JR／T 0067-2021  证券期货业网络安全等级保护测评要求

单元判定：若以上测评实施结论为是，则符合本测评单元指标要求，否则不符合本测评单元指 标要求。

6. 1. 1. 5防水和防潮

特种设备标准6. 1. 1. 6 温湿度控制

6. 1. 1. 7电力供应

6.1.2安全通信网络

6. 1. 2. 1通信传输

6. 1. 2. 2可信验证

JR/T00672021

b）测评对象：提供可信验证的设备或组件； C 测评实施包括以下内容： 1）应核查是否基于可信根对通信设备的系统引导程序、系统程序等进行可信验证； 2）应核查当检测到通信设备的可信性受到破坏后是否进行报警； 单元判定：若1)和2)测评实施结论均为是，则符合本测评单元指标要求；测评实施结论均为 否，则不符合本测评单元指标要求：否则部分符合本测评单元指标要求。

6. 1. 3 安全区域边界

6.1.3.1边界防护

6.1.3.2访问控制

该测评单元包括以下要求： a 测评指标：应在网络边界根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控 接口拒绝所有通信； b 测评对象：网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或 相关组件； 测评实施包括以下内容： 1）应核查在网络边界是否部署访问控制设备并启用访问控制策略； 2）应核查设备的最后一条访问控制策略是否为禁止所有网络通信； d 单元判定：若1)和2)测评实施结论均为是，则符合本测评单元指标要求；测评实施结论均为 否，则不符合本测评单元指标要求；否则部分符合本测评单元指标要求，

该测评单元包括以下要求： a) 测评指标：应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量 最小化； b) 测评对象：网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或 相关组件； 测评实施包括以下内容：

1）应核查是否不存在多余或无效的访问控制策略； 2）应核查不同的访问控制策略之间的逻辑关系及前后排列顺序是否合理； d）单元判定：若1)和2)测评实施结论均为是，则符合本测评单元指标要求；测评实施结论均为 否，则不符合本测评单元指标要求：否则部分符合本测评单元指标要求。

该测评单元包括以下要求： a 测评指标：应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据 包进出； b) 测评对象：网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或 相关组件； C 测评实施：应核查设备的访问控制策略中是否设定了源地址、目的地址、源端口、目的端口和 协议等相关配置参数： 单元判定：若以上测评实施结论为是，则符合本测评单元指标要求，否则不符合本测评单元指 标要求。

6. 1. 3. 3可信验证

6.1.4安全计算环境

6.1.4.1身份鉴别

该测评单元包括以下要求： 测评指标：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复 杂度要求并定期更换； b） 测评对象：终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统)、网络设备（包括 虚拟网络设备)、安全设备（包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理 客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件 和系统管理软件及系统设计文档等； 测评实施包括以下内容： 1）应核查用户在登录时是否采用了身份鉴别措施； 应核查用户列表确认用户身份标识是否具有唯一性； 3） 应核查用户配置信息是否不存在空口令用户； 4）应核查用户鉴别信息是否具有复杂度要求并定期更换

d）单元判定：若1)～4)测评实施结论均为是，则符合本测评单元指标要求；测评实施结论均为否， 则不符合本测评单元指标要求：否则部分符合本测评单元指标要求，

该测评单元包括以下要求： a 测评指标：应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连 接超时自动退出等相关措施； b 测评对象：终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括 虚拟网络设备）、安全设备（包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理 客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件 和系统管理软件及系统设计文档等； C 测评实施包括以下内容： 1）应核查是否配置并启用了登录失败处理功能； 2 应核查是否配置并启用了限制非法登录功能，非法登录达到一定次数后采取特定动作，如 账户锁定等； 3）应核查是否配置并启用了登录连接超时及自动退出功能； d 单元判定：若1)～3)测评实施结论均为是，则符合本测评单元指标要求；测评实施结论均为否， 则不符合本测评单元指标要求：否则部分符合本测评单元指标要求。

