T-SHV2X 2-2025 車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)符合性評(píng)測(cè)實(shí)施指南

ICS33.040.40CCSM19ImplementationguidelinesforconformancetestingandevaluationofserviceplatformofInternetofvehicle2025-01-15發(fā)布2025-01-15實(shí)施上海市車(chē)聯(lián)網(wǎng)協(xié)會(huì)發(fā)布IT/SHV2X2—2025 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14縮略語(yǔ) 1 25.1概述 25.2評(píng)測(cè)方式 25.3評(píng)測(cè)手段 25.4評(píng)測(cè)過(guò)程 26評(píng)測(cè)實(shí)施步驟 36.1評(píng)測(cè)準(zhǔn)備 36.2方案編制 46.3現(xiàn)場(chǎng)評(píng)測(cè) 56.4報(bào)告編制 67評(píng)測(cè)實(shí)施 6 6 187.3第3級(jí)及以上 30參考文獻(xiàn) 44T/SHV2X2—2025本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。本文件由上海市車(chē)聯(lián)網(wǎng)協(xié)會(huì)提出并歸口。本文件起草單位：上研智聯(lián)智能出行科技（上海）有限公司、上海計(jì)算機(jī)軟件技術(shù)開(kāi)發(fā)中心、上海銀基科技股份有限公司、潤(rùn)成安全技術(shù)有限公司、工業(yè)互聯(lián)網(wǎng)創(chuàng)新中心（上海）有限公司、上海蔚來(lái)汽車(chē)有限公司、零束科技有限公司、上汽大眾汽車(chē)有限公司、福特汽車(chē)（中國(guó)）有限公司、沃爾沃汽車(chē)技術(shù)(上海)有限公司、艾普拉斯（上海）質(zhì)量檢測(cè)有限公司、上海優(yōu)咔網(wǎng)絡(luò)科技有限公司。本文件主要起草人：潘政偉、楊偉利、宋曉航、吳建華、何旺君、毛爭(zhēng)艷、劉振宇、李爽、嚴(yán)超、劉海、曹遠(yuǎn)晶、楊曉光、王菲、王艷艷，杜同禎、楊清羽、李澤惠、楊靖、薛超、毛康瑞。1T/SHV2X2—2025車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)符合性評(píng)測(cè)實(shí)施指南本文件提供了車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)符合性評(píng)測(cè)的實(shí)施指南，給出了對(duì)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)不同級(jí)別的安全防護(hù)要求實(shí)施符合性評(píng)測(cè)的總則、實(shí)施步驟和內(nèi)容，包括安全管理、安全技術(shù)和物理環(huán)境安全的評(píng)測(cè)實(shí)施。本文件適用于智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)、車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)運(yùn)營(yíng)企業(yè)等車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)相關(guān)企業(yè)以及評(píng)測(cè)機(jī)構(gòu)開(kāi)展對(duì)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)的網(wǎng)絡(luò)安全符合性評(píng)測(cè)工作，也可供相關(guān)主管部門(mén)參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T28448—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求YD/T2700—2014電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求及檢測(cè)要求數(shù)據(jù)庫(kù)YD/T2702—2014電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求及檢測(cè)要求中間件T/CCSA339—2021車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)定級(jí)備案實(shí)施指南T/CCSA441—2023車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)網(wǎng)絡(luò)安全防護(hù)要求3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1車(chē)聯(lián)網(wǎng)Internetofvehicles通過(guò)新一代網(wǎng)絡(luò)通信技術(shù)實(shí)現(xiàn)與汽車(chē)、電子、道路交通運(yùn)輸?shù)阮I(lǐng)域深度融合，實(shí)現(xiàn)車(chē)、路、人、平臺(tái)等之間的全方位互聯(lián)和信息交互，促進(jìn)車(chē)輛行駛安全、交通效率服務(wù)以及支撐自動(dòng)駕駛演進(jìn)的復(fù)雜網(wǎng)絡(luò)及相關(guān)系統(tǒng)。[來(lái)源：T/CCSA339—2021，3.1]3.2車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)serviceplatformofInternetofvehicle面向車(chē)聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用，負(fù)責(zé)車(chē)輛及相關(guān)設(shè)備信息的接入、匯聚、計(jì)算、監(jiān)控或管理等功能（可負(fù)責(zé)一種或多種功能），提供信息管理或服務(wù)等的信息系統(tǒng)/平臺(tái)，例如車(chē)輛運(yùn)營(yíng)管理、信息娛樂(lè)、在線升級(jí)、遠(yuǎn)程診斷、遠(yuǎn)程控制、車(chē)聯(lián)網(wǎng)卡管理等應(yīng)用服務(wù)或管理功能。[來(lái)源：T/CCSA441—2023，3.1]4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。APT：高級(jí)持續(xù)性威脅（AdvancedPersistentThreat）2T/SHV2X2—2025CPU：中央處理器（CentralProcessingUnit）DDoS：分布式拒絕服務(wù)攻擊（DistributedDenialofService）FTP：文件傳輸協(xié)議（FileTransferProtocol）HTTP：超文本傳輸協(xié)議（HyperTextTransferProtocol）IP：網(wǎng)際互連協(xié)議（InternetProtocol）NTP：網(wǎng)絡(luò)時(shí)間協(xié)議（NetworkTimeProtocol）POP3：郵局協(xié)議版本3（PostOfficeProtocolversion3）SMTP：簡(jiǎn)單郵件傳輸協(xié)議（SimpleMailTransferProtocol）SSL：安全套接層（SecureSocketsLayer）TLS：傳輸層安全性協(xié)議（TransportLayerSecurity）UTM：統(tǒng)一威脅管理（UnifiedThreatManagement）VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）WAF：網(wǎng)絡(luò)應(yīng)用防火墻（WebApplicationFirewall）5總則5.1概述車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)符合性評(píng)測(cè)是指，對(duì)提供車(chē)聯(lián)網(wǎng)信息管理或服務(wù)的信息系統(tǒng)/平臺(tái)進(jìn)行符合性評(píng)測(cè)，以驗(yàn)證其滿足相應(yīng)級(jí)別的網(wǎng)絡(luò)安全防護(hù)要求，車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)的各級(jí)網(wǎng)絡(luò)安全防護(hù)要求可參考T/CCSA441—2023。車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)相關(guān)企業(yè)按照T/CCSA339—2021中第6章的相關(guān)要求，確立車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)的網(wǎng)絡(luò)安全防護(hù)等級(jí)。第5級(jí)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)符合性評(píng)測(cè)不在本文件描述。第1-4級(jí)的車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)符合性評(píng)測(cè)內(nèi)容包含基礎(chǔ)級(jí)和擴(kuò)展級(jí)兩部分，其中基礎(chǔ)級(jí)為符合性評(píng)測(cè)必須實(shí)施的內(nèi)容，擴(kuò)展級(jí)評(píng)測(cè)內(nèi)容是否實(shí)施由企業(yè)自行決定或遵循相關(guān)監(jiān)管單位的要求。各級(jí)評(píng)測(cè)內(nèi)容分為業(yè)務(wù)應(yīng)用、網(wǎng)絡(luò)安全、設(shè)備及軟件系統(tǒng)安全、數(shù)據(jù)安全、物理安全、虛擬化安全和管理安全七個(gè)部分。5.2評(píng)測(cè)方式符合性評(píng)測(cè)方式包括由車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)相關(guān)企業(yè)發(fā)起的自評(píng)測(cè)，以及由監(jiān)管部門(mén)發(fā)起的檢查評(píng)測(cè)。自評(píng)測(cè)可由車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)相關(guān)企業(yè)自行組織開(kāi)展，也可委托第三方評(píng)測(cè)機(jī)構(gòu)開(kāi)展評(píng)測(cè)。5.3評(píng)測(cè)手段現(xiàn)場(chǎng)評(píng)測(cè)活動(dòng)中評(píng)測(cè)人員采取人員訪談、文檔查閱、實(shí)地查看、配置核查、工具測(cè)試等評(píng)測(cè)手段。5.4評(píng)測(cè)過(guò)程符合性評(píng)測(cè)工作過(guò)程包括評(píng)測(cè)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)評(píng)測(cè)活動(dòng)、報(bào)告編制活動(dòng)。評(píng)測(cè)準(zhǔn)備活動(dòng)的目標(biāo)是啟動(dòng)評(píng)測(cè)項(xiàng)目，收集評(píng)測(cè)對(duì)象相關(guān)資料，準(zhǔn)備評(píng)測(cè)所需資料，為編制評(píng)測(cè)方案打下基礎(chǔ)。方案編制活動(dòng)的目標(biāo)是整理評(píng)測(cè)準(zhǔn)備活動(dòng)中獲取的評(píng)測(cè)對(duì)象相關(guān)資料，確定評(píng)測(cè)的對(duì)象、內(nèi)容和指標(biāo)、評(píng)測(cè)方法等，并制定具體的評(píng)測(cè)實(shí)施計(jì)劃，為現(xiàn)場(chǎng)評(píng)測(cè)活動(dòng)提供指導(dǎo)方案?，F(xiàn)場(chǎng)評(píng)測(cè)活動(dòng)通過(guò)與被測(cè)方進(jìn)行溝通和協(xié)調(diào)，依據(jù)評(píng)測(cè)方案實(shí)施現(xiàn)場(chǎng)評(píng)測(cè)工作，以取得報(bào)告編制活動(dòng)所需的、足夠的證據(jù)和資料。報(bào)告編制活動(dòng)是根據(jù)評(píng)測(cè)工作的實(shí)際開(kāi)展情況，對(duì)各測(cè)評(píng)項(xiàng)給出判定結(jié)果，形成評(píng)測(cè)結(jié)論，并編制評(píng)測(cè)報(bào)告。評(píng)測(cè)實(shí)施流程圖如圖1所示。3T/SHV2X2—2025圖1符合性評(píng)測(cè)實(shí)施流程圖6評(píng)測(cè)實(shí)施步驟6.1評(píng)測(cè)準(zhǔn)備6.1.1工作啟動(dòng)評(píng)測(cè)方組建符合性評(píng)測(cè)項(xiàng)目組，獲取被測(cè)方及評(píng)測(cè)對(duì)象的基本情況，從基本資料、人員、計(jì)劃安排等方面為整個(gè)符合性評(píng)測(cè)項(xiàng)目的實(shí)施做好準(zhǔn)備。評(píng)測(cè)項(xiàng)目組要求被測(cè)方提供基本資料，為全面了解被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)做好資料準(zhǔn)備，并根據(jù)評(píng)測(cè)目標(biāo)和被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)規(guī)模，做好人員安排。6.1.2信息收集和分析評(píng)測(cè)項(xiàng)目組通過(guò)查閱評(píng)測(cè)對(duì)象已有資料或使用情況調(diào)查表格的方式，了解整個(gè)系統(tǒng)的構(gòu)成和安全防護(hù)情況以及責(zé)任部門(mén)相關(guān)情況，為編寫(xiě)評(píng)測(cè)方案、開(kāi)展現(xiàn)場(chǎng)評(píng)測(cè)和報(bào)告編制工作奠定基礎(chǔ)。