）測評指標(biāo)：當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊日標(biāo)、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警。b）測評對象：抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊系統(tǒng)和入侵保護(hù)系統(tǒng)或相關(guān)組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查相關(guān)系統(tǒng)或組件的記錄是否包括攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時間等相關(guān)內(nèi)容；2）應(yīng)測試驗(yàn)證相關(guān)系統(tǒng)或組件的報警策略是否有效。d）單元判定：如果1）和2）均為肯定，則符合木測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。惡意代碼和垃圾郵件防范測評單元（L4-ABS1-16）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對惡意代碼進(jìn)行檢測和清除，并維護(hù)惡意代碼防護(hù)機(jī)制的升級和更新。b）測評對象：防病毒網(wǎng)關(guān)和UTM等提供防惡意代碼功能的系統(tǒng)或相關(guān)組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處是否部署防惡意代碼產(chǎn)品等技術(shù)措施；2）應(yīng)核查防惡意代碼產(chǎn)品運(yùn)行是否正常，惡意代碼庫是否已經(jīng)更新到最新；3）應(yīng)測試驗(yàn)證相關(guān)系統(tǒng)或組件的安全策略是否有效。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-ABS1-17）該測評單元包括以下要求：a）測評指標(biāo)；應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對垃圾郵件進(jìn)行檢測和防護(hù)，并維護(hù)垃圾郵件防護(hù)機(jī)制的升級和更新。b）測評對象：防垃圾郵件網(wǎng)關(guān)等提供防垃圾郵件功能的系統(tǒng)或相關(guān)組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處是否部署了防垃圾郵件產(chǎn)品等技術(shù)措施；2）應(yīng)核查防垃圾郵件產(chǎn)品運(yùn)行是否正常，防垃圾郵件規(guī)則庫是否已經(jīng)更新到最新；3）應(yīng)測試驗(yàn)證相關(guān)系統(tǒng)或組件的安全策略是否有效。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。安全審計測評單元（L4-ABS1-18）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計。b）測評對象：綜合安全審計系統(tǒng)等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否部署了綜合安全審計系統(tǒng)或類似功能的系統(tǒng)平臺；2）應(yīng)核查安全審計范圍是否覆蓋到每個用戶：3）應(yīng)核查是否對重要的用戶行為和重要安全事件進(jìn)行了審計。d）單元判定：如果1）~3）均為肯定，則符合木測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-ABS1-19）該測評單元包括以下要求：a）測評指標(biāo)：審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。b）測評對象：綜合安全審計系統(tǒng)等。c）測評實(shí)施：應(yīng)核查審計記錄信息是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。測評單元（L4-ABS1-20）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)對審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。b）測評對象：綜合安全審計系等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否采取了技術(shù)措施能夠?qū)徲嬘涗涍M(jìn)行保護(hù)；2）應(yīng)核查是否采取技術(shù)措施對審計記錄進(jìn)行定期備份，并核查其備份策略。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求?？尚膨?yàn)證測評單元（L4-ABS1-21）該測評單元包括以下要求：a）測評指標(biāo)：可基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證，在檢測到其可信性受到破壞后進(jìn)行報警，并將驗(yàn)證結(jié)果形成審計記錄送至安全管理中心，并進(jìn)行動態(tài)關(guān)聯(lián)感知。b）測評對象：提供可信驗(yàn)證的設(shè)備或組件、提供集中審計功能的系統(tǒng)。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證；2）應(yīng)核查是否在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證；3）應(yīng)測試驗(yàn)證當(dāng)檢測到邊界設(shè)備的可信性受到破壞后是否進(jìn)行報警；4）應(yīng)測試驗(yàn)證結(jié)果是否以審計記錄的形式送至安全管理中心；5）應(yīng)核查是否能夠進(jìn)行動態(tài)關(guān)聯(lián)感知。d）單元判定：如果1）~5）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。安全計算環(huán)境身份鑒別測評單元（L4-CES1-01）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查用戶在登錄時是否采用了身份鑒別措施；2）應(yīng)核查用戶列表確認(rèn)用戶身份標(biāo)識是否具有唯一性；3）應(yīng)核查用戶配置信息或測試驗(yàn)證是否不存在空口令用戶；4）應(yīng)核查用戶鑒別信息是否具有復(fù)雜度要求并定期更換。d）單元判定：如果1）~4）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CES1-02）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自動退出等相關(guān)措施。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否配置并啟用了登錄失敗處理功能；2）應(yīng)核查是否配置并啟用了限制非法登錄功能，非法登錄達(dá)到一定次數(shù)后采取特定動作，如賬戶鎖定等；3）應(yīng)核查是否配置并啟用了登錄連接超時及自動退出功能。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CES1-03）該測評單元包括以下要求：a）測評指標(biāo)：當(dāng)進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。