等級保護2.0四級通用要求測評方法

安全物理環(huán)境物理位置選擇測評單元（L4-PES1-01）該測評單元包括以下要求：a）測評指標：機房場地應選擇在具有防震、防風和防雨等能力的建筑內。b）測評對象：記錄類文檔和機房。c）測評實施包括以下內容：1）應核查所在建筑物是否具有建筑物抗震設防審批文檔；2）應核查是否不存在雨水滲漏；3）應核查門窗是否不存在因風導致的塵土嚴重；4）應核查屋頂、墻體、門窗和地面等是否不存在破損開裂。d）單元判定：如果1）~4）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-PES1-02）該測評單元包括以下要求：a）測評指標：機房場地應避免設在建筑物的頂層或地下室，否則應加強防水和防潮措施。b）測評對象：機房。測評實施：應核查機房是否不位于所在建筑物的頂層或地下室，如果否，則核查機房是否采取了防水和防潮措施。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。物理訪問控制測評單元（L4-PES1-03）該測評單元包括以下要求：a）測評指標：機房出入口應配置電子門禁系統(tǒng)、控制、鑒別和記錄進入的人員。b）測評對象：機房電子門禁系統(tǒng)。c）測評實施包括以下內容：1）應核查出人口是否配置電子門禁系統(tǒng)；2）應核查電子門禁系統(tǒng)是否可以鑒別、記錄進入的人員信息。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-PES1-04）該測評單元包括以下要求：a）測評指標：重要區(qū)域應配置第二道電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。b）測評對象：機房電子門禁系統(tǒng)。c）測評實施包括以下內容：1）應核查重要區(qū)域出人口是否配置第二道電子門禁系統(tǒng)；2）應核查電子門禁系統(tǒng)是否可以鑒別、記錄進入的人員信息。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。防盜竊和防破壞測評單元（L4-PES1-05）該測評單元包括以下要求：a）測評指標：應將設備或主要部件進行固定，并設置明顯的不易除去的標識。b）測評對象：機房設備或主要部件。c）測評實施包括以下內容：1）應核查機房內設備或主要部件是否固定；2）應核查機房內設備或主要部件上是否設置了明顯且不易除去的標識。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-PES1-06）該測評單元包括以下要求：a）測評指標：應將通信線纜鋪設在隱蔽安全處。b）測評對象：機房通信線纜。c）測評實施：應核查機房內通信線纜是否鋪設在隱蔽安全處，如橋架中等。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。測評單元（L4-PES1-07）該測評單元包括以下要求：a）測評指標：應設置機房防盜報警系統(tǒng)或設置有專人值守的視頻監(jiān)控系統(tǒng)。b）測評對象：機房防盜報警系統(tǒng)或視頻監(jiān)控系統(tǒng)。c）測評實施包括以下內容：1）應核查機房內是否配置防盜報警系統(tǒng)或有專人值守的視頻監(jiān)控系統(tǒng)；2）應核查防盜報警系統(tǒng)或視頻監(jiān)控系統(tǒng)是否啟用。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。防雷擊測評單元（L4-PES1-08）該測評單元包括以下要求：測評指標：應將各類機柜、設施和設備等通過接地系統(tǒng)安全接地。b）測評對象：機房。c）測評實施：應核查機房內機柜、設施和設備等是否進行接地處理。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。測評單元（L4-PES1-09）該測評單元包括以下要求：a）測評指標：應采取措施防止感應雷，例如設置防雷保安器或過壓保護裝置等。b）測評對象：機房防雷設施。c）測評實施包括以下內容：1）應核查機房內是否設置防感應雷措施；2）應核查防雷裝置是否通過驗收或國家有關部門的技術檢測。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。防火測評單元（L4-PES1-10）該測評單元包括以下要求：a）測評指標：機房應設置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火。b）測評對象：機房防火設施。c）測評實施包括以下內容：1）應核查機房內是否設置火災自動消防系統(tǒng)；2）應核查火災自動消防系統(tǒng)是否可以自動檢測火情、自動報警并自動滅火。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-PES1-11）該測評單元包括以下要求：a）測評指標：機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料。b）測評對象：機房驗收類文檔。c）測評實施；應核查機房驗收文檔是否明確相關建筑材料的耐火等級。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。測評單元（L4-PES1-12）該測評單元包括以下要求：a）測評指標：應對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設置隔離防火措施。b）測評對象：機房管理員和機房。c）測評實施包括以下內容：1）應訪談機房管理員是否進行了區(qū)域劃分；2）應核查各區(qū)域間是否采取了防火措施進行隔離。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要水，否則不符合或部分符合本測評單元指標要求。防水和防潮測評單元（L4-PES1-13）該測評單元包括以下要求：a）測評指標：應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透。b）測評對象：機房。c）測評實施：應核查機房的窗戶、屋頂和墻壁是否采取了防雨水滲透的措施。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。測評單元（L4-PES1-14）該測評單元包括以下要求：a）測評指標；應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透。b）測評對象：機房。c）測評實施包括以下內容：1）應核查機房內是否采取了防止水蒸氣結露的措施；2）應核查機房內是否采取了排泄地下積水，防止地下積水滲透的措施。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-PES1-15）該測評單元包括以下要求：a）測評指標：應安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警。b）測評對象：機房漏水檢測設施。c）測評實施包括以下內容：1）應核查機房內是否安裝了對水敏感的檢測裝置；2）應核查防水檢測和報警裝置是否啟用。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。防靜電測評單元（L4-PES1-16）該測評單元包括以下要求：a）測評指標：應采用防靜電地板或地面并采用必要的接地防靜電措施。b）測評對象：機房。c）測評實施包括以下內容：1）應核查機房內是否安裝了防靜電地板或地而；2）應核查機房內是否采用了接地防靜電措施。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-PES1-17）該測評單元包括以下要求：a）測評指標；應采取措施防止靜電的產生，例如采用靜電消除器、佩戴防靜電手環(huán)等。b）測評對象：機房。c）測評實施：應核查機房內是否配備了防靜電設備。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。