信息安全技术网络安全等级保护云计算测评指引

信息安全技术信息系统安全等级保护测评要求一、概述信息安全技术作为当前社会中不可或缺的一部分，对于信息系统的安全等级保护测评要求也变得愈发重要。

信息系统安全等级保护测评是指为了评估信息系统的安全性，保障信息系统的功能和安全性，根据《信息安全技术信息系统安全等级保护测评要求》，对信息系统进行等级保护测评，明确信息系统安全等级。

二、等级划分根据我国《信息安全技术信息系统安全等级保护测评要求》，信息系统安全等级分为四个等级，分别是一级、二级、三级和四级。

每个等级都有相应的技术和管理要求，以及安全保护的措施。

在信息系统安全等级保护测评中，根据信息系统的安全等级，采用不同的测评方法和技术手段，对信息系统进行全面的评估和测试。

三、技术要求在信息系统安全等级保护测评中，技术要求是至关重要的一环。

根据《信息安全技术信息系统安全等级保护测评要求》，信息系统的技术要求包括但不限于以下几个方面：1. 安全功能要求信息系统在进行测评时，需要满足一定的安全功能要求。

对于不同等级的信息系统，需要有相应的访问控制、身份认证、加密通信等安全功能，以确保系统的安全性。

2. 安全性能要求信息系统的安全性能也是非常重要的。

在信息系统安全等级保护测评中，需要对系统的安全性能进行评估，包括系统的稳定性、可靠性、容错性等方面。

3. 鉴别技术要求鉴别技术是信息系统安全等级保护测评中的关键环节。

通过鉴别技术对信息系统进行鉴别，以确定系统的真实性和完整性，防止系统被篡改和伪造。

4. 安全风险评估要求在信息系统安全等级保护测评中，需要进行全面的安全风险评估，包括对系统可能存在的安全威胁和漏洞进行评估，以及制定相应的安全保护措施和应急预案。

四、管理要求除了技术要求之外，信息系统安全等级保护测评还需要满足一定的管理要求。

管理要求主要包括以下几个方面：1. 安全管理体系要求信息系统安全等级保护测评需要建立健全的安全管理体系，包括安全管理策略、安全管理制度、安全管理流程等，以确保信息系统的安全性。

信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003］27号）、《关于信息安全等级保护工作的实施意见》（公通字［2004］66号）和《信息安全等级保护管理办法》(公通字［2007］43号），制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：-—GB/T22240-2008信息安全技术信息系统安全等级保护定级指南; ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求；——GB/TCCCC—CCCC信息安全技术信息系统安全等级保护实施指南；——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。

信息安全技术信息系统安全等级保护测评过程指南1范围本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。

2规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款.凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件,其最新版本适用于本标准。

GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240—2008信息安全技术信息系统安全等级保护定级指南GB/T22239—2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007］43号）3术语和定义GB/T5271.8、GB17859—1999、GB/TCCCC—CCCC和GB/TDDDD—DDDD确立的以及下列的术语和定义适用于本标准。