評(píng)測(cè)項(xiàng)目組收集評(píng)測(cè)所需資料，包括被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)的總體描述文件、定級(jí)報(bào)告、4T/SHV2X2—2025安全相關(guān)評(píng)測(cè)報(bào)告、系統(tǒng)設(shè)計(jì)和實(shí)施方案、使用和操作指南、管理過(guò)程中的制度和記錄等文檔，并要求被測(cè)方按要求準(zhǔn)確填寫(xiě)被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)基本情況表。評(píng)測(cè)項(xiàng)目組對(duì)所收集資料和回收的被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)基本情況表進(jìn)行分析，了解和熟悉被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)的實(shí)際情況。6.1.3工具和表單準(zhǔn)備評(píng)測(cè)項(xiàng)目組人員在進(jìn)行現(xiàn)場(chǎng)評(píng)測(cè)之前熟悉與被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)相關(guān)的各種組件、調(diào)試評(píng)測(cè)工具、準(zhǔn)備各種表單等。評(píng)測(cè)項(xiàng)目組人員在評(píng)測(cè)前熟悉被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)所處的評(píng)測(cè)環(huán)境和條件，了解被測(cè)方對(duì)所用評(píng)測(cè)工具的限制和要求等，在此基礎(chǔ)上校準(zhǔn)本次評(píng)測(cè)中將用到的評(píng)測(cè)工具，準(zhǔn)備現(xiàn)場(chǎng)評(píng)測(cè)所需的各類(lèi)表單。6.2方案編制6.2.1評(píng)測(cè)對(duì)象確定根據(jù)信息收集結(jié)果，分析整個(gè)被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)的系統(tǒng)邊界、業(yè)務(wù)流程、數(shù)據(jù)流、各個(gè)設(shè)備及組件的主要功能，確定本次評(píng)測(cè)的評(píng)測(cè)對(duì)象。評(píng)測(cè)項(xiàng)目組人員根據(jù)信息收集和分析過(guò)程中獲得的被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)相關(guān)資料，識(shí)別出被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)的運(yùn)行環(huán)境、網(wǎng)絡(luò)拓?fù)涞认到y(tǒng)基本情況后對(duì)其進(jìn)行完整描述，說(shuō)明被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)的整體結(jié)構(gòu)、外部邊界連接情況和邊界主要設(shè)備、網(wǎng)絡(luò)區(qū)域組成、主要業(yè)務(wù)功能及相關(guān)的設(shè)備節(jié)點(diǎn)。在此基礎(chǔ)上，依據(jù)被測(cè)方確定的被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)內(nèi)需要保護(hù)的核心資產(chǎn)和安全策略，確認(rèn)評(píng)測(cè)對(duì)象并對(duì)其進(jìn)行描述。6.2.2評(píng)測(cè)內(nèi)容和指標(biāo)確定根據(jù)被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)在車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)定級(jí)備案工作中已確定的網(wǎng)絡(luò)安全防護(hù)級(jí)別和評(píng)測(cè)對(duì)象情況，確定出本次評(píng)測(cè)的現(xiàn)場(chǎng)評(píng)測(cè)內(nèi)容和指標(biāo)，根據(jù)被測(cè)方業(yè)務(wù)需求確定出本次評(píng)測(cè)的特殊評(píng)測(cè)內(nèi)容和指標(biāo)，并結(jié)合相關(guān)法規(guī)、標(biāo)準(zhǔn)和監(jiān)管要求確定判斷符合性的評(píng)測(cè)準(zhǔn)則，根據(jù)需要開(kāi)發(fā)評(píng)測(cè)指導(dǎo)書(shū)。評(píng)測(cè)項(xiàng)目組人員根據(jù)信息收集和分析過(guò)程中獲得的被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)相關(guān)資料，以及被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)已定級(jí)備案的防護(hù)級(jí)別，依據(jù)相關(guān)的標(biāo)準(zhǔn)或規(guī)范性文件，被測(cè)方的信息系統(tǒng)應(yīng)用需求，確定被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)應(yīng)測(cè)的各項(xiàng)評(píng)測(cè)指標(biāo)，形成判斷符合性的評(píng)測(cè)準(zhǔn)則。在此基礎(chǔ)上，將各層面上的評(píng)測(cè)指標(biāo)結(jié)合到已確定的評(píng)測(cè)對(duì)象上，說(shuō)明具體的評(píng)測(cè)內(nèi)容，構(gòu)成可以具體實(shí)施的評(píng)測(cè)方法，并說(shuō)明現(xiàn)場(chǎng)評(píng)測(cè)實(shí)施的工作內(nèi)容。6.2.3工具測(cè)試方法確定在現(xiàn)場(chǎng)評(píng)測(cè)中根據(jù)評(píng)測(cè)需要使用測(cè)試工具進(jìn)行測(cè)試，測(cè)試工具包括不限于漏洞檢測(cè)工具、滲透測(cè)試工具等。依據(jù)評(píng)測(cè)內(nèi)容和指標(biāo)選擇合適的測(cè)試工具，并根據(jù)需要編制評(píng)測(cè)指導(dǎo)書(shū)，具體指導(dǎo)評(píng)測(cè)人員如何利用測(cè)試工具開(kāi)展評(píng)測(cè)活動(dòng)。評(píng)測(cè)項(xiàng)目組人員根據(jù)信息收集和分析過(guò)程中獲得的被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)相關(guān)資料，確定執(zhí)行工具測(cè)試的環(huán)境、需要進(jìn)行測(cè)試的評(píng)測(cè)對(duì)象、需要且可用的測(cè)試工具，選擇測(cè)試路徑以及合適的工具接入點(diǎn)，并結(jié)合被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)的網(wǎng)絡(luò)拓?fù)鋱D描述測(cè)試工具的接入點(diǎn)、測(cè)試目的、測(cè)試途徑和測(cè)試對(duì)象等相關(guān)內(nèi)容。根據(jù)需要，將工具測(cè)試方法結(jié)合到已確定的評(píng)測(cè)5T/SHV2X2—2025內(nèi)容和指標(biāo)，編制指導(dǎo)評(píng)測(cè)人員在評(píng)測(cè)現(xiàn)場(chǎng)評(píng)測(cè)活動(dòng)中所需執(zhí)行命令和步驟的評(píng)測(cè)指導(dǎo)書(shū)。6.2.4評(píng)測(cè)方案編制評(píng)測(cè)方案是符合性評(píng)測(cè)工作實(shí)施的基礎(chǔ)，指導(dǎo)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)符合性評(píng)測(cè)工作的現(xiàn)場(chǎng)實(shí)施活動(dòng)。評(píng)測(cè)方案包括但不局限于以下內(nèi)容：項(xiàng)目概述、評(píng)測(cè)對(duì)象、評(píng)測(cè)指標(biāo)、評(píng)測(cè)內(nèi)容、評(píng)測(cè)方法等。評(píng)測(cè)項(xiàng)目組人員根據(jù)信息收集和分析過(guò)程中獲得的被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)相關(guān)資料，概述被測(cè)方平臺(tái)建設(shè)運(yùn)行情況，估算評(píng)測(cè)工作量，為評(píng)測(cè)項(xiàng)目組人員分工并編制工作安排。根據(jù)以往工作經(jīng)驗(yàn)和被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)規(guī)模，編制具體評(píng)測(cè)實(shí)施計(jì)劃，包括現(xiàn)場(chǎng)評(píng)測(cè)人員的分工和時(shí)間安排，確定具體的人員、資料、工具、場(chǎng)所等保障要求。需要測(cè)試工具進(jìn)行的測(cè)試避開(kāi)業(yè)務(wù)高峰期，避免給被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)的正常運(yùn)行帶來(lái)影響。匯總上述內(nèi)容及方案編制活動(dòng)中其他任務(wù)獲得的內(nèi)容，形成評(píng)測(cè)方案并在評(píng)測(cè)方內(nèi)部評(píng)審?fù)ㄟ^(guò)后提交被測(cè)方簽字確認(rèn)。6.3現(xiàn)場(chǎng)評(píng)測(cè)6.3.1現(xiàn)場(chǎng)評(píng)測(cè)準(zhǔn)備啟動(dòng)現(xiàn)場(chǎng)評(píng)測(cè)，評(píng)測(cè)項(xiàng)目組和被測(cè)方確認(rèn)評(píng)測(cè)方案、風(fēng)險(xiǎn)告知書(shū)、現(xiàn)場(chǎng)測(cè)試授權(quán)書(shū)、接入確認(rèn)單等內(nèi)容，保障評(píng)測(cè)項(xiàng)目組能夠順利實(shí)施評(píng)測(cè)。被測(cè)方簽字確認(rèn)風(fēng)險(xiǎn)告知書(shū)，做好相應(yīng)的應(yīng)急和備份工作，并授權(quán)評(píng)測(cè)項(xiàng)目組開(kāi)設(shè)符合性評(píng)測(cè)所需的各項(xiàng)訪問(wèn)權(quán)限。評(píng)測(cè)項(xiàng)目組召開(kāi)評(píng)測(cè)現(xiàn)場(chǎng)首次會(huì)議，介紹評(píng)測(cè)方案，與被測(cè)方溝通確認(rèn)評(píng)測(cè)過(guò)程、內(nèi)容和方法，根據(jù)需要調(diào)整評(píng)測(cè)方案。被測(cè)方確認(rèn)現(xiàn)場(chǎng)評(píng)測(cè)所需的各項(xiàng)資源，包括評(píng)測(cè)配合人員和需提供的評(píng)測(cè)環(huán)境等。6.3.2現(xiàn)場(chǎng)評(píng)測(cè)和結(jié)果記錄評(píng)測(cè)項(xiàng)目組的評(píng)測(cè)人員實(shí)施評(píng)測(cè)，并將評(píng)測(cè)過(guò)程中獲取的證據(jù)源進(jìn)行詳細(xì)、準(zhǔn)確記錄。評(píng)測(cè)人員按照評(píng)測(cè)方案，通過(guò)人員訪談、文檔查閱、實(shí)地查看、配置核查、工具測(cè)試等方法對(duì)被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)實(shí)施符合性評(píng)測(cè)，評(píng)測(cè)被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)是否達(dá)到了相應(yīng)網(wǎng)絡(luò)安全防護(hù)級(jí)別的要求并獲取相應(yīng)的證據(jù)和記錄評(píng)測(cè)過(guò)程。進(jìn)行配置核查時(shí)，根據(jù)被測(cè)方的安全策略文檔或用戶(hù)手冊(cè)等，先確認(rèn)實(shí)際部署的信息系統(tǒng)與文檔描述的一致性，再查看配置的正確性并記錄證據(jù)。進(jìn)行工具測(cè)試時(shí)，需根據(jù)被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)的實(shí)際情況選擇測(cè)試工具，在配置核查無(wú)法提供有力證據(jù)的情況下，通過(guò)工具測(cè)試的方法抓取并分析被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)的相關(guān)數(shù)據(jù)。評(píng)測(cè)結(jié)束后，評(píng)測(cè)人員與評(píng)測(cè)配合人員及時(shí)確認(rèn)評(píng)測(cè)工作是否對(duì)被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)造成不良影響，系統(tǒng)是否工作正常。6.3.3結(jié)果確認(rèn)和資料歸還評(píng)測(cè)人員在現(xiàn)場(chǎng)評(píng)測(cè)完成后，匯總現(xiàn)場(chǎng)評(píng)測(cè)結(jié)果和記錄，根據(jù)需要進(jìn)行補(bǔ)充評(píng)測(cè)。評(píng)測(cè)項(xiàng)目組召開(kāi)現(xiàn)場(chǎng)評(píng)測(cè)末次會(huì)議，與被測(cè)方對(duì)評(píng)測(cè)過(guò)程中得到的各類(lèi)評(píng)測(cè)結(jié)果和記錄進(jìn)行現(xiàn)場(chǎng)溝通和確認(rèn)。評(píng)測(cè)人員歸還評(píng)測(cè)過(guò)程中借閱的所有文檔資料，將評(píng)測(cè)現(xiàn)場(chǎng)環(huán)境恢復(fù)至評(píng)測(cè)前狀態(tài)，由被測(cè)方收回各項(xiàng)訪問(wèn)權(quán)限并簽字確認(rèn)資料和權(quán)限的完整回收。