溫濕度控制測評單元（L4-PES1-18）該測評單元包括以下要求：a）測評指標：應設置溫濕度自動調節(jié)設施，使機房溫濕度的變化在設備運行所允許的范圍之內。b）測評對象：機房溫濕度調節(jié)設施。c）測評實施包括以下內容：1）應核查機房是否配備了專用空調；2）應核查機房內溫濕度是否在設備運行所允許的范圍之內。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。電力供應測評單元（L4-PES1-19）該測評單元包括以下要求：a）測評指標：應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備。b）測評對象：機房供電設施。c）測評實施：應核查機房供電線路上是否配置了穩(wěn)壓器和過電壓防護設備。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。測評單元（L4-PES1-20）該測評單元包括以下要求：a）測評指標：應提供短期的備用電力供應，至少滿足設備在斷電情況下的正常運行要求。b）測評對象：機房供電設施。c）測評實施包括以下內容：1）應核查是否配備UPS等后備電源系統(tǒng)；2）應核查UPS等后備電源系統(tǒng)是否滿足設備在斷電情況下的正常運行要求。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-PES1-21）該測評單元包括以下要求：測評指標：應設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電。b）測評對象：機房管理員和機房。c）測評實施包括以下內容：1）應訪談機房管理員機房供電是否來自兩個不同的變電站；2）應核查機房內是否設置了冗余或并行的電力電纜線路為計算機系統(tǒng)供電。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-PES1-22）該測評單元包括以下要求：a）測評指標：應提供應急供電設施。b）測評對象：機房應急供電設施。c）測評實施包括以下內容：1）應核查是否配置了應急供電設施；2）應核查應急供電設施是否可用。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。電磁防護測評單元（L4-PES1-23）該測評單元包括以下要求：a）測評指標：電源線和通信線纜應隔離鋪設，避免互相干擾。b）測評對象：機房線纜。c）測評實施：應核查機房內電源線纜和通信線纜是否隔離鋪設。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。測評單元（L4-PES1-24）該測評單元包括以下要求：a）測評指標：應對關鍵設備或關鍵區(qū)域實施電磁屏蔽。b）測評對象：機房關鍵設備或區(qū)域。c）測評實施包括以下內容：1）應核查機房內是否針對關鍵區(qū)域實施了電磁屏蔽；2）應核查機房內是否為關鍵設備配備了電磁屏蔽裝置。d）單元判定：如果1）或2）為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。安全通信網絡網絡架構測評單元（L4-CNS1-01）該測評單元包括以下要求：a）測評指標：應保證網絡設備的業(yè)務處理能力滿足業(yè)務高峰期需要。b）測評對象：路由器、交換機、無線接人設備和防火墻等提供網絡通信功能的設備或相關組件。c）測評實施包括以下內容：1）應核查業(yè)務高峰時期一段時間內主要網絡設備的CPU使用率和內存使用率是否滿足需要；2）應核查網絡設備是否從未出現過因設備性能問題導致的宕機情況；3）應測試驗證設備是否滿足業(yè)務高峰期需求。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CNS1-02）該測評單元包括以下要求：測評指標：應保證網絡各個部分的帶寬滿足業(yè)務高峰期需要。b）測評對象：綜合網管系統(tǒng)等。c）測評實施包括以下內容：1）應核查綜合網管系統(tǒng)各通信鏈路帶寬是否滿足高峰時段的業(yè)務流量需要；2）應測試驗證網絡帶寬是否滿足業(yè)務高峰期需求。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CNS1-03）該測評單元包括以下要求：a）測評指標：應劃分不同的網絡區(qū)域，并按照方便管理和控制的原則為各網絡區(qū)域分配地址。b）測評對象：路由器、交換機、無線接人設備和防火墻等提供網絡通信功能的設備或相關組件。c）測評實施包括以下內容：1）應核查是否依據重要性、部門等因素劃分不同的網絡區(qū)域；2）應核查相關網絡設備配置信息，驗證劃分的網絡區(qū)域是否與劃分原則一致。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CNS1-04）該測評單元包括以下要求：a）測評指標：應避免將重要網絡區(qū)域部署在邊界處，重要網絡區(qū)域與其他網絡區(qū)域之間應采取可靠的技術隔離手段。b）測評對象：網絡管理員和網絡拓撲。c）測評實施包括以下內容：1）應核查網絡拓撲圖是否與實際網絡運行環(huán)境一致；2）應核查重要網絡區(qū)域是否未部署在網絡邊界處；3）應核查重要網絡區(qū)域與其他網絡區(qū)域之間是否采取可靠的技術隔離手段，如網閘、防火墻和設備訪問控制列表（ACL）等。d）單元判定：如果1）~3）均為肯定。則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CNS1-05）該測評單元包括以下要求：a）測評指標：應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗余，保證系統(tǒng)的可用性。b）測評對象：網絡管理員和網絡拓撲。c）測評實施：應核查是否有關鍵網絡設備、安全設備和關鍵計算設備的硬件冗余（主備或雙活等）和通信線路冗余。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。測評單元（L4-CNS1-06）該測評單元包括以下要求：a）測評指標：應按照業(yè)務服務的重要程度分配帶寬，優(yōu)先保障重要業(yè)務。b）測評對象：路由器、交換機和流量控制設備等提供帶寬控制功能的設備或相關組件。c）測評實施：應核查帶寬控制設備是否按照業(yè)務服務的重要程度配置并啟用了帶寬策略。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。通信傳輸測評單元（L4-CNS1-07）該測評單元包括以下要求：a）測評指標：應采用密碼技術保證通信過程中數據的完整性。b）測評對象：提供密碼技術功能的設備或組件。c）測評實施包括以下內容：1）應核查是否在數據傳輸過程中使用密碼技術來保證其完整性；2）應測試驗證密碼技術設備或組件能否保證通信過程中數據的完整性。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CNS1-08）該測評單元包括以下要求：a）測評指標：應采用密碼技術保證通信過程中數據的保密性。b）測評對象：提供密碼技術功能的設備或組件。c）測評實施包括以下內容：1）應核查是否在通信過程中采取保密揩施，具體采用哪些技術揩施；2）應測試驗證在通信過程中是否對數據進行加密。d）單元判定：如果1）和2）為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CNS1-09）該測評單元包括以下要求：a）測評指標：應在通信前基于密碼技術對通信的雙方進行驗證或認證。b）測評對象：提供密碼技術功能的設備或組件。c）測評實施；應核查是否能在通信雙方建立連接之前利用密碼技術進行會話初始化驗證或認證。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。測評單元（L4-CNS1-10）該測評單元包括以下要求：a）測評指標：應基于硬件密碼模塊對重要通信過程進行密碼運算和密鑰管理。b）測評對象：提供密碼技術功能的設備或組件。c）測評實施包括以下內容：1）應核查是否基于硬件密碼模塊產生密鑰并進行密碼運算；2）應核查相關產品是否獲得有效的國家密碼管理主管部門規(guī)定的檢測報告或密碼產品型號證書。