6.1.4.2访问控制

该测评单元包括以下要求： a）测评指标：应对登录的用户分配账户和权限； 测评对象：终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括 虚拟网络设备）、安全设备(包括虚拟安全设备）、移动终端、移动终端管理系统、移动终端管理 客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件 和系统管理软件及系统设计文档等； 测评实施包括以下内容： 1）应核查用户账户和权限设置情况； 2）应核查是否已禁用或限制匿名、默认账户的访问权限； d 单元判定：若1)和2)测评实施结论均为是，则符合本测评单元指标要求；测评实施结论均为 否，则不符合本测评单元指标要求；否则部分符合本测评单元指标要求。

该测评单元包括以下要求： a 测评指标：应重命名或删除默认账户，修改默认账户的默认口令； D 测评对象：终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括 虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理 客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件 和系统管理软件及系统设计文档等； 测评实施包括以下内容： 1）应核查是否已经重命名默认账户或默认账户已被删除：

2）应核查是否已修改默认账户的默认口令； d）单元判定：若1)或2)测评实施结论为是，则符合本测评单元指标要求；测评实施结论均为否， 则不符合本测评单元指标要求：否则部分符合本测评单元指标要求，

该测评单元包括以下要求： a 测评指标：应及时删除或停用多余的、过期的账户，避免共享账户的存在； b 测评对象：终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括 虚拟网络设备）、安全设备（包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理 客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件 和系统管理软件及系统设计文档等： C 测评实施包括以下内容： 1）应核查是否不存在多余或过期账户，管理员用户与账户之间是否一一对应： 2）应核查多余的、过期的账户是否被删除或停用； 单元判定：若1)和2)测评实施结论均为是，则符合本测评单元指标要求；测评实施结论均为 否，则不符合本测评单元指标要求；否则部分符合本测评单元指标要求。

6. 1. 4. 3入侵防范

该测评单元包括以下要求： a 测评指标：应遵循最小安装，仅安装需要的组件和应用程序： b 测评对象：终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括 虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理 客户端、感知节点设备、网关节点设备和控制设备等； C 测评实施包括以下内容： 1）应核查是否遵循最小安装； 2）应确认是否未安装非必要的组件和应用程序； d 单元判定：若1)和2)测评实施结论均为是，则符合本测评单元指标要求；测评实施结论均为 否，则不符合本测评单元指标要求；否则部分符合本测评单元指标要求。

该测评单元包括以下要求： a）测评指标：应关闭不需要的系统服务、默认共享和高危端口； b 测评对象：终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括 虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理 客户端、感知节点设备、网关节点设备和控制设备等； C 测评实施包括以下内容： 1）应核查是否关闭了非必要的系统服务和默认共享； 2）应核查是否不存在非必要的高危端口； d）单元判定：若1)和2)测评实施结论均为是，则符合本测评单元指标要求；测评实施结论均为 否，则不符合本测评单元指标要求：否则部分符合本测评单元指标要求。

6.1.4. 4恶意代码防范

JR/T00672021

6.1.4.5可信验证

6. 1. 4. 6 数据完整性

6.1.4.7数据备份恢复

6.1.5安全管理制度

6.1.6 安全管理机构

6. 1. 6. 1岗位设置

6.1.6.2人员配备

6.1.6.3授权和审批

6. 1. 7 安全管理人员

6. 1. 7. 1人员录用

b）测评对象：信息/网络安全主管； C 测评实施：应访谈信息/网络安全主管是否由专门的部门或人员负责人员的录用工作： d） 单元判定：若以上测评实施结论为是，则符合本测评单元指标要求，否则不符合本测评单元指 标要求。

6. 1. 7. 2人员离岗

6.1.7.3安全意识教育和培训

6.1.7.4外部人员访问管理

6.1.8安全建设管理

6.1.8.1定级和备案

a 测评指标：应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由； b） 测评对象：记录表单类文档； C 测评实施：应核查定级文档是否明确保护对象的安全保护等级，是否说明定级的方法和理由； d 单元判定：若以上测评实施结论为是，则符合本测评单元指标要求，否则不符合本测评单元指 标要求。

6.1.8.2安全方案设计

6.1.8.3产品采购和使用

6.1.8.4工程实施

6. 1. 8. 5测试验收

6. 1. 8. 6 系统交付

JR/T00672021

该测评单元包括以下要求： a）测评指标：应制定交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点； b） 测评对象：记录表单类文档； 测评实施：应核查是否制定交付清单并说明交付的各类设备、软件、文档等； d 单元判定：若以上测评实施结论为是，则符合本测评单元指标要求，否则不符合本测评单元指 标要求。

