GBT 28448-2012 信息安全技术 信息系统安全等级保护测评要求

5.1.1.2防盗窃和防破坏

B/T222392008中5.1.

石油天然气标准规范范本5. 1.1.2. 2测评实施

本项要求包括： a）应检查关键设备是否放置在机房内； b）应检查关键设备或主要部件是否固定； c）应检查关键设备或主要部件上是否设置明显的不易除去的标记

5. 1. 1.2.3 结果判定

1.2.2中a）～c)均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合 或部分符合本单元测评指标要求

5. 1.13. 1 测评指标

,1.1. 3.2测评实施

本坝安水包宿 a） 应访谈物理安全负责人，询问机房所在建筑物是否设置了避雷装置，是否通过验收或国家有关 部门的技术检测：

房所在建筑物的防雷验收文档是否有设置避雷装置

5.1.1 3≤3结果判定

如果5.1.1.3.2中a)和b)均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合 部分符合本单元测评指标要求。

5.1.1.4附1 测评指标

见GB/T22239—2008中5.1.1.4。

51.1.4,2测评实施

5.1.1.4.3结果判定

5.1.15防水和防潮

5. 1. 1. 5. 1 测评指标

5.1.1.5.2测评实施

a）应检查穿过机房墙壁或楼板的给水排水管道是否采取防渗漏和防结露等保护措施； b）应检查机房的窗户、屋顶和墙壁等是否未出现过漏水、渗透和返潮现象，机房的窗户、屋顶和墙 壁是否进行过防水防渗处理。

5. 1.1.5.3结果判定

如果5.1，15.2中a）和b）均为背定，则信息系统符合本单元测评指标要求，否则，信息系统不符合 部分符合本单元测评指标要求

如果5.1，15.2中a）和b）均为背定，则信息系统符合本单元测评指标要求，否则，信息系统不符合 部分符合本单元测评指标要求

5.1.1. 6 温湿度控制

5.1.1.6.1测评指标

见GB/T22239—2008中5.1.1.6

5.1.1.6.2测评实施

5.1.1.6.3结果判定

如果5.1.1.6.2为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合

GB/T 284482012

5.1.1.7电力供应

5. 1. 1. 7. 1测评指标

见GB/T22239—2008中5.1.1.7

5. 1.1.7.2 测评实施

应检查机房的计算机系统供电线路上是否设置了稳压器和过电压防护设备，这些 运行。

5. 1.1.7.3 结果判定

5.1.2.1结构安全

5. 1. 2. 1.测评指标

见GB/T22239—2008中5.1.2.1。

5.1.2. 1.2测评实施

本项要求包括： a）应访谈网络管理员，询问关键网络设备的业务处理能力是否满足基本业务需求； b）应访谈网络管理员，询问接人网络及核心网络的带宽是否满足基本业务需要； c）应检查网络拓扑结构图，查看其与当前运行的实际网络系统是否一致。

5. 1. 2. 1. 3 结果判定

如果5.1.2.1.2c）中缺少网络拓扑结构图，则为否定； 如果5.1.2.1.2中a)~c)均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不 符合或部分符合本单元测评指标要求

5. 1. 2. 2 访问控制

5.1.2.2.1测评指标

见GB/T22239—2008中5.1.2.2

5.1.2.2.2测评实施

本项要求包括： a 应访谈网络管理员，询问网络访问控制的措施有哪些；询问网络访问间控制设备具备哪些访问控 制功能； b) 应检查边界网络设备，查看是否有正确的访问控制列表，以通过源地址、目的地址、源端口、目 的端口、协议等进行网络数据流控制，其控制粒度是否至少为用户组

本项要求包括： a 应访谈网络管理员，询问网络访问控制的措施有哪些；询问网络访问控制设备具备哪些访问控 制功能； b) 应检查边界网络设备，查看是否有正确的访问控制列表，以通过源地址、目的地址、源端口、目 的端口、协议等进行网络数据流控制，其控制粒度是否至少为用户组

5.1.2.2.3结果判定

5.1.2.3网络设备防护

5. 1.2.3. 1测评指标

见GB/T22239—2008中5.1.2.3

5.1.2.3.2测评实施

GB/T28448—2012

本项要求包括： a) 应检查边界和关键网络设备的设备防护策略，查看是否配置了对登录用户进行身份鉴别的 功能； b) 应检查边界和关键网络设备的设备防护策略，查看是否配置了登录失败处理功能，包括结束会 话、限制非法登录次数、登录连接超时自动退出等； 应检查边界和关键网络设备的设备防护策略，查看是否配置了对设备远程管理所产生的鉴别 信息进行保护的功能，