6T/SHV2X2—20256.4報(bào)告編制6.4.1單項(xiàng)評(píng)測(cè)結(jié)果判定單項(xiàng)評(píng)測(cè)是針對(duì)每一項(xiàng)評(píng)測(cè)內(nèi)容，結(jié)合具體評(píng)測(cè)對(duì)象，客觀、準(zhǔn)確地收集并分析評(píng)測(cè)證據(jù)，對(duì)每項(xiàng)評(píng)測(cè)內(nèi)容分別進(jìn)行評(píng)測(cè)實(shí)施和結(jié)果判定，為形成符合性評(píng)測(cè)結(jié)論提供事實(shí)基礎(chǔ)。評(píng)測(cè)過(guò)程中評(píng)測(cè)人員需針對(duì)每個(gè)單項(xiàng)評(píng)測(cè)內(nèi)容進(jìn)行適用性分析，對(duì)確認(rèn)的不適用項(xiàng)說(shuō)明不適用原因后免于評(píng)測(cè)。包括但不限于以下情況的評(píng)測(cè)項(xiàng)為不適用項(xiàng)：a)非被測(cè)平臺(tái)組件功能所屬；b)被測(cè)平臺(tái)所屬組件非主體責(zé)任。如果評(píng)測(cè)證據(jù)表明所有評(píng)測(cè)實(shí)施結(jié)果均為符合，則判定單項(xiàng)評(píng)測(cè)結(jié)果為符合；如果評(píng)測(cè)證據(jù)表明評(píng)測(cè)實(shí)施結(jié)果部分符合或不符合，則判定單項(xiàng)評(píng)測(cè)結(jié)果為不符合。評(píng)測(cè)人員根據(jù)評(píng)測(cè)結(jié)果得出符合性評(píng)測(cè)結(jié)論。符合性評(píng)測(cè)結(jié)論分為兩種情況：a)通過(guò)，評(píng)測(cè)對(duì)象中未發(fā)現(xiàn)安全問(wèn)題，符合性評(píng)測(cè)結(jié)果中所有評(píng)測(cè)項(xiàng)的單項(xiàng)評(píng)測(cè)結(jié)果中不符合項(xiàng)為0；b)不通過(guò)，評(píng)測(cè)對(duì)象中存在安全問(wèn)題，不符合項(xiàng)的統(tǒng)計(jì)結(jié)果不為0。6.4.2報(bào)告編制評(píng)測(cè)人員結(jié)合在評(píng)測(cè)準(zhǔn)備活動(dòng)和現(xiàn)場(chǎng)評(píng)測(cè)過(guò)程中獲取的被測(cè)方和被測(cè)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)相關(guān)信息，編制符合相關(guān)監(jiān)管部門(mén)格式和內(nèi)容要求的符合性評(píng)測(cè)報(bào)告。報(bào)告編制完成后，評(píng)測(cè)項(xiàng)目組根據(jù)評(píng)測(cè)方案、被測(cè)方提交的相關(guān)信息和證據(jù)、評(píng)測(cè)實(shí)施記錄和證據(jù)以及其他信息，對(duì)報(bào)告進(jìn)行內(nèi)部評(píng)審。評(píng)審?fù)ㄟ^(guò)后，由授權(quán)簽字人簽發(fā)后提交被測(cè)方。7評(píng)測(cè)實(shí)施7.1.1基礎(chǔ)級(jí)業(yè)務(wù)應(yīng)用.1身份鑒別該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)應(yīng)對(duì)登錄業(yè)務(wù)系統(tǒng)用戶(hù)（如車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)、智能網(wǎng)聯(lián)汽車(chē)、車(chē)聯(lián)網(wǎng)移動(dòng)終端等相關(guān)用戶(hù)）進(jìn)行身份標(biāo)識(shí)和鑒別；2)平臺(tái)管理用戶(hù)身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換。b)評(píng)測(cè)手段：配置核查。c)評(píng)測(cè)對(duì)象：業(yè)務(wù)應(yīng)用身份鑒別措施。d)評(píng)測(cè)實(shí)施：1)是否對(duì)登錄用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別；2)平臺(tái)用戶(hù)是否使用常見(jiàn)或默認(rèn)的用戶(hù)名，口令復(fù)雜度是否滿足要求并90天更e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為7T/SHV2X2—2025符合，否則判定為不符合。.2訪問(wèn)控制該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)用戶(hù)的訪問(wèn)權(quán)限。b)評(píng)測(cè)手段：配置核查。c)評(píng)測(cè)對(duì)象：業(yè)務(wù)應(yīng)用訪問(wèn)控制策略。d)評(píng)測(cè)實(shí)施：系統(tǒng)的訪問(wèn)控制策略是否只能由授權(quán)的主體配置，是否刪除默認(rèn)用戶(hù)或嚴(yán)格限制默認(rèn)用戶(hù)的訪問(wèn)權(quán)限。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。網(wǎng)絡(luò)安全.1網(wǎng)絡(luò)結(jié)構(gòu)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)繪制與當(dāng)前運(yùn)行情況相符合的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。b)評(píng)測(cè)手段：文檔查閱、實(shí)地查看、配置核查。c)評(píng)測(cè)對(duì)象：網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)架構(gòu)d)評(píng)測(cè)實(shí)施：核查網(wǎng)絡(luò)拓?fù)鋱D是否與實(shí)際網(wǎng)絡(luò)運(yùn)行環(huán)境一致。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。設(shè)備及軟件系統(tǒng)安全.1網(wǎng)絡(luò)及安全設(shè)備該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶(hù)進(jìn)行身份鑒別；2)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；3)網(wǎng)絡(luò)設(shè)備用戶(hù)的標(biāo)識(shí)應(yīng)唯一；4)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)具有復(fù)雜度要求并定期更換。b)評(píng)測(cè)手段：配置核查。c)評(píng)測(cè)對(duì)象：網(wǎng)絡(luò)設(shè)備的身份鑒別措施和訪問(wèn)控制策略。d)評(píng)測(cè)實(shí)施：1)是否對(duì)設(shè)備登錄用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別；2)是否對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；3)網(wǎng)絡(luò)設(shè)備用戶(hù)的標(biāo)識(shí)是否唯一；4)設(shè)備用戶(hù)是否使用常見(jiàn)或默認(rèn)的用戶(hù)名，口令復(fù)雜度是否滿足要求并90天更e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.2操作系統(tǒng)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)應(yīng)對(duì)操作系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別；2)操作系統(tǒng)賬戶(hù)標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更3)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自由退出8T/SHV2X2—2025等措施；4)應(yīng)采用技術(shù)措施對(duì)允許訪問(wèn)操作系統(tǒng)的地址范圍進(jìn)行限制；5)應(yīng)關(guān)閉服務(wù)器不使用的端口，防止非法訪問(wèn)；6)應(yīng)保護(hù)審計(jì)記錄，避免其受到未預(yù)期的刪除、修改或覆蓋等，保留一定期限b)評(píng)測(cè)手段：文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：操作系統(tǒng)的身份鑒別措施和訪問(wèn)控制策略、操作系統(tǒng)端口配置、操作系統(tǒng)審計(jì)記錄。d)評(píng)測(cè)實(shí)施：1)是否對(duì)系統(tǒng)登錄用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別；2)操作系統(tǒng)用戶(hù)是否使用常見(jiàn)或默認(rèn)的用戶(hù)名，口令復(fù)雜度是否滿足要求并90天更換；3)是否采取結(jié)束會(huì)話、限制非法登錄次數(shù)或自動(dòng)退出等措施，對(duì)登錄失敗進(jìn)行處理；4)是否對(duì)操作系統(tǒng)訪問(wèn)進(jìn)行地址限制；cups等）；6)是否有安全措施保護(hù)審計(jì)記錄受到未預(yù)期的刪除、修改或覆蓋等，審計(jì)記錄是否至少保留180天。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.3數(shù)據(jù)庫(kù)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)滿足YD/T2700—2014的相關(guān)要求。b)評(píng)測(cè)手段：人員訪談、文檔查閱、配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：數(shù)據(jù)庫(kù)。d)評(píng)測(cè)實(shí)施：數(shù)據(jù)庫(kù)安全要求是否符合相關(guān)行業(yè)規(guī)范的標(biāo)準(zhǔn)要求。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.4中間件該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)滿足YD/T2702—2014的相關(guān)要求。b)評(píng)測(cè)手段：人員訪談、文檔查閱、配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：中間件。d)評(píng)測(cè)實(shí)施：中間件安全要求是否符合相關(guān)行業(yè)規(guī)范的標(biāo)準(zhǔn)要求。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。數(shù)據(jù)安全對(duì)第1級(jí)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)無(wú)數(shù)據(jù)安全評(píng)測(cè)要求。物理安全該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)滿足GB/T22239—2019中第1級(jí)的相關(guān)要求。a)評(píng)測(cè)手段：實(shí)地查看、配置核查。b)評(píng)測(cè)對(duì)象：參考GB/T28448—2019中第1級(jí)的相關(guān)要求。9T/SHV2X2—2025c)評(píng)測(cè)實(shí)施：物理安全要求是否符合網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求。d)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。虛擬化安全對(duì)第1級(jí)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)無(wú)虛擬化安全評(píng)測(cè)要求。管理安全該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。b)評(píng)測(cè)內(nèi)容：應(yīng)滿足GB/T22239—2019中第1級(jí)的相關(guān)要求。c)評(píng)測(cè)手段：人員訪談、文檔查閱、實(shí)地查看、配置核查。d)評(píng)測(cè)對(duì)象：參考GB/T28448—2019中第1級(jí)的相關(guān)要求。e)評(píng)測(cè)實(shí)施：管理安全要求是否符合網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求。f)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。7.1.2擴(kuò)展級(jí)業(yè)務(wù)應(yīng)用.1身份鑒別該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)應(yīng)對(duì)登錄的用戶(hù)進(jìn)行身份鑒別，身份鑒別信息應(yīng)具有一定的復(fù)雜度，并定期更換；2)針對(duì)遠(yuǎn)程登錄用戶(hù)，應(yīng)采取安全方式進(jìn)行身份鑒別；3)應(yīng)具備登錄失敗處理功能，并配置相關(guān)措施，防止暴力破解等網(wǎng)絡(luò)攻擊。b)評(píng)測(cè)手段：配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：業(yè)務(wù)應(yīng)用身份鑒別措施。d)評(píng)測(cè)實(shí)施：1)核查用戶(hù)在登錄時(shí)是否采用了身份鑒別措施；2)核查用戶(hù)列表確認(rèn)用戶(hù)身份標(biāo)識(shí)是否具有唯一性；3)核查用戶(hù)配置信息或測(cè)試驗(yàn)證是否不存在空口令用戶(hù)；4)核查用戶(hù)鑒別信息是否具有復(fù)雜度要求并定期更換；5)檢查是否具有登錄失敗的處理措施防止暴力破解。