c）測評實(shí)施：應(yīng)核查是否采用加密等安全方式對系統(tǒng)進(jìn)行遠(yuǎn)程管理，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。測評單元（L4-CES1-04）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)。移動終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否采用動態(tài)口令、數(shù)字證書、生物技術(shù)和設(shè)備指紋等兩種或兩種以上組合的鑒別技術(shù)對用戶身份進(jìn)行鑒別；2）應(yīng)核查其中一種鑒別技術(shù)是否使用密碼技術(shù)來實(shí)現(xiàn)。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。訪問控制測評單元（L4-CES1-05）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)對登錄的用戶分配賬戶和權(quán)限。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否為用戶分配了賬戶和權(quán)限及相關(guān)設(shè)置情況；2）應(yīng)核查是否已禁用或限制匿名、默認(rèn)賬戶的訪問權(quán)限。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CES1-06）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否已經(jīng)重命名默認(rèn)賬戶或默認(rèn)賬戶已被刪除；2）應(yīng)核查是否已修改默認(rèn)賬戶的默認(rèn)口令。d）單元判定：如果1）或2）為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CES1-07）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否不存在多余或過期賬戶，管理員用戶與賬戶之間是否一一對應(yīng)；2）應(yīng)測試驗(yàn)證多余的、過期的賬戶是否被刪除或停用。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CES1-08）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)。移動終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否進(jìn)行角色劃分；2）應(yīng)核查管理用戶的權(quán)限是否已進(jìn)行分離；3）應(yīng)核查管理用戶權(quán)限是否為其工作任務(wù)所需的最小權(quán)限。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CES1-09）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否由授權(quán)主體（如管理用戶）負(fù)責(zé)配置訪問控制策略；2）應(yīng)核查授權(quán)主體是否依據(jù)安全策略配置了主體對客體的訪問規(guī)則；3）應(yīng)測試驗(yàn)證用戶是否有可越權(quán)訪問情形。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CES1-10）該測評單元包括以下要求：a）測評指標(biāo)：訪問控制的粒度應(yīng)達(dá)到主體為用戶級或進(jìn)程級，客體為文件、數(shù)據(jù)庫表級。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。c）測評實(shí)施：應(yīng)核查訪問控制策略的控制粒度是否達(dá)到主體為用戶級或進(jìn)程級，客體為文件、數(shù)據(jù)庫表、記錄或字段級。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。測評單元（L4-CES1-11）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)對主體、客體設(shè)置安全標(biāo)記，并依據(jù)安全標(biāo)記和強(qiáng)制訪問控制規(guī)則確定主體對客體的訪問。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否對主體、客體設(shè)置了安全標(biāo)記；2）應(yīng)測試驗(yàn)證是否依據(jù)主體、客體安全標(biāo)記控制主體對客體訪問的強(qiáng)制訪問控制策略。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。安全審計測評單元（L4-CES1-12）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否開啟了安全審計功能；2）應(yīng)核查安全審計范圍是否覆蓋到每個用戶；3）應(yīng)核查是否對重要的用戶行為和重要安全事件進(jìn)行審計。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CES1-13）該測評單元包括以下要求：a）測評指標(biāo)：審計記錄應(yīng)包括事件的日期和時間、事件類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。c）測評實(shí)施：應(yīng)核查審計記錄信息是否包括事件的日期和時間、主體標(biāo)識、客體標(biāo)識、事件類型、事件是否成功及其他與審計相關(guān)的信息。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。測評單元（L4-CES1-14）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)對審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否采取了保護(hù)措施對審計記錄進(jìn)行保護(hù)；2）應(yīng)核查是否采取技術(shù)措施對審計記錄進(jìn)行定期備份，并核查其備份策略。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CES1-15）該測評單元包括以下要求：測評指標(biāo)：應(yīng)對審計進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。c）測評實(shí)施：應(yīng)測試驗(yàn)證通過非審計管理員的其他賬戶來中斷審計進(jìn)程，驗(yàn)證審計進(jìn)程是否受到保護(hù)。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。入侵防范測評單元（L4-CES1-16）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備和控制設(shè)備等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否遵循最小安裝原則；2）應(yīng)核查是否未安裝非必要的組件和應(yīng)用程序。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CES1-17）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。