网络安全等级保护测评高风险判定指引信息安全测评联盟2019年6月目录1....................................................................................................................................................................................... 适用范围 12................................................................................................................................................................................. 术语和定义 13....................................................................................................................................................................................... 参考依据 24........................................................................................................................................................................... 安全物理环境 24.1................................................................................................................................................................ 物理访问控制 2 4.1.1机房出入口控制措施. (2)4.2.......................................................................................................................................................... 防盗窃和防破坏 3 4.2.1机房防盗措施. (3)4.3....................................................................................................................................................................................... 防火 4 4.3.1机房防火措施. (4)4.4...................................................................................................................................................................... 温湿度控制 4 4.4.1机房温湿度控制措施. (4)4.5............................................................................................................................................................................ 电力供应 5 4.5.1机房短期的备用电力供应措施.. (5)4.5.2机房电力线路冗余措施 (5)4.5.3机房应急供电措施 (6)4.6............................................................................................................................................................................ 电磁防护 74.6.1机房电磁防护措施 (7)5........................................................................................................................................................................... 安全通信网络 75.1............................................................................................................................................................................ 网络架构 7 5.1.1网络设备业务处理能力 . (7)5.1.2网络区域划分 (8)5.1.3网络访问控制设备不可控 (8)5.1.4互联网边界访问控制 (9)5.1.5不同区域边界访问控制 (10)5.1.6关键线路、设备冗余 (10)5.2............................................................................................................................................................................ 通信传输 115.2.1传输完整性保护 (11)5.2.2传输保密性保护 (12)6........................................................................................................................................................................... 安全区域边界 126.1............................................................................................................................................................................ 边界防护 126.1.1互联网边界访问控制 (12)6.1.2网络访问控制设备不可控 (13)6.1.3违规内联检查措施 (14)6.1.4违规外联检查措施 (14)6.1.5无线网络管控措施 (15)6.2............................................................................................................................................................................ 访问控制 166.2.1互联网边界访问控制 (16)6.2.2通信协议转换及隔离措施 (16)6.3............................................................................................................................................................................ 入侵防范 176.3.1外部网络攻击防御 (17)6.3.2内部网络攻击防御 (18)6.4................................................................................................................................... 恶意代码和垃圾邮件防范 196.4.1网络层恶意代码防范 (19)6.5............................................................................................................................................................................ 安全审计 196.5.1网络安全审计措施 (19)7........................................................................................................................................................................... 安全计算环境 207.1........................................................................................................... 网络设备、安全设备、主机设备等 207.1.1身份鉴别 (20)7.1.1.1设备弱口令 (20)7.1.1.3双因素认证 (22)7.1.2访问控制 (23)7.1.2.1默认口令处理 (23)7.1.3安全审计 (23)7.1.3.1设备安全审计措施 (23)7.1.4入侵防范 (24)7.1.4.1不必要服务处置 (24)7.1.4.2管理终端管控措施 (25)7.1.4.3已知重大漏洞修补 (25)7.1.4.4测试发现漏洞修补 (26)7.1.5恶意代码防范 (27)7.1.5.1操作系统恶意代码防范 (27)7.2............................................................................................................................................................................ 应用系统 287.2.1身份鉴别 (28)7.2.1.1口令策略 (28)7.2.1.2弱口令 (29)7.2.1.3登录失败处理 (29)7.2.1.4双因素认证 (30)7.2.2访问控制 (31)7.2.2.1登录用户权限控制 (31)7.2.2.2默认口令处理 (32)7.2.2.3访问控制策略 (32)7.2.3安全审计 (33)7.2.3.1安全审计措施 (33)7.2.4入侵防范 (34)7.2.4.1数据有效性检验功能 (34)7.2.4.3测试发现漏洞修补 (36)7.2.5数据完整性 (36)7.2.5.1传输完整性保护 (36)7.2.6数据保密性 (37)7.2.6.1传输保密性保护 (37)7.2.6.2存储保密性保护 (38)7.2.7数据备份恢复 (38)7.2.7.1数据备份措施 (38)7.2.7.2异地备份措施 (39)7.2.7.3数据处理冗余措施 (39)7.2.7.4异地灾难备份中心 (40)7.2.8剩余信息保护 (41)7.2.8.1鉴别信息释放措施 (41)7.2.8.2敏感数据释放措施 (41)7.2.9个人信息保护 (42)7.2.9.1个人信息采集、存储 (42)7.2.9.2个人信息访问、使用 (42)8........................................................................................................................................................................... 安全区域边界 438.1............................................................................................................................................................................ 集中管控 438.1.1运行监控措施 (43)8.1.2日志集中收集存储 (44)8.1.3安全事件发现处置措施 (44)9........................................................................................................................................................................... 安全管理制度 459.1............................................................................................................................................................................ 管理制度 459.1.1管理制度建设 (45)10 ........................................................................................................................................................................ 安全管理机构 4610.1......................................................................................................................................................................... 岗位设置 4610.1.1网络安全领导小组建立 (46)11 ........................................................................................................................................................................ 安全建设管理 4611.1....................................................................................................................................................... 产品采购和使用 46 11.1.1网络安全产品采购和使用 . (46)11.1.2密码产品与服务采购和使用 (47)11.2............................................................................................................................................................. 外包软件开发 47 11.2.1外包开发代码审计. (47)11.3......................................................................................................................................................................... 测试验收 4811.3.1上线前安全测试 (48)12 ........................................................................................................................................................................ 安全运维管理 4912.1....................................................................................................................................................... 漏洞和风险管理 49 12.1.1安全漏洞和隐患的识别与修补.. (49)12.2........................................................................................................................................... 网络和系统安全管理 50 12.2.1重要运维操作变更管理 . (50)12.2.2运维工具的管控 (51)12.2.3运维外联的管控 (52)12.3................................................................................................................................................. 恶意代码防范管理 52 12.3.1外来接入设备恶意代码检查.. (52)12.4......................................................................................................................................................................... 变更管理 53 12.4.1需求变更管理. (53)12.5....................................................................................................................................................... 备份与恢复管理 54 12.5.1数据备份策略. (54)12.6............................................................................................................................................................. 应急预案管理 55 12.6.1应急预案制定. (55)12.6.2应急预案培训演练 (55)附件基本要求与判例对应表 (57)网络安全等级保护测评高风险判定指引1适用范围本指引是依据GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》有关条款，对测评过程中所发现的安全性问题进行风险判断的指引性文件。

