信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求第3部分：移動(dòng)互聯(lián)安全擴(kuò)展要求

第3部分：移動(dòng)互聯(lián)安全擴(kuò)展要求范圍本部分規(guī)定了不同等級(jí)保護(hù)對(duì)象的移動(dòng)互聯(lián)安全擴(kuò)展測(cè)評(píng)要求。本部分適用于信息安全測(cè)評(píng)服務(wù)機(jī)構(gòu)、等級(jí)保護(hù)對(duì)象的主管部門(mén)及運(yùn)營(yíng)使用單位對(duì)采用移動(dòng)互聯(lián)技術(shù)的等級(jí)保護(hù)對(duì)象的安全等級(jí)保護(hù)狀況進(jìn)行安全測(cè)試評(píng)估。信息安全監(jiān)管職能部門(mén)依法進(jìn)行的網(wǎng)絡(luò)安全等級(jí)保護(hù)監(jiān)督檢查可以參考使用。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。術(shù)語(yǔ)和定義GB/T25069-2010和GB/T22239.3-20XX界定的以及下列術(shù)語(yǔ)和定義適用于本文件。移動(dòng)終端mobiledevice在移動(dòng)業(yè)務(wù)中使用的智能終端設(shè)備，包括手機(jī)、PAD、PC等通用終端和專(zhuān)用終端設(shè)備。無(wú)線接入設(shè)備wirelessaccesspoint采用無(wú)線通信技術(shù)將移動(dòng)終端接入有線網(wǎng)絡(luò)的通信設(shè)備。本標(biāo)準(zhǔn)的無(wú)線接入設(shè)備是指為移動(dòng)應(yīng)用軟件使用的專(zhuān)用設(shè)備（如Wi-Fi接入設(shè)備等），不包括向公共開(kāi)放使用的無(wú)線接入設(shè)備。無(wú)線接入網(wǎng)關(guān)wirelessaccessgateway部署在無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)之間，對(duì)傳統(tǒng)移動(dòng)應(yīng)用軟件進(jìn)行安全防護(hù)的設(shè)備。移動(dòng)應(yīng)用軟件mobileapplication在移動(dòng)終端中運(yùn)行的一般軟件，包括通用移動(dòng)應(yīng)用軟件以及等級(jí)保護(hù)對(duì)象的業(yè)務(wù)移動(dòng)應(yīng)用軟件。本標(biāo)準(zhǔn)“應(yīng)用安全”要求包括通用移動(dòng)應(yīng)用軟件安全要求和等級(jí)保護(hù)對(duì)象的業(yè)務(wù)移動(dòng)應(yīng)用軟件安全要求。移動(dòng)終端管理系統(tǒng)mobiledevicemanagementsystem（MDMS）用于進(jìn)行移動(dòng)終端設(shè)備管理、應(yīng)用管理和內(nèi)容管理的專(zhuān)用軟件，包括客戶端軟件和服務(wù)端軟件。安全等級(jí)保護(hù)測(cè)評(píng)概述安全等級(jí)保護(hù)測(cè)評(píng)方法等級(jí)保護(hù)測(cè)評(píng)實(shí)施的基本方法是針對(duì)特定的測(cè)評(píng)對(duì)象，采用相關(guān)的測(cè)評(píng)手段，遵從一定的測(cè)評(píng)規(guī)程，獲取需要的證據(jù)數(shù)據(jù)，給出達(dá)到特定級(jí)別安全保護(hù)能力的評(píng)判。等級(jí)保護(hù)測(cè)評(píng)實(shí)施的詳細(xì)流程和方法參見(jiàn)GB/T28449-20XX。本標(biāo)準(zhǔn)中針對(duì)每一個(gè)要求項(xiàng)的測(cè)評(píng)就構(gòu)成一個(gè)單項(xiàng)測(cè)評(píng)，單項(xiàng)測(cè)評(píng)中的每一個(gè)具體測(cè)評(píng)實(shí)施要求項(xiàng)（以下簡(jiǎn)稱(chēng)“測(cè)評(píng)要求項(xiàng)”）是與安全控制點(diǎn)下面所包括的要求項(xiàng)（測(cè)評(píng)指標(biāo)）相對(duì)應(yīng)的。在對(duì)每一要求項(xiàng)進(jìn)行測(cè)評(píng)時(shí)，可能用到訪談、檢查和測(cè)試三種測(cè)試方法，也可能用到其中一種或兩種。測(cè)評(píng)實(shí)施的內(nèi)容完全覆蓋了GB/T22239.3-20XX中所有要求項(xiàng)的測(cè)評(píng)要求，使用時(shí)應(yīng)當(dāng)從單項(xiàng)測(cè)評(píng)的測(cè)評(píng)實(shí)施中抽取出對(duì)于GB/T22239.3-20XX中每一個(gè)要求項(xiàng)的測(cè)評(píng)要求，并按照這些測(cè)評(píng)要求開(kāi)發(fā)測(cè)評(píng)指導(dǎo)書(shū)，以規(guī)范和指導(dǎo)安全等級(jí)測(cè)評(píng)活動(dòng)。