5. 1.243毫3 结果判定

如果5.1.2.3.2中a）～c)均为肯定，则信息系统符合本单元测评指标要求，否则， 成部分符合本单元测评指标要求

5. 1.3.1身份鉴别

5. 1.3. 1.1测评指标

见GB/T22239—2008中5.1.3.1

5. 1. 3. 1. 2 测评实施

应检查关键服务器操作系统和关键数 措施。

应检查关键服务器操作系统和关键数 施。

5. 1. 3. 1. 3 结果判定

5.1.3.2访问控制

513.2.1测评指标

应检查关键服务器操作系统的访问控制策略，查看是否对重要文件的访问权限进行了限制，对 系统不需要的服务、共享路径等进行了禁用或删除； b 应检查关键服务器操作系统和关键数据库管理系统的访问控制策略，查看是否已禁用或者限 制匿名/默认账户的访问权限，是否重命名系统默认账户、修改这些账户的默认口令； C 应检查关键服务器操作系统和关键数据库管理系统的访问控制策略，是否删除了系统中多余 的、过期的以及共享的账户； d) 应检查关键服务器操作系统和关键数据库管理系统的权限设置情况，查看是否依据安全策略 对用户权限进行了限制。

5.1.3. 2.3结果判定

如果5.1.3.2.2中a）～d)均为背定，则信息系统符合本单元测评指标要求，否则，信息系统不符合 或部分符合本单元测评指标要求

如果5.1.3.2.2中a）d)均为背定，则信息系统符合本单元测评指标要求，否则，信息系统不符合 成部分符合本单元测评指标要求

5. 1. 3. 3入侵防范

5.1.3.3.1测评指标

见GB/T22239—2008中5.1.3.3。

见GB/T22239—2008中5.1.3.3

5.1.3.3.2测评实施

）（应访谈系统管理员，询问关链服务器操作系统和关键数据库管理系统中所安装的系统组件和 应用程序是否都是必须的 b）应检查关键服务器操作系统和关键数据库管理系统的补工是否得到了及时更新

5.13 3系3量结果判定

如果5.1.3.3.2中a)和b)均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合 部分符合本单元测评指标要求。

5. 1.3. 4 恶意代码防范

5. 1.3. 4. 1测评指标

见GB/T222392008中5.13.4.

5. 1.3.4.2测评实施

且及时更新了软件版本和恶意代码库，

5. 1.3. 4.3结果判定

如果5.1.3.4.2为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合 本单元测评指标要求。

5. 1.4. 1身份鉴别

5. 1. 4. 1. 1 测评指标

见GB/T22239—2008中5.1.4.1。

见GB/T22239—2008中5.1.4.1。

5. 1.4. 1.2测评实施

本项要求包括： a）应检查关键应用系统，查看是否提供身份标识和鉴别功能； b）应检查关键应用系统，查看是否提供登录失败处理功能，是否根据安全策略设置了登录失败次 数等参数。

本项要求包： 应检查关键应用系统，查看是否提供身份标识和鉴别功能； 应检查关键应用系统，查看是否提供登录失败处理功能，是否根据安全策略设置了登录先 数等参数。

5. 1.4.1.3结果判定

如果5.1.4.1.2中a和b)均为背定， 不付合 我部分符合本单元测评指标要求

5. 1.4. 2 访问控制

5.1.4.2.1测评指标

见GB/T222392008中5.1.4.2

5. 1.4.2. 2测评实施

本项要求包括： 应检查关键应用系统，查看系统是否提供访问控制功能控制用户组或用户对系统功能和用户 数据的访问； b) 应检查关键应用系统，查看是否限制了默认账户的访问权限，是否修改了这些账户的默认 口令； 应检查关键应用系统，查看是否删除多余的、过期的账户。

本项要求包括： a) 应检查关键应用系统，查看系统是否提供访问控制功能控制用户组或用户对系统功能和用户 数据的访问； b) 应检查关键应用系统，查看是否限制了默认账户的访问权限，是否修改了这些账户的默认 口令； C）应检查关键应用系统，查看是否删除多余的、过期的账户。