网络安全等级保护测评高风险判定指引信息安全测评联盟2019年6月目录1适用范围 (1)2术语和定义 (1)3参考依据 (2)4安全物理环境 (2)4.1 物理访问控制 (2)4.2 防盗窃和防破坏 (3)4.3 防火 (4)4.4 温湿度控制 (5)4.5 电力供应 (5)4.6 电磁防护 (7)5安全通信网络 (8)5.1 网络架构 (8)5.2 通信传输 (13)6安全区域边界 (14)6.1 边界防护 (14)6.2 访问控制 (19)6.3 入侵防范 (20)6.4 恶意代码和垃圾邮件防范 (22)6.5 安全审计 (23)7安全计算环境 (24)7.1 网络设备、安全设备、主机设备等 (24)7.1.1 身份鉴别 (24)7.1.2 访问控制 (27)7.1.3 安全审计 (28)7.1.4 入侵防范 (29)7.1.5 恶意代码防范 (32)7.2 应用系统 (33)7.2.1 身份鉴别 (33)7.2.2 访问控制 (37)7.2.3 安全审计 (39)7.2.4 入侵防范 (40)7.2.5 数据完整性 (43)7.2.6 数据保密性 (44)7.2.7 数据备份恢复 (45)7.2.8 剩余信息保护 (48)7.2.9 个人信息保护 (49)8安全区域边界 (51)8.1 集中管控 (51)9安全管理制度 (53)9.1 管理制度 (53)10安全管理机构 (54)10.1 岗位设置 (54)11安全建设管理 (55)11.1 产品采购和使用 (55)11.2 外包软件开发 (56)11.3 测试验收 (57)12安全运维管理 (58)12.1 漏洞和风险管理 (58)12.2 网络和系统安全管理 (59)12.3 恶意代码防范管理 (62)12.4 变更管理 (63)12.5 备份与恢复管理 (64)12.6 应急预案管理 (65)附件基本要求与判例对应表 (67)网络安全等级保护测评高风险判定指引1适用范围本指引是依据GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》有关条款，对测评过程中所发现的安全性问题进行风险判断的指引性文件。

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。

但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。

根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。

1.2制定本标准的目的和意义《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。

这就要求等级测评过程规范、测评结论准确、公正及可重现。

《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。

伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。

作为《基本要求》的姊妹标准，《测评要求》需要同步修订，依据《基本要求》的更新内容对应修订相关的单元测评章节。

信息安全技术信息系统安全等级保护测评指南下载提示：该文档是本店铺精心编制而成的，希望大家下载后，能够帮助大家解决实际问题。

文档下载后可定制修改，请根据实际需要进行调整和使用，谢谢！本店铺为大家提供各种类型的实用资料，如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等，想了解不同资料格式和写法，敬请关注！Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!信息安全技术信息系统安全等级保护测评指南一、引言在当今信息化社会，信息系统的安全性日益受到重视。

