术语解读：GB/T 28448-2019 网络安全等级保护测评要求安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科网络安全百科-网络安全114-网络安全在线-网络安全黄页

主要内容

安全测评通用要求

技术要求：
- 安全物理环境：包括机房位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制等方面的测评要求。例如，一级要求机房应避免设在建筑物的顶层或地下室，二级及以上要求机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。
- 安全通信网络：涉及网络架构、通信传输、可信验证等测评点。如要求网络应具备冗余设计，通信过程中应采用加密等措施保证数据的保密性和完整性，三级及以上要求在通信双方进行可信验证。
- 安全区域边界：包含边界防护、访问控制、入侵防范、恶意代码防范、安全审计等测评内容。比如应在边界处部署访问控制设备，实现基于源 IP 地址、目的 IP 地址、端口号等的访问控制，二级及以上要求对进出边界的恶意代码进行检测和清除。
- 安全计算环境：涵盖身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复等方面。以身份鉴别为例，一级要求应对登录的用户进行身份标识和鉴别，二级及以上要求采用两种或两种以上组合的鉴别技术对用户进行身份鉴别。
- 安全管理中心：主要测评系统管理、审计管理、安全管理、集中管控等内容。例如应建立安全管理中心，对设备状态、系统漏洞、恶意代码等进行集中监测和管理，三级及以上要求实现安全策略的集中管控。
管理要求：
- 安全管理制度：包括制度制定、发布和更新等方面的要求。如应制定网络安全管理制度，明确安全管理的责任和流程，制度应经过审批后发布，并定期进行更新。
- 安全管理机构：涉及机构设置、人员配备、授权和审批、沟通和合作、审核和检查等测评点。例如应设立网络安全管理工作的职能部门，配备相应的安全管理人员，对重要操作进行授权和审批。
- 安全管理人员：包含人员录用、人员离岗、安全意识教育和培训等要求。如对安全管理人员应进行背景审查，人员离岗时应办理相关手续，收回其相关权限和设备，定期对人员进行安全意识教育和培训。
- 安全建设管理：涵盖定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商管理等内容。比如应按照相关标准确定等级保护对象的安全保护等级，并进行备案，安全方案设计应满足相应等级的安全要求。
- 安全运维管理：主要测评环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全配置管理、恶意代码防范管理、配置信息备份与恢复管理、信息系统审计管理、数据备份与恢复管理、应急预案管理等方面。例如应定期对机房环境进行检查和维护，对资产进行分类和标识，建立介质管理制度，定期对设备进行维护和保养。

安全测评扩展要求

云计算安全测评扩展要求：在安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等方面提出了针对云计算的特殊测评要求。例如，要求云服务提供商应提供物理访问控制措施，保障云计算数据中心的物理安全；在安全计算环境方面，应实现不同租户之间的资源隔离和数据隔离。
移动互联安全测评扩展要求：主要涉及移动终端管理、移动应用管理、移动网络接入等方面的测评内容。如应建立移动终端管理制度，对移动终端的接入、使用、更新等进行管理；对移动应用进行安全检测和评估，确保其安全性。
物联网安全测评扩展要求：包括感知层安全、网络层安全、应用层安全等方面的测评要求。例如，在感知层应保障感知节点的身份认证和数据加密传输，在网络层应实现物联网设备的接入控制和流量管理。
工业控制系统安全测评扩展要求：针对工业控制系统的特点，在安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等方面提出了特殊的测评要求。如应保障工业控制设备的物理安全，防止其受到物理攻击；在安全通信网络方面，应采用工业级的通信协议和加密技术，保障通信的安全性。