1、1.1.1.1 物理位置的選擇1.1.1.1.1 測評單元（L3-PES1-01）a) 測評指標機房場地應選擇在具有防震、防風和防雨等能力的建筑內；（本條款引用自GB/T 22239.1-20XX 7.1.1.1 a）b) 測評對象記錄類文檔和機房。c) 測評實施1) 應核查所在建筑物是否具有建筑物抗震設防審批文檔；2) 應核查機房是否不存在雨水滲漏；機房存在漏水隱患位置，包括窗戶、門、管道等做好防水封堵。3) 應核查門窗是否不存在因風導致的塵土嚴重； 門窗、地面、墻面、天花刷防塵漆及貼防塵保溫棉。 設備需在基礎裝修完成靜止放置除灰后進場運行。4) 應核查屋頂、墻體、門窗和地面等是否不存在破損

2、開裂。 選擇前及選址中確定，避開這些隱患位置。d) 單元判定如果1）-4）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.1.1.2 測評單元（L3-PES1-02）a) 測評指標機房場地應避免設在建筑物的頂層或地下室，否則應加強防水和防潮措施。（本條款引用自GB/T 22239.1-20XX 7.1.1.1 b）機房選址注意此項即可。b) 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合本測評單元指標要求。1.1.1.2 物理訪問控制1.1.1.1.1 測評單元（L3-PES1-0

3、3）a) 測評指標機房出入口應配置電子門禁系統，控制、鑒別和記錄進入的人員。（本條款引用自GB/T 22239.1-20XX 7.1.1.2）機房門口做好電子門禁系統，控制系統。配置門禁及刷卡設備、指紋等控制系統1.1.1.3 防盜竊和防破壞1.1.1.3.1 測評單元（L3-PES1-04）a) 測評指標應將設備或主要部件進行固定，并設置明顯的不易除去的標記；（本條款引用自GB/T 22239.1-20XX 7.1.1.3 a）b) 測評對象機房設備或主要部件。c) 測評實施1) 應核查機房內設備或主要部件是否固定； 機房內所有部件配電柜、橋架、機柜、設備等均做好固定。2) 應核查機房內設備

4、或主要部件上是否設置了明顯且不易除去的標記。 做好機房內設備的標簽標識。有固定資產需求的單位還應做好固定資產編制。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.1.3.2 測評單元（L3-PES1-05）a) 測評指標應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中； （本條款引用自GB/T 22239.1-20XX 7.1.1.3 b）設計方案將通訊線纜設計為弱電上走線橋架中。做好屏蔽安裝橋架。b) 測評對象機房通信線纜。c) 測評實施應核查機房內通信線纜是否鋪設在隱蔽處或橋架中。 設計做在橋架中。d)

5、 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合本測評單元指標要求。1.1.1.3.3 測評單元（L3-PES1-06）a) 測評指標應設置機房防盜報警系統或設置有專人值守的視頻監控系統。（本條款引用自GB/T 22239.1-20XX 7.1.1.3 c）設計配置機房各入口及機房主要位置設置視頻監控系統，并按照客戶要求配置存儲時間。b) 測評對象機房防盜報警系統或視頻監控系統。c) 測評實施1) 應核查機房內是否配置防盜報警系統或專人值守的視頻監控系統；2) 應核查防盜報警系統或視頻監控系統是否啟用。d) 單元判定如果1）-2）均為肯定，則

6、等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.1.4 防雷擊1.1.1.4.1 測評單元（L3-PES1-07）a) 測評指標應將各類機柜、設施和設備等通過接地系統安全接地；（本條款引用自GB/T 22239.1-20XX 7.1.1.4 a）機房整體、機柜及設備、配電等均做好三級防雷及接地，并做好零地檢測。b) 測評對象機房。c) 測評實施應核查機房內機柜、設施和設備等是否進行接地處理。d) 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合本測評單元指標要求。1.1.1.4.2 測評單元（L