b）測評對象，終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備和控制設(shè)備等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否關(guān)閉了非必要的系統(tǒng)服務(wù)和默認(rèn)共享；2）應(yīng)核查是否不存在非必要的高危端口。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CES1-18）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)通過設(shè)定終端接人方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備和控制設(shè)備等。c）測評實(shí)施：應(yīng)核查配置文件或參數(shù)等是否對終端接人范圍進(jìn)行限制。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。測評單元（L4-CES1-19）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸人或通過通信接口輸人的內(nèi)容符合系統(tǒng)設(shè)定要求。b）測評對象：業(yè)務(wù)應(yīng)用系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查系統(tǒng)設(shè)計文檔的內(nèi)容是否包括數(shù)據(jù)有效性檢驗(yàn)功能的內(nèi)容或模塊；2）應(yīng)測試驗(yàn)證是否對人機(jī)接口或通信接口輸人的內(nèi)容進(jìn)行有效性檢驗(yàn)。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CES1-20）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補(bǔ)漏洞。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)通過漏洞掃描、滲透測試等方式核查是否不存在高風(fēng)險漏洞；2）應(yīng)核查是否在經(jīng)過充分測試評估后及時修補(bǔ)漏洞。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CES1-21）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)能夠檢測到對重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時提供報警。b）測評對象；終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備和控制設(shè)備等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)訪談并核查是否有入侵檢測的措施；2）應(yīng)核查在發(fā)生嚴(yán)重入侵事件時是否提供報警。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。惡意代碼防范測評單元（L4-CES1-22）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)采用主動免疫可信驗(yàn)證機(jī)制及時識別入侵和病毒行為，并將其有效阻斷。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端和控制設(shè)備等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否采用主動免疫可信驗(yàn)證技術(shù)及時識別入侵和病毒行為；2）應(yīng)核查當(dāng)識別入侵和病毒行為時，是否將其有效阻斷。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。可信驗(yàn)證測評單元（L4-CES1-23）該測評單元包括以下要求：a）測評指標(biāo)：可基于可信根對計算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證，在檢測到其可信性受到破壞后進(jìn)行報警，并將驗(yàn)證結(jié)果形成審計記錄送至安全管理中心，并進(jìn)行動態(tài)關(guān)聯(lián)感知。b）測評對象：提供可信驗(yàn)證的設(shè)備或組件、提供集中審計功能的系統(tǒng)。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否基于可信根對計算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證；2）應(yīng)核查是否在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證；3）應(yīng)測試驗(yàn)證當(dāng)檢測到計算設(shè)備的可信性受到破壞后是否進(jìn)行報警；4）應(yīng)測試驗(yàn)證結(jié)果是否以審計記錄的形式送至安全管理中心；5）應(yīng)核查是否能夠進(jìn)行動態(tài)關(guān)聯(lián)感知。d）單元判定：如果1）~5）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。數(shù)據(jù)完整性測評單元（L4-CES1-24）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。b）測評對象：業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件、系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔、數(shù)據(jù)安全保護(hù)系統(tǒng)、終端和服務(wù)器等設(shè)備中的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備和安全設(shè)備等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查系統(tǒng)設(shè)計文檔，鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等在傳輸過程中是否采用了密碼技術(shù)保證完整性；2）應(yīng)測試驗(yàn)證在傳輸過程中對鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等進(jìn)行篡改，是否能夠檢測到數(shù)據(jù)在傳輸過程中的完整性受到破壞并能夠及時恢復(fù)。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CES1-25）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。b）測評對象：業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件、系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔、數(shù)據(jù)安全保護(hù)系統(tǒng)、終端和服務(wù)器等設(shè)備中的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備和安全設(shè)備等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查設(shè)計文檔，是否采用了密碼技術(shù)保證鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等在存儲過程中的完整性；2）應(yīng)核查是否采用技術(shù)措施（如數(shù)據(jù)安全保護(hù)系統(tǒng)等）保證鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等在存儲過程中的完整性；3）應(yīng)測試驗(yàn)證在存儲過程中對鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等進(jìn)行篡改，是否能夠檢測到數(shù)據(jù)在存儲過程中的完整性受到破壞并能夠及時恢復(fù)。