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.2訪問(wèn)控制該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)應(yīng)根據(jù)用戶(hù)的業(yè)務(wù)需求，配置其所需的最小權(quán)限；2)應(yīng)避免使用默認(rèn)賬戶(hù)和默認(rèn)口令。b)評(píng)測(cè)手段：配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：業(yè)務(wù)應(yīng)用訪問(wèn)控制策略。d)評(píng)測(cè)實(shí)施：1)檢查用戶(hù)權(quán)限是否配置為其所需的最小權(quán)限；2)核查是否為用戶(hù)分配了賬戶(hù)和權(quán)限及相關(guān)設(shè)置情況；3)核查是否已禁用或限制匿名、默認(rèn)賬戶(hù)的訪問(wèn)權(quán)限。T/SHV2X2—2025e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.3日志記錄該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)日志記錄范圍應(yīng)覆蓋服務(wù)器上的每個(gè)用戶(hù)；2)應(yīng)對(duì)服務(wù)器運(yùn)行情況、網(wǎng)絡(luò)流量、管理員和運(yùn)維人員行為等進(jìn)行記錄。b)評(píng)測(cè)手段：文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：業(yè)務(wù)應(yīng)用日志、搭載業(yè)務(wù)應(yīng)用的系統(tǒng)和平臺(tái)日志。d)評(píng)測(cè)實(shí)施：1)檢查日志記錄是否覆蓋服務(wù)器上的所有用戶(hù)；2)檢查記錄是否包含服務(wù)器運(yùn)行情況、網(wǎng)絡(luò)流量、管理員和運(yùn)維人員行為等。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.4資源控制該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)應(yīng)根據(jù)安全策略限制登錄終端的會(huì)話數(shù)量；2)應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定。b)評(píng)測(cè)手段：配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)、智能網(wǎng)聯(lián)汽車(chē)、車(chē)聯(lián)網(wǎng)移動(dòng)終端等業(yè)務(wù)系統(tǒng)的安全策略。d)評(píng)測(cè)實(shí)施：1)檢查安全策略是否限制登錄終端的會(huì)話數(shù)量；2)檢查安全策略是否設(shè)置登錄終端的操作超時(shí)鎖定。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.5惡意代碼防范該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)安裝防惡意代碼軟件，并及時(shí)更新惡意代碼軟件版本和惡意代碼庫(kù)。b)評(píng)測(cè)手段：配置核查。c)評(píng)測(cè)對(duì)象：防病毒網(wǎng)關(guān)和UTM等提供防惡意代碼功能的系統(tǒng)或相關(guān)組件。d)評(píng)測(cè)實(shí)施：1)核查在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處是否部署防惡意代碼產(chǎn)品等技術(shù)措施；2)核查防惡意代碼產(chǎn)品運(yùn)行是否正常，惡意代碼庫(kù)是否已經(jīng)更新到最新。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.6入侵防范該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)所使用的計(jì)算環(huán)境應(yīng)遵循最小安裝原則，僅安裝需要的組件和應(yīng)用程序，保持系統(tǒng)補(bǔ)丁及時(shí)更新；2)應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危的端口。b)評(píng)測(cè)手段：配置核查、工具測(cè)試。T/SHV2X2—2025c)評(píng)測(cè)對(duì)象：車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)、智能網(wǎng)聯(lián)汽車(chē)、車(chē)聯(lián)網(wǎng)移動(dòng)終端等業(yè)務(wù)系統(tǒng)的組件、應(yīng)用程序、補(bǔ)丁、端口等。d)評(píng)測(cè)實(shí)施：1)核查是否遵循最小安裝原則；2)核查是否未安裝非必要的組件和應(yīng)用程序；3)核查系統(tǒng)補(bǔ)丁是否及時(shí)更新；4)核查是否關(guān)閉了非必要的系統(tǒng)服務(wù)和默認(rèn)共享；5)核查是否不存在非必要的高危端口。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.7通用中間件該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)應(yīng)對(duì)所有開(kāi)發(fā)組件的登錄和使用設(shè)置身份鑒別方式，且身份鑒別信息應(yīng)具有一定的復(fù)雜度，并定期更換；2)應(yīng)對(duì)管理微服務(wù)組件的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別；3)在微服務(wù)組件權(quán)限配置能力內(nèi)，應(yīng)根據(jù)用戶(hù)的業(yè)務(wù)需求，配置其所需的最小權(quán)限；4)審計(jì)范圍應(yīng)覆蓋到使用微服務(wù)組件的每個(gè)用戶(hù)；5)應(yīng)對(duì)微服務(wù)運(yùn)行情況、網(wǎng)絡(luò)流量、管理員和運(yùn)維人員行為等進(jìn)行記錄；6)審計(jì)記錄應(yīng)包括事件的日期、事件、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；7)應(yīng)對(duì)開(kāi)放接口的調(diào)用采取認(rèn)證措施。b)評(píng)測(cè)手段：文檔查閱、配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：開(kāi)發(fā)組件、微服務(wù)組件等中間件。d)評(píng)測(cè)實(shí)施：1)檢查是否所有開(kāi)發(fā)組件采取身份鑒別方式；2)檢查身份鑒別信息是否定期更換；3)對(duì)管理微服務(wù)組件的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別；4)在微服務(wù)組件權(quán)限配置能力內(nèi)，根據(jù)用戶(hù)的業(yè)務(wù)需求，配置其所需的最小權(quán)5)審計(jì)范圍應(yīng)覆蓋到使用微服務(wù)組件的每個(gè)用戶(hù)；6)對(duì)微服務(wù)運(yùn)行情況、網(wǎng)絡(luò)流量、管理員和運(yùn)維人員行為等進(jìn)行記錄；7)審計(jì)記錄應(yīng)包括事件的日期、事件、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；8)對(duì)開(kāi)放接口的調(diào)用采取認(rèn)證措施。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.8通用接口該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)應(yīng)對(duì)服務(wù)接口的調(diào)用設(shè)置安全的身份鑒別方式，例如OAuth2.0等；2)應(yīng)遵循最小化原則為用戶(hù)分配對(duì)接口資源的訪問(wèn)權(quán)限；3)應(yīng)使用數(shù)字證書(shū)等方式保證接口數(shù)據(jù)傳輸時(shí)的保密性和完整性；4)應(yīng)對(duì)接口調(diào)用的情況進(jìn)行日志記錄，記錄內(nèi)容應(yīng)包括用戶(hù)身份、時(shí)間、事件類(lèi)型、調(diào)用是否成功等。T/SHV2X2—2025b)評(píng)測(cè)手段：文檔查閱、配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：服務(wù)接口、接口調(diào)用日志。d)評(píng)測(cè)實(shí)施：1)檢查服務(wù)接口的調(diào)用設(shè)置身份鑒別方式是否為安全的；2)檢查為用戶(hù)分配對(duì)接口資源的訪問(wèn)權(quán)限是否遵循最小化原則；3)檢查是否使用數(shù)字證書(shū)等方式保證接口數(shù)據(jù)傳輸時(shí)的保密性和完整性；4)檢查是否具有接口調(diào)用的日志記錄。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.9應(yīng)用服務(wù)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)應(yīng)對(duì)登錄的用戶(hù)進(jìn)行身份鑒別，身份鑒別信息應(yīng)具有一定的復(fù)雜度，并定期更換；2)應(yīng)具備登錄失敗處理功能，并配置相關(guān)措施，防止暴力破解等網(wǎng)絡(luò)攻擊；3)應(yīng)根據(jù)用戶(hù)的業(yè)務(wù)需求，配置其所需的最小權(quán)限；4)用戶(hù)首次登錄賬戶(hù)時(shí)，應(yīng)要求用戶(hù)更改默認(rèn)口令；5)日志記錄應(yīng)覆蓋用戶(hù)在業(yè)務(wù)應(yīng)用中的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使用情況等重要事件；6)日志留存時(shí)間應(yīng)不少于6個(gè)月；7)日志記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；8)應(yīng)限制對(duì)應(yīng)用訪問(wèn)的最大并發(fā)會(huì)話、流量等資源配額；9)當(dāng)移動(dòng)端應(yīng)用程序與平臺(tái)交互時(shí)，應(yīng)使用用戶(hù)名、口令等方式進(jìn)行身份認(rèn)證；10)當(dāng)車(chē)端與平臺(tái)交互時(shí)，應(yīng)采用身份鑒別的方式進(jìn)行安全認(rèn)證；11)應(yīng)使用傳輸層加密方式進(jìn)行通信；12)應(yīng)對(duì)應(yīng)用層敏感數(shù)據(jù)傳輸進(jìn)行加密，包括但不限于用戶(hù)名、口令、關(guān)鍵參數(shù)、遠(yuǎn)程控制指令等；13)車(chē)端與平臺(tái)應(yīng)保證通信雙方時(shí)間同步；平臺(tái)應(yīng)具備抵御拒絕服務(wù)攻擊的安全防護(hù)能力。b)評(píng)測(cè)手段：文檔查閱、配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)、智能網(wǎng)聯(lián)汽車(chē)、車(chē)聯(lián)網(wǎng)移動(dòng)終端等業(yè)務(wù)系統(tǒng)開(kāi)放的服務(wù)、移動(dòng)終端應(yīng)用程序、應(yīng)用服務(wù)日志記錄。d)評(píng)測(cè)實(shí)施：1)檢查身份鑒別信息的復(fù)雜度，以及定期更換的記錄；2)檢查登錄失敗處理功能和相關(guān)措施，判斷是否能夠防止暴力破解等網(wǎng)絡(luò)攻擊；3)檢查是否配置用戶(hù)權(quán)限為其所需的最小權(quán)限；4)檢查用戶(hù)是否使用默認(rèn)口令；5)檢查日志記錄是否覆蓋用戶(hù)在業(yè)務(wù)應(yīng)用中的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使用情況等重要事件；6)檢查日志留存時(shí)間是否不少于6個(gè)月；7)檢查日志記錄是否包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；8)檢查是否限制對(duì)應(yīng)用訪問(wèn)的最大并發(fā)會(huì)話、流量等資源配額；9)當(dāng)移動(dòng)端應(yīng)用程序與平臺(tái)交互時(shí)，是否使用用戶(hù)名、口令等方式進(jìn)行身份認(rèn)T/SHV2X2—2025證；10)核查當(dāng)車(chē)端與平臺(tái)交互時(shí)，是否采用身份鑒別的方式進(jìn)行安全認(rèn)證；11)檢查是否使用傳輸層加密方式進(jìn)行通信；12)檢查是否對(duì)應(yīng)用層敏感數(shù)據(jù)傳輸進(jìn)行加密傳輸；13)檢查車(chē)端與平臺(tái)通信是否時(shí)間同步；14)檢查平臺(tái)是否具備抵御拒絕服務(wù)攻擊的安全防護(hù)能力。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。網(wǎng)絡(luò)安全.1網(wǎng)絡(luò)結(jié)構(gòu)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)應(yīng)繪制與當(dāng)前運(yùn)行情況相符合的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；2)應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需求。b)評(píng)測(cè)手段：人員訪談、文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)拓?fù)鋱D及相關(guān)說(shuō)明、設(shè)備清單、網(wǎng)絡(luò)設(shè)備、安全設(shè)d)評(píng)測(cè)實(shí)施：1)核查網(wǎng)絡(luò)拓?fù)鋱D是否與實(shí)際網(wǎng)絡(luò)運(yùn)行環(huán)境一致；2)核查業(yè)務(wù)高峰時(shí)期一段時(shí)間內(nèi)接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬占用率是否滿足需要；3)核查網(wǎng)絡(luò)設(shè)備是否從未出現(xiàn)過(guò)因網(wǎng)絡(luò)帶寬問(wèn)題導(dǎo)致的宕機(jī)情況；4)測(cè)試驗(yàn)證設(shè)備是否滿足業(yè)務(wù)高峰期需求。