7、3-PES1-08）a) 測評指標應采取措施防止感應雷，例如設置防雷保安器或過壓保護裝置等。（本條款引用自GB/T 22239.1-20XX 7.1.1.4 b）1、 設置配電柜二級防雷；2、 配備UPS系統，及配電柜帶防雷及過載保護空開；3、 UPS有過載保護功能，保護后端設備。4、 空開均配置為有過載保護功能；b) 測評對象機房防雷設施。c) 測評實施1) 應核查機房內是否設置防感應雷措施；2) 應核查防雷裝置是否通過驗收或國家有關部門的技術檢測。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.1.5

8、 防火1.1.1.5.1 測評單元（L3-PES1-09）a) 測評指標應設置火災自動消防系統，能夠自動檢測火情、自動報警，并自動滅火；（本條款引用自GB/T 22239.1-20XX 7.1.1.5 a）設計標準配置有七氟丙烷自動滅火系統。b) 測評對象機房防火設施。c) 測評實施1) 應核查機房內是否設置火災自動消防系統；2) 應核查火災自動消防系統是否可以自動檢測火情、自動報警并自動滅火。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.1.5.2 測評單元（L3-PES1-10）a) 測評指標機房及

9、相關的工作房間和輔助房應采用具有耐火等級的建筑材料；（本條款引用自GB/T 22239.1-20XX 7.1.1.5 b）設計機房所有材料、線纜、門窗、隔斷等均采用耐火、防火材料；b) 測評對象機房驗收類文檔。c) 測評實施應核查機房驗收文檔是否明確相關建筑材料的耐火等級。d) 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合本測評單元指標要求。1.1.1.5.3 測評單元（L3-PES1-11）a) 測評指標應對機房劃分區域進行管理，區域和區域之間設置隔離防火措施。（本條款引用自GB/T 22239.1-20XX 7.1.1.5 c）機房管理

10、區及機房主區域用防火門分開隔離。b) 測評對象機房管理員和機房。c) 測評實施1) 應訪談機房管理員是否進行了區域劃分；2) 應核查各區域間是否采取了防火措施進行隔離。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.1.6 防水和防潮1.1.1.6.1 測評單元（L3-PES1-12）a) 測評指標應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；（本條款引用自GB/T 22239.1-20XX 7.1.1.6 a）對有雨水隱患的窗戶、屋頂和墻壁滲透進行封堵及防水處理。b) 測評對象機房。c) 測評實施應核

11、查窗戶、屋頂和墻壁是否采取了防雨水滲透的措施。d) 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合本測評單元指標要求。1.1.1.6.2 測評單元（L3-PES1-13）a) 測評指標應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透；（本條款引用自GB/T 22239.1-20XX 7.1.1.6 b）配備機房的排水及冷凝水的產生地的防水措施并做好漏水檢測機處理設施。b) 測評對象機房。c) 測評實施1) 應核查機房內是否采取了防止水蒸氣結露的措施； 如工程空調天花機出風口不要對著機柜上方，容易產生冷凝水的地方要原理機柜。做好防水檢測及防

12、水圍堰。做好排水措施。2) 應核查機房內是否采取了排泄地下積水，防止地下積水滲透的措施。 做好排水措施及合理安排排水管道，選址考慮到積水情況。機房設計在地面以下及有積水危險區域要做好防水封堵。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.1.6.3 測評單元（L3-PES1-14）a) 測評指標應安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警。（本條款引用自GB/T 22239.1-20XX 7.1.1.6 c）設計標配機房的動力環境系統，包括防水及漏水檢測及報警。b) 測評對象機房防水檢測設施

13、。c) 測評實施1) 應核查機房內是否安裝了對水敏感的檢測裝置；2) 應核查防水檢測和報警裝置是否啟用。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.1.7 防靜電1.1.1.7.1 測評單元（L3-PES1-15）a) 測評指標應安裝防靜電地板并采用必要的接地防靜電措施；（本條款引用自GB/T 22239.1-20XX 7.1.1.7 a）b) 測評對象機房。c) 測評實施1) 應核查機房內是否安裝了防靜電地板； 機房設置防靜電地板。架高約20cm；2) 應核查機房內是否采用了接地防靜電措施。 用紫銅

14、排及地線，做標準接地。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.1.7.2 測評單元（L3-PES1-16）a) 測評指標應采用措施防止靜電的產生，例如采用靜電消除器、佩戴防靜電手環等。（本條款引用自GB/T 22239.1-20XX 7.1.1.7 b）b) 測評對象機房。c) 測評實施應核查機房內是否配備了防靜電設備。機房出入口設置防靜電鞋套及防靜電手環、安全頭盔。d) 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合本測評單元指標要求。1.1.