等級(jí)保護(hù)測(cè)評(píng)活動(dòng)中涉及測(cè)評(píng)力度，包括測(cè)評(píng)廣度（覆蓋面）和測(cè)評(píng)深度（強(qiáng)弱度）。測(cè)評(píng)廣度和測(cè)評(píng)深度特性影響著訪談、檢查和測(cè)試的具體手段，也影響著證據(jù)數(shù)據(jù)的可信度，關(guān)于測(cè)評(píng)力度的具體描述參見(jiàn)附錄A。單項(xiàng)測(cè)評(píng)和整體測(cè)評(píng)安全等級(jí)保護(hù)測(cè)評(píng)分為單項(xiàng)測(cè)評(píng)和整體測(cè)評(píng)。單項(xiàng)測(cè)評(píng)是針對(duì)各安全要求項(xiàng)的測(cè)評(píng)，支持測(cè)評(píng)結(jié)果的可重復(fù)性和可再現(xiàn)性。本標(biāo)準(zhǔn)中單項(xiàng)測(cè)評(píng)由測(cè)評(píng)指標(biāo)、測(cè)評(píng)對(duì)象、測(cè)評(píng)實(shí)施和單項(xiàng)測(cè)評(píng)結(jié)果判定構(gòu)成。整體測(cè)評(píng)是在單項(xiàng)測(cè)評(píng)基礎(chǔ)上，對(duì)等級(jí)保護(hù)對(duì)象整體安全保護(hù)能力的判斷。整體安全保護(hù)能力從縱深防護(hù)和措施互補(bǔ)二個(gè)角度評(píng)判。第一級(jí)測(cè)評(píng)要求安全技術(shù)單項(xiàng)測(cè)評(píng)物理和環(huán)境安全物理位置選擇測(cè)評(píng)單元（L1-PES1-01）測(cè)評(píng)指標(biāo)應(yīng)為無(wú)線接入設(shè)備的安裝選擇合理位置，避免過(guò)度覆蓋。（本條款引用自GB/T22239.3-20XX5.1.1.1）測(cè)評(píng)對(duì)象無(wú)線接入設(shè)備和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)無(wú)線網(wǎng)絡(luò)設(shè)備的覆蓋范圍與處理能力是否滿足業(yè)務(wù)需求；應(yīng)檢查無(wú)線接入設(shè)備的物理位置與無(wú)線信號(hào)的覆蓋范圍；應(yīng)使用無(wú)線信號(hào)探測(cè)工具測(cè)試無(wú)線信號(hào)的覆蓋范圍，判斷是否存在過(guò)度覆蓋的情況。單項(xiàng)判定如果1）-3）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。網(wǎng)絡(luò)和通信安全結(jié)構(gòu)安全測(cè)評(píng)單元（L1-NCS3-01）測(cè)評(píng)指標(biāo)應(yīng)保證無(wú)線接入網(wǎng)關(guān)的處理能力滿足基本業(yè)務(wù)需要。（本條款引用自GB/T22239.3-20XX5.1.2.1）測(cè)評(píng)對(duì)象無(wú)線接入網(wǎng)關(guān)和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)無(wú)線接入網(wǎng)關(guān)的業(yè)務(wù)處理能力是否滿足基本業(yè)務(wù)需求；應(yīng)檢查一段業(yè)務(wù)高峰時(shí)期內(nèi)無(wú)線接入網(wǎng)關(guān)的CPU使用率和內(nèi)存使用率。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L1-NCS3-02）測(cè)評(píng)指標(biāo)應(yīng)保證無(wú)線接入設(shè)備的帶寬滿足基本業(yè)務(wù)需要。（本條款引用自GB/T22239.3-20XX5.1.2.1）測(cè)評(píng)對(duì)象無(wú)線接入網(wǎng)關(guān)和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)無(wú)線接入設(shè)備的網(wǎng)絡(luò)帶寬；應(yīng)檢查一段業(yè)務(wù)高峰時(shí)期內(nèi)帶寬使用峰值，判斷是否滿足業(yè)務(wù)需求。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L1-NCS3-03）測(cè)評(píng)指標(biāo)無(wú)線接入設(shè)備應(yīng)開(kāi)啟接入認(rèn)證功能，并且禁止使用WEP方式進(jìn)行認(rèn)證，密鑰長(zhǎng)度不小于8位。（本條款引用自GB/T22239.3-20XX5.1.2.1）測(cè)評(píng)對(duì)象無(wú)線接入設(shè)備。