三級等保測評要求-對點(diǎn)應(yīng)答

1、1.1.1.1 物理位置的選擇1.1.1.1.1 測評單元（L3-PES1-01）a) 測評指標(biāo)機(jī)房場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；（本條款引用自GB/T 22239.1-20XX 7.1.1.1 a）b) 測評對象記錄類文檔和機(jī)房。c) 測評實施1) 應(yīng)核查所在建筑物是否具有建筑物抗震設(shè)防審批文檔；2) 應(yīng)核查機(jī)房是否不存在雨水滲漏；機(jī)房存在漏水隱患位置，包括窗戶、門、管道等做好防水封堵。3) 應(yīng)核查門窗是否不存在因風(fēng)導(dǎo)致的塵土嚴(yán)重； 門窗、地面、墻面、天花刷防塵漆及貼防塵保溫棉。 設(shè)備需在基礎(chǔ)裝修完成靜止放置除灰后進(jìn)場運(yùn)行。4) 應(yīng)核查屋頂、墻體、門窗和地面等是否不存在破損

2、開裂。 選擇前及選址中確定，避開這些隱患位置。d) 單元判定如果1）-4）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.1.1.2 測評單元（L3-PES1-02）a) 測評指標(biāo)機(jī)房場地應(yīng)避免設(shè)在建筑物的頂層或地下室，否則應(yīng)加強(qiáng)防水和防潮措施。（本條款引用自GB/T 22239.1-20XX 7.1.1.1 b）機(jī)房選址注意此項即可。b) 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合本測評單元指標(biāo)要求。1.1.1.2 物理訪問控制1.1.1.1.1 測評單元（L3-PES1-0

3、3）a) 測評指標(biāo)機(jī)房出入口應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。（本條款引用自GB/T 22239.1-20XX 7.1.1.2）機(jī)房門口做好電子門禁系統(tǒng)，控制系統(tǒng)。配置門禁及刷卡設(shè)備、指紋等控制系統(tǒng)1.1.1.3 防盜竊和防破壞1.1.1.3.1 測評單元（L3-PES1-04）a) 測評指標(biāo)應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；（本條款引用自GB/T 22239.1-20XX 7.1.1.3 a）b) 測評對象機(jī)房設(shè)備或主要部件。c) 測評實施1) 應(yīng)核查機(jī)房內(nèi)設(shè)備或主要部件是否固定； 機(jī)房內(nèi)所有部件配電柜、橋架、機(jī)柜、設(shè)備等均做好固定。2) 應(yīng)核查機(jī)房內(nèi)設(shè)備

4、或主要部件上是否設(shè)置了明顯且不易除去的標(biāo)記。 做好機(jī)房內(nèi)設(shè)備的標(biāo)簽標(biāo)識。有固定資產(chǎn)需求的單位還應(yīng)做好固定資產(chǎn)編制。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.1.3.2 測評單元（L3-PES1-05）a) 測評指標(biāo)應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中； （本條款引用自GB/T 22239.1-20XX 7.1.1.3 b）設(shè)計方案將通訊線纜設(shè)計為弱電上走線橋架中。做好屏蔽安裝橋架。b) 測評對象機(jī)房通信線纜。c) 測評實施應(yīng)核查機(jī)房內(nèi)通信線纜是否鋪設(shè)在隱蔽處或橋架中。 設(shè)計做在橋架中。d)

5、 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合本測評單元指標(biāo)要求。1.1.1.3.3 測評單元（L3-PES1-06）a) 測評指標(biāo)應(yīng)設(shè)置機(jī)房防盜報警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)。（本條款引用自GB/T 22239.1-20XX 7.1.1.3 c）設(shè)計配置機(jī)房各入口及機(jī)房主要位置設(shè)置視頻監(jiān)控系統(tǒng)，并按照客戶要求配置存儲時間。b) 測評對象機(jī)房防盜報警系統(tǒng)或視頻監(jiān)控系統(tǒng)。c) 測評實施1) 應(yīng)核查機(jī)房內(nèi)是否配置防盜報警系統(tǒng)或?qū)Ｈ酥凳氐囊曨l監(jiān)控系統(tǒng)；2) 應(yīng)核查防盜報警系統(tǒng)或視頻監(jiān)控系統(tǒng)是否啟用。d) 單元判定如果1）-2）均為肯定，則

6、等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.1.4 防雷擊1.1.1.4.1 測評單元（L3-PES1-07）a) 測評指標(biāo)應(yīng)將各類機(jī)柜、設(shè)施和設(shè)備等通過接地系統(tǒng)安全接地；（本條款引用自GB/T 22239.1-20XX 7.1.1.4 a）機(jī)房整體、機(jī)柜及設(shè)備、配電等均做好三級防雷及接地，并做好零地檢測。b) 測評對象機(jī)房。c) 測評實施應(yīng)核查機(jī)房內(nèi)機(jī)柜、設(shè)施和設(shè)備等是否進(jìn)行接地處理。d) 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合本測評單元指標(biāo)要求。1.1.1.4.2 測評單元（L