一、积极应对信息安全挑战随着信息技术的不断发展，信息安全问题已经成为各个行业不可忽视的重要议题。

在信息安全领域中，信息系统安全等级保护测评是保障信息系统安全的重要手段之一。

信息系统安全等级保护测评要求是针对信息系统的安全等级进行评估，以确保系统的安全性和稳定性。

在当前全球范围内，信息安全面临着日益猖獗的网络攻击和威胁，包括但不限于黑客攻击、病毒木马、网络钓鱼等。

加强信息系统安全等级保护测评工作，提高信息系统的安全水平，对于保护国家的重要信息资产和维护国家的网络安全和稳定具有重要意义。

二、信息系统安全等级保护测评要求的意义1. 保障国家安全信息系统安全等级保护测评要求的实施，可以有效保障国家的安全。

国家的重要信息资产经常受到来自国内外的网络攻击威胁，因此加强对信息系统安全等级保护测评的要求，可以提高信息系统的安全等级，从而保护国家的核心安全利益。

2. 维护社会稳定信息系统安全等级保护测评要求的严格实施，可以有效维护社会的稳定。

在信息时代，信息系统已经深入到社会的各个领域，一旦信息系统遭受到攻击或者破坏，就会给社会带来严重的影响，因此加强对信息系统安全等级保护测评的要求，可以保障社会的正常运行。

3. 促进信息技术创新信息系统安全等级保护测评要求的实施，有助于促进信息技术的创新发展。

由于信息系统安全等级保护测评要求注重提高信息系统的安全性和稳定性，这就需要信息技术相关行业加强技术创新，提高信息系统的安全技术水平，推动信息技术的发展。

三、信息系统安全等级保护测评要求的关键内容1. 等级划分信息系统安全等级保护测评要求首先需要对信息系统的安全等级进行划分。

信息系统的安全等级划分是基于国家秘密的保密等级，根据信息系统的特点和重要性确定其相对应的安全等级，以便进一步对信息系统的安全性进行测评和评估。

2. 安全风险评估信息系统安全等级保护测评要求需要对信息系统的安全风险进行评估。

安全风险评估是通过对信息系统的潜在威胁和漏洞进行分析和评估，以确定信息系统的安全隐患和风险，从而为制定安全防护措施提供依据。

信息安全技术网络安全等级保护云计算测评指引信息安全技术网络安全等级保护云计算测评指引是为了对云计算环境下的信息安全性进行评估和保护而制定的指导方针。

云计算作为一种新兴的计算模式，提供了大规模的计算能力和数据存储服务，但同时也带来了新的安全挑战。

因此，为了保护用户的数据安全和隐私，有必要制定相应的测评指引。

一、测评目的该测评指引的目的是为了评估和保护云计算环境下的信息安全性，包括数据的机密性、完整性和可用性，以及计算资源的合规性和可信度。

通过对云计算环境的综合评估，可以建立安全保护措施和流程，为用户提供更可靠的云服务。

二、测评内容1.云计算基础设施的安全性评估：包括云计算平台的物理安全措施、网络安全措施、系统安全措施等方面的评估，以保证基础设施的安全性。

2.云计算服务的安全性评估：包括云计算服务提供商的安全管理措施、身份认证与访问控制、数据加密与隔离、数据备份与恢复等方面的评估，以保证云服务的安全性。

3.云计算数据的安全性评估：包括数据的保密性、数据的完整性、数据的可用性、数据的溯源能力等方面的评估，以保证用户数据的安全性。

4.云计算合规性评估：包括对云计算服务提供商的合规性管理、数据隐私保护、个人信息保护等方面的评估，以保证用户合规要求的满足。

三、测评方法1.基于风险管理的方法：根据云计算环境中的风险特征，进行风险评估和分级，将风险作为测评的出发点，制定相应的信息安全控制措施。

2.基于漏洞分析的方法：对云计算环境中可能存在的漏洞进行分析和评估，发现潜在的风险，并提出相应的修复方案和补丁。

3.基于威胁情报的方法：利用威胁情报分析和监测技术，对云计算环境中的威胁进行实时监测和预警，及时采取安全防护措施。

四、测评指标根据上述测评内容和方法，可以制定相应的测评指标，如物理安全指标、网络安全指标、系统安全指标、身份认证与访问控制指标、数据加密与隔离指标、数据备份与恢复指标、数据保密性指标、数据完整性指标等，以评估和保证云计算环境下的信息安全性。

