ICS 35.040 GB L 80 中华人民共和国国家标准 GB/T28448—2019 代替GB/T28448—2012 信息安全技术 网络安全等级保护测评要求 Information security technology- Evaluation requirement for classified protection of cybersecurity 2019-05-10 发布 2019-12-01实施 国家市场监督管理总局 发布 中国国家标准化管理委员会 GB/T 28448—2019 目 次 前言 引言 IV 范围 2 规范性引用文件 术语和定义 缩略语 5 等级测评概述 2 5.1 等级测评方法 5.2 单项测评和整体测评 6 第一级测评要求 6.1 安全测评通用要求 6.2 云计算安全测评扩展要求· 19 6.3 移动互联安全测评扩展要求 22 6.4 物联网安全测评扩展要求 23 6.5 工业控制系统安全测评扩展要求 25 第二级测评要求 27 7.1 安全测评通用要求 27 7.2 云计算安全测评扩展要求 64 7.3 移动互联安全测评扩展要求 72 7.4 物联网安全测评扩展要求. 75 7.5 工业控制系统安全测评扩展要求 77 8第三级测评要求· 81 8.1 安全测评通用要求 81 8.2 云计算安全测评扩展要求 138 8.3 移动互联安全测评扩展要求 151 8.4 物联网安全测评扩展要求 156 8.5 工业控制系统安全测评扩展要求 162 第四级测评要求 167 9.1 安全测评通用要求 167 9.2 云计算安全测评扩展要求 228 9.3 移动互联安全测评扩展要求 242 9.4 物联网安全测评扩展要求 247 9.5 工业控制系统安全测评扩展要求 253 10 第五级测评要求 259 11 整体测评 259 GB/T 28448—2019 11.1 概述· 259 11.2 安全控制点测评· 260 11.3 安全控制点间测评 260 11.4 区域间测评 260 12 测评结论· 260 12.1 风险分析和评价 260 12.2 等级测评结论 260 附录A（资料性附录） 测评力度 262 附录B（资料性附录) 大数据可参考安全评估方法 264 附录C（规范性附录) 测评单元编号说明 284 参考文献. 285 GB/T 28448—2019 前言 本标准按照GB/T1.1一2009给出的规则起草。 GB/T28448—2012相比，主要变化如下： 将标准名称变更为《信息安全技术网络安全等级保护测评要求》； 一每个级别增加了云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展 要求和工业控制系统安全测评扩展要求等内容； 增加了等级测评、测评对象、云服务商和云服务客户等相关术语和定义（见第3章，2012年版 的第3章）； 将针对控制点的单元测评细化调整为针对要求项的单项测评，删除了“测评框架”（见2012年 版的4.1)和等级测评内容”（见2012年版的4.2）； 增加了大数据可参考安全评估方法（见附录B)和测评单元编号说明（见附录C)。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。 究院、国家信息中心、中国科学院信息工程研究所（信息安全国家重点实验室）、北京大学、新华三技术有 限公司、成都科来软件有限公司、中国移动通信集团有限公司、北京鼎普科技股份有限公司、北京微步在 息中心（电力行业信息安全等级保护测评中心）、全球能源互联网研究院、北京卓识网安技术股份有限公 司、中国电力科学研究院、南京南瑞集团公司、国电南京自动化股份有限公司、南方电网科学研究院、中 国电子信息产业集团公司第六研究所、工业和信息化部计算机与微电子发展研究中心（中国软件评测中 心）、启明星辰信息技术集团股份有限公司、北京烽云互联科技有限公司、华普科工（北京)有限公司。 本标准主要起草人：陈广勇、李明、黎水林、马力、曲洁、于东升、艾春迪、郭启全、葛波蔚、祝国邦 陆磊、张宇翔、毕马宁、沙淼淼、李升、胡红升、陈雪鸿 、袁静、章恒、张益、毛澍、王斌、尹湘培、王勇、高亚楠、 焦安春、赵劲涛、于俊杰、徐衍龙、马晓波、江雷、黄顺京、朱建兴、苏艳芳、禄凯、何申、霍珊珊、于运涛、 陈震、任卫红、孙惠平、万晓兰、马红霞、薛锋、赵林林、刘金刚、胡越宁、周晓雪、李亚军、杨洪起、孟召瑞、 李飞、王江波、阙志刚、刘健、陶源、李秋香、许凤凯、王绍杰、李晨旸、李凌、朱世顺、张五一、陈华军、张洁昕、 张彪、李汪蔚、王雪、蔡学琳、胡娟、刘静、周峰、郝鑫、马闽、段伟恒。 本标准所代替标准的历次版本发布情况为： GB/T 28448—2012。 