d）單元判定：如果1）和2）為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。可信驗證測評單元（L4-CNS1-11）該測評單元包括以下要求：a）測評指標：可基于可信根對通信設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數和通信應用程序等進行可信驗證，并在應用程序的所有執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心，并進行動態(tài)關聯(lián)感知。b）測評對象：提供可信驗證的設備或組件、提供集中審計功能的系統(tǒng)。c）測評實施包括以下內容：1）應核查是否基于可信根對通信設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數和通信應用程序等進行可信驗證；2）應核查是否在應用程序的所有執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證；3）應測試驗證當檢測到通信設備的可信性受到破壞后是否進行報警；4）應測試驗證結果是否以審計記錄的形式送至安全管理中心；5）應核查是否能夠進行動態(tài)關聯(lián)感知。d）單元判定：如果1）~5）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。安全區(qū)域邊界邊界防護測評單元（L4-ABS1-01）該測評單元包括以下要求：a）測評指標：應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。b）測評對象：網閘、防火墻、路由器、交換機和無線接人網關設備等提供訪問控制功能的設備或相關組件。c）測評實施包括以下內容：1）應核查在網絡邊界處是否部署訪問控制設備；2）應核查設備配置信息是否指定端口進行跨越邊界的網絡通信，指定端口是否配置并啟用了安全策略；3）應采用其他技術手段（如非法無線網絡設備定位、核查設備配置信息等）核查或測試驗證是否不存在其他未受控端口進行跨越邊界的網絡通信。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-ABS1-02）該測評單元包括以下要求：a）測評指標：應能夠對非授權設備私自聯(lián)到內部網絡的行為進行檢查或限制。b）測評對象：終端管理系統(tǒng)或相關設備。c）測評實施包括以下內容：1）應核查是否采用技術措施防止非授權設備接人內部網絡；2）應核查所有路由器和交換機等相關設備閑置端口是否均已關閉。d）單元判定：如果1）和2）均為肯定，則符合木測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-ABS1-03）該測評單元包括以下要求：a）測評指標：應能夠對內部用戶非授權聯(lián)到外部網絡的行為進行檢查或限制。b）測評對象：終端管理系統(tǒng)或相關設備。c）測評實施；應核查是否采用技術措施防止內部用戶存在非法外聯(lián)行為。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。測評單元（L4-ABS1-04）該測評單元包括以下要求：a）測評指標：應限制無線網絡的使用，保證無線網絡通過受控的邊界設備接入內部網絡。b）測評對象：網絡拓撲和無線網絡設備。c）測評實施包括以下內容：1）應核查無線網絡的部署方式，是否單獨組網后再連接到有線網絡；2）應核查無線網絡是否通過受控的邊界防護設備接人到內部有線網絡。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-ABS1-05）該測評單元包括以下要求：a）測評指標：應能夠在發(fā)現非授權設備私自聯(lián)到內部網絡的行為或內部用戶非授權聯(lián)到外部網絡的行為時，對其進行有效阻斷。b）測評對象：終端管理系統(tǒng)或相關設備。c）測評實施包括以下內容：1）應核查是否采用技術措施能夠對非授權設備接人內部網絡的行為進行有效阻斷；2）應核查是否采用技術措施能夠對內部用戶非授權聯(lián)到外部網絡的行為進行有效阻斷；3）應測試驗證是否能夠對非授權設備私自聯(lián)到內部網絡的行為或內部用戶非授權聯(lián)到外部網絡的行為進行有效阻斷。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-ABS1-06）該測評單元包括以下要求：a）測評指標：應采用可信驗證機制對接人到網絡中的設備進行可信驗證，保證接人網絡的設備真實可信。b）測評對象：終端管理系統(tǒng)或相關設備。c）測評實施包括以下內容：1）應核查是否采用可信驗證機制對接入到網絡中的設備進行可信驗證；2）應測試驗證是否能夠對連接到內部網絡的設備進行可信驗證。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。訪問控制測評單元（L4-ABS1-07）該測評單元包括以下要求：a）測評指標：應在網絡邊界或區(qū)域之間根據訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信。b）測評對象：網閘、防火墻、路由器、交換機和無線接人網關設備等提供訪問控制功能的設備或相關組件。c）測評實施包括以下內容：1）應核查在網絡邊界或區(qū)域之間是否部署訪問控制設備并啟用訪問控制策略；2）應核查設備的最后一條訪問控制策略是否為禁止所有網絡通信。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-ABS1-08）該測評單元包括以下要求：a）測評指標：應刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數量最小化。b）測評對象：網閘、防火墻、路由器、交換機和無線接人網關設備等提供訪問控制功能的設備或相關組件。c）測評實施包括以下內容：1）應核查是否不存在多余或無效的訪問控制策略；2）應核查不同的訪問控制策略之間的邏輯關系及前后排列順序是否合理。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-ABS1-09）該測評單元包括以下要求：a）測評指標：應對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許/拒絕數據包進出。b）測評對象：網閘、防火墻、路由器、交換機和無線接人網關設備等提供訪問控制功能的設備或相關組件。c）測評實施包括以下內容：1）應核查設備的訪問控制策略中是否設定了源地址、目的地址、源端口、目的端口和協(xié)議等相關配置參數；2）應測試驗證訪問控制策略中設定的相關配置參數是否有效。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-ABS1-10）該測評單元包括以下要求：a）測評指標：應能根據會話狀態(tài)信息為進出數據流提供明確的允許/拒絕訪問的能力。b）測評對象：網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件。c）測評實施包括以下內容：1）應核查是否采用會話認證等機制為進出數據流提供明確的允許/拒絕訪問的能力；2）應測試驗證是否為進出數據流提供明確的允許/拒絕訪問的能力。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-ABS1-11）該測評單元包括以下要求：a）測評指標：應在網絡邊界通過通信協(xié)議轉換或通信協(xié)議隔離等方式進行數據交換。b）測評對象：網閘等提供通信協(xié)議轉換或通信協(xié)議隔離功能的設備或相關組件。c）測評實施包括以下內容：1）應核查是否采取通信協(xié)議轉換或通信協(xié)議隔離等方式進行數據交換；2）應通過發(fā)送帶通用協(xié)議的數據等測試方式，測試驗證設備是否能夠有效阻斷。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。入侵防范測評單元（L4-ABS1-12）該測評單元包括以下要求：a）測評指標：應在關鍵網絡節(jié)點處檢測、防止或限制從外部發(fā)起的網絡攻擊行為。