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CES1-26）該測評單元包括以下要求：a）測評指標(biāo)：在可能涉及法律責(zé)任認(rèn)定的應(yīng)用中，應(yīng)采用密碼技術(shù)提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù)，實(shí)現(xiàn)數(shù)據(jù)原發(fā)行為的抗抵賴和數(shù)據(jù)接收行為的抗抵賴。b）測評對象：業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查設(shè)計文檔，是否采用了密碼技術(shù)保證數(shù)據(jù)發(fā)送和數(shù)據(jù)接收操作的不可抵賴性；2）應(yīng)核查是否采取技術(shù)措施保證數(shù)據(jù)發(fā)送和數(shù)據(jù)接收操作的不可抵賴性；3）應(yīng)測試驗(yàn)證是否能夠檢測到數(shù)據(jù)在傳輸過程中不能被篡改。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。數(shù)據(jù)保密性測評單元（L4-CES1-27）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等。b）測評對象：業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查系統(tǒng)設(shè)計文檔，鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等在傳輸過程中是否采用密碼技術(shù)保證保密性；2）應(yīng)通過嗅探等方式抓取傳輸過程中的數(shù)據(jù)包，鑒別數(shù)據(jù)。重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等在傳輸過程中是否進(jìn)行了加密處理。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CES1-28）該測評單元包括以下要求：a）測評指標(biāo)；應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等。b）測評對象：業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件、系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔、數(shù)據(jù)安全保護(hù)系統(tǒng)、終端和服務(wù)器等設(shè)備中的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備和安全設(shè)備等。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否采用密碼技術(shù)保證鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等在存儲過程中的保密性；2）應(yīng)核查是否采用技術(shù)措施（如數(shù)據(jù)安全保護(hù)系統(tǒng)等）保證鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等在存儲過程中的保密性；3）應(yīng)測試驗(yàn)證是否對指定的數(shù)據(jù)進(jìn)行加密處理。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。數(shù)據(jù)備份恢復(fù)測評單元（L4-CES1-29）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復(fù)功能。b）測評對象：配置數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否按照備份策略進(jìn)行本地備份；2）應(yīng)核查備份策略設(shè)置是否合理、配置是否正確；3）應(yīng)核查備份結(jié)果是否與備份策略一致；4）應(yīng)核查近期恢復(fù)測試記錄是否能夠進(jìn)行正常的數(shù)據(jù)恢復(fù)。d）單元判定：如果1）~4）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CES1-30）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)提供異地實(shí)時備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時備份至備份場地。b）測評對象：配置數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)。c）測評實(shí)施：應(yīng)核查是否提供異地實(shí)時備份功能，并通過網(wǎng)絡(luò)將重要配置數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)實(shí)時備份至備份場地。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合木測評單元指標(biāo)要求。測評單元（L4-CES1-31）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。b）測評對象：重要數(shù)據(jù)處理系統(tǒng)。c）測評實(shí)施：應(yīng)核查重要數(shù)據(jù)處理系統(tǒng)（包括邊界路由器、邊界防火墻、核心交換機(jī)、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器等）是否采用熱冗余方式部署。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。測評單元（L4-CES1-32）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)建立異地災(zāi)難備份中心，提供業(yè)務(wù)應(yīng)用的實(shí)時切換。b）測評對象：災(zāi)難備份中心及相關(guān)組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否建立異地災(zāi)難備份中心，配備災(zāi)難恢復(fù)所需的通信線路、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)處理設(shè)備；2）應(yīng)核查是否提供業(yè)務(wù)應(yīng)用的實(shí)時切換功能。d）單元判定：如果1）和2）均為肯定，則符合木測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。剩余信息保護(hù)測評單元（L4-CES1-33）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。