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.2訪問(wèn)控制該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)在（子）網(wǎng)絡(luò)或網(wǎng)段邊界部署訪問(wèn)控制機(jī)制。b)評(píng)測(cè)手段：配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：網(wǎng)閘、防火墻、路由器、交換機(jī)和無(wú)線接入網(wǎng)關(guān)設(shè)備等提供訪問(wèn)控制功能的設(shè)備或相關(guān)組件。d)評(píng)測(cè)實(shí)施：1)核查在網(wǎng)絡(luò)邊界處是否部署訪問(wèn)控制設(shè)備；2)核查設(shè)備配置信息是否指定端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信，指定端口是否配置并啟用了安全策略；3)采用其他技術(shù)手段（如非法無(wú)線網(wǎng)絡(luò)設(shè)備定位、核查設(shè)備配置信息等）核查或測(cè)試驗(yàn)證是否不存在其他未受控端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.3安全審計(jì)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)審計(jì)范圍應(yīng)覆蓋全部網(wǎng)絡(luò)設(shè)備及安全設(shè)備；2)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、管理員和運(yùn)維人員行為等T/SHV2X2—2025進(jìn)行記錄。b)評(píng)測(cè)手段：人員訪談、文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：網(wǎng)絡(luò)管理員、綜合網(wǎng)管系統(tǒng)或網(wǎng)絡(luò)監(jiān)控平臺(tái)、日志審計(jì)設(shè)備、網(wǎng)絡(luò)系統(tǒng)的審計(jì)日志等。d)評(píng)測(cè)實(shí)施：1)核查是否部署了綜合安全審計(jì)系統(tǒng)或類(lèi)似功能的系統(tǒng)平臺(tái)；2)核查是否對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、管理員和運(yùn)維人員行為等進(jìn)行記錄；3)核查安全審計(jì)范圍是否覆蓋到每個(gè)用戶(hù)；4)核查是否對(duì)重要的用戶(hù)行為和重要安全事件進(jìn)行了審計(jì)。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.4惡意代碼防范該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)前進(jìn)行惡意代碼檢查。b)評(píng)測(cè)手段：人員訪談、文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：網(wǎng)絡(luò)管理員、外來(lái)設(shè)備接入申請(qǐng)表單、惡意代碼檢查記錄、網(wǎng)絡(luò)接入訪問(wèn)控制策略等。d)評(píng)測(cè)實(shí)施：1)核查是否形成了外來(lái)設(shè)備接入相關(guān)審核制度，其中應(yīng)有外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)前進(jìn)行惡意代碼檢查，并形成相關(guān)記錄；2)核查網(wǎng)絡(luò)接入訪問(wèn)控制策略，確保未經(jīng)過(guò)審核批準(zhǔn)或登記的設(shè)備無(wú)法接入網(wǎng)絡(luò)。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.5網(wǎng)絡(luò)設(shè)備防護(hù)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶(hù)進(jìn)行身份鑒別；2)網(wǎng)絡(luò)設(shè)備用戶(hù)的標(biāo)識(shí)應(yīng)唯一。b)評(píng)測(cè)手段：配置核查。c)評(píng)測(cè)對(duì)象：網(wǎng)絡(luò)設(shè)備、安全設(shè)備身份鑒別措施。d)評(píng)測(cè)實(shí)施：1)核查用戶(hù)在登錄時(shí)是否采用了身份鑒別措施；2)核查用戶(hù)列表確認(rèn)用戶(hù)身份標(biāo)識(shí)是否具有唯一性；3)核查用戶(hù)配置信息或測(cè)試驗(yàn)證是否不存在空口令用戶(hù)。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.6安全監(jiān)測(cè)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、管理員和運(yùn)維人員行為等進(jìn)行監(jiān)測(cè)、識(shí)別和記錄異常狀態(tài)。b)評(píng)測(cè)手段：文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：綜合網(wǎng)管系統(tǒng)或網(wǎng)絡(luò)監(jiān)控平臺(tái)、日志審計(jì)設(shè)備、網(wǎng)絡(luò)監(jiān)測(cè)記錄等。T/SHV2X2—2025d)評(píng)測(cè)實(shí)施：1)核查是否部署了具備運(yùn)行狀態(tài)監(jiān)測(cè)功能的系統(tǒng)或設(shè)備，能夠?qū)W(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況以及進(jìn)行集中監(jiān)測(cè)；2)核查是否對(duì)網(wǎng)絡(luò)流量、網(wǎng)絡(luò)系統(tǒng)相關(guān)管理員和運(yùn)維人員行為等進(jìn)行監(jiān)測(cè)、識(shí)別和記錄異常狀態(tài)3)測(cè)試驗(yàn)證運(yùn)行狀態(tài)監(jiān)測(cè)系統(tǒng)是否根據(jù)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的工作狀態(tài)、依據(jù)設(shè)定的閾值（或默認(rèn)閾值）實(shí)時(shí)報(bào)警；4)核查是否部署了綜合安全審計(jì)系統(tǒng)或類(lèi)似功能的系統(tǒng)平臺(tái)；5)核查安全審計(jì)范圍是否覆蓋到每個(gè)用戶(hù)；6)核查是否對(duì)重要的用戶(hù)行為和重要安全事件進(jìn)行了審計(jì)。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。數(shù)據(jù)安全.1數(shù)據(jù)傳輸該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)采用技術(shù)手段保證重要數(shù)據(jù)在傳輸過(guò)程中的完整性。b)評(píng)測(cè)手段：文檔查閱、配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：數(shù)據(jù)傳輸方式。d)評(píng)測(cè)實(shí)施：核查系統(tǒng)設(shè)計(jì)文檔，核查數(shù)據(jù)傳輸配置，重要管理數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中是否采用了校驗(yàn)技術(shù)或密碼技術(shù)保證完整性。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.2數(shù)據(jù)出境該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)確保車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)業(yè)務(wù)數(shù)據(jù)、用戶(hù)個(gè)人信息等存儲(chǔ)于我國(guó)境內(nèi)，如需出境應(yīng)遵循國(guó)家相關(guān)規(guī)定。b)評(píng)測(cè)手段：人員訪談、文檔查閱、實(shí)地查看、配置核查。c)評(píng)測(cè)對(duì)象：數(shù)據(jù)安全負(fù)責(zé)人、數(shù)據(jù)庫(kù)服務(wù)器、數(shù)據(jù)存儲(chǔ)設(shè)備和管理文檔記錄。d)評(píng)測(cè)實(shí)施：訪談數(shù)據(jù)安全負(fù)責(zé)人，核查客戶(hù)數(shù)據(jù)、用戶(hù)個(gè)人信息所在的服務(wù)器及數(shù)據(jù)存儲(chǔ)設(shè)備是否位于中國(guó)境內(nèi)，如有數(shù)據(jù)出境情況，核查是否滿足《數(shù)據(jù)出境安全評(píng)估申報(bào)指南》和《個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南》的相關(guān)規(guī)定。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.3數(shù)據(jù)備份與恢復(fù)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)提供重要數(shù)據(jù)的本地備份與恢復(fù)功能。b)評(píng)測(cè)手段：文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：數(shù)據(jù)備份功能、數(shù)據(jù)備份文件或記錄。d)評(píng)測(cè)實(shí)施：1)核查是否按照備份策略進(jìn)行本地備份；2)核查備份策略設(shè)置是否合理、配置是否正確；3)核查備份結(jié)果是否與備份策略一致；4)查閱是否存在數(shù)據(jù)備份文件或記錄；5)核查近期恢復(fù)測(cè)試記錄，是否能夠進(jìn)行正常的數(shù)據(jù)恢復(fù)。T/SHV2X2—2025e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。物理安全該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)滿足GB/T22239—2019中第1級(jí)的相關(guān)要求。b)評(píng)測(cè)手段：文檔查閱、實(shí)地查看、配置核查。c)評(píng)測(cè)對(duì)象：參考GB/T28448—2019中第1級(jí)的相關(guān)要求。d)評(píng)測(cè)實(shí)施：物理安全要求是否符合網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。虛擬化安全.1虛擬化管理平臺(tái)安全該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)登錄虛擬化管理平臺(tái)時(shí)，應(yīng)使用安全的身份鑒別方式，避免使用弱口令或默認(rèn)口令，同時(shí)確保身份鑒別信息在傳輸過(guò)程中的保密性；2)應(yīng)遵循最小化原則為虛擬機(jī)資源管理平臺(tái)分配訪問(wèn)權(quán)限；3)應(yīng)對(duì)虛擬化管理平臺(tái)重要的用戶(hù)行為和安全事件進(jìn)行日志記錄。b)評(píng)測(cè)手段：人員訪談、文檔查閱、配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：平臺(tái)管理人員、虛擬化平臺(tái)、虛擬機(jī)資源管理平臺(tái)、管理和記錄類(lèi)文檔、身份鑒別流量數(shù)據(jù)等。d)評(píng)測(cè)實(shí)施：1)核查虛擬化平臺(tái)系統(tǒng)在登錄時(shí)是否采用了身份鑒別措施；2)使用低復(fù)雜度口令注冊(cè)賬號(hào)驗(yàn)證口令復(fù)雜度校驗(yàn)是否有效；3)核查用戶(hù)鑒別信息是否加密傳輸；4)檢查虛擬機(jī)資源管理平臺(tái)是否基于角色進(jìn)行權(quán)限分配；5)核查平臺(tái)賬號(hào)權(quán)限是否為其工作任務(wù)所需的最小權(quán)限；6)核查是否對(duì)虛擬化管理平臺(tái)重要的用戶(hù)行為和安全事件進(jìn)行日志記錄。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.2宿主機(jī)安全該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)定期檢查每個(gè)宿主機(jī)的容器清單，及時(shí)清理不必要的容器；2)根據(jù)用戶(hù)的業(yè)務(wù)需求，配置其所需的最小權(quán)限；3)應(yīng)關(guān)閉不必要的服務(wù)。b)評(píng)測(cè)手段：人員訪談、文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：宿主機(jī)管理人員、宿主機(jī)權(quán)限設(shè)置、容器清單、容器管理日志、宿主機(jī)系統(tǒng)。d)評(píng)測(cè)實(shí)施：1)核查是否定期清理不必要的容器；2)查閱容器刪除的日志或記錄；3)查閱容器清單，查看是否存在不必要的容器；4)訪談管理人員，并核查權(quán)限設(shè)置，是否根據(jù)用戶(hù)的業(yè)務(wù)需求分配不同的權(quán)限；T/SHV2X2—20255)訪談管理人員，并核查權(quán)限設(shè)置，用戶(hù)權(quán)限是否為其業(yè)務(wù)所需的最小權(quán)限；6)核查宿主機(jī)系統(tǒng)是否存在不必要的服務(wù)。