7、3-PES1-08）a) 測評指標(biāo)應(yīng)采取措施防止感應(yīng)雷，例如設(shè)置防雷保安器或過壓保護(hù)裝置等。（本條款引用自GB/T 22239.1-20XX 7.1.1.4 b）1、 設(shè)置配電柜二級防雷；2、 配備UPS系統(tǒng)，及配電柜帶防雷及過載保護(hù)空開；3、 UPS有過載保護(hù)功能，保護(hù)后端設(shè)備。4、 空開均配置為有過載保護(hù)功能；b) 測評對象機(jī)房防雷設(shè)施。c) 測評實施1) 應(yīng)核查機(jī)房內(nèi)是否設(shè)置防感應(yīng)雷措施；2) 應(yīng)核查防雷裝置是否通過驗收或國家有關(guān)部門的技術(shù)檢測。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.1.5

8、 防火1.1.1.5.1 測評單元（L3-PES1-09）a) 測評指標(biāo)應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；（本條款引用自GB/T 22239.1-20XX 7.1.1.5 a）設(shè)計標(biāo)準(zhǔn)配置有七氟丙烷自動滅火系統(tǒng)。b) 測評對象機(jī)房防火設(shè)施。c) 測評實施1) 應(yīng)核查機(jī)房內(nèi)是否設(shè)置火災(zāi)自動消防系統(tǒng)；2) 應(yīng)核查火災(zāi)自動消防系統(tǒng)是否可以自動檢測火情、自動報警并自動滅火。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.1.5.2 測評單元（L3-PES1-10）a) 測評指標(biāo)機(jī)房及

9、相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級的建筑材料；（本條款引用自GB/T 22239.1-20XX 7.1.1.5 b）設(shè)計機(jī)房所有材料、線纜、門窗、隔斷等均采用耐火、防火材料；b) 測評對象機(jī)房驗收類文檔。c) 測評實施應(yīng)核查機(jī)房驗收文檔是否明確相關(guān)建筑材料的耐火等級。d) 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合本測評單元指標(biāo)要求。1.1.1.5.3 測評單元（L3-PES1-11）a) 測評指標(biāo)應(yīng)對機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置隔離防火措施。（本條款引用自GB/T 22239.1-20XX 7.1.1.5 c）機(jī)房管理

10、區(qū)及機(jī)房主區(qū)域用防火門分開隔離。b) 測評對象機(jī)房管理員和機(jī)房。c) 測評實施1) 應(yīng)訪談機(jī)房管理員是否進(jìn)行了區(qū)域劃分；2) 應(yīng)核查各區(qū)域間是否采取了防火措施進(jìn)行隔離。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.1.6 防水和防潮1.1.1.6.1 測評單元（L3-PES1-12）a) 測評指標(biāo)應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透；（本條款引用自GB/T 22239.1-20XX 7.1.1.6 a）對有雨水隱患的窗戶、屋頂和墻壁滲透進(jìn)行封堵及防水處理。b) 測評對象機(jī)房。c) 測評實施應(yīng)核

11、查窗戶、屋頂和墻壁是否采取了防雨水滲透的措施。d) 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合本測評單元指標(biāo)要求。1.1.1.6.2 測評單元（L3-PES1-13）a) 測評指標(biāo)應(yīng)采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；（本條款引用自GB/T 22239.1-20XX 7.1.1.6 b）配備機(jī)房的排水及冷凝水的產(chǎn)生地的防水措施并做好漏水檢測機(jī)處理設(shè)施。b) 測評對象機(jī)房。c) 測評實施1) 應(yīng)核查機(jī)房內(nèi)是否采取了防止水蒸氣結(jié)露的措施； 如工程空調(diào)天花機(jī)出風(fēng)口不要對著機(jī)柜上方，容易產(chǎn)生冷凝水的地方要原理機(jī)柜。做好防水檢測及防

12、水圍堰。做好排水措施。2) 應(yīng)核查機(jī)房內(nèi)是否采取了排泄地下積水，防止地下積水滲透的措施。 做好排水措施及合理安排排水管道，選址考慮到積水情況。機(jī)房設(shè)計在地面以下及有積水危險區(qū)域要做好防水封堵。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.1.6.3 測評單元（L3-PES1-14）a) 測評指標(biāo)應(yīng)安裝對水敏感的檢測儀表或元件，對機(jī)房進(jìn)行防水檢測和報警。（本條款引用自GB/T 22239.1-20XX 7.1.1.6 c）設(shè)計標(biāo)配機(jī)房的動力環(huán)境系統(tǒng)，包括防水及漏水檢測及報警。b) 測評對象機(jī)房防水檢測設(shè)施

13、。c) 測評實施1) 應(yīng)核查機(jī)房內(nèi)是否安裝了對水敏感的檢測裝置；2) 應(yīng)核查防水檢測和報警裝置是否啟用。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.1.7 防靜電1.1.1.7.1 測評單元（L3-PES1-15）a) 測評指標(biāo)應(yīng)安裝防靜電地板并采用必要的接地防靜電措施；（本條款引用自GB/T 22239.1-20XX 7.1.1.7 a）b) 測評對象機(jī)房。c) 測評實施1) 應(yīng)核查機(jī)房內(nèi)是否安裝了防靜電地板； 機(jī)房設(shè)置防靜電地板。架高約20cm；2) 應(yīng)核查機(jī)房內(nèi)是否采用了接地防靜電措施。 用紫銅

14、排及地線，做標(biāo)準(zhǔn)接地。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.1.7.2 測評單元（L3-PES1-16）a) 測評指標(biāo)應(yīng)采用措施防止靜電的產(chǎn)生，例如采用靜電消除器、佩戴防靜電手環(huán)等。（本條款引用自GB/T 22239.1-20XX 7.1.1.7 b）b) 測評對象機(jī)房。c) 測評實施應(yīng)核查機(jī)房內(nèi)是否配備了防靜電設(shè)備。機(jī)房出入口設(shè)置防靜電鞋套及防靜電手環(huán)、安全頭盔。d) 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合本測評單元指標(biāo)要求。1.1.