c）測評實(shí)施：應(yīng)核查相關(guān)配置信息或系統(tǒng)設(shè)計文檔，用戶的鑒別信息所在的存儲空間被釋放或重新分配前是否得到完全清除。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。測評單元（L4-CES1-34）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清除。b）測評對象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計文檔等。c）測評實(shí)施：應(yīng)核查相關(guān)配置信息或系統(tǒng)設(shè)計文檔，敏感數(shù)據(jù)所在的存儲空間被釋放或重新分配給其他用戶前是否得到完全清除。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。個人信息保護(hù)測評單元（L4-CES1-35）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個人信息。b）測評對象：業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)等。c）測評實(shí)施：1）應(yīng)核查采集的用戶個人信息是否是業(yè)務(wù)應(yīng)用必需的；2）應(yīng)核查是否制定了有關(guān)用戶個人信息保護(hù)的管理制度和流程。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-CES1-36）該測評單元包括以下要求：a）測評指標(biāo)；應(yīng)禁止未授權(quán)訪問和非法使用用戶個人信息。b）測評對象：業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)等。c）測評實(shí)施：1）應(yīng)核查是否采用技術(shù)措施限制對用戶個人信息的訪問和使用；2）應(yīng)核查是否制定了有關(guān)用戶個人信息保護(hù)的管理制度和流程。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。安全管理中心系統(tǒng)管理測評單元（L4-SMC1-01）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)對系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對這些操作進(jìn)行審計。b）測評對象：提供集中系統(tǒng)管理功能的系統(tǒng)。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否對系統(tǒng)管理員進(jìn)行身份鑒別；2）應(yīng)核查是否只允許系統(tǒng)管理員通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作；3）應(yīng)核查是否對系統(tǒng)管理操作進(jìn)行審計。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-SMC1-02）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份、資源配置、系統(tǒng)加載和啟動、系統(tǒng)運(yùn)行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。b）測評對象：提供集中系統(tǒng)管理功能的系統(tǒng)。c）測評實(shí)施：應(yīng)核查是否通過系統(tǒng)管理員對系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份、資源配置、系統(tǒng)加載和啟動、系統(tǒng)運(yùn)行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。審計管理測評單元（L4-SMC1-03）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)對審計管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全審計操作，并對這些操作進(jìn)行審計。b）測評對象：綜合安全審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)等提供集中審計功能的系統(tǒng)。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否對審計管理員進(jìn)行身份鑒別；2）應(yīng)核查是否只允許審計管理員通過特定的命令或操作界面進(jìn)行安全審計操作；3）應(yīng)核查是否對安全審計操作進(jìn)行審計。d）單元判定：如果1）~3）均為肯定，則符合木測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-SMC1-04）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)通過審計管理員對審計記錄進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理，包括根據(jù)安全審計策略對審計記錄進(jìn)行存儲、管理和查詢等。b）測評對象：綜合安全審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)等提供集中審計功能的系統(tǒng)。c）測評實(shí)施：應(yīng)核查是否通過審計管理員對審計記錄進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理，包括根據(jù)安全審計策略對審計記錄進(jìn)行存儲、管理和查詢等。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。安全管理測評單元（L4-SMC1-05）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)對安全管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全管理操作，并對這些操作進(jìn)行審計。b）測評對象：提供集中安全管理功能的系統(tǒng)。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否對安全管理員進(jìn)行身份鑒別；2）應(yīng)核查是否只允許安全管理員通過特定的命令或操作界面進(jìn)行安全審計操作；3）應(yīng)核查是否對安全管理操作進(jìn)行審計。d）單元判定；如果1）~3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-SMC1-06）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)通過安全管理員對系統(tǒng)中的安全策略進(jìn)行配置，包括安全參數(shù)的設(shè)置，主體、客體進(jìn)行統(tǒng)一安全標(biāo)記，對主體進(jìn)行授權(quán)，配置可信驗(yàn)證策略等。b）測評對象：提供集中安全管理功能的系統(tǒng)。c）測評實(shí)施：應(yīng)核查是否通過安全管理員對系統(tǒng)中的安全策略進(jìn)行配置，包括安全參數(shù)的設(shè)置，主體、客體進(jìn)行統(tǒng)一安全標(biāo)記，對主體進(jìn)行授權(quán)，配置可信驗(yàn)證策略等。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。集中管控測評單元（L4-SMC1-07）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控。