b）測評對象：抗APT攻擊系統(tǒng)、網絡回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊系統(tǒng)和入侵保護系統(tǒng)或相關組件。c）測評實施包括以下內容：1）應核查相關系統(tǒng)或組件是否能夠檢測從外部發(fā)起的網絡攻擊行為；2）應核查相關系統(tǒng)或組件的規(guī)則庫版本或威脅情報庫是否已經更新到最新版本；3）應核查相關系統(tǒng)或組件的配置信息或安全策略是否能夠覆蓋網絡所有關鍵節(jié)點；4）應測試驗證相關系統(tǒng)或組件的配置信息或安全策略是否有效。d）單元判定：如果1）~4）均為肯定，則符合木測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-ABS1-13）該測評單元包括以下要求：測評指標：應在關鍵網絡節(jié)點處檢測、防止或限制從內部發(fā)起的網絡攻擊行為。b）測評對象：抗APT攻擊系統(tǒng)、網絡回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊系統(tǒng)和入侵保護系統(tǒng)或相關組件。c）測評實施包括以下內容：1）應核查相關系統(tǒng)或組件是否能夠檢測到從內部發(fā)起的網絡攻擊行為；2）應核查相關系統(tǒng)或組件的規(guī)則庫版本或威脅情報庫是否已經更新到最新版本；3）應核查相關系統(tǒng)或組件的配置信息或安全策略是否能夠覆蓋網絡所有關鍵節(jié)點；4）應測試驗證相關系統(tǒng)或組件的配置信息或安全策略是否有效。d）單元判定：如果1）~4）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-ABS1-14）該測評單元包括以下要求：a）測評指標：應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的分析。b）測評對象：抗APT攻擊系統(tǒng)、網絡回溯系統(tǒng)和威脅情報檢測系統(tǒng)或相關組件。c）測評實施包括以下內容：1）應核查是否部署相關系統(tǒng)或組件對新型網絡攻擊進行檢測和分析；2）應測試驗證是否對網絡行為進行分析，實現對網絡攻擊特別是未知的新型網絡攻擊的檢測和分析。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-ABS1-15）該測評單元包括以下要求：a）測評指標：當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊日標、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。b）測評對象：抗APT攻擊系統(tǒng)、網絡回溯系統(tǒng)、威脅情報檢測系統(tǒng)、抗DDoS攻擊系統(tǒng)和入侵保護系統(tǒng)或相關組件。c）測評實施包括以下內容：1）應核查相關系統(tǒng)或組件的記錄是否包括攻擊源IP、攻擊類型、攻擊目標、攻擊時間等相關內容；2）應測試驗證相關系統(tǒng)或組件的報警策略是否有效。d）單元判定：如果1）和2）均為肯定，則符合木測評單元指標要求，否則不符合或部分符合本測評單元指標要求。惡意代碼和垃圾郵件防范測評單元（L4-ABS1-16）該測評單元包括以下要求：a）測評指標：應在關鍵網絡節(jié)點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新。b）測評對象：防病毒網關和UTM等提供防惡意代碼功能的系統(tǒng)或相關組件。c）測評實施包括以下內容：1）應核查在關鍵網絡節(jié)點處是否部署防惡意代碼產品等技術措施；2）應核查防惡意代碼產品運行是否正常，惡意代碼庫是否已經更新到最新；3）應測試驗證相關系統(tǒng)或組件的安全策略是否有效。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-ABS1-17）該測評單元包括以下要求：a）測評指標；應在關鍵網絡節(jié)點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新。b）測評對象：防垃圾郵件網關等提供防垃圾郵件功能的系統(tǒng)或相關組件。c）測評實施包括以下內容：1）應核查在關鍵網絡節(jié)點處是否部署了防垃圾郵件產品等技術措施；2）應核查防垃圾郵件產品運行是否正常，防垃圾郵件規(guī)則庫是否已經更新到最新；3）應測試驗證相關系統(tǒng)或組件的安全策略是否有效。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。安全審計測評單元（L4-ABS1-18）該測評單元包括以下要求：a）測評指標：應在網絡邊界、重要網絡節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。b）測評對象：綜合安全審計系統(tǒng)等。c）測評實施包括以下內容：1）應核查是否部署了綜合安全審計系統(tǒng)或類似功能的系統(tǒng)平臺；2）應核查安全審計范圍是否覆蓋到每個用戶：3）應核查是否對重要的用戶行為和重要安全事件進行了審計。d）單元判定：如果1）~3）均為肯定，則符合木測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-ABS1-19）該測評單元包括以下要求：a）測評指標：審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。b）測評對象：綜合安全審計系統(tǒng)等。c）測評實施：應核查審計記錄信息是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。測評單元（L4-ABS1-20）該測評單元包括以下要求：a）測評指標：應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。b）測評對象：綜合安全審計系等。c）測評實施包括以下內容：1）應核查是否采取了技術措施能夠對審計記錄進行保護；2）應核查是否采取技術措施對審計記錄進行定期備份，并核查其備份策略。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。可信驗證測評單元（L4-ABS1-21）該測評單元包括以下要求：a）測評指標：可基于可信根對邊界設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數和邊界防護應用程序等進行可信驗證，并在應用程序的所有執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心，并進行動態(tài)關聯(lián)感知。b）測評對象：提供可信驗證的設備或組件、提供集中審計功能的系統(tǒng)。c）測評實施包括以下內容：1）應核查是否基于可信根對邊界設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數和邊界防護應用程序等進行可信驗證；2）應核查是否在應用程序的所有執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證；3）應測試驗證當檢測到邊界設備的可信性受到破壞后是否進行報警；4）應測試驗證結果是否以審計記錄的形式送至安全管理中心；5）應核查是否能夠進行動態(tài)關聯(lián)感知。d）單元判定：如果1）~5）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。安全計算環(huán)境身份鑒別測評單元（L4-CES1-01）該測評單元包括以下要求：a）測評指標：應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。測評實施包括以下內容：1）應核查用戶在登錄時是否采用了身份鑒別措施；2）應核查用戶列表確認用戶身份標識是否具有唯一性；3）應核查用戶配置信息或測試驗證是否不存在空口令用戶；4）應核查用戶鑒別信息是否具有復雜度要求并定期更換。