15、1.8 溫濕度控制1.1.1.8.1 測評單元（L3-PES1-17）a) 測評指標機房應設置溫濕度自動調節設施，使機房溫濕度的變化在設備運行所允許的范圍之內。（本條款引用自GB/T 22239.1-20XX 7.1.1.8）標準設計，配置機房專用精密恒溫恒濕空調，滿足溫濕度控制變化。在正負1度；b) 測評對象機房溫濕度調節設施。c) 測評實施1) 應核查機房內是否配備了專用空調；2) 應核查機房內溫濕度是否在設備運行所允許的范圍之內。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.1.9 電力供應1.1

16、.1.9.1 測評單元（L3-PES1-18）a) 測評指標應在機房供電線路上配置穩壓器和過電壓防護設備；（本條款引用自GB/T 22239.1-20XX 7.1.1.9 a）機房配置UPS系統，具有很強穩壓功能及過壓防護。b) 測評對象機房供電設施。c) 測評實施應核查供電線路上是否配置了穩壓器和過電壓防護設備。d) 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合本測評單元指標要求。1.1.1.9.2 測評單元（L3-PES1-19）a) 測評指標應提供短期的備用電力供應，至少滿足設備在斷電情況下的正常運行要求；（本條款引用自GB/T 22

17、239.1-20XX 7.1.1.9 b）配置UPS系統，提供斷電情況下設備短期供電。b) 測評對象機房備用供電設施。c) 測評實施1) 應核查是否配備UPS等后備電源系統。2) 應核查UPS等后備電源系統是否滿足設備在斷電情況下的正常運行要求。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.1.9.3 測評單元（L3-PES1-20）a) 測評指標應設置冗余或并行的電力電纜線路為計算機系統供電。（本條款引用自GB/T 22239.1-20XX 7.1.1.9 c）b) 測評對象機房。c) 測評實施應核查

18、機房內是否設置了冗余或并行的電力電纜線路為計算機系統供電。設置市電與UPS系統兩路冗余系統，分別給設備供電。d) 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.1.10 電磁防護1.1.1.10.1 測評單元（L3-PES1-21）a) 測評指標電源線和通信線纜應隔離鋪設，避免互相干擾。（本條款引用自GB/T 22239.1-20XX 7.1.1.10 a）分別設置強電與弱電線槽分離，互不干擾。b) 測評對象機房線纜。c) 測評實施應核查機房內電源線纜和通信線纜是否隔離鋪設。d) 單元判定如果以上測評實施

19、內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合本測評單元指標要求。1.1.1.10.2 測評單元（L3-PES1-22）a) 測評指標應對關鍵設備實施電磁屏蔽。（本條款引用自GB/T 22239.1-20XX 7.1.1.10 b）b) 測評對象機房關鍵設備。c) 測評實施應核查機房內是否為關鍵設備配備了電磁屏蔽裝置。機房機柜系統為全金屬機柜，機柜設計金屬鈑金門與網孔門。 機房的墻壁、天花、地板做好金屬屏蔽。設計天花材料采用全鋁噴塑微孔天花板，鋁箔網地面處理，及屏蔽門。d) 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象

20、不符合本測評單元指標要求。1.1.2 網絡和通信安全1.1.2.1 網絡架構1.1.2.1.1 測評單元（L3-NCS1-01）a) 測評指標應保證網絡設備的業務處理能力滿足業務高峰期需要；（本條款引用自GB/T 22239.1-20XX 7.1.2.1 a）b) 測評對象路由器、交換機和防火墻提供網絡通信功能的設備。c) 測評實施1) 應核查業務高峰時期一段時間內主要網絡設備的CPU使用率和內存使用率是否滿足需要；2) 應核查網絡設備是否從未出現過宕機情況。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1