15、1.8 溫濕度控制1.1.1.8.1 測評單元（L3-PES1-17）a) 測評指標(biāo)機(jī)房應(yīng)設(shè)置溫濕度自動調(diào)節(jié)設(shè)施，使機(jī)房溫濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。（本條款引用自GB/T 22239.1-20XX 7.1.1.8）標(biāo)準(zhǔn)設(shè)計，配置機(jī)房專用精密恒溫恒濕空調(diào)，滿足溫濕度控制變化。在正負(fù)1度；b) 測評對象機(jī)房溫濕度調(diào)節(jié)設(shè)施。c) 測評實施1) 應(yīng)核查機(jī)房內(nèi)是否配備了專用空調(diào)；2) 應(yīng)核查機(jī)房內(nèi)溫濕度是否在設(shè)備運(yùn)行所允許的范圍之內(nèi)。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.1.9 電力供應(yīng)1.1

16、.1.9.1 測評單元（L3-PES1-18）a) 測評指標(biāo)應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備；（本條款引用自GB/T 22239.1-20XX 7.1.1.9 a）機(jī)房配置UPS系統(tǒng)，具有很強(qiáng)穩(wěn)壓功能及過壓防護(hù)。b) 測評對象機(jī)房供電設(shè)施。c) 測評實施應(yīng)核查供電線路上是否配置了穩(wěn)壓器和過電壓防護(hù)設(shè)備。d) 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合本測評單元指標(biāo)要求。1.1.1.9.2 測評單元（L3-PES1-19）a) 測評指標(biāo)應(yīng)提供短期的備用電力供應(yīng)，至少滿足設(shè)備在斷電情況下的正常運(yùn)行要求；（本條款引用自GB/T 22

17、239.1-20XX 7.1.1.9 b）配置UPS系統(tǒng)，提供斷電情況下設(shè)備短期供電。b) 測評對象機(jī)房備用供電設(shè)施。c) 測評實施1) 應(yīng)核查是否配備UPS等后備電源系統(tǒng)。2) 應(yīng)核查UPS等后備電源系統(tǒng)是否滿足設(shè)備在斷電情況下的正常運(yùn)行要求。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.1.9.3 測評單元（L3-PES1-20）a) 測評指標(biāo)應(yīng)設(shè)置冗余或并行的電力電纜線路為計算機(jī)系統(tǒng)供電。（本條款引用自GB/T 22239.1-20XX 7.1.1.9 c）b) 測評對象機(jī)房。c) 測評實施應(yīng)核查

18、機(jī)房內(nèi)是否設(shè)置了冗余或并行的電力電纜線路為計算機(jī)系統(tǒng)供電。設(shè)置市電與UPS系統(tǒng)兩路冗余系統(tǒng)，分別給設(shè)備供電。d) 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.1.10 電磁防護(hù)1.1.1.10.1 測評單元（L3-PES1-21）a) 測評指標(biāo)電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。（本條款引用自GB/T 22239.1-20XX 7.1.1.10 a）分別設(shè)置強(qiáng)電與弱電線槽分離，互不干擾。b) 測評對象機(jī)房線纜。c) 測評實施應(yīng)核查機(jī)房內(nèi)電源線纜和通信線纜是否隔離鋪設(shè)。d) 單元判定如果以上測評實施

19、內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合本測評單元指標(biāo)要求。1.1.1.10.2 測評單元（L3-PES1-22）a) 測評指標(biāo)應(yīng)對關(guān)鍵設(shè)備實施電磁屏蔽。（本條款引用自GB/T 22239.1-20XX 7.1.1.10 b）b) 測評對象機(jī)房關(guān)鍵設(shè)備。c) 測評實施應(yīng)核查機(jī)房內(nèi)是否為關(guān)鍵設(shè)備配備了電磁屏蔽裝置。機(jī)房機(jī)柜系統(tǒng)為全金屬機(jī)柜，機(jī)柜設(shè)計金屬鈑金門與網(wǎng)孔門。 機(jī)房的墻壁、天花、地板做好金屬屏蔽。設(shè)計天花材料采用全鋁噴塑微孔天花板，鋁箔網(wǎng)地面處理，及屏蔽門。d) 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象

20、不符合本測評單元指標(biāo)要求。1.1.2 網(wǎng)絡(luò)和通信安全1.1.2.1 網(wǎng)絡(luò)架構(gòu)1.1.2.1.1 測評單元（L3-NCS1-01）a) 測評指標(biāo)應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要；（本條款引用自GB/T 22239.1-20XX 7.1.2.1 a）b) 測評對象路由器、交換機(jī)和防火墻提供網(wǎng)絡(luò)通信功能的設(shè)備。c) 測評實施1) 應(yīng)核查業(yè)務(wù)高峰時期一段時間內(nèi)主要網(wǎng)絡(luò)設(shè)備的CPU使用率和內(nèi)存使用率是否滿足需要；2) 應(yīng)核查網(wǎng)絡(luò)設(shè)備是否從未出現(xiàn)過宕機(jī)情況。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1