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.3虛擬機(jī)安全該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)應(yīng)保證虛擬機(jī)鏡像來(lái)源的可靠性和安全性，確保鏡像經(jīng)過(guò)加固及安全檢測(cè)；2)應(yīng)使用加密手段保護(hù)虛擬機(jī)或虛擬機(jī)文件，防止虛擬機(jī)文件的非法掛載和訪3)應(yīng)根據(jù)虛擬機(jī)承載的業(yè)務(wù)類(lèi)型，對(duì)虛擬機(jī)設(shè)置合理的網(wǎng)絡(luò)訪問(wèn)控制策略；4)應(yīng)對(duì)虛擬機(jī)的運(yùn)行狀態(tài)、資源占用等信息，以及對(duì)虛擬機(jī)文件的訪問(wèn)等進(jìn)行監(jiān)控和日志記錄。b)評(píng)測(cè)手段：人員訪談、文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：虛擬機(jī)管理人員、虛擬機(jī)鏡像、鏡像加固或檢測(cè)手段、訪問(wèn)控制規(guī)則、虛擬機(jī)監(jiān)控手段。d)評(píng)測(cè)實(shí)施：1)訪談管理人員，核查鏡像加固或檢測(cè)手段，核查虛擬機(jī)鏡像來(lái)源是否安全可靠，是否經(jīng)過(guò)加固及安全檢測(cè)；2)核查是否使用加密手段保護(hù)虛擬機(jī)或虛擬機(jī)文件；3)訪談管理人員并核查訪問(wèn)控制規(guī)則，是否為虛擬機(jī)部署訪問(wèn)控制機(jī)制，并設(shè)置訪問(wèn)控制規(guī)則；4)測(cè)試驗(yàn)證虛擬機(jī)的訪問(wèn)控制規(guī)則和訪問(wèn)控制策略是否有效；5)核查虛擬機(jī)監(jiān)控手段，是否對(duì)虛擬機(jī)的運(yùn)行狀態(tài)、資源占用等信息，以及對(duì)虛擬機(jī)文件的訪問(wèn)等進(jìn)行監(jiān)控和日志記錄。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.4鏡像安全該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)對(duì)鏡像定期檢查，及時(shí)清除不再使用的鏡像；2)應(yīng)限制用戶(hù)對(duì)鏡像倉(cāng)庫(kù)的訪問(wèn)權(quán)限。b)評(píng)測(cè)手段：人員訪談、文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：鏡像管理人員、鏡像管理和記錄類(lèi)文檔、鏡像倉(cāng)庫(kù)。d)評(píng)測(cè)實(shí)施：1)訪談管理人員，查閱管理和記錄文檔，是否定期清除不再使用的鏡像；2)核查鏡像倉(cāng)庫(kù)，是否對(duì)鏡像采用訪問(wèn)控制等技術(shù)手段進(jìn)行保護(hù)。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.5容器安全該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)對(duì)訪問(wèn)容器的IP、端口進(jìn)行限制。b)評(píng)測(cè)手段：配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：容器的訪問(wèn)控制規(guī)則。T/SHV2X2—2025d)評(píng)測(cè)實(shí)施：1)核查容器的訪問(wèn)控制規(guī)則，是否對(duì)訪問(wèn)容器的IP、端口進(jìn)行限制；2)使用受限的IP、端口訪問(wèn)容器，測(cè)試容器是否可以正確拒絕該訪問(wèn)。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。管理安全該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)滿足GB/T22239—2019中第1級(jí)的相關(guān)要求。b)評(píng)測(cè)手段：人員訪談、文檔查閱。c)評(píng)測(cè)對(duì)象：參考GB/T28448—2019中第1級(jí)的相關(guān)要求。d)評(píng)測(cè)實(shí)施：管理安全要求是否符合網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。7.2第2級(jí)7.2.1基礎(chǔ)級(jí)業(yè)務(wù)應(yīng)用.1身份鑒別該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)除第1級(jí)基礎(chǔ)級(jí)評(píng)測(cè)內(nèi)容外，本級(jí)評(píng)測(cè)內(nèi)容還包括：應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自由退出等措施。b)評(píng)測(cè)手段：配置核查。c)評(píng)測(cè)對(duì)象：業(yè)務(wù)應(yīng)用的身份鑒別措施。d)除第1級(jí)基礎(chǔ)級(jí)評(píng)測(cè)實(shí)施內(nèi)容外，本級(jí)評(píng)測(cè)實(shí)施內(nèi)容還包括：是否采取結(jié)束會(huì)話、限制非法登錄次數(shù)或自動(dòng)退出等措施，對(duì)登錄失敗進(jìn)行處理。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.2訪問(wèn)控制該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)除第1級(jí)基礎(chǔ)級(jí)評(píng)測(cè)內(nèi)容外，本級(jí)評(píng)測(cè)內(nèi)容還包括：應(yīng)嚴(yán)格限制用戶(hù)的訪問(wèn)權(quán)限，按安全策略要求控制用戶(hù)對(duì)業(yè)務(wù)應(yīng)用的訪問(wèn)。b)評(píng)測(cè)手段：配置核查。c)評(píng)測(cè)對(duì)象：業(yè)務(wù)應(yīng)用的訪問(wèn)控制策略。d)除第1級(jí)基礎(chǔ)級(jí)評(píng)測(cè)實(shí)施內(nèi)容外，本級(jí)評(píng)測(cè)實(shí)施內(nèi)容還包括：各用戶(hù)是否遵循最小授權(quán)原則，是否制定安全策略，控制用戶(hù)對(duì)業(yè)務(wù)應(yīng)用的訪問(wèn)。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.3安全審計(jì)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)審計(jì)范圍應(yīng)覆蓋到用戶(hù)在業(yè)務(wù)應(yīng)用中的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使用情況等重要事件；2)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，有效期內(nèi)避免受到非授權(quán)的訪問(wèn)、篡改、覆蓋或刪T/SHV2X2—2025b)評(píng)測(cè)手段：文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：針對(duì)業(yè)務(wù)應(yīng)用的安全審計(jì)功能、業(yè)務(wù)應(yīng)用的審計(jì)記錄。d)評(píng)測(cè)實(shí)施：1)審計(jì)范圍是否覆蓋到業(yè)務(wù)應(yīng)用中的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使用情況等重要事件；2)是否有安全機(jī)制保證無(wú)法刪除、修改或覆蓋審計(jì)記錄。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.4資源控制該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)限制對(duì)應(yīng)用訪問(wèn)的最大并發(fā)會(huì)話連接數(shù)等資源配額。b)評(píng)測(cè)手段：配置核查。c)評(píng)測(cè)對(duì)象：業(yè)務(wù)應(yīng)用資源控制措施。d)評(píng)測(cè)實(shí)施：是否對(duì)應(yīng)用訪問(wèn)配置最大并發(fā)會(huì)話連接數(shù)等。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.5災(zāi)難備份該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)應(yīng)建立相關(guān)業(yè)務(wù)及應(yīng)用系統(tǒng)的災(zāi)難恢復(fù)預(yù)案，并定期進(jìn)行教育、培訓(xùn)和演練；2)應(yīng)建立對(duì)業(yè)務(wù)及應(yīng)用關(guān)鍵數(shù)據(jù)（如重要業(yè)務(wù)數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)、操作維護(hù)記錄、用戶(hù)信息等）進(jìn)行備份和恢復(fù)的管理和控制機(jī)制，并有必要的容災(zāi)備份；3)應(yīng)對(duì)業(yè)務(wù)及用戶(hù)關(guān)鍵數(shù)據(jù)有必要的容災(zāi)備份。b)評(píng)測(cè)手段：人員訪談、文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：相關(guān)運(yùn)維人員、業(yè)務(wù)應(yīng)用的應(yīng)急相關(guān)管理文件、業(yè)務(wù)應(yīng)用的應(yīng)急相關(guān)培訓(xùn)或演練記錄、業(yè)務(wù)及用戶(hù)關(guān)鍵數(shù)據(jù)的備份文件或記錄。d)評(píng)測(cè)實(shí)施：1)是否建立了相關(guān)業(yè)務(wù)及應(yīng)用系統(tǒng)的災(zāi)難恢復(fù)預(yù)案，并定期進(jìn)行教育、培訓(xùn)和演練；2)是否建立對(duì)業(yè)務(wù)及應(yīng)用關(guān)鍵數(shù)據(jù)備份和恢復(fù)的管理和控制機(jī)制；3)是否對(duì)業(yè)務(wù)及用戶(hù)關(guān)鍵數(shù)據(jù)有必要的容災(zāi)備份。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。網(wǎng)絡(luò)安全.1網(wǎng)絡(luò)結(jié)構(gòu)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)除第1級(jí)基礎(chǔ)級(jí)評(píng)測(cè)內(nèi)容外，本級(jí)評(píng)測(cè)內(nèi)容還包括：1)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；2)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要；3)根據(jù)平臺(tái)服務(wù)的類(lèi)型、功能及租戶(hù)的不同劃分不同的子網(wǎng)、網(wǎng)段或安全組。b)評(píng)測(cè)手段：人員訪談、文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)拓?fù)鋱D及相關(guān)說(shuō)明、設(shè)備清單、網(wǎng)絡(luò)設(shè)備、安全設(shè)T/SHV2X2—2025d)除第1級(jí)基礎(chǔ)級(jí)評(píng)測(cè)實(shí)施內(nèi)容外，本級(jí)評(píng)測(cè)實(shí)施內(nèi)容還包括：1)關(guān)鍵的網(wǎng)絡(luò)設(shè)備（核心交換機(jī)、互聯(lián)網(wǎng)出口防火墻等）是否具備冗余能力；2)系統(tǒng)帶寬是否能滿足高峰期流量需求；3)是否根據(jù)平臺(tái)服務(wù)的類(lèi)型、功能劃分不同子網(wǎng)。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.2安全審計(jì)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、管理員和運(yùn)維人員行為等進(jìn)行日志記錄；2)審計(jì)記錄包括事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息；3)保證所有網(wǎng)絡(luò)設(shè)備的系統(tǒng)時(shí)間自動(dòng)保持一致；4)對(duì)審計(jì)記錄進(jìn)行保護(hù)，有效期內(nèi)避免受到非授權(quán)的訪問(wèn)、篡改、覆蓋或刪除5)按用戶(hù)需求提供與其相關(guān)的審計(jì)信息及審計(jì)分析報(bào)告。b)評(píng)測(cè)手段：人員訪談、文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：網(wǎng)絡(luò)管理員、綜合網(wǎng)管系統(tǒng)或網(wǎng)絡(luò)監(jiān)控平臺(tái)、日志審計(jì)設(shè)備、網(wǎng)絡(luò)系統(tǒng)的審計(jì)日志等。d)評(píng)測(cè)實(shí)施：1)網(wǎng)絡(luò)設(shè)備是否有運(yùn)行狀況、網(wǎng)絡(luò)流量、管理員和運(yùn)維人員行為等進(jìn)行日志記錄；2)網(wǎng)絡(luò)設(shè)備是否有審計(jì)記錄，事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息；3)是否配置NTP服務(wù)，保障協(xié)調(diào)時(shí)間一致；4)是否有安全措施保護(hù)審計(jì)記錄，保證無(wú)法刪除、修改或覆蓋等；5)是否能按用戶(hù)需求提供相關(guān)審計(jì)信息及審計(jì)分析報(bào)告。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.3安全監(jiān)測(cè)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、管理員和運(yùn)維人員行為等進(jìn)行監(jiān)測(cè)，識(shí)別和記錄異常狀態(tài)。b)評(píng)測(cè)手段：文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：綜合網(wǎng)管系統(tǒng)或網(wǎng)絡(luò)監(jiān)控平臺(tái)、日志審計(jì)設(shè)備、網(wǎng)絡(luò)系統(tǒng)監(jiān)測(cè)記錄等。