d）單元判定：如果1）~4）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CES1-02）該測評單元包括以下要求：a）測評指標：應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。c）測評實施包括以下內容：1）應核查是否配置并啟用了登錄失敗處理功能；2）應核查是否配置并啟用了限制非法登錄功能，非法登錄達到一定次數后采取特定動作，如賬戶鎖定等；3）應核查是否配置并啟用了登錄連接超時及自動退出功能。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CES1-03）該測評單元包括以下要求：a）測評指標：當進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。c）測評實施：應核查是否采用加密等安全方式對系統(tǒng)進行遠程管理，防止鑒別信息在網絡傳輸過程中被竊聽。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。測評單元（L4-CES1-04）該測評單元包括以下要求：a）測評指標：應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)。移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。c）測評實施包括以下內容：1）應核查是否采用動態(tài)口令、數字證書、生物技術和設備指紋等兩種或兩種以上組合的鑒別技術對用戶身份進行鑒別；2）應核查其中一種鑒別技術是否使用密碼技術來實現。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。訪問控制測評單元（L4-CES1-05）該測評單元包括以下要求：a）測評指標：應對登錄的用戶分配賬戶和權限。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。c）測評實施包括以下內容：1）應核查是否為用戶分配了賬戶和權限及相關設置情況；2）應核查是否已禁用或限制匿名、默認賬戶的訪問權限。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CES1-06）該測評單元包括以下要求：a）測評指標：應重命名或刪除默認賬戶，修改默認賬戶的默認口令。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。c）測評實施包括以下內容：1）應核查是否已經重命名默認賬戶或默認賬戶已被刪除；2）應核查是否已修改默認賬戶的默認口令。d）單元判定：如果1）或2）為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CES1-07）該測評單元包括以下要求：a）測評指標：應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。c）測評實施包括以下內容：1）應核查是否不存在多余或過期賬戶，管理員用戶與賬戶之間是否一一對應；2）應測試驗證多余的、過期的賬戶是否被刪除或停用。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CES1-08）該測評單元包括以下要求：a）測評指標：應授予管理用戶所需的最小權限，實現管理用戶的權限分離。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)。移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備控制設備、業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。c）測評實施包括以下內容：1）應核查是否進行角色劃分；2）應核查管理用戶的權限是否已進行分離；3）應核查管理用戶權限是否為其工作任務所需的最小權限。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CES1-09）該測評單元包括以下要求：a）測評指標：應由授權主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。c）測評實施包括以下內容：1）應核查是否由授權主體（如管理用戶）負責配置訪問控制策略；2）應核查授權主體是否依據安全策略配置了主體對客體的訪問規(guī)則；3）應測試驗證用戶是否有可越權訪問情形。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CES1-10）該測評單元包括以下要求：a）測評指標：訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。c）測評實施：應核查訪問控制策略的控制粒度是否達到主體為用戶級或進程級，客體為文件、數據庫表、記錄或字段級。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。測評單元（L4-CES1-11）該測評單元包括以下要求：a）測評指標：應對主體、客體設置安全標記，并依據安全標記和強制訪問控制規(guī)則確定主體對客體的訪問。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。c）測評實施包括以下內容：1）應核查是否對主體、客體設置了安全標記；2）應測試驗證是否依據主體、客體安全標記控制主體對客體訪問的強制訪問控制策略。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。安全審計測評單元（L4-CES1-12）該測評單元包括以下要求：a）測評指標：應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。c）測評實施包括以下內容：1）應核查是否開啟了安全審計功能；2）應核查安全審計范圍是否覆蓋到每個用戶；3）應核查是否對重要的用戶行為和重要安全事件進行審計。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CES1-13）該測評單元包括以下要求：a）測評指標：審計記錄應包括事件的日期和時間、事件類型、主體標識、客體標識和結果等。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。c）測評實施：應核查審計記錄信息是否包括事件的日期和時間、主體標識、客體標識、事件類型、事件是否成功及其他與審計相關的信息。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。測評單元（L4-CES1-14）該測評單元包括以下要求：a）測評指標：應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。c）測評實施包括以下內容：1）應核查是否采取了保護措施對審計記錄進行保護；2）應核查是否采取技術措施對審計記錄進行定期備份，并核查其備份策略。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CES1-15）該測評單元包括以下要求：測評指標：應對審計進程進行保護，防止未經授權的中斷。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。c）測評實施：應測試驗證通過非審計管理員的其他賬戶來中斷審計進程，驗證審計進程是否受到保護。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。入侵防范測評單元（L4-CES1-16）該測評單元包括以下要求：a）測評指標：應遵循最小安裝的原則，僅安裝需要的組件和應用程序。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備和控制設備等。c）測評實施包括以下內容：1）應核查是否遵循最小安裝原則；2）應核查是否未安裝非必要的組件和應用程序。