21、.2.1.2 測評單元（L3-NCS1-02）a) 測評指標應保證網絡各個部分的帶寬滿足業務高峰期需要；（本條款引用自GB/T 22239.1-20XX 7.1.2.1 b）b) 測評對象綜合網管系統。c) 測評實施應核查綜合網管系統各通信鏈路帶寬是否滿足高峰時段的業務流量。d) 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合本測評單元指標要求。1.1.2.1.3 測評單元（L3-NCS1-03）a) 測評指標應劃分不同的網絡區域，并按照方便管理和控制的原則為各網絡區域分配地址；（本條款引用自GB/T 22239.1-20XX 7.1.2.1

22、 c）b) 測評對象路由器、交換機和防火墻等提供網絡通信功能的設備。c) 測評實施1) 應核查是否依據某種原則劃分不同的網絡區域；2) 應核查相關網絡設備配置信息，驗證劃分的網絡區域是否與劃分原則一致。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.1.4 測評單元（L3-NCS1-04）a) 測評指標應避免將重要網絡區域部署在網絡邊界處且沒有邊界防護措施；（本條款引用自GB/T 22239.1-20XX 7.1.2.1 d）b) 測評對象網絡拓撲圖。c) 測評實施1) 應核查網絡拓撲圖是否真是網絡運

23、行環境一致；2) 應核查重要網絡區域未部署在網絡邊界處且無邊界防護措施；3) 應核查重要網絡區域與其他網絡區域之間是否采取可靠的技術隔離手段，如網閘、防火墻和設備訪問控制列表（ACL）等。d) 單元判定如果1）-3）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.1.5 測評單元（L3-NCS1-05）a) 測評指標應提供通信線路、關鍵網絡設備的硬件冗余，保證系統的可用性。（本條款引用自GB/T 22239.1-20XX 7.1.2.1 e）b) 測評對象網絡拓撲圖。c) 測評實施應核查系統是否有主要網絡設備、安全設備的硬件冗余

24、和通信線路冗余。d) 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合本測評單元指標要求。1.1.2.2 通信傳輸1.1.2.2.1 測評單元（L3-NCS1-06）a) 測評指標應采用校驗碼技術或加解密技術保證通信過程中數據的完整性；（本條款引用自GB/T 22239.1-20XX 7.1.2.2 a）b) 測評對象提供加解密功能的設備或組件。c) 測評實施1) 應核查是否在數據傳輸過程中使用校驗碼技術或其他加解密技術來保護其完整性；2) 應測試驗證加解密設備或組件是否保證通信過程中數據的完整性。d) 單元判定如果1）-2）均為肯定，則等級保

25、護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.2.2 測評單元（L3-NCS1-07）a) 測評指標應采用加解密技術保證通信過程中敏感信息字段或整個報文的保密性。（本條款引用自GB/T 22239.1-20XX 7.1.2.2 b）b) 測評對象提供加解密功能的設備或組件。c) 測評實施1) 應核查是否具有在通信過程中是否采取保密措施，具體采用哪些技術措施；2) 應測試驗證在通信過程中是否對敏感信息字段或整個報文進行加密。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標

26、要求。1.1.2.3 邊界防護1.1.2.3.1 測評單元（L3-NCS1-08）a) 測評指標應保證跨越邊界的訪問和數據流通過邊界防護設備提供的受控接口進行通信；（本條款引用自GB/T 22239.1-20XX 7.1.2.3 a）b) 測評對象網閘、防火墻、路由器和交換機等提供訪問控制功能的設備。c) 測評實施1) 應核查在網絡邊界處是否部署訪問控制設備；2) 應核查設備配置信息是否指定端口進行跨越邊界的網絡通信，該端口配置并啟用了安全策略；3) 應采用其他技術手段（如非法WIFI定位檢查、核查設備配置信息等）核查是否不存在其他未受控端口進行跨越邊界的網絡通信。d) 單元判定如果1）-3）

27、均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.3.2 測評單元（L3-NCS1-09）a) 測評指標應能夠對非授權設備私自聯到內部網絡的行為進行限制或檢查；（本條款引用自GB/T 22239.1-20XX 7.1.2.3 b）b) 測評對象終端管理系統和網絡設備。c) 測評實施1) 應核查是否采用技術措施防止非授權設備接入內部網絡并進行有效阻斷；2) 應核查所有路由器和交換機閑置端口等相關設備是否均已關閉。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指