測(cè)評(píng)實(shí)施應(yīng)檢查無(wú)線接入設(shè)備是否開(kāi)啟接入認(rèn)證功能并使用除WEP方式以外的其它方式進(jìn)行認(rèn)證，密鑰長(zhǎng)度不小于8位。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。邊界防護(hù)測(cè)評(píng)單元（L1-NCS3-04）測(cè)評(píng)指標(biāo)應(yīng)保證有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)邊界之間的訪問(wèn)和數(shù)據(jù)流通過(guò)無(wú)線接入網(wǎng)關(guān)設(shè)備。（本條款引用自GB/T22239.3-20XX5.1.2.2）測(cè)評(píng)對(duì)象無(wú)線接入網(wǎng)關(guān)。測(cè)評(píng)實(shí)施應(yīng)檢查有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)邊界之間是否部署無(wú)線接入網(wǎng)關(guān)設(shè)備。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。訪問(wèn)控制測(cè)評(píng)單元（L1-NCS3-05）測(cè)評(píng)指標(biāo)應(yīng)在有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)邊界根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則，默認(rèn)情況下，除允許通信外，受控接口拒絕所有通信。（本條款引用自GB/T22239.3-20XX5.1.2.3）測(cè)評(píng)對(duì)象無(wú)線接入網(wǎng)關(guān)。測(cè)評(píng)實(shí)施應(yīng)檢查無(wú)線接入網(wǎng)關(guān)設(shè)置的訪問(wèn)控制規(guī)則有哪些，檢查是否只開(kāi)啟了必要的通信接口。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。通信完整性和保密性測(cè)評(píng)單元（L1-NCS3-06）測(cè)評(píng)指標(biāo)應(yīng)采用校驗(yàn)技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。（本條款引用自GB/T22239.3-20XX5.1.2.4）測(cè)評(píng)對(duì)象移動(dòng)應(yīng)用設(shè)計(jì)文檔和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)采用哪種校驗(yàn)技術(shù)保證無(wú)線網(wǎng)絡(luò)通信過(guò)程中數(shù)據(jù)的完整性；應(yīng)檢查設(shè)計(jì)、驗(yàn)收文檔或源代碼，查看是否有關(guān)于保護(hù)無(wú)線通信完整性的描述。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。設(shè)備和計(jì)算安全身份鑒別測(cè)評(píng)單元（L1-ECS3-01）測(cè)評(píng)指標(biāo)應(yīng)對(duì)移動(dòng)終端用戶登錄、移動(dòng)終端管理系統(tǒng)登錄及其他系統(tǒng)級(jí)應(yīng)用登錄進(jìn)行身份鑒別。（本條款引用自GB/T22239.3-20XX5.1.3.1）測(cè)評(píng)對(duì)象移動(dòng)終端和移動(dòng)終端管理系統(tǒng)。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)終端登錄、移動(dòng)終端管理系統(tǒng)登錄的身份鑒別策略，查看是否提供了身份鑒別措施；應(yīng)測(cè)試移動(dòng)終端、移動(dòng)終端管理系統(tǒng)的登錄口令復(fù)雜度。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L1-ECS3-02）測(cè)評(píng)指標(biāo)移動(dòng)終端應(yīng)具有登錄失敗處理功能。（本條款引用自GB/T22239.3-20XX5.1.3.1）測(cè)評(píng)對(duì)象移動(dòng)終端。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)終端是否啟用了登錄失敗處理功能，包括結(jié)束會(huì)話、限制非法登錄次數(shù)、登錄連接超時(shí)自動(dòng)退出等；應(yīng)測(cè)試移動(dòng)終端的登錄失敗處理功能。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。應(yīng)用管控測(cè)評(píng)單元（L1-ECS3-03）測(cè)評(píng)指標(biāo)移動(dòng)終端管理客戶端應(yīng)具有選擇應(yīng)用軟件安裝、運(yùn)行的功能。