21、.2.1.2 測評單元（L3-NCS1-02）a) 測評指標(biāo)應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；（本條款引用自GB/T 22239.1-20XX 7.1.2.1 b）b) 測評對象綜合網(wǎng)管系統(tǒng)。c) 測評實施應(yīng)核查綜合網(wǎng)管系統(tǒng)各通信鏈路帶寬是否滿足高峰時段的業(yè)務(wù)流量。d) 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合本測評單元指標(biāo)要求。1.1.2.1.3 測評單元（L3-NCS1-03）a) 測評指標(biāo)應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址；（本條款引用自GB/T 22239.1-20XX 7.1.2.1

22、 c）b) 測評對象路由器、交換機(jī)和防火墻等提供網(wǎng)絡(luò)通信功能的設(shè)備。c) 測評實施1) 應(yīng)核查是否依據(jù)某種原則劃分不同的網(wǎng)絡(luò)區(qū)域；2) 應(yīng)核查相關(guān)網(wǎng)絡(luò)設(shè)備配置信息，驗證劃分的網(wǎng)絡(luò)區(qū)域是否與劃分原則一致。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.1.4 測評單元（L3-NCS1-04）a) 測評指標(biāo)應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在網(wǎng)絡(luò)邊界處且沒有邊界防護(hù)措施；（本條款引用自GB/T 22239.1-20XX 7.1.2.1 d）b) 測評對象網(wǎng)絡(luò)拓?fù)鋱D。c) 測評實施1) 應(yīng)核查網(wǎng)絡(luò)拓?fù)鋱D是否真是網(wǎng)絡(luò)運(yùn)

23、行環(huán)境一致；2) 應(yīng)核查重要網(wǎng)絡(luò)區(qū)域未部署在網(wǎng)絡(luò)邊界處且無邊界防護(hù)措施；3) 應(yīng)核查重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間是否采取可靠的技術(shù)隔離手段，如網(wǎng)閘、防火墻和設(shè)備訪問控制列表（ACL）等。d) 單元判定如果1）-3）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.1.5 測評單元（L3-NCS1-05）a) 測評指標(biāo)應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余，保證系統(tǒng)的可用性。（本條款引用自GB/T 22239.1-20XX 7.1.2.1 e）b) 測評對象網(wǎng)絡(luò)拓?fù)鋱D。c) 測評實施應(yīng)核查系統(tǒng)是否有主要網(wǎng)絡(luò)設(shè)備、安全設(shè)備的硬件冗余

24、和通信線路冗余。d) 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合本測評單元指標(biāo)要求。1.1.2.2 通信傳輸1.1.2.2.1 測評單元（L3-NCS1-06）a) 測評指標(biāo)應(yīng)采用校驗碼技術(shù)或加解密技術(shù)保證通信過程中數(shù)據(jù)的完整性；（本條款引用自GB/T 22239.1-20XX 7.1.2.2 a）b) 測評對象提供加解密功能的設(shè)備或組件。c) 測評實施1) 應(yīng)核查是否在數(shù)據(jù)傳輸過程中使用校驗碼技術(shù)或其他加解密技術(shù)來保護(hù)其完整性；2) 應(yīng)測試驗證加解密設(shè)備或組件是否保證通信過程中數(shù)據(jù)的完整性。d) 單元判定如果1）-2）均為肯定，則等級保

25、護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.2.2 測評單元（L3-NCS1-07）a) 測評指標(biāo)應(yīng)采用加解密技術(shù)保證通信過程中敏感信息字段或整個報文的保密性。（本條款引用自GB/T 22239.1-20XX 7.1.2.2 b）b) 測評對象提供加解密功能的設(shè)備或組件。c) 測評實施1) 應(yīng)核查是否具有在通信過程中是否采取保密措施，具體采用哪些技術(shù)措施；2) 應(yīng)測試驗證在通信過程中是否對敏感信息字段或整個報文進(jìn)行加密。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)

26、要求。1.1.2.3 邊界防護(hù)1.1.2.3.1 測評單元（L3-NCS1-08）a) 測評指標(biāo)應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界防護(hù)設(shè)備提供的受控接口進(jìn)行通信；（本條款引用自GB/T 22239.1-20XX 7.1.2.3 a）b) 測評對象網(wǎng)閘、防火墻、路由器和交換機(jī)等提供訪問控制功能的設(shè)備。c) 測評實施1) 應(yīng)核查在網(wǎng)絡(luò)邊界處是否部署訪問控制設(shè)備；2) 應(yīng)核查設(shè)備配置信息是否指定端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信，該端口配置并啟用了安全策略；3) 應(yīng)采用其他技術(shù)手段（如非法WIFI定位檢查、核查設(shè)備配置信息等）核查是否不存在其他未受控端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信。d) 單元判定如果1）-3）