28、標要求。1.1.2.3.3 測評單元（L3-NCS1-10）a) 測評指標應能夠對內部用戶非授權聯到外部網絡的行為進行限制或檢查；（本條款引用自GB/T 22239.1-20XX 7.1.2.3 c）b) 測評對象終端管理系統或設備。c) 測評實施應核查是否采用技術措施防止內部用戶非法外聯行為。d) 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合本測評單元指標要求。1.1.2.3.4 測評單元（L3-NCS1-11）a) 測評指標應限制無線網絡的使用，確保無線網絡通過受控的邊界防護設備接入內部網絡。（本條款引用自GB/T 22239.1-20

29、XX 7.1.2.3 d）b) 測評對象網絡拓撲圖和無線網絡設備。c) 測評實施1) 應核查無線網絡的部署方式，是否單獨組網后再連接到有線網絡；2) 應核查無線網絡是否通過受控的邊界防護設備接入到內部有線網絡。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.4 訪問控制1.1.2.4.1 測評單元（L3-NCS1-12）a) 測評指標應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒絕所有通信；（本條款引用自GB/T 22239.1-20XX 7.1.2.4 a）

30、b) 測評對象網閘、防火墻、路由器和交換機等提供訪問控制功能的設備。c) 測評實施1) 應核查在網絡邊界或區域之間是否部署訪問控制設備，是否啟用訪問控制策略；2) 應核查設備的最后一條訪問控制策略是否為禁止所有網絡通信。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.4.2 測評單元（L3-NCS1-13）a) 測評指標應刪除多余或無效的訪問控制規則，優化訪問控制列表，并保證訪問控制規則數量最小化；（本條款引用自GB/T 22239.1-20XX 7.1.2.4 b）b) 測評對象網閘、防火墻、路由器

31、和交換機等提供訪問控制功能的設備。c) 測評實施1) 應核查設備是否不存在多余或無效的訪問控制策略；2) 應核查設備的不同訪問控制策略之間的邏輯關系及前后排列順序是否合理。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.4.3 測評單元（L3-NCS1-14）a) 測評指標應對源地址、目的地址、源端口、目的端口和協議等進行檢查，以允許/拒絕數據包進出；（本條款引用自GB/T 22239.1-20XX 7.1.2.4 c）b) 測評對象網閘、防火墻、路由器和交換機等提供訪問控制功能的設備。c) 測評實施

32、應核查設備訪問控制策略中是否設定了源地址、目的地址、源端口、目的端口和協議等相關配置參數。d) 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合本測評單元指標要求。1.1.2.4.4 測評單元（L3-NCS1-15）a) 測評指標應能根據會話狀態信息為進出數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；（本條款引用自GB/T 22239.1-20XX 7.1.2.4 d）b) 測評對象網閘、防火墻、路由器和交換機等提供訪問控制功能的設備。c) 測評實施應核查訪問控制策略中是否明確設定了源地址、目的地址、源端口、目的端口和協議，訪問控制粒

33、度是否為端口級。d) 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合本測評單元指標要求。1.1.2.4.5 測評單元（L3-NCS1-16）a) 測評指標應在關鍵網絡節點處對進出網絡的信息內容進行過濾，實現對內容的訪問控制。（本條款引用自GB/T 22239.1-20XX 7.1.2.4 e）b) 測評對象應用層防火墻等提供訪問控制功能和內容過濾功能的設備。c) 測評實施1) 應核查在關鍵網絡節點處是否部署相關設備，是否啟用訪問控制策略；2) 應測試設備訪問控制策略是否能夠對進出網絡的信息內容進行過濾，實現對內容的訪問控制。d) 單元判定如果

34、1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.5 入侵防范1.1.2.5.1 測評單元（L3-NCS1-17）a) 測評指標應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為；（本條款引用自GB/T 22239.1-20XX 7.1.2.5 a）b) 測評對象入侵保護系統、入侵檢測系統、抗APT攻擊、抗DDoS攻擊和網絡回溯等系統或設備。c) 測評實施1) 應核查相關系統或設備是否能夠檢測從外部發起的網絡攻擊行為；2) 應核查相關系統或設備的規則庫版本是否已經更新到最新版本；3) 應核查相關系統或設備配置信息