该测评单元包括以下要求： 测评指标：应对负责运行维护的技术人员进行相应的技能培训； b) 测评对象：记录表单类文档； C 测评实施：应核查系统交付技术培训记录是否包括培训内容、培训时间和参与人员等； d 单元判定：若以上测评实施结论为是，则符合本测评单元指标要求，否则不符合本测评单元指 标要求。

6.1.8.7服务供应商管理

该测评单元包括以下要求： a）测评指标：服务供应商的选择应符合国家主管部门的相关要求； b）测评对象：建设负责人； c）测评实施：应访谈建设负责人选择的安全服务商是否符合国家主管部门的相关要求； d）单元判定：若以上测评实施结论为是，则符合本测评单元指标要求，否则不符合本测评单元指 标要求。

该测评单元包括以下要求： 测评指标：应与选定的服务供应商签订与安全相关的协议，明确约定相关责任； 测评对象：记录表单类文档； 测评实施：应核查是否具有与服务供应商签订的服务合同或安全责任书，是否明确了相关责任； d）单元判定：若以上测评实施结论为是，则符合本测评单元指标要求，否则不符合本测评单元指 标要求。

6.1.9安全运维管理

6.1.9.1环境管理

该测评单元包括以下要求： a） 测评指标：应指定专门的部门或人员负责机房安全，对机房出人进行管理，定期对机房供配电、 空调、温湿度控制、消防等设施进行维护管理； D 测评对象：物理安全负责人和记录表单类文档； c）测评实施包括以下内容：

1）应访谈物理安全负责人是否指定部门和人员负责机房安全管理工作，对机房的出人进行管 理、对基础设施（如空调、供配电设备、灭火设备等)进行定期维护； 2）应核查部门或人员岗位职责文档是否明确机房安全的责任部门及人员： 单元判定：若1)和2)测评实施结论均为是，则符合本测评单元指标要求；测评实施结论均为 否，则不符合本测评单元指标要求：否则部分符合本测评单元指标要求。

该测评单元包括以下要求： a）测评指标：应对机房的安全管理做出规定电力弱电施工组织设计，包括物理访问、物品进出和环境安全等方面； b）测评对象：管理制度类文档和记录表单类文档； c）测评实施包括以下内容： 1）应核查机房安全管理制度是否覆盖物理访问、物品进出和环境安全等方面内容； 2）应核查物理访问、物品进出和环境安全等的相关记录是否与制度相符； 单元判定：若1)和2)测评实施结论均为是，则符合本测评单元指标要求；测评实施结论均为

6. 1. 9. 2 介质管理

6.1.9.3设备维护管理

6. 1. 9. 4漏洞和风险管理

c）测评实施包括以下内容： 1）应核查是否有识别安全漏洞和隐患的安全报告或记录（如漏洞扫描报告、渗透测试报告和 安全通报等）； 2）应核查相关记录是否对发现的漏洞及时进行修补或评估可能的影响后进行修补； 单元判定：若1)和2)测评实施结论均为是，则符合本测评单元指标要求；测评实施结论均为 否，则不符合本测评单元指标要求：否则部分符合本测评单元指标要求。

1.9.5网络和系统安全

该测评单元包括以下要求： a） 测评指标：应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限； 测评对象：记录表单类文档； 测评实施：应核查网络和系统安全管理文档，是否划分了网络和系统管理员等不同角色，并定 义各个角色的责任和权限； d 单元判定：若以上测评实施结论为是，则符合本测评单元指标要求，否则不符合本测评单元指 标要求。

该测评单元包括以下要求： a）测评指标：应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行 控制； 测评对象：运维负责人和记录表单类文档： 测评实施包括以下内容： 1）应访谈运维负责人是否指定专门的部门或人员进行账户管理； 2）应核查相关审批记录或流程是否对申请账户、建立账户、删除账户等进行控制； 单元判定：若1)和2)测评实施结论均为是，则符合本测评单元指标要求；测评实施结论均为 否，则不符合本测评单元指标要求；否则部分符合本测评单元指标要求。

火力发电厂标准规范范本6.1.9.6恶意代码防范