27、均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.3.2 測評單元（L3-NCS1-09）a) 測評指標(biāo)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；（本條款引用自GB/T 22239.1-20XX 7.1.2.3 b）b) 測評對象終端管理系統(tǒng)和網(wǎng)絡(luò)設(shè)備。c) 測評實施1) 應(yīng)核查是否采用技術(shù)措施防止非授權(quán)設(shè)備接入內(nèi)部網(wǎng)絡(luò)并進(jìn)行有效阻斷；2) 應(yīng)核查所有路由器和交換機(jī)閑置端口等相關(guān)設(shè)備是否均已關(guān)閉。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指

28、標(biāo)要求。1.1.2.3.3 測評單元（L3-NCS1-10）a) 測評指標(biāo)應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；（本條款引用自GB/T 22239.1-20XX 7.1.2.3 c）b) 測評對象終端管理系統(tǒng)或設(shè)備。c) 測評實施應(yīng)核查是否采用技術(shù)措施防止內(nèi)部用戶非法外聯(lián)行為。d) 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合本測評單元指標(biāo)要求。1.1.2.3.4 測評單元（L3-NCS1-11）a) 測評指標(biāo)應(yīng)限制無線網(wǎng)絡(luò)的使用，確保無線網(wǎng)絡(luò)通過受控的邊界防護(hù)設(shè)備接入內(nèi)部網(wǎng)絡(luò)。（本條款引用自GB/T 22239.1-20

29、XX 7.1.2.3 d）b) 測評對象網(wǎng)絡(luò)拓?fù)鋱D和無線網(wǎng)絡(luò)設(shè)備。c) 測評實施1) 應(yīng)核查無線網(wǎng)絡(luò)的部署方式，是否單獨(dú)組網(wǎng)后再連接到有線網(wǎng)絡(luò)；2) 應(yīng)核查無線網(wǎng)絡(luò)是否通過受控的邊界防護(hù)設(shè)備接入到內(nèi)部有線網(wǎng)絡(luò)。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.4 訪問控制1.1.2.4.1 測評單元（L3-NCS1-12）a) 測評指標(biāo)應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信；（本條款引用自GB/T 22239.1-20XX 7.1.2.4 a）

30、b) 測評對象網(wǎng)閘、防火墻、路由器和交換機(jī)等提供訪問控制功能的設(shè)備。c) 測評實施1) 應(yīng)核查在網(wǎng)絡(luò)邊界或區(qū)域之間是否部署訪問控制設(shè)備，是否啟用訪問控制策略；2) 應(yīng)核查設(shè)備的最后一條訪問控制策略是否為禁止所有網(wǎng)絡(luò)通信。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.4.2 測評單元（L3-NCS1-13）a) 測評指標(biāo)應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；（本條款引用自GB/T 22239.1-20XX 7.1.2.4 b）b) 測評對象網(wǎng)閘、防火墻、路由器

31、和交換機(jī)等提供訪問控制功能的設(shè)備。c) 測評實施1) 應(yīng)核查設(shè)備是否不存在多余或無效的訪問控制策略；2) 應(yīng)核查設(shè)備的不同訪問控制策略之間的邏輯關(guān)系及前后排列順序是否合理。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.4.3 測評單元（L3-NCS1-14）a) 測評指標(biāo)應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出；（本條款引用自GB/T 22239.1-20XX 7.1.2.4 c）b) 測評對象網(wǎng)閘、防火墻、路由器和交換機(jī)等提供訪問控制功能的設(shè)備。c) 測評實施

32、應(yīng)核查設(shè)備訪問控制策略中是否設(shè)定了源地址、目的地址、源端口、目的端口和協(xié)議等相關(guān)配置參數(shù)。d) 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合本測評單元指標(biāo)要求。1.1.2.4.4 測評單元（L3-NCS1-15）a) 測評指標(biāo)應(yīng)能根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；（本條款引用自GB/T 22239.1-20XX 7.1.2.4 d）b) 測評對象網(wǎng)閘、防火墻、路由器和交換機(jī)等提供訪問控制功能的設(shè)備。c) 測評實施應(yīng)核查訪問控制策略中是否明確設(shè)定了源地址、目的地址、源端口、目的端口和協(xié)議，訪問控制粒

33、度是否為端口級。d) 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合本測評單元指標(biāo)要求。1.1.2.4.5 測評單元（L3-NCS1-16）a) 測評指標(biāo)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實現(xiàn)對內(nèi)容的訪問控制。（本條款引用自GB/T 22239.1-20XX 7.1.2.4 e）b) 測評對象應(yīng)用層防火墻等提供訪問控制功能和內(nèi)容過濾功能的設(shè)備。c) 測評實施1) 應(yīng)核查在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處是否部署相關(guān)設(shè)備，是否啟用訪問控制策略；2) 應(yīng)測試設(shè)備訪問控制策略是否能夠?qū)M(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實現(xiàn)對內(nèi)容的訪問控制。d) 單元判定如果

34、1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.5 入侵防范1.1.2.5.1 測評單元（L3-NCS1-17）a) 測評指標(biāo)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；（本條款引用自GB/T 22239.1-20XX 7.1.2.5 a）b) 測評對象入侵保護(hù)系統(tǒng)、入侵檢測系統(tǒng)、抗APT攻擊、抗DDoS攻擊和網(wǎng)絡(luò)回溯等系統(tǒng)或設(shè)備。c) 測評實施1) 應(yīng)核查相關(guān)系統(tǒng)或設(shè)備是否能夠檢測從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；2) 應(yīng)核查相關(guān)系統(tǒng)或設(shè)備的規(guī)則庫版本是否已經(jīng)更新到最新版本；3) 應(yīng)核查相關(guān)系統(tǒng)或設(shè)備配置信息