I GB/T 28448—2019 前言 本标准按照GB/T1.1一2009给出的规则起草。 GB/T28448—2012相比，主要变化如下： 将标准名称变更为《信息安全技术网络安全等级保护测评要求》； 一每个级别增加了云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展 要求和工业控制系统安全测评扩展要求等内容； 增加了等级测评、测评对象、云服务商和云服务客户等相关术语和定义（见第3章，2012年版 的第3章）； 将针对控制点的单元测评细化调整为针对要求项的单项测评，删除了“测评框架”（见2012年 版的4.1)和等级测评内容”（见2012年版的4.2）； 增加了大数据可参考安全评估方法（见附录B)和测评单元编号说明（见附录C)。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。 究院、国家信息中心、中国科学院信息工程研究所（信息安全国家重点实验室）、北京大学、新华三技术有 限公司、成都科来软件有限公司、中国移动通信集团有限公司、北京鼎普科技股份有限公司、北京微步在 息中心（电力行业信息安全等级保护测评中心）、全球能源互联网研究院、北京卓识网安技术股份有限公 司、中国电力科学研究院、南京南瑞集团公司、国电南京自动化股份有限公司、南方电网科学研究院、中 国电子信息产业集团公司第六研究所、工业和信息化部计算机与微电子发展研究中心（中国软件评测中 心）、启明星辰信息技术集团股份有限公司、北京烽云互联科技有限公司、华普科工（北京)有限公司。 本标准主要起草人：陈广勇、李明、黎水林、马力、曲洁、于东升、艾春迪、郭启全、葛波蔚、祝国邦 陆磊、张宇翔、毕马宁、沙淼淼、李升、胡红升、陈雪鸿 、袁静、章恒、张益、毛澍、王斌、尹湘培、王勇、高亚楠、 焦安春、赵劲涛、于俊杰、徐衍龙、马晓波、江雷、黄顺京、朱建兴、苏艳芳、禄凯、何申、霍珊珊、于运涛、 陈震、任卫红、孙惠平、万晓兰、马红霞、薛锋、赵林林、刘金刚、胡越宁、周晓雪、李亚军、杨洪起、孟召瑞、 李飞、王江波、阙志刚、刘健、陶源、李秋香、许凤凯、王绍杰、李晨旸、李凌、朱世顺、张五一、陈华军、张洁昕、 张彪、李汪蔚、王雪、蔡学琳、胡娟、刘静、周峰、郝鑫、马闽、段伟恒。 本标准所代替标准的历次版本发布情况为： GB/T 28448—2012。 I GB/T 28448—2019 前言 本标准按照GB/T1.1一2009给出的规则起草。 GB/T28448—2012相比，主要变化如下： 将标准名称变更为《信息安全技术网络安全等级保护测评要求》； 一每个级别增加了云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展 要求和工业控制系统安全测评扩展要求等内容； 增加了等级测评、测评对象、云服务商和云服务客户等相关术语和定义（见第3章，2012年版 的第3章）； 将针对控制点的单元测评细化调整为针对要求项的单项测评，删除了“测评框架”（见2012年 版的4.1)和等级测评内容”（见2012年版的4.2）； 增加了大数据可参考安全评估方法（见附录B)和测评单元编号说明（见附录C)。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。 究院、国家信息中心、中国科学院信息工程研究所（信息安全国家重点实验室）、北京大学、新华三技术有 限公司、成都科来软件有限公司、中国移动通信集团有限公司、北京鼎普科技股份有限公司、北京微步在 息中心（电力行业信息安全等级保护测评中心）、全球能源互联网研究院、北京卓识网安技术股份有限公 司、中国电力科学研究院、南京南瑞集团公司、国电南京自动化股份有限公司、南方电网科学研究院、中 国电子信息产业集团公司第六研究所、工业和信息化部计算机与微电子发展研究中心（中国软件评测中 心）、启明星辰信息技术集团股份有限公司、北京烽云互联科技有限公司、华普科工（北京)有限公司。 本标准主要起草人：陈广勇、李明、黎水林、马力、曲洁、于东升、艾春迪、郭启全、葛波蔚、祝国邦 陆磊、张宇翔、毕马宁、沙淼淼、李升、胡红升、陈雪鸿 、袁静、章恒、张益、毛澍、王斌、尹湘培、王勇、高亚楠、 焦安春、赵劲涛、于俊杰、徐衍龙、马晓波、江雷、黄顺京、朱建兴、苏艳芳、禄凯、何申、霍珊珊、于运涛、 陈震、任卫红、孙惠平、万晓兰、马红霞、薛锋、赵林林、刘金刚、胡越宁、周晓雪、李亚军、杨洪起、孟召瑞、 李飞、王江波、阙志刚、刘健、陶源、李秋香、许凤凯、王绍杰、李晨旸、李凌、朱世顺、张五一、陈华军、张洁昕、 张彪、李汪蔚、王雪、蔡学琳、胡娟、刘静、周峰、郝鑫、马闽、段伟恒。 本标准所代替