ICS xx.xxxL xx团体标准T/ISEAA XXX-2019信息安全技术网络安全等级保护云计算测评指引Information security technology—Testing and evaluation guideline of cloud computing forclassified production of cybersecurity（征求意见稿）20XX -XX-XX 发布20XX -XX-XX 实施中关村信息安全测评联盟发布目次前言 (II)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 概述 (2)5 云计算等级测评实施 (3)6 云计算等级测评问题分析 (7)7 云计算等级测评结论分析 (8)附录A 被测系统基本信息表（样例） (10)附录B 云计算平台服务（样例） (12)前言为配合国家网络安全等级保护制度2.0全面推进，更好的指导等级测评机构在云计算环境下开展等级测评工作，加强、规范云计算安全等级测评工作的独立性、客观性、合规性及有效性，依据网络安全等级保护2.0相关系列标准，制定网络安全等级保护云计算安全等级测评指引，本指引遵从下列标准规范：—— GB/T 22239—2019 信息安全技术网络安全等级保护基本要求；—— GB/T 28448—2019 信息安全技术网络安全等级保护测评要求；—— GB/T 28449—2018 信息安全技术网络安全等级保护测评过程指南。

本标准由中关村信息安全联盟提出并归口。

本标准起草单位：公安部第三研究所（公安部信息安全等级保护评估中心）、阿里云计算有限公司、深信服科技股份有限公司、电力行业信息安全等级保护测评中心、国家信息技术安全研究中心、国家网络与信息系统安全产品质量监督检验中心、中国金融电子化公司测评中心、交通运输信息安全中心有限公司、信息产业信息安全测评中心、公安部第一研究所、中国信息通信研究院、国家信息中心、教育部信息安全等级保护测评中心、国家计算机网络与信息安全管理中心、安徽省信息安全测评中心、广西网信信息安全等级保护测评有限公司、中国电信集团系统集成有限责任公司、成都市锐信安信息安全技术有限公司。

网络安全等级保护测评高风险判定指引1术语和定义1.1可用性要求较高的系统指可用性级别大于等于99.9%，年度停机时间小于等于8.8小时的系统（例如银行、证券、非银行支付机构、互联网金融等交易类系统，提供公共服务的民生类系统，工业控制类系统，云计算平台等）。

1.2关键网络设备指部署在关键网络节点的核心设备（包括但不限于核心交换机、核心路由器、边界防火墙等），一旦该设备遭受攻击或出现故障将影响整个系统网络。

1.3数据传输完整性要求较高的系统指一旦数据在传输过程中遭受恶意破坏或篡改，可能造成较大的财产损失，或造成严重破坏的系统（例如银行、证券、非银行支付机构、互联网金融等交易类系统等）。

1.4不可控网络环境指互联网、公共网络环境、开放性办公环境等缺少网络安全管控措施，可能存在恶意攻击、数据窃听等安全隐患的网络环境。

1.5可被利用的高危漏洞指可被攻击者用来进行网络攻击从而导致严重后果的漏洞（包括但不限于缓冲区溢出、提权漏洞、远程代码执行、严重逻辑缺陷、敏感数据泄露等）。

1.6云管理平台指云服务商或云服务客户用来对云计算资源进行管理的系统平台。

2安全物理环境2.1物理访问控制2.1.1机房出入口无控制措施对应要求：机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。