35、或安全策略是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵節(jié)點(diǎn)。4) 應(yīng)測試相關(guān)系統(tǒng)或設(shè)備驗證其安全策略有效性。d) 單元判定如果1）-4）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.5.2 測評單元（L3-NCS1-18）a) 測評指標(biāo)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測和限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；（本條款引用自GB/T 22239.1-20XX 7.1.2.5 b）b) 測評對象入侵保護(hù)系統(tǒng)、入侵檢測系統(tǒng)、抗APT攻擊、抗DDoS攻擊和網(wǎng)絡(luò)回溯等系統(tǒng)或設(shè)備。c) 測評實施1) 應(yīng)核查相關(guān)系統(tǒng)或設(shè)備是否能夠檢測到從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；2) 應(yīng)核查相關(guān)系

36、統(tǒng)或設(shè)備的規(guī)則庫版本是否已經(jīng)更新到最新版本；3) 應(yīng)核查相關(guān)系統(tǒng)或設(shè)備配置信息或安全策略是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵節(jié)點(diǎn)。4) 應(yīng)測試相關(guān)系統(tǒng)或設(shè)備驗證其安全策略有效性。d) 單元判定如果1）-4）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.5.3 測評單元（L3-NCS1-19）a) 測評指標(biāo)應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析；（本條款引用自GB/T 22239.1-20XX 7.1.2.5 c）b) 測評對象網(wǎng)絡(luò)回溯和抗APT攻擊等系統(tǒng)或設(shè)備。c) 測評實施1) 應(yīng)核查是否部

37、署網(wǎng)絡(luò)回溯系統(tǒng)或抗APT攻擊系統(tǒng)對新型網(wǎng)絡(luò)攻擊進(jìn)行檢測和分析；2) 應(yīng)測試驗證是否對網(wǎng)絡(luò)行為進(jìn)行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析。d) 單元判定如果1）- 2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.5.4 測評單元（L3-NCS1-20）a) 測評指標(biāo)當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警。（本條款引用自GB/T 22239.1-20XX 7.1.2.5 d）b) 測評對象入侵保護(hù)系統(tǒng)、入侵檢測系統(tǒng)、抗APT攻擊、抗DDoS攻擊和網(wǎng)絡(luò)回溯

38、等系統(tǒng)或設(shè)備。c) 測評實施1) 應(yīng)核查相關(guān)系統(tǒng)或設(shè)備的記錄是否包括入侵源IP、攻擊類型、攻擊目的、攻擊時間等相關(guān)內(nèi)容；2) 應(yīng)測試驗證相關(guān)系統(tǒng)或設(shè)備報警策略是否有效。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.6 惡意代碼防范1.1.2.6.1 測評單元（L3-NCS1-21）a) 測評指標(biāo)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對惡意代碼進(jìn)行檢測和清除，并維護(hù)惡意代碼防護(hù)機(jī)制的升級和更新；（本條款引用自GB/T 22239.1-20XX 7.1.2.6 a）b) 測評對象防病毒網(wǎng)關(guān)和UTM等提供防惡意代碼功能的設(shè)備

39、或系統(tǒng)。c) 測評實施1) 應(yīng)核查在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處是否有防惡意代碼技術(shù)措施；2) 應(yīng)核查防惡意代碼產(chǎn)品運(yùn)行是否正常，惡意代碼庫是否已經(jīng)更新到最新。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.6.2 測評單元（L3-NCS1-22）a) 測評指標(biāo)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對垃圾郵件進(jìn)行檢測和防護(hù)，并維護(hù)垃圾郵件防護(hù)機(jī)制的升級和更新。（本條款引用自GB/T 22239.1-20XX 7.1.2.6 b）b) 測評對象反垃圾郵件網(wǎng)關(guān)提供防垃圾郵件功能的設(shè)備或系統(tǒng)。c) 測評實施1) 應(yīng)核查在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處是否部

40、署了防垃圾郵件設(shè)備或系統(tǒng)；2) 應(yīng)核查防垃圾郵件產(chǎn)品運(yùn)行是否正常，防垃圾郵件規(guī)則庫是否已經(jīng)更新到最新。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.7 安全審計1.1.2.7.1 測評單元（L3-NCS1-23）a) 測評指標(biāo)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計；（本條款引用自GB/T 22239.1-20XX 7.1.2.7 a）b) 測評對象綜合安全審計系統(tǒng)、路由器、交換機(jī)和防火墻等設(shè)備。c) 測評實施1) 應(yīng)核查設(shè)備是否開啟了日志記

41、錄或安全審計功能；2) 應(yīng)核查是否部署了綜合安全審計系統(tǒng)或類似功能的系統(tǒng)平臺；3) 應(yīng)核查安全審計范圍是否覆蓋到每個用戶；4) 應(yīng)核查是否對重要的用戶行為和重要安全事件進(jìn)行了審計。d) 單元判定如果 1）-4）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.7.2 測評單元（L3-NCS1-24）a) 測評指標(biāo)審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；（本條款引用自GB/T 22239.1-20XX 7.1.2.7 b）b) 測評對象綜合安全審計系統(tǒng)、路由器、交換機(jī)和防火墻等設(shè)備。c)