d)評(píng)測(cè)實(shí)施：1)核查是否部署了具備運(yùn)行狀態(tài)監(jiān)測(cè)功能的系統(tǒng)或設(shè)備，能夠?qū)W(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況以及進(jìn)行集中監(jiān)測(cè)；2)核查是否對(duì)網(wǎng)絡(luò)流量、網(wǎng)絡(luò)系統(tǒng)相關(guān)管理員和運(yùn)維人員行為等進(jìn)行監(jiān)測(cè)、識(shí)別和記錄異常狀態(tài)3)測(cè)試驗(yàn)證運(yùn)行狀態(tài)監(jiān)測(cè)系統(tǒng)是否根據(jù)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的工作狀態(tài)、依據(jù)設(shè)定的閾值（或默認(rèn)閾值）實(shí)時(shí)報(bào)警；4)核查是否部署了綜合安全審計(jì)系統(tǒng)或類(lèi)似功能的系統(tǒng)平臺(tái)；T/SHV2X2—20255)核查安全審計(jì)范圍是否覆蓋到每個(gè)用戶(hù)；6)核查是否對(duì)重要的用戶(hù)行為和重要安全事件進(jìn)行了審計(jì)。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。設(shè)備及軟件系統(tǒng)安全.1網(wǎng)絡(luò)及安全設(shè)備該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施同第1級(jí)基礎(chǔ)級(jí)。.2操作系統(tǒng)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)除第1級(jí)基礎(chǔ)級(jí)評(píng)測(cè)內(nèi)容外，本級(jí)評(píng)測(cè)內(nèi)容還包括：1)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；2)安裝防惡意代碼軟件，并及時(shí)更新惡意代碼軟件版本和惡意代碼庫(kù)；3)所使用的操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。b)評(píng)測(cè)手段：文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：操作系統(tǒng)審計(jì)記錄、防惡意代碼軟件、組件和應(yīng)用程序、系統(tǒng)補(bǔ)丁。d)除第1級(jí)基礎(chǔ)級(jí)評(píng)測(cè)實(shí)施內(nèi)容外，本級(jí)評(píng)測(cè)實(shí)施內(nèi)容還包括：1)審計(jì)記錄是否包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；2)是否安裝防惡意代碼軟件，并及時(shí)更新惡意代碼軟件版本和惡意代碼庫(kù)；3)操作系統(tǒng)是否遵循最小安裝原則，系統(tǒng)補(bǔ)丁是否及時(shí)更新。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.3數(shù)據(jù)庫(kù)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施同第1級(jí)基礎(chǔ)級(jí)。.4中間件該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施同第1級(jí)基礎(chǔ)級(jí)。數(shù)據(jù)安全.1數(shù)據(jù)采集該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：數(shù)據(jù)采集時(shí)，應(yīng)根據(jù)車(chē)聯(lián)網(wǎng)應(yīng)用場(chǎng)景下的數(shù)據(jù)價(jià)值和合規(guī)需求來(lái)判斷數(shù)據(jù)的敏感度，并根據(jù)數(shù)據(jù)敏感度進(jìn)行分類(lèi)分級(jí)。b)評(píng)測(cè)手段：文檔查閱。c)評(píng)測(cè)對(duì)象：業(yè)務(wù)數(shù)據(jù)、數(shù)據(jù)分類(lèi)分級(jí)規(guī)則。d)評(píng)測(cè)實(shí)施：是否根據(jù)車(chē)聯(lián)網(wǎng)應(yīng)用場(chǎng)景下的數(shù)據(jù)價(jià)值和合規(guī)需求來(lái)判斷數(shù)據(jù)的敏感度，以及是否對(duì)數(shù)據(jù)敏感度進(jìn)行分類(lèi)分級(jí)。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.2數(shù)據(jù)傳輸該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)能夠檢測(cè)到數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞。b)評(píng)測(cè)手段：配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：數(shù)據(jù)傳輸方式。d)評(píng)測(cè)實(shí)施：是否能夠檢測(cè)到數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為T(mén)/SHV2X2—2025符合，否則判定為不符合。.3數(shù)據(jù)存儲(chǔ)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)支持實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)的保密性。b)評(píng)測(cè)手段：配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：數(shù)據(jù)存儲(chǔ)方式。d)評(píng)測(cè)實(shí)施：是否采用加密技術(shù)或其他保護(hù)措施保障敏感數(shù)據(jù)存儲(chǔ)保密性。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.4數(shù)據(jù)使用該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)應(yīng)對(duì)數(shù)據(jù)的使用進(jìn)行授權(quán)和驗(yàn)證；2)應(yīng)確保數(shù)據(jù)使用的目的和范圍符合國(guó)家相關(guān)法律法規(guī)的要求。b)評(píng)測(cè)手段：文檔查閱。c)評(píng)測(cè)對(duì)象：數(shù)據(jù)使用授權(quán)記錄。d)評(píng)測(cè)實(shí)施：1)數(shù)據(jù)的使用是否進(jìn)行授權(quán)和驗(yàn)證；2)數(shù)據(jù)使用的目的和范圍是否符合網(wǎng)絡(luò)安全法等國(guó)家相關(guān)法律法規(guī)的要求。（明示數(shù)據(jù)使用的目的和范圍）e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.5數(shù)據(jù)銷(xiāo)毀該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)建立數(shù)據(jù)銷(xiāo)毀策略和管理制度，明確銷(xiāo)毀對(duì)象和流程；并建立數(shù)據(jù)銷(xiāo)毀審批機(jī)制，設(shè)置銷(xiāo)毀相關(guān)監(jiān)督角色，監(jiān)督操作過(guò)程。b)評(píng)測(cè)手段：文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：數(shù)據(jù)銷(xiāo)毀相關(guān)管理制度、數(shù)據(jù)銷(xiāo)毀記錄、數(shù)據(jù)銷(xiāo)毀相關(guān)角色設(shè)置。d)評(píng)測(cè)實(shí)施：是否建立數(shù)據(jù)銷(xiāo)毀策略和管理制度，明確銷(xiāo)毀對(duì)象和流程，以及是否建立數(shù)據(jù)銷(xiāo)毀審批機(jī)制，設(shè)置銷(xiāo)毀相關(guān)監(jiān)督角色，監(jiān)督操作過(guò)程。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.6數(shù)據(jù)備份與恢復(fù)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，進(jìn)行定期備份，或提供多副本備份機(jī)制。b)評(píng)測(cè)手段：文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：數(shù)據(jù)備份與恢復(fù)功能、數(shù)據(jù)備份文件或記錄。d)評(píng)測(cè)實(shí)施：1)核查是否有本地?cái)?shù)據(jù)備份與恢復(fù)功能，進(jìn)行定期備份；2)查閱是否存在數(shù)據(jù)備份文件或記錄。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。物理安全T/SHV2X2—2025該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)滿足GB/T22239—2019中第2級(jí)的相關(guān)要求。b)評(píng)測(cè)手段：人員訪談、文檔查閱、實(shí)地查看、配置核查。c)評(píng)測(cè)對(duì)象：參考GB/T28448—2019中第2級(jí)的相關(guān)要求。d)評(píng)測(cè)實(shí)施：物理安全要求是否符合網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。虛擬化安全.1虛擬機(jī)安全該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)應(yīng)支持虛擬機(jī)之間、虛擬機(jī)與宿主機(jī)之間的隔離；2)應(yīng)支持虛擬機(jī)部署防病毒軟件；3)應(yīng)具有虛擬機(jī)惡意攻擊等行為的識(shí)別并處置的能力；4)應(yīng)支持虛擬機(jī)的安全啟動(dòng)。b)評(píng)測(cè)手段：配置核查。c)評(píng)測(cè)對(duì)象：虛擬機(jī)隔離措施、虛擬機(jī)防護(hù)軟件、虛擬機(jī)入侵防護(hù)措施、虛擬機(jī)安全配置。d)評(píng)測(cè)實(shí)施：1)是否支持虛擬機(jī)之間、虛擬機(jī)與宿主機(jī)之間的隔離；2)是否支持虛擬機(jī)部署防病毒軟件；3)是否具有虛擬機(jī)惡意攻擊等行為的識(shí)別并處置的能力；4)是否支持虛擬機(jī)的安全啟動(dòng)。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.2虛擬網(wǎng)絡(luò)安全該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：1)應(yīng)部署一定的訪問(wèn)控制安全策略，以實(shí)現(xiàn)虛擬機(jī)之間、虛擬機(jī)與虛擬管理平臺(tái)之間、虛擬機(jī)與外部網(wǎng)路之間的安全訪問(wèn)控制；2)應(yīng)支持采用VLAN或者分布式虛擬交換機(jī)等技術(shù)，以實(shí)現(xiàn)網(wǎng)絡(luò)的安全隔離。b)評(píng)測(cè)手段：配置核查。c)評(píng)測(cè)對(duì)象：虛擬網(wǎng)絡(luò)的訪問(wèn)控制策略、虛擬網(wǎng)絡(luò)安全隔離手段。d)評(píng)測(cè)實(shí)施：1)虛擬機(jī)之間、虛擬機(jī)與虛擬管理平臺(tái)之間、虛擬機(jī)與外部網(wǎng)路之間是否有訪問(wèn)控制策略；2)是否采用VLAN或者分布式虛擬交換機(jī)等技術(shù)，以實(shí)現(xiàn)網(wǎng)絡(luò)的安全隔離。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。管理安全該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)評(píng)測(cè)內(nèi)容：應(yīng)滿足GB/T22239—2019中第2級(jí)的相關(guān)要求。b)評(píng)測(cè)手段：人員訪談、文檔查閱、實(shí)地查看、配置核查。c)評(píng)測(cè)對(duì)象：參考GB/T28448—2019中第2級(jí)的相關(guān)要求。T/SHV2X2—2025d)評(píng)測(cè)實(shí)施：管理安全要求是否符合網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。7.2.2擴(kuò)展級(jí)業(yè)務(wù)應(yīng)用.1身份鑒別該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施同第1級(jí)擴(kuò)展級(jí)。.2訪問(wèn)控制該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)除第1級(jí)擴(kuò)展級(jí)評(píng)測(cè)內(nèi)容外，本級(jí)評(píng)測(cè)內(nèi)容還包括：1)應(yīng)采用技術(shù)措施對(duì)允許訪問(wèn)計(jì)算環(huán)境的地址范圍進(jìn)行限制；2)應(yīng)根據(jù)管理用戶(hù)的角色分配權(quán)限，實(shí)現(xiàn)管理用戶(hù)的權(quán)限分離，僅授予管理用戶(hù)所需的最小權(quán)限。b)評(píng)測(cè)手段：文檔查閱、配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：業(yè)務(wù)應(yīng)用的訪問(wèn)控制策略。d)除第1級(jí)擴(kuò)展級(jí)評(píng)測(cè)實(shí)施內(nèi)容外，本級(jí)評(píng)測(cè)實(shí)施內(nèi)容還包括：1)核查配置文件或參數(shù)等是否對(duì)終端接入范圍進(jìn)行限制。