判例内容：机房出入口无任何访问控制措施，机房大门未安装电子或机械门锁（包括机房大门处于未上锁状态），机房入口处也无专人值守；非授权人员可随意进出机房，无任何管控、监控措施，存在较大安全隐患，可判定为高风险。

适用范围：2级及以上系统。

满足条件：机房出入口无任何访问控制措施，例如未安装电子或机械门锁（包括机房大门处于未上锁状态）、专人值守等，可导致非授权人员可随意进出机房。

补偿措施：机房所在位置处于受控区域，仅授权人员可进入该区域，可酌情降低风险等级。

整改建议：机房出入口配备电子门禁系统，通过电子门禁系统控制、鉴别、和记录进入的人员信息。

2.2防盗窃和防破坏2.2.1机房无防盗措施对应要求：应设置机房防盗报警系统或设置有专人值守的视频监控系统。

信息安全技术网络安全等级保护测评要求第2部分：云计算安全扩展要求1 范围本部分规定了对不同等级的等级保护对象是否符合GB/T 22239.2-20XX所进行的测试评估活动的要求，包括对第二级等级保护对象、第三级等级保护对象和第四级等级保护对象进行安全测试评估的要求。

本部分略去对第一级等级保护对象、第五级等级保护对象进行安全测评评估的要求。

本部分规定了不同等级的保护对象的云计算安全扩展测评要求，除使用本部分外，还需参考通用测评要求。

本部分适用于信息安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象安全等级保护状况进行的安全测试评估。

信息安全监管职能部门依法进行的信息系统安全等级保护监督检查可以参考使用。

2 规范性引用文件下列文件对于本部分的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本部分。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本部分。

GB/T 25069-2010 信息安全技术术语GB17859-1999 计算机信息系统安全保护等级划分准则GB/T 22239.1-20XX 信息安全技术网络安全等级保护基本要求第1部分：安全通用要求GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南GB/T 28448.1-20XX 信息安全技术网络安全等级保护测评要求第1部分：通用测评要求GB/T 28449-20XX 信息安全技术信息系统安全等级保护测评过程指南GB/T 22239.2-20XX 信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求GB/T 25070.2-20XX 信息安全技术网络安全等级保护安全设计技术要求第2部分：云计算信息安全等级保护安全设计技术要求3 术语与定义GB/T 25069-2010、GB/T 28448.1-20XX和GB/T 22239.2-20XX界定的以及下列术语和定义适用于本部分。

一、安全物理环境（1）扩展-云计算-基础设施位置1、应保证云计算基础设施位于中国境内。

6.1.6云计算基础设施物理位置不当判例场景:云计算基础设施,例如云计算服务器、存储设备、网络设备、云管理平台、信息系统等运行业务和承载数据的软硬件等不在中国境内。

二、安全通信网络（1）网络架构2、d) 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段；（6.2.4二级及以上系统）：在网络架构上,重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)无访问控制设备实施访问控制措施,例如重要网络区域与互联网等外部非安全可控网络边界处、生产网络与员工日常办公网络之间、生产网络与无线网络接入区之间未部署访问控制设备实施访问控制措施等。

（2）扩展-云计算-网络架构3、a)应保证云计算平台不承载高于其安全保护等级的业务应用系统；(6.2.6云计算平台等级低于承载业务系统等级-二级及以上)判例场景(任意):1) 云计算平台承载高于其安全保护等级(SxAxGx)的业务应用系统;2)业务应用系统部署在低于其安全保护等级(SxAxGx)的云计算平台上;3)业务应用系统部署在未进行等级保护测评、测评报告超出有效期或者等级保护测评结论为差的云计算平台上。

三、安全区域边界（1）访问控制4、a）应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信。

（6.3.2二级及以上系统）：重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)访问控制设备配置不当或控制措施失效,存在较大安全隐患。

例如办公网络任意网络终端均可访问核心生产服务器和网络设备;无线网络接人区终端可直接访问生产网络设备等。

（2）安全审计5、a）应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。

（6.3.6二级及以上系统）：1）在网络边界、关键网络节点无法对重要的用户行为进行日志审计;2)在网络边界、关键网络节点无法对重要安全事件进行日志审计。