42、測評實施應(yīng)核查審計記錄信息是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。d) 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.7.3 測評單元（L3-NCS1-25）a) 測評指標(biāo)應(yīng)對審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；（本條款引用自GB/T 22239.1-20XX 7.1.2.7 c）b) 測評對象綜合安全審計系統(tǒng)、路由器、交換機(jī)和防火墻等設(shè)備。c) 測評實施1) 應(yīng)核查是否采取了技術(shù)措施對審計記錄進(jìn)行保護(hù)；2) 應(yīng)核查審計記錄的備份機(jī)制和

43、備份策略是否合理。d) 單元判定如果 1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.7.4 測評單元（L3-NCS1-26）a) 測評指標(biāo)審計記錄產(chǎn)生時的時間應(yīng)由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生，以確保審計分析的正確性；（本條款引用自GB/T 22239.1-20XX 7.1.2.7 d）b) 測評對象綜合安全審計系統(tǒng)、路由器、交換機(jī)和防火墻等設(shè)備。c) 測評實施應(yīng)核查是否在系統(tǒng)范圍內(nèi)統(tǒng)一使用了唯一確定的時鐘源，以確保審計分析的正確性。d) 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，

44、等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.7.5 測評單元（L3-NCS1-27）a) 測評指標(biāo)應(yīng)能對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計和數(shù)據(jù)分析。（本條款引用自GB/T 22239.1-20XX 7.1.2.7 e）b) 測評對象上網(wǎng)行為管理系統(tǒng)或綜合安全審計系統(tǒng)。c) 測評實施應(yīng)核查是否對遠(yuǎn)程訪問用戶及互聯(lián)網(wǎng)訪問用戶行為單獨(dú)進(jìn)行審計分析。d) 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.8 集中管控1.1.2.8.1 測評單元（L3-NCS1-28）a)

45、 測評指標(biāo)應(yīng)劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控；（本條款引用自GB/T 22239.1-20XX 7.1.2.8 a）b) 測評對象網(wǎng)絡(luò)拓?fù)鋱D。c) 測評實施1) 應(yīng)核查是否劃分出單獨(dú)的網(wǎng)絡(luò)區(qū)域用于部署安全管理系統(tǒng)；2) 應(yīng)核查各個安全管理系統(tǒng)是否集中部署在單獨(dú)的網(wǎng)絡(luò)區(qū)域內(nèi)。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.8.2 測評單元（L3-NCS1-29）a) 測評指標(biāo)應(yīng)能夠建立一條安全的信息傳輸路徑，對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理；（本條款引用自GB/T 2

46、2239.1-20XX 7.1.2.8 b）b) 測評對象路由器、交換機(jī)和防火墻等設(shè)備。c) 測評實施1) 應(yīng)核查網(wǎng)絡(luò)中是否劃分單獨(dú)的管理VLAN用于對安全設(shè)備或安全組件進(jìn)行管理；2) 應(yīng)核查網(wǎng)絡(luò)是否使用獨(dú)立的帶外管理網(wǎng)絡(luò)對安全設(shè)備或安全組件進(jìn)行管理。d) 單元判定如果1）-2）其中之一為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合本測評單元指標(biāo)要求。1.1.2.8.3 測評單元（L3-NCS1-30）a) 測評指標(biāo)應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測；（本條款引用自GB/T 22239.1-20XX 7.1.2.8 c）b) 測評對象綜合網(wǎng)

47、管系統(tǒng)等提供運(yùn)行狀態(tài)監(jiān)測功能的系統(tǒng)。c) 測評實施1) 應(yīng)核查是否部署了具備運(yùn)行狀態(tài)監(jiān)測功能的系統(tǒng)或設(shè)備，能夠?qū)W(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測；2) 應(yīng)測試驗證運(yùn)行狀態(tài)監(jiān)測系統(tǒng)是否根據(jù)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的工作狀態(tài)、依據(jù)設(shè)定的閥值（或默認(rèn)閥值）實時報警。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.8.4 測評單元（L3-NCS1-31）a) 測評指標(biāo)應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進(jìn)行收集匯總和集中分析；（本條款引用自GB/T 22239.1-20XX

48、 7.1.2.8 d）b) 測評對象綜合安全審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)等提供集中審計功能的系統(tǒng)。c) 測評實施1) 應(yīng)核查各個設(shè)備是否配置并啟用了相關(guān)策略，將審計數(shù)據(jù)發(fā)送到獨(dú)立于設(shè)備自身的外部相關(guān)系統(tǒng)平臺中；2) 應(yīng)核查是否部署統(tǒng)一的集中安全審計平臺，統(tǒng)一收集和存儲各設(shè)備日志，并根據(jù)需要進(jìn)行集中審計分析。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.8.5 測評單元（L3-NCS1-32）a) 測評指標(biāo)應(yīng)對安全策略、惡意代碼、補(bǔ)丁升級等安全相關(guān)事項進(jìn)行集中管理；（本條款引用自GB/T 22239.1-