2)核查是否進(jìn)行角色劃分；3)核查管理用戶(hù)的權(quán)限是否已進(jìn)行分離；4)核查管理用戶(hù)權(quán)限是否為其工作任務(wù)所需的最小權(quán)限。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.3日志記錄該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)除第1級(jí)擴(kuò)展級(jí)評(píng)測(cè)內(nèi)容外，本級(jí)評(píng)測(cè)內(nèi)容還包括：1)日志內(nèi)容應(yīng)包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等重要的安全相關(guān)事件；2)應(yīng)支持按需求提供與其相關(guān)的日志信息及日志分析報(bào)告。b)評(píng)測(cè)手段：文檔查閱、配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：業(yè)務(wù)應(yīng)用日志、搭載業(yè)務(wù)應(yīng)用的系統(tǒng)和平臺(tái)日志。d)除第1級(jí)擴(kuò)展級(jí)評(píng)測(cè)實(shí)施內(nèi)容外，本級(jí)評(píng)測(cè)實(shí)施內(nèi)容還包括：1)檢查日志內(nèi)容是否包含必須字段；2)檢查是否具有日志分析報(bào)告。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.4資源控制該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施同第1級(jí)擴(kuò)展級(jí)。.5惡意代碼防范該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施同第1級(jí)擴(kuò)展級(jí)。.6入侵防范該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)除第1級(jí)擴(kuò)展級(jí)評(píng)測(cè)內(nèi)容外，本級(jí)評(píng)測(cè)內(nèi)容還包括：1)應(yīng)能夠檢測(cè)到對(duì)計(jì)算環(huán)境進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊類(lèi)型、T/SHV2X2—2025攻擊目的、攻擊時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供告警；2)應(yīng)支持對(duì)計(jì)算環(huán)境攻擊行為進(jìn)行檢測(cè)和防護(hù)。b)評(píng)測(cè)手段：文檔查閱、配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：業(yè)務(wù)應(yīng)用的入侵防范設(shè)備或軟件、入侵防范日志記錄。d)除第1級(jí)擴(kuò)展級(jí)評(píng)測(cè)實(shí)施內(nèi)容外，本級(jí)評(píng)測(cè)實(shí)施內(nèi)容還包括：1)核查是否采取了入侵防范措施對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行防范，如部署抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)和網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)等入侵防范設(shè)備或相關(guān)組件；2)核查入侵防范措施是否支持對(duì)計(jì)算環(huán)境攻擊行為進(jìn)行檢測(cè)和防護(hù)3)查閱入侵防范日志記錄，是否記錄入侵的源IP、攻擊類(lèi)型、攻擊目的、攻擊時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供告警。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.7通用中間件該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)除第1級(jí)擴(kuò)展級(jí)評(píng)測(cè)內(nèi)容外，本級(jí)評(píng)測(cè)內(nèi)容還包括：1)管理微服務(wù)組件的用戶(hù)身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)具有復(fù)雜度要求并定期更換；2)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)等措施；3)應(yīng)采用安全方式防止用戶(hù)鑒別認(rèn)證信息泄露而造成身份冒用；4)審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為、微服務(wù)組件資源的異常使用和重要操作指令的使用等重要的安全相關(guān)事件；5)應(yīng)支持按用戶(hù)需求提供與其相關(guān)的審計(jì)信息及審計(jì)分析報(bào)告；6)相關(guān)審計(jì)記錄有效期應(yīng)不少于6個(gè)月；7)應(yīng)保護(hù)審計(jì)記錄，在有效期內(nèi)避免受到非授權(quán)的訪問(wèn)、篡改、覆蓋或刪除等；8)微服務(wù)組件應(yīng)具有與外部組件或應(yīng)用之間開(kāi)放接口的安全管控措施，接口協(xié)議操作應(yīng)通過(guò)接口代碼審計(jì)、黑名單、白名單等控制措施確保交互符合接口規(guī)范；9)應(yīng)對(duì)關(guān)鍵接口的調(diào)用情況采取技術(shù)監(jiān)控，例如調(diào)用頻率、調(diào)用來(lái)源等，并對(duì)其進(jìn)行記錄；10)平臺(tái)應(yīng)支持開(kāi)放接口生成的業(yè)務(wù)應(yīng)用在下載前的安全檢測(cè)。b)評(píng)測(cè)手段：文檔查閱、配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：開(kāi)發(fā)組件、微服務(wù)組件等中間件。d)除第1級(jí)擴(kuò)展級(jí)評(píng)測(cè)實(shí)施內(nèi)容外，本級(jí)評(píng)測(cè)實(shí)施內(nèi)容還包括：1)檢查管理微服務(wù)組件的用戶(hù)身份標(biāo)識(shí)是否具有不易被冒用的特點(diǎn)；2)檢查登錄口令是否具有復(fù)雜度要求并定期更換；3)檢查是否啟用登錄失敗處理功能；4)檢查是否采用安全方式防止用戶(hù)鑒別認(rèn)證信息泄露而造成身份冒用；5)檢查審計(jì)內(nèi)容是否包括重要用戶(hù)行為、微服務(wù)組件資源的異常使用和重要操作指令的使用等重要的安全相關(guān)事件；6)檢查是否能夠根據(jù)用戶(hù)需求提供與其相關(guān)的審計(jì)信息及審計(jì)分析報(bào)告；7)檢查相關(guān)審計(jì)記錄的有效期是否不少于6個(gè)月；8)檢查是否具有包含審計(jì)記錄在有效期內(nèi)不受到非授權(quán)的訪問(wèn)、篡改、覆蓋或刪除等的保護(hù)措施；9)檢查微服務(wù)組件是否具有與外部組件或應(yīng)用之間開(kāi)放接口的安全管控措施，T/SHV2X2—2025接口協(xié)議操作通過(guò)接口代碼審計(jì)、黑名單、白名單等控制措施確保交互符合接口規(guī)范；10)檢查關(guān)鍵接口的調(diào)用情況的記錄；11)檢查平臺(tái)是否支持開(kāi)放接口生成的業(yè)務(wù)應(yīng)用在下載前的安全檢測(cè)。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.8通用接口該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施同第1級(jí)擴(kuò)展級(jí)。.9應(yīng)用服務(wù)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)除第1級(jí)擴(kuò)展級(jí)評(píng)測(cè)內(nèi)容外，本級(jí)評(píng)測(cè)內(nèi)容還包括：1)應(yīng)嚴(yán)格限制用戶(hù)的訪問(wèn)權(quán)限，按照安全策略要求控制用戶(hù)對(duì)業(yè)務(wù)應(yīng)用的訪問(wèn)；2)應(yīng)嚴(yán)格限制應(yīng)用與應(yīng)用之間相互調(diào)用的權(quán)限，按照安全策略要求控制應(yīng)用對(duì)其他應(yīng)用中用戶(hù)數(shù)據(jù)或特權(quán)指令等資源的調(diào)用；3)日志內(nèi)容應(yīng)包括重要用戶(hù)行為、資源異常使用情況等重要的安全相關(guān)事件；4)對(duì)異常行為、非法訪問(wèn)、非法篡改等異常事件應(yīng)進(jìn)行完整的日志記錄，包括事件相關(guān)IP、事件類(lèi)型、事件內(nèi)容、事件時(shí)間等；5)應(yīng)定期對(duì)日志記錄進(jìn)行審計(jì)，并生成審計(jì)分析報(bào)告；6)應(yīng)對(duì)日志記錄進(jìn)行保護(hù)，有效期內(nèi)避免受到非授權(quán)的訪問(wèn)、篡改、覆蓋或刪7)應(yīng)提供資源控制不當(dāng)?shù)母婢绊憫?yīng)措施；8)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止會(huì)話連接；9)安全認(rèn)證應(yīng)符合車(chē)端與平臺(tái)交互時(shí)，采用一車(chē)一證的數(shù)字證書(shū)方式進(jìn)行身份鑒別，證書(shū)密鑰應(yīng)加密存儲(chǔ)；10)應(yīng)使用TLS1.2或相同安全等級(jí)的安全通信協(xié)議；11)應(yīng)不允許降級(jí)，例如降到TLS1.0、TLS1.1或SSL3.0、SSL2.0；12)與第三方平臺(tái)進(jìn)行數(shù)據(jù)交互時(shí)，應(yīng)進(jìn)行加密傳輸；13)應(yīng)支持對(duì)第三方應(yīng)用的真實(shí)性和完整性進(jìn)行檢驗(yàn)。b)評(píng)測(cè)手段：文檔查閱、配置核查、工具測(cè)試。c)評(píng)測(cè)對(duì)象：車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)、智能網(wǎng)聯(lián)汽車(chē)、車(chē)聯(lián)網(wǎng)移動(dòng)終端等業(yè)務(wù)系統(tǒng)開(kāi)放的服務(wù)、移動(dòng)終端應(yīng)用程序、應(yīng)用服務(wù)日志記錄。d)除第1級(jí)擴(kuò)展級(jí)評(píng)測(cè)實(shí)施內(nèi)容外，本級(jí)評(píng)測(cè)實(shí)施內(nèi)容還包括：1)檢查安全策略是否嚴(yán)格限制用戶(hù)的訪問(wèn)權(quán)限、應(yīng)用與應(yīng)用之間相互調(diào)用的權(quán)2)檢查日志內(nèi)容是否包括重要用戶(hù)行為、資源異常使用情況等重要的安全相關(guān)事件；3)檢查異常事件的日志內(nèi)容是否包括事件相關(guān)IP、事件類(lèi)型、事件內(nèi)容、事件時(shí)間等；4)檢查日志記錄的審計(jì)分析報(bào)告時(shí)間；5)檢查是否對(duì)日志記錄進(jìn)行保護(hù)，有效期內(nèi)避免受到非授權(quán)的訪問(wèn)、篡改、覆蓋或刪除等；6)檢查是否提供資源控制不當(dāng)?shù)母婢绊憫?yīng)措施；7)檢查是否在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止會(huì)話連接；8)檢查在安全認(rèn)證應(yīng)符合車(chē)端與平臺(tái)交互時(shí)，是否采用一車(chē)一證的數(shù)字證書(shū)方T/SHV2X2—2025式進(jìn)行身份鑒別，證書(shū)密鑰應(yīng)加密存儲(chǔ)；9)檢查是否使用TLS1.2或相同安全等級(jí)的安全通信協(xié)議；10)檢查是否允許降級(jí)，例如降到TLS1.0、TLS1.1或SSL3.0、SSL2.0；11)在與第三方平臺(tái)進(jìn)行數(shù)據(jù)交互時(shí)，檢查是否進(jìn)行加密傳輸；12)檢查是否對(duì)第三方應(yīng)用的真實(shí)性和完整性進(jìn)行檢驗(yàn)。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。網(wǎng)絡(luò)安全.1網(wǎng)絡(luò)結(jié)構(gòu)該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)除第1級(jí)擴(kuò)展級(jí)評(píng)測(cè)內(nèi)容外，本級(jí)評(píng)測(cè)內(nèi)容還包括：應(yīng)根據(jù)平臺(tái)服務(wù)的類(lèi)型、功能及租戶(hù)的不同劃分不同的子網(wǎng)、網(wǎng)段或安全組。b)評(píng)測(cè)手段：人員訪談、文檔查閱、配置核查。c)評(píng)測(cè)對(duì)象：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)拓?fù)鋱D及相關(guān)說(shuō)明、設(shè)備清單、網(wǎng)絡(luò)設(shè)備、安全設(shè)d)除第1級(jí)擴(kuò)展級(jí)評(píng)測(cè)實(shí)施內(nèi)容外，本級(jí)評(píng)測(cè)實(shí)施內(nèi)容還包括：訪談網(wǎng)絡(luò)管理員、查閱網(wǎng)絡(luò)拓?fù)鋱D、核查虛擬化管理平臺(tái)的子網(wǎng)、網(wǎng)段或安全組配置，確認(rèn)是否有根據(jù)平臺(tái)服務(wù)的類(lèi)型、功能及租戶(hù)的不同來(lái)進(jìn)行劃分。e)符合判定：若評(píng)測(cè)實(shí)施證實(shí)達(dá)到以上評(píng)測(cè)內(nèi)容中的全部要求，則判定此項(xiàng)結(jié)果為符合，否則判定為不符合。.2訪問(wèn)控制該評(píng)測(cè)單元的評(píng)測(cè)實(shí)施如下。a)除第1級(jí)擴(kuò)展級(jí)評(píng)測(cè)內(nèi)容外，本級(jí)評(píng)測(cè)內(nèi)容還