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CES1-17）該測評單元包括以下要求：a）測評指標：應關閉不需要的系統(tǒng)服務、默認共享和高危端口。b）測評對象，終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備和控制設備等。c）測評實施包括以下內容：1）應核查是否關閉了非必要的系統(tǒng)服務和默認共享；2）應核查是否不存在非必要的高危端口。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CES1-18）該測評單元包括以下要求：a）測評指標：應通過設定終端接人方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備和控制設備等。c）測評實施：應核查配置文件或參數等是否對終端接人范圍進行限制。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。測評單元（L4-CES1-19）該測評單元包括以下要求：a）測評指標：應提供數據有效性檢驗功能，保證通過人機接口輸人或通過通信接口輸人的內容符合系統(tǒng)設定要求。b）測評對象：業(yè)務應用系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。c）測評實施包括以下內容：1）應核查系統(tǒng)設計文檔的內容是否包括數據有效性檢驗功能的內容或模塊；2）應測試驗證是否對人機接口或通信接口輸人的內容進行有效性檢驗。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CES1-20）該測評單元包括以下要求：a）測評指標：應能發(fā)現可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備、控制設備、業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件等。c）測評實施包括以下內容：1）應通過漏洞掃描、滲透測試等方式核查是否不存在高風險漏洞；2）應核查是否在經過充分測試評估后及時修補漏洞。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CES1-21）該測評單元包括以下要求：a）測評指標：應能夠檢測到對重要節(jié)點進行入侵的行為，并在發(fā)生嚴重入侵事件時提供報警。b）測評對象；終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、網絡設備（包括虛擬網絡設備）、安全設備（包括虛擬安全設備）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點設備、網關節(jié)點設備和控制設備等。c）測評實施包括以下內容：1）應訪談并核查是否有入侵檢測的措施；2）應核查在發(fā)生嚴重入侵事件時是否提供報警。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。惡意代碼防范測評單元（L4-CES1-22）該測評單元包括以下要求：a）測評指標：應采用主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷。b）測評對象：終端和服務器等設備中的操作系統(tǒng)（包括宿主機和虛擬機操作系統(tǒng)）、移動終端、移動終端管理系統(tǒng)、移動終端管理客戶端和控制設備等。c）測評實施包括以下內容：1）應核查是否采用主動免疫可信驗證技術及時識別入侵和病毒行為；2）應核查當識別入侵和病毒行為時，是否將其有效阻斷。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求?？尚膨炞C測評單元（L4-CES1-23）該測評單元包括以下要求：a）測評指標：可基于可信根對計算設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數和應用程序等進行可信驗證，并在應用程序的所有執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心，并進行動態(tài)關聯(lián)感知。b）測評對象：提供可信驗證的設備或組件、提供集中審計功能的系統(tǒng)。c）測評實施包括以下內容：1）應核查是否基于可信根對計算設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數和應用程序等進行可信驗證；2）應核查是否在應用程序的所有執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證；3）應測試驗證當檢測到計算設備的可信性受到破壞后是否進行報警；4）應測試驗證結果是否以審計記錄的形式送至安全管理中心；5）應核查是否能夠進行動態(tài)關聯(lián)感知。d）單元判定：如果1）~5）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。數據完整性測評單元（L4-CES1-24）該測評單元包括以下要求：a）測評指標：應采用密碼技術保證重要數據在傳輸過程中的完整性，包括但不限于鑒別數據、重要業(yè)務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。b）測評對象：業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件、系統(tǒng)管理軟件及系統(tǒng)設計文檔、數據安全保護系統(tǒng)、終端和服務器等設備中的操作系統(tǒng)及網絡設備和安全設備等。c）測評實施包括以下內容：1）應核查系統(tǒng)設計文檔，鑒別數據、重要業(yè)務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等在傳輸過程中是否采用了密碼技術保證完整性；2）應測試驗證在傳輸過程中對鑒別數據、重要業(yè)務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等進行篡改，是否能夠檢測到數據在傳輸過程中的完整性受到破壞并能夠及時恢復。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CES1-25）該測評單元包括以下要求：a）測評指標：應采用密碼技術保證重要數據在存儲過程中的完整性，包括但不限于鑒別數據、重要業(yè)務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。b）測評對象：業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件、系統(tǒng)管理軟件及系統(tǒng)設計文檔、數據安全保護系統(tǒng)、終端和服務器等設備中的操作系統(tǒng)及網絡設備和安全設備等。c）測評實施包括以下內容：1）應核查設計文檔，是否采用了密碼技術保證鑒別數據、重要業(yè)務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等在存儲過程中的完整性；2）應核查是否采用技術措施（如數據安全保護系統(tǒng)等）保證鑒別數據、重要業(yè)務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等在存儲過程中的完整性；3）應測試驗證在存儲過程中對鑒別數據、重要業(yè)務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等進行篡改，是否能夠檢測到數據在存儲過程中的完整性受到破壞并能夠及時恢復。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CES1-26）該測評單元包括以下要求：a）測評指標：在可能涉及法律責任認定的應用中，應采用密碼技術提供數據原發(fā)證據和數據接收證據，實現數據原發(fā)行為的抗抵賴和數據接收行為的抗抵賴。b）測評對象：業(yè)務應用系統(tǒng)和數據庫管理系統(tǒng)等。