35、或安全策略是否能夠覆蓋網絡所有關鍵節點。4) 應測試相關系統或設備驗證其安全策略有效性。d) 單元判定如果1）-4）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.5.2 測評單元（L3-NCS1-18）a) 測評指標應在關鍵網絡節點處檢測和限制從內部發起的網絡攻擊行為；（本條款引用自GB/T 22239.1-20XX 7.1.2.5 b）b) 測評對象入侵保護系統、入侵檢測系統、抗APT攻擊、抗DDoS攻擊和網絡回溯等系統或設備。c) 測評實施1) 應核查相關系統或設備是否能夠檢測到從內部發起的網絡攻擊行為；2) 應核查相關系

36、統或設備的規則庫版本是否已經更新到最新版本；3) 應核查相關系統或設備配置信息或安全策略是否能夠覆蓋網絡所有關鍵節點。4) 應測試相關系統或設備驗證其安全策略有效性。d) 單元判定如果1）-4）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.5.3 測評單元（L3-NCS1-19）a) 測評指標應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是未知的新型網絡攻擊的檢測和分析；（本條款引用自GB/T 22239.1-20XX 7.1.2.5 c）b) 測評對象網絡回溯和抗APT攻擊等系統或設備。c) 測評實施1) 應核查是否部

37、署網絡回溯系統或抗APT攻擊系統對新型網絡攻擊進行檢測和分析；2) 應測試驗證是否對網絡行為進行分析，實現對網絡攻擊特別是未知的新型網絡攻擊的檢測和分析。d) 單元判定如果1）- 2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.5.4 測評單元（L3-NCS1-20）a) 測評指標當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。（本條款引用自GB/T 22239.1-20XX 7.1.2.5 d）b) 測評對象入侵保護系統、入侵檢測系統、抗APT攻擊、抗DDoS攻擊和網絡回溯

38、等系統或設備。c) 測評實施1) 應核查相關系統或設備的記錄是否包括入侵源IP、攻擊類型、攻擊目的、攻擊時間等相關內容；2) 應測試驗證相關系統或設備報警策略是否有效。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.6 惡意代碼防范1.1.2.6.1 測評單元（L3-NCS1-21）a) 測評指標應在關鍵網絡節點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新；（本條款引用自GB/T 22239.1-20XX 7.1.2.6 a）b) 測評對象防病毒網關和UTM等提供防惡意代碼功能的設備

39、或系統。c) 測評實施1) 應核查在關鍵網絡節點處是否有防惡意代碼技術措施；2) 應核查防惡意代碼產品運行是否正常，惡意代碼庫是否已經更新到最新。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.6.2 測評單元（L3-NCS1-22）a) 測評指標應在關鍵網絡節點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新。（本條款引用自GB/T 22239.1-20XX 7.1.2.6 b）b) 測評對象反垃圾郵件網關提供防垃圾郵件功能的設備或系統。c) 測評實施1) 應核查在關鍵網絡節點處是否部

40、署了防垃圾郵件設備或系統；2) 應核查防垃圾郵件產品運行是否正常，防垃圾郵件規則庫是否已經更新到最新。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.7 安全審計1.1.2.7.1 測評單元（L3-NCS1-23）a) 測評指標應在網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；（本條款引用自GB/T 22239.1-20XX 7.1.2.7 a）b) 測評對象綜合安全審計系統、路由器、交換機和防火墻等設備。c) 測評實施1) 應核查設備是否開啟了日志記

41、錄或安全審計功能；2) 應核查是否部署了綜合安全審計系統或類似功能的系統平臺；3) 應核查安全審計范圍是否覆蓋到每個用戶；4) 應核查是否對重要的用戶行為和重要安全事件進行了審計。d) 單元判定如果 1）-4）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.7.2 測評單元（L3-NCS1-24）a) 測評指標審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；（本條款引用自GB/T 22239.1-20XX 7.1.2.7 b）b) 測評對象綜合安全審計系統、路由器、交換機和防火墻等設備。c)