5. 1.4.2.3结果判定

或部分符合本单元测评指标要求

或部分符合本单元测评指标要求

5.1.43通信完整性

5.1.4. 3. 1测评指标

见GB/T22239—2008中5.1.4.3

5.1.43.2测评实施

5. 1. 4. 3. 3结果判定

如果5.1.4.3.2为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合 本单元测评指标要求。

如果5.1.4.3.2为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合 本单元测评指标要求。

5#1.4.4软件容铝

5.1.4. 4. 1测评指标

见GB/T22239—2008中5.1.4.4。

GB/T 284482012

5.1.4. 4. 2测评实施

本项要求包括： a）应检查设计或验收文档，查看应用系统有对人机接口输入或通信接口输人的数据进行有效性 检验功能的说明； b）应测试关键应用系统，查看应用系统是否能明确拒绝不符合格式要求数据

5.1.4.4.3结果判定

如果5.1.4.4.2中a)和b)均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合 或部分符合本单元测评指标要求

5.1.5数据安全及备份恢复

.5数据安全及备份恢复

5. 1.5. 1. 1测评指标

见GB/T22239—2008中5.1.5.1.

5.1.5.1.2测评实施

应检查应用系统的设计、验收文档或源代码，查看是否有关于能检测重要业务数据传输过程中完整 性受到破坏的描述

5.1.5.1.3结果判定

如果5.1.5.1.2为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分 本单元测评指标要求。

5. 1.5.2备份和恢复

5. 1.5.2.1测评指标

见GB/T222392008中5.1.5.2

5.1.5.2.2测评实施

应检查是否对关键网络设备、关键主机操作系统、关键数据库管理系统和关键应用系统的重要 进行了备份，并定期进行恢复测试。

5.1. 5. 2. 3 结果判定

5.2. 1 安全管理制度

5.2.1.1管理制度

5. 2. 1. 1管理制度

[21.1.1测评指标

见GB/T22239—2008中5.2.1.1 10

5.2.1.1.2 测评实施

5. 2. 1. 1. 3 结果判定

GB/T28448—2012

如果5.2.1.1.2为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合 本单元测评指标要求

5. 2.1.2制定和发布

5.2.1.2制定和发布

GB/T22239—2008中5.2.1.2。

5.2.1.2.2测评实施

应访谈系统安全员人 b）应访谈系统安全负责人，询问安全管理制度是否能够发布到相关人员手中

5. 2.1. 2 3 结果判定

如果5.2.1.2.2中a）和b)均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合 部分符合本单元测评指标要求。

如果5.2.1.2.2中a)和b)均为肯定 或部分符合本单元测评指标要求。

5.2.2安全管理机构

5.2.2.1岗位设置

5. 2. 2.1.1测评指标

见GB/T22239—2008中5.2.2.1。

5.2.2. 1.2测评实施

本项要求包括 a）应访谈系统安全负责人，询问信息系统是否设置了相关管理岗位，各个岗位的职责分工是否 明确； b）应检查岗位职责分工文档，查看是否明确了相关岗位的职责。

5.2.2.1.3结果判定

如果5.2.2.1.2中a）和b)均为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合 部分符合本单元测评指标要求，

5.2.2.2人员配备

5.2.2.2人员配备

5. 2.2.2.1测评指标

见GB/T22239—2008中5.2.2.2

5.2.2.2.2测评实施

）应访谈系统安全负责 b）应检查安全管理各岗位人 明确相关岗位的人员信息

5.2.2.2.3结果判定

5.2.2.3授权和审批

5.2.2. 3. 1测评指标

见GB/T22239—2008中5.2.2.3

5.2.2#32测评实施

沥青路面标准规范范本5.2.2.33量结果判定

如果5.2.2.3.2为肯定，则信息系统符合本单元测评指标要求，否则，信息系统不符合或部分符合 本单元测评指标要求。

5.2.2.4沟通和合作

5. 2. 2. 4. 1测评指标

见GB/T22239—2008中5.2.2.4。

5.2.2.4.2测评实施

5. 2. 2. 4 3 结果判定

如果5.2.2.4.2中a)和b)均为肯定，则信息系统符合本单元测评指标要求施工组织设计，否则，信息系统不符合 或部分符合本单元测评指标要求。