c）測評實施包括以下內容：1）應核查設計文檔，是否采用了密碼技術保證數據發(fā)送和數據接收操作的不可抵賴性；2）應核查是否采取技術措施保證數據發(fā)送和數據接收操作的不可抵賴性；3）應測試驗證是否能夠檢測到數據在傳輸過程中不能被篡改。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。數據保密性測評單元（L4-CES1-27）該測評單元包括以下要求：a）測評指標：應采用密碼技術保證重要數據在傳輸過程中的保密性，包括但不限于鑒別數據、重要業(yè)務數據和重要個人信息等。b）測評對象：業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。c）測評實施包括以下內容：1）應核查系統(tǒng)設計文檔，鑒別數據、重要業(yè)務數據和重要個人信息等在傳輸過程中是否采用密碼技術保證保密性；2）應通過嗅探等方式抓取傳輸過程中的數據包，鑒別數據。重要業(yè)務數據和重要個人信息等在傳輸過程中是否進行了加密處理。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CES1-28）該測評單元包括以下要求：a）測評指標；應采用密碼技術保證重要數據在存儲過程中的保密性，包括但不限于鑒別數據、重要業(yè)務數據和重要個人信息等。b）測評對象：業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件、系統(tǒng)管理軟件及系統(tǒng)設計文檔、數據安全保護系統(tǒng)、終端和服務器等設備中的操作系統(tǒng)及網絡設備和安全設備等。c）測評實施包括以下內容：1）應核查是否采用密碼技術保證鑒別數據、重要業(yè)務數據和重要個人信息等在存儲過程中的保密性；2）應核查是否采用技術措施（如數據安全保護系統(tǒng)等）保證鑒別數據、重要業(yè)務數據和重要個人信息等在存儲過程中的保密性；3）應測試驗證是否對指定的數據進行加密處理。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。數據備份恢復測評單元（L4-CES1-29）該測評單元包括以下要求：a）測評指標：應提供重要數據的本地數據備份與恢復功能。b）測評對象：配置數據和業(yè)務數據。c）測評實施包括以下內容：1）應核查是否按照備份策略進行本地備份；2）應核查備份策略設置是否合理、配置是否正確；3）應核查備份結果是否與備份策略一致；4）應核查近期恢復測試記錄是否能夠進行正常的數據恢復。d）單元判定：如果1）~4）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CES1-30）該測評單元包括以下要求：a）測評指標：應提供異地實時備份功能，利用通信網絡將重要數據實時備份至備份場地。b）測評對象：配置數據和業(yè)務數據。c）測評實施：應核查是否提供異地實時備份功能，并通過網絡將重要配置數據、重要業(yè)務數據實時備份至備份場地。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合木測評單元指標要求。測評單元（L4-CES1-31）該測評單元包括以下要求：a）測評指標：應提供重要數據處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。b）測評對象：重要數據處理系統(tǒng)。c）測評實施：應核查重要數據處理系統(tǒng)（包括邊界路由器、邊界防火墻、核心交換機、應用服務器和數據庫服務器等）是否采用熱冗余方式部署。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。測評單元（L4-CES1-32）該測評單元包括以下要求：a）測評指標：應建立異地災難備份中心，提供業(yè)務應用的實時切換。b）測評對象：災難備份中心及相關組件。c）測評實施包括以下內容：1）應核查是否建立異地災難備份中心，配備災難恢復所需的通信線路、網絡設備和數據處理設備；2）應核查是否提供業(yè)務應用的實時切換功能。d）單元判定：如果1）和2）均為肯定，則符合木測評單元指標要求，否則不符合或部分符合本測評單元指標要求。剩余信息保護測評單元（L4-CES1-33）該測評單元包括以下要求：a）測評指標：應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。b）測評對象：終端和服務器等設備中的操作系統(tǒng)、業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。c）測評實施：應核查相關配置信息或系統(tǒng)設計文檔，用戶的鑒別信息所在的存儲空間被釋放或重新分配前是否得到完全清除。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。測評單元（L4-CES1-34）該測評單元包括以下要求：a）測評指標：應保證存有敏感數據的存儲空間被釋放或重新分配前得到完全清除。b）測評對象：終端和服務器等設備中的操作系統(tǒng)、業(yè)務應用系統(tǒng)、數據庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設計文檔等。c）測評實施：應核查相關配置信息或系統(tǒng)設計文檔，敏感數據所在的存儲空間被釋放或重新分配給其他用戶前是否得到完全清除。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。個人信息保護測評單元（L4-CES1-35）該測評單元包括以下要求：a）測評指標：應僅采集和保存業(yè)務必需的用戶個人信息。b）測評對象：業(yè)務應用系統(tǒng)和數據庫管理系統(tǒng)等。c）測評實施：1）應核查采集的用戶個人信息是否是業(yè)務應用必需的；2）應核查是否制定了有關用戶個人信息保護的管理制度和流程。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-CES1-36）該測評單元包括以下要求：a）測評指標；應禁止未授權訪問和非法使用用戶個人信息。b）測評對象：業(yè)務應用系統(tǒng)和數據庫管理系統(tǒng)等。c）測評實施：1）應核查是否采用技術措施限制對用戶個人信息的訪問和使用；2）應核查是否制定了有關用戶個人信息保護的管理制度和流程。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。安全管理中心系統(tǒng)管理測評單元（L4-SMC1-01）該測評單元包括以下要求：a）測評指標：應對系統(tǒng)管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作，并對這些操作進行審計。b）測評對象：提供集中系統(tǒng)管理功能的系統(tǒng)。c）測評實施包括以下內容：1）應核查是否對系統(tǒng)管理員進行身份鑒別；2）應核查是否只允許系統(tǒng)管理員通過特定的命令或操作界面進行系統(tǒng)管理操作；3）應核查是否對系統(tǒng)管理操作進行審計。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-SMC1-02）該測評單元包括以下要求：a）測評指標：應通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理，包括用戶身份、資源配置、系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理、數據和設備的備份與恢復等。b）測評對象：提供集中系統(tǒng)管理功能的系統(tǒng)。c）測評實施：應核查是否通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置、控制和管理，包括用戶身份、資源配置、系統(tǒng)加載和啟動、系統(tǒng)運行的異常處理、數據和設備的備份與恢復等。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。