42、測評實施應核查審計記錄信息是否包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。d) 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.7.3 測評單元（L3-NCS1-25）a) 測評指標應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；（本條款引用自GB/T 22239.1-20XX 7.1.2.7 c）b) 測評對象綜合安全審計系統、路由器、交換機和防火墻等設備。c) 測評實施1) 應核查是否采取了技術措施對審計記錄進行保護；2) 應核查審計記錄的備份機制和

43、備份策略是否合理。d) 單元判定如果 1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.7.4 測評單元（L3-NCS1-26）a) 測評指標審計記錄產生時的時間應由系統范圍內唯一確定的時鐘產生，以確保審計分析的正確性；（本條款引用自GB/T 22239.1-20XX 7.1.2.7 d）b) 測評對象綜合安全審計系統、路由器、交換機和防火墻等設備。c) 測評實施應核查是否在系統范圍內統一使用了唯一確定的時鐘源，以確保審計分析的正確性。d) 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，

44、等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.7.5 測評單元（L3-NCS1-27）a) 測評指標應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析。（本條款引用自GB/T 22239.1-20XX 7.1.2.7 e）b) 測評對象上網行為管理系統或綜合安全審計系統。c) 測評實施應核查是否對遠程訪問用戶及互聯網訪問用戶行為單獨進行審計分析。d) 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.8 集中管控1.1.2.8.1 測評單元（L3-NCS1-28）a)

45、 測評指標應劃分出特定的管理區域，對分布在網絡中的安全設備或安全組件進行管控；（本條款引用自GB/T 22239.1-20XX 7.1.2.8 a）b) 測評對象網絡拓撲圖。c) 測評實施1) 應核查是否劃分出單獨的網絡區域用于部署安全管理系統；2) 應核查各個安全管理系統是否集中部署在單獨的網絡區域內。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.8.2 測評單元（L3-NCS1-29）a) 測評指標應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理；（本條款引用自GB/T 2

46、2239.1-20XX 7.1.2.8 b）b) 測評對象路由器、交換機和防火墻等設備。c) 測評實施1) 應核查網絡中是否劃分單獨的管理VLAN用于對安全設備或安全組件進行管理；2) 應核查網絡是否使用獨立的帶外管理網絡對安全設備或安全組件進行管理。d) 單元判定如果1）-2）其中之一為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合本測評單元指標要求。1.1.2.8.3 測評單元（L3-NCS1-30）a) 測評指標應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測；（本條款引用自GB/T 22239.1-20XX 7.1.2.8 c）b) 測評對象綜合網

47、管系統等提供運行狀態監測功能的系統。c) 測評實施1) 應核查是否部署了具備運行狀態監測功能的系統或設備，能夠對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測；2) 應測試驗證運行狀態監測系統是否根據網絡鏈路、安全設備、網絡設備和服務器等的工作狀態、依據設定的閥值（或默認閥值）實時報警。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.8.4 測評單元（L3-NCS1-31）a) 測評指標應對分散在各個設備上的審計數據進行收集匯總和集中分析；（本條款引用自GB/T 22239.1-20XX

48、 7.1.2.8 d）b) 測評對象綜合安全審計系統、數據庫審計系統等提供集中審計功能的系統。c) 測評實施1) 應核查各個設備是否配置并啟用了相關策略，將審計數據發送到獨立于設備自身的外部相關系統平臺中；2) 應核查是否部署統一的集中安全審計平臺，統一收集和存儲各設備日志，并根據需要進行集中審計分析。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.8.5 測評單元（L3-NCS1-32）a) 測評指標應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理；（本條款引用自GB/T 22239.1-

49、20XX 7.1.2.8 e）b) 測評對象提供集中安全管控功能的系統。c) 測評實施1) 應核查是否能夠對安全策略（如防火墻訪問控制策略、入侵保護系統防護策略、WAF安全防護策略等）進行集中管理；2) 應核查是否實現對操作系統防惡意代碼系統及網絡惡意代碼防護設備的集中管理，實現防惡意代碼病毒規則庫的升級進行集中管理；3) 應核查是否能夠實現對各個設備的補丁升級進行集中管理。d) 單元判定如果1）-3）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.2.8.6 測評單元（L3-NCS1-33）a) 測評指標應能對網絡中發生的各類安全

