《信息安全技术网络安全等级保护测评要求第4部分：物联网安全扩展要求》.pdf

GB/T 28448.4—XXXX 信息安全技术 网络安全等级保护测评要求 第4部分：物联网安全 扩展要求 1 范围 本标准规定了对物联网系统是否符合GB/T 22239.4-20XX所进行的测试评估活动的要求，包括对第 一级物联网系统、第二级物联网系统、第三级物联网系统和第四级物联网系统进行安全测试评估的要求。 本标准略去对第五级物联网系统进行安全测试评估的要求。 本标准适用于物联网信息安全测评服务机构、物联网系统的主管部门及运营使用单位对物联网网络 安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的物联网信息安全等级保护监 督检查可以参考使用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本 （包括所有的修改单）适用于本文件。 GB/T 25069-2010 信息安全技术 术语 GB/T 22239.1-20XX 信息安全技术 网络安全等级保护基本要求 第1部分：安全通用要求 GB/T 22239.4-20XX 信息安全技术 网络安全等级保护基本要求 第4部分：物联网安全扩展要求 GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南 GB/T 28449-20XX 信息安全技术 网络安全等级保护测评过程指南 GB/T 25070-20XX 信息安全技术 网络安全等级保护安全设计技术要求 3 术语和定义 GB/T 25069-2010和GB/T 22239.4-20XX所确立的术语和定义适用于本标准。 4 概述 4.1 使用方法 本标准第5章到第8章分别描述了第一级物联网系统、第二级物联网系统、第三级物联网系统和第四 级物联网系统所有单项测评的内容，在章节上分别对应国标GB/T 22239.4-20XX的第4章到第7章。在国 标GB/T 22239.4-20XX第4章到第7章中，各章的二级目录都分为安全技术和安全管理两部分，三级目录 从安全层面 （如物理和环境安全、网络和通信安全、设备和计算安全等）进行划分和描述，四级目录按 照安全控制点进行划分和描述 （如设备和计算安全层面下分为访问控制、资源控制等），第五级目录是 每一个安全控制点下面包括的具体安全要求项（以下简称“要求项”，这些要求项在本标准中被称为“测 评指标”）。本标准中针对每一个要求项的测评就构成一个单项测评，单项测评中的每一个具体测评实 施要求项 （以下简称 “测评要求项”）是与安全控制点下面所包括的要求项 （测评指标）相对应的。在 1 GB/T 28448.4—XXXX 对每一要求项进行测评时，可能用到访谈、检查和测试三种测试方法，也可能用到其中一种或两种。测 评实施的内容完全覆盖了GB/T 22239.4-20XX中所有要求项的测评要求,使用时应当从单项测评的测评 实施中抽取出对于GB/T 22239.4-20XX中每一个要求项的测评要求，并按照这些测评要求开发测评指导 书，以规范和指导安全等级测评活动。 测评过程中，测评人员应注意对测评记录和证据的采集、处理、存储和销毁，保护其在测评期间免 遭破坏、更改或遗失，并保守秘密。 测评的最终输出是测评报告，测评报告应结合GB/T 28448.1-20XX中第11章的要求给出等级测评结 论。 5 第一级物联网系统单项测评要求 5.1 安全技术测评 5.1.1 物理和环境安全 5.1.1.1 终端感知节点 （包括RFID标签）的物理和环境安全 5.1.1.1.1 测评单元(L1-PES4-01) 该测评单元包括以下要求： a) 测评指标：感知节点所处的物理环境应该不对感知节点造成物理破坏，如挤压、强振动。（本 条款引用自GB/T 22239.4-20XX 5.1.1.1 a）） b) 测评对象：物理安全负责人，感知节点所处物理环境，设计或验收文档。 c) 测评实施包括以下内容：