49、20XX 7.1.2.8 e）b) 測評對象提供集中安全管控功能的系統(tǒng)。c) 測評實施1) 應(yīng)核查是否能夠?qū)Π踩呗裕ㄈ绶阑饓υL問控制策略、入侵保護(hù)系統(tǒng)防護(hù)策略、WAF安全防護(hù)策略等）進(jìn)行集中管理；2) 應(yīng)核查是否實現(xiàn)對操作系統(tǒng)防惡意代碼系統(tǒng)及網(wǎng)絡(luò)惡意代碼防護(hù)設(shè)備的集中管理，實現(xiàn)防惡意代碼病毒規(guī)則庫的升級進(jìn)行集中管理；3) 應(yīng)核查是否能夠?qū)崿F(xiàn)對各個設(shè)備的補(bǔ)丁升級進(jìn)行集中管理。d) 單元判定如果1）-3）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.2.8.6 測評單元（L3-NCS1-33）a) 測評指標(biāo)應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全

50、事件進(jìn)行識別、報警和分析。（本條款引用自GB/T 22239.1-20XX 7.1.2.8 f）b) 測評對象提供集中安全管控功能的系統(tǒng)。c) 測評實施1) 應(yīng)核查是否部署了相關(guān)系統(tǒng)平臺能夠?qū)Ω黝惏踩录M(jìn)行分析并通過聲光等方式實時報警；2) 應(yīng)核查安全事件的監(jiān)測范圍是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵路徑。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.3 設(shè)備和計算安全1.1.3.1 身份鑒別1.1.3.1.1 測評單元（L3-ECS1-01）a) 測評指標(biāo)應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識具有唯一性，身

51、份鑒別信息具有復(fù)雜度要求并定期更換。（本條款引用自GB/T 22239.1-20XX 7.1.3.1 a）b) 測評對象終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和中間件等系統(tǒng)軟件及網(wǎng)絡(luò)設(shè)備和安全設(shè)備。c) 測評實施1) 應(yīng)核查用戶在登錄時是否采用了身份鑒別措施；2) 應(yīng)核查用戶列表，核查用戶身份標(biāo)識是否具有唯一性；3) 應(yīng)核查用戶配置信息或訪談系統(tǒng)管理員，核查是否存在空密碼用戶；4) 應(yīng)核查用戶鑒別信息是否具有復(fù)雜度要求并定期更換。d) 單元判定如果1）-4）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.3.1.2 測評單元（L

52、3-ECS1-02）a) 測評指標(biāo)應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自動退出等相關(guān)措施。（本條款引用自GB/T 22239.1-20XX 7.1.3.1 b）b) 測評對象終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和中間件等系統(tǒng)軟件及網(wǎng)絡(luò)設(shè)備和安全設(shè)備。c) 測評實施1) 應(yīng)核查是否配置并啟用了登錄失敗處理功能；2) 應(yīng)核查是否配置并啟用了限制非法登錄達(dá)到一定次數(shù)后實現(xiàn)賬戶鎖定功能；3) 應(yīng)核查是否配置并啟用了遠(yuǎn)程登錄連接超時并自動退出功能。d) 單元判定如果1）-3）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合

53、本測評單元指標(biāo)要求。1.1.3.1.3 測評單元（L3-ECS1-03）a) 測評指標(biāo)當(dāng)進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。（本條款引用自GB/T 22239.1-20XX 7.1.3.1 c）b) 測評對象終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和中間件等系統(tǒng)軟件及網(wǎng)絡(luò)設(shè)備和安全設(shè)備。c) 測評實施應(yīng)核查是否采用加密等安全方式對系統(tǒng)進(jìn)行遠(yuǎn)程管理，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。d) 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合本測評單元指標(biāo)要求。1.1.3.1.4 測評單元（L3-ECS1-04）a)

54、 測評指標(biāo)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別。（本條款引用自GB/T 22239.1-20XX 7.1.3.1 d）b) 測評對象終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和中間件等系統(tǒng)軟件及網(wǎng)絡(luò)設(shè)備和安全設(shè)備。c) 測評實施應(yīng)核查系統(tǒng)是否采用兩種或兩種以上組合的鑒別技術(shù)對用戶身份進(jìn)行鑒別；d) 單元判定如果以上測評實施內(nèi)容為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合本測評單元指標(biāo)要求。1.1.3.2 訪問控制1.1.3.2.1 測評單元（L3-ECS1-05）a) 測評指標(biāo)應(yīng)對登錄的用戶分配賬號和權(quán)限。（本條款引用自GB/T 22239.1-20X

55、X 7.1.3.2 a）b) 測評對象終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和中間件等系統(tǒng)軟件及網(wǎng)絡(luò)設(shè)備和安全設(shè)備。c) 測評實施1) 應(yīng)訪談網(wǎng)絡(luò)管理員、安全管理員、系統(tǒng)管理員或核查用戶賬號和權(quán)限設(shè)置情況；2) 應(yīng)核查是否已禁用或限制匿名、默認(rèn)賬號的訪問權(quán)限。d) 單元判定如果1）-2）均為肯定，則等級保護(hù)對象符合本測評單元指標(biāo)要求，否則，等級保護(hù)對象不符合或部分符合本測評單元指標(biāo)要求。1.1.3.2.2 測評單元（L3-ECS1-06）a) 測評指標(biāo)應(yīng)重命名默認(rèn)賬號或修改默認(rèn)口令。（本條款引用自GB/T 22239.1-20XX 7.1.3.2 b）b) 測評對象終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和中間件等系統(tǒng)軟件及網(wǎng)絡(luò)設(shè)備和安全設(shè)備。c)