50、事件進行識別、報警和分析。（本條款引用自GB/T 22239.1-20XX 7.1.2.8 f）b) 測評對象提供集中安全管控功能的系統。c) 測評實施1) 應核查是否部署了相關系統平臺能夠對各類安全事件進行分析并通過聲光等方式實時報警；2) 應核查安全事件的監測范圍是否能夠覆蓋網絡所有關鍵路徑。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.3 設備和計算安全1.1.3.1 身份鑒別1.1.3.1.1 測評單元（L3-ECS1-01）a) 測評指標應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身

51、份鑒別信息具有復雜度要求并定期更換。（本條款引用自GB/T 22239.1-20XX 7.1.3.1 a）b) 測評對象終端和服務器等設備中的操作系統、數據庫系統和中間件等系統軟件及網絡設備和安全設備。c) 測評實施1) 應核查用戶在登錄時是否采用了身份鑒別措施；2) 應核查用戶列表，核查用戶身份標識是否具有唯一性；3) 應核查用戶配置信息或訪談系統管理員，核查是否存在空密碼用戶；4) 應核查用戶鑒別信息是否具有復雜度要求并定期更換。d) 單元判定如果1）-4）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.3.1.2 測評單元（L

52、3-ECS1-02）a) 測評指標應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施。（本條款引用自GB/T 22239.1-20XX 7.1.3.1 b）b) 測評對象終端和服務器等設備中的操作系統、數據庫系統和中間件等系統軟件及網絡設備和安全設備。c) 測評實施1) 應核查是否配置并啟用了登錄失敗處理功能；2) 應核查是否配置并啟用了限制非法登錄達到一定次數后實現賬戶鎖定功能；3) 應核查是否配置并啟用了遠程登錄連接超時并自動退出功能。d) 單元判定如果1）-3）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合

53、本測評單元指標要求。1.1.3.1.3 測評單元（L3-ECS1-03）a) 測評指標當進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽。（本條款引用自GB/T 22239.1-20XX 7.1.3.1 c）b) 測評對象終端和服務器等設備中的操作系統、數據庫系統和中間件等系統軟件及網絡設備和安全設備。c) 測評實施應核查是否采用加密等安全方式對系統進行遠程管理，防止鑒別信息在網絡傳輸過程中被竊聽。d) 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合本測評單元指標要求。1.1.3.1.4 測評單元（L3-ECS1-04）a)

54、 測評指標應采用兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別。（本條款引用自GB/T 22239.1-20XX 7.1.3.1 d）b) 測評對象終端和服務器等設備中的操作系統、數據庫系統和中間件等系統軟件及網絡設備和安全設備。c) 測評實施應核查系統是否采用兩種或兩種以上組合的鑒別技術對用戶身份進行鑒別；d) 單元判定如果以上測評實施內容為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合本測評單元指標要求。1.1.3.2 訪問控制1.1.3.2.1 測評單元（L3-ECS1-05）a) 測評指標應對登錄的用戶分配賬號和權限。（本條款引用自GB/T 22239.1-20X

55、X 7.1.3.2 a）b) 測評對象終端和服務器等設備中的操作系統、數據庫系統和中間件等系統軟件及網絡設備和安全設備。c) 測評實施1) 應訪談網絡管理員、安全管理員、系統管理員或核查用戶賬號和權限設置情況；2) 應核查是否已禁用或限制匿名、默認賬號的訪問權限。d) 單元判定如果1）-2）均為肯定，則等級保護對象符合本測評單元指標要求，否則，等級保護對象不符合或部分符合本測評單元指標要求。1.1.3.2.2 測評單元（L3-ECS1-06）a) 測評指標應重命名默認賬號或修改默認口令。（本條款引用自GB/T 22239.1-20XX 7.1.3.2 b）b) 測評對象終端和服務器等設備中的操作系統、數據庫系統和中間件等系統軟件及網絡設備和安全設備。c)