審計管理測評單元（L4-SMC1-03）該測評單元包括以下要求：a）測評指標：應對審計管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全審計操作，并對這些操作進行審計。b）測評對象：綜合安全審計系統(tǒng)、數據庫審計系統(tǒng)等提供集中審計功能的系統(tǒng)。c）測評實施包括以下內容：1）應核查是否對審計管理員進行身份鑒別；2）應核查是否只允許審計管理員通過特定的命令或操作界面進行安全審計操作；3）應核查是否對安全審計操作進行審計。d）單元判定：如果1）~3）均為肯定，則符合木測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-SMC1-04）該測評單元包括以下要求：a）測評指標：應通過審計管理員對審計記錄進行分析，并根據分析結果進行處理，包括根據安全審計策略對審計記錄進行存儲、管理和查詢等。b）測評對象：綜合安全審計系統(tǒng)、數據庫審計系統(tǒng)等提供集中審計功能的系統(tǒng)。c）測評實施：應核查是否通過審計管理員對審計記錄進行分析，并根據分析結果進行處理，包括根據安全審計策略對審計記錄進行存儲、管理和查詢等。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。安全管理測評單元（L4-SMC1-05）該測評單元包括以下要求：a）測評指標：應對安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全管理操作，并對這些操作進行審計。b）測評對象：提供集中安全管理功能的系統(tǒng)。c）測評實施包括以下內容：1）應核查是否對安全管理員進行身份鑒別；2）應核查是否只允許安全管理員通過特定的命令或操作界面進行安全審計操作；3）應核查是否對安全管理操作進行審計。d）單元判定；如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-SMC1-06）該測評單元包括以下要求：a）測評指標：應通過安全管理員對系統(tǒng)中的安全策略進行配置，包括安全參數的設置，主體、客體進行統(tǒng)一安全標記，對主體進行授權，配置可信驗證策略等。b）測評對象：提供集中安全管理功能的系統(tǒng)。c）測評實施：應核查是否通過安全管理員對系統(tǒng)中的安全策略進行配置，包括安全參數的設置，主體、客體進行統(tǒng)一安全標記，對主體進行授權，配置可信驗證策略等。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。集中管控測評單元（L4-SMC1-07）該測評單元包括以下要求：a）測評指標：應劃分出特定的管理區(qū)域，對分布在網絡中的安全設備或安全組件進行管控。b）測評對象：網絡拓撲。c）測評實施包括以下內容：1）應核查是否劃分出單獨的網絡區(qū)域用于部署安全設備或安全組件；2）應核查各個安全設備或安全組件是否集中部署在單獨的網絡區(qū)域內。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-SMC1-08）該測評單元包括以下要求：a）測評指標：應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理。b）測評對象：路由器、交換機和防火墻等設備或相關組件。c）測評實施包括以下內容：1）應核查是否采用安全方式（如SSH、HTTPS、IPSecVPN等）對安全設備或安全組件進行管理；2）應核查是否使用獨立的帶外管理網絡對安全設備或安全組件進行管理。d）單元判定：如果1）或2）為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-SMC1-09）該測評單元包括以下要求：a）測評指標：應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監(jiān)測。b）測評對象：綜合網管系統(tǒng)等提供運行狀態(tài)監(jiān)測功能的系統(tǒng)。c）測評實施包括以下內容：1）應核查是否部署了具備運行狀態(tài)監(jiān)測功能的系統(tǒng)或設備、能夠對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監(jiān)測；2）應測試驗證運行狀態(tài)監(jiān)測系統(tǒng)是否根據網絡鏈路、安全設備、網絡設備和服務器等的工作狀態(tài)、依據設定的閥值（或默認閥值）實時報警。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-SMC1-10）該測評單元包括以下要求：a）測評指標：應對分散在各個設備上的審計數據進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求。b）測評對象：綜合安全審計系統(tǒng)、數據庫審計系統(tǒng)等提供集中審計功能的系統(tǒng)。c）測評實施包括以下內容：1）應核查各個設備是否配置并啟用了相關策略，將審計數據發(fā)送到獨立于設備自身的外部集中安全審計系統(tǒng)中；2）應核查是否部署統(tǒng)一的集中安全審計系統(tǒng)，統(tǒng)一收集和存儲各設備日志，并根據需要進行集中審計分析；3）應核查審計記錄的留存時間是否至少為6個月。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-SMC1-11）該測評單元包括以下要求：a）測評指標：應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理。b）測評對象：提供集中安全管控功能的系統(tǒng)。c）測評實施包括以下內容：1）應核查是否能夠對安全策略（如防火墻訪問控制策略、入侵保護系統(tǒng)防護策略、WAF安全防護策略等）進行集中管理；2）應核查是否實現對操作系統(tǒng)防惡意代碼系統(tǒng)及網絡惡意代碼防護設備的集中管理，實現對防惡意代碼病毒規(guī)則庫的升級進行集中管理；3）應核查是否實現對各個系統(tǒng)或設備的補丁升級進行集中管理。d）單元判定：如果1）~3）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-SMC1-12）該測評單元包括以下要求：a）測評指標：應能對網絡中發(fā)生的各類安全事件進行識別、報警和分析。b）測評對象：提供集中安全管控功能的系統(tǒng)。c）測評實施包括以下內容：1）應核查是否部署了相關系統(tǒng)平臺能夠對各類安全事件進行分析并通過聲光等方式實時報警；2）應核查監(jiān)測范圍是否能夠覆蓋網絡所有關鍵路徑。d）單元判定：如果1）和2）均為肯定，則符合本測評單元指標要求，否則不符合或部分符合本測評單元指標要求。測評單元（L4-SMC1-13）該測評單元包括以下要求：a）測評指標：應保證系統(tǒng)范圍內的時間由唯一確定的時鐘產生，以保證各種數據的管理和分析在時間上的一致性。b）測評對象：綜合安全審計系統(tǒng)等。c）測評實施：應核查是否在系統(tǒng)范圍內統(tǒng)一使用了唯一確定的時鐘源。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。安全管理制度安全策略測評單元（L4-PSS1-01）該測評單元包括以下要求：a）測評指標：應制定網絡安全工作的總體方針和安全策略。闡明機構安全工作的總體目標、范圍、原則和安全框架等。b）測評對象：總體方針策略類文檔。c）測評實施：應核查網絡安全工作的總體方針和安全策略文件是否明確機構安全工作的總體目標、范圍、原則和各類安全策略。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要求。管理制度測評單元（L4-PSS1-02）該測評單元包括以下要求：a）測評指標：應對安全管理活動中的各類管理內容建立安全管理制度。b）測評對象：安全管理制度類文檔。c）測評實施；應核查各項安全管理制度是否覆蓋物理、網絡、主機系統(tǒng)、數據、應用、建設和運維等管理內容。d）單元判定：如果以上測評實施內容為肯定，則符合本測評單元指標要求，否則不符合本測評單元指標要水