b）測評對象：網(wǎng)絡(luò)拓?fù)洹）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否劃分出單獨(dú)的網(wǎng)絡(luò)區(qū)域用于部署安全設(shè)備或安全組件；2）應(yīng)核查各個安全設(shè)備或安全組件是否集中部署在單獨(dú)的網(wǎng)絡(luò)區(qū)域內(nèi)。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-SMC1-08）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)能夠建立一條安全的信息傳輸路徑，對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理。b）測評對象：路由器、交換機(jī)和防火墻等設(shè)備或相關(guān)組件。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否采用安全方式（如SSH、HTTPS、IPSecVPN等）對安全設(shè)備或安全組件進(jìn)行管理；2）應(yīng)核查是否使用獨(dú)立的帶外管理網(wǎng)絡(luò)對安全設(shè)備或安全組件進(jìn)行管理。d）單元判定：如果1）或2）為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-SMC1-09）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測。b）測評對象：綜合網(wǎng)管系統(tǒng)等提供運(yùn)行狀態(tài)監(jiān)測功能的系統(tǒng)。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否部署了具備運(yùn)行狀態(tài)監(jiān)測功能的系統(tǒng)或設(shè)備、能夠?qū)W(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測；2）應(yīng)測試驗(yàn)證運(yùn)行狀態(tài)監(jiān)測系統(tǒng)是否根據(jù)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的工作狀態(tài)、依據(jù)設(shè)定的閥值（或默認(rèn)閥值）實(shí)時報警。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-SMC1-10）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進(jìn)行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求。b）測評對象：綜合安全審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)等提供集中審計功能的系統(tǒng)。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查各個設(shè)備是否配置并啟用了相關(guān)策略，將審計數(shù)據(jù)發(fā)送到獨(dú)立于設(shè)備自身的外部集中安全審計系統(tǒng)中；2）應(yīng)核查是否部署統(tǒng)一的集中安全審計系統(tǒng)，統(tǒng)一收集和存儲各設(shè)備日志，并根據(jù)需要進(jìn)行集中審計分析；3）應(yīng)核查審計記錄的留存時間是否至少為6個月。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-SMC1-11）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)對安全策略、惡意代碼、補(bǔ)丁升級等安全相關(guān)事項(xiàng)進(jìn)行集中管理。b）測評對象：提供集中安全管控功能的系統(tǒng)。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否能夠?qū)Π踩呗裕ㄈ绶阑饓υL問控制策略、入侵保護(hù)系統(tǒng)防護(hù)策略、WAF安全防護(hù)策略等）進(jìn)行集中管理；2）應(yīng)核查是否實(shí)現(xiàn)對操作系統(tǒng)防惡意代碼系統(tǒng)及網(wǎng)絡(luò)惡意代碼防護(hù)設(shè)備的集中管理，實(shí)現(xiàn)對防惡意代碼病毒規(guī)則庫的升級進(jìn)行集中管理；3）應(yīng)核查是否實(shí)現(xiàn)對各個系統(tǒng)或設(shè)備的補(bǔ)丁升級進(jìn)行集中管理。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-SMC1-12）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別、報警和分析。b）測評對象：提供集中安全管控功能的系統(tǒng)。c）測評實(shí)施包括以下內(nèi)容：1）應(yīng)核查是否部署了相關(guān)系統(tǒng)平臺能夠?qū)Ω黝惏踩录M(jìn)行分析并通過聲光等方式實(shí)時報警；2）應(yīng)核查監(jiān)測范圍是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵路徑。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標(biāo)要求，否則不符合或部分符合本測評單元指標(biāo)要求。測評單元（L4-SMC1-13）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)保證系統(tǒng)范圍內(nèi)的時間由唯一確定的時鐘產(chǎn)生，以保證各種數(shù)據(jù)的管理和分析在時間上的一致性。b）測評對象：綜合安全審計系統(tǒng)等。c）測評實(shí)施：應(yīng)核查是否在系統(tǒng)范圍內(nèi)統(tǒng)一使用了唯一確定的時鐘源。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。安全管理制度安全策略測評單元（L4-PSS1-01）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)制定網(wǎng)絡(luò)安全工作的總體方針和安全策略。闡明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等。b）測評對象：總體方針策略類文檔。c）測評實(shí)施：應(yīng)核查網(wǎng)絡(luò)安全工作的總體方針和安全策略文件是否明確機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和各類安全策略。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要求。管理制度測評單元（L4-PSS1-02）該測評單元包括以下要求：a）測評指標(biāo)：應(yīng)對安全管理活動中的各類管理內(nèi)容建立安全管理制度。b）測評對象：安全管理制度類文檔。c）測評實(shí)施；應(yīng)核查各項(xiàng)安全管理制度是否覆蓋物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和運(yùn)維等管理內(nèi)容。d）單元判定：如果以上測評實(shí)施內(nèi)容為肯定，則符合本測評單元指標(biāo)要求，否則不符合本測評單元指標(biāo)要水