（本條款引用自GB/T22239.3-20XX5.1.3.2）測(cè)評(píng)對(duì)象移動(dòng)終端管理系統(tǒng)。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)終端管理客戶端是否具有選擇應(yīng)用軟件安裝、運(yùn)行的功能。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。入侵防范測(cè)評(píng)單元（L1-ECS3-04）測(cè)評(píng)指標(biāo)移動(dòng)終端應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序。（本條款引用自GB/T22239.3-20XX5.1.3.3）測(cè)評(píng)對(duì)象移動(dòng)終端。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)終端中是否安裝多余組件和應(yīng)用程序；應(yīng)檢查移動(dòng)終端操作系統(tǒng)版本，查看補(bǔ)丁是否得到了及時(shí)更新。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。惡意代碼防范測(cè)評(píng)單元（L1-ECS3-05）測(cè)評(píng)指標(biāo)移動(dòng)終端應(yīng)安裝防惡意代碼軟件，并定期進(jìn)行惡意代碼掃描，及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)。（本條款引用自GB/T22239.3-20XX5.1.3.4）測(cè)評(píng)對(duì)象移動(dòng)終端和安全管理員。測(cè)評(píng)實(shí)施應(yīng)訪談安全管理員，詢問(wèn)移動(dòng)終端惡意代碼防護(hù)策略以及定期查殺頻率；應(yīng)檢查移動(dòng)終端是否安裝了防惡意代碼產(chǎn)品；應(yīng)檢查移動(dòng)終端防惡意代碼產(chǎn)品軟件版本和惡意代碼庫(kù)版本。單項(xiàng)判定如果1）-3）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。應(yīng)用和數(shù)據(jù)安全數(shù)據(jù)完整性測(cè)評(píng)單元（L1-ADS3-01）測(cè)評(píng)指標(biāo)移動(dòng)應(yīng)用軟件應(yīng)采用校驗(yàn)技術(shù)保證重要數(shù)據(jù)存儲(chǔ)的完整性。（本條款引用自GB/T22239.3-20XX5.1.4.1）測(cè)評(píng)對(duì)象移動(dòng)應(yīng)用設(shè)計(jì)文檔和應(yīng)用管理員。測(cè)評(píng)實(shí)施應(yīng)訪談應(yīng)用管理員，采用哪種校驗(yàn)技術(shù)保證存儲(chǔ)過(guò)程中數(shù)據(jù)的完整性；應(yīng)檢查應(yīng)用系統(tǒng)的設(shè)計(jì)、驗(yàn)收文檔或源代碼，查看是否有關(guān)于能檢測(cè)重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)過(guò)程中完整性受到破壞的描述。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。安全管理單項(xiàng)測(cè)評(píng)安全策略和管理制度管理制度測(cè)評(píng)單元（L1-PSS3-01）測(cè)評(píng)指標(biāo)應(yīng)建立等級(jí)保護(hù)對(duì)象移動(dòng)互聯(lián)安全管理規(guī)范，并納入等級(jí)保護(hù)對(duì)象管理安全制度。（本條款引用自GB/T22239.3-20XX5.2.1.1）測(cè)評(píng)對(duì)象管理制度類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查安全管理制度，查看是否包括移動(dòng)互聯(lián)安全管理的相關(guān)內(nèi)容。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。安全管理機(jī)構(gòu)和人員崗位設(shè)置測(cè)評(píng)單元（L1-ORS3-01）測(cè)評(píng)指標(biāo)應(yīng)將移動(dòng)互聯(lián)管理納入等級(jí)保護(hù)對(duì)象管理員職責(zé)。（本條款引用自GB/T22239.3-20XX5.2.2.1）測(cè)評(píng)對(duì)象信息安全負(fù)責(zé)人和管理制度類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)訪談信息安全負(fù)責(zé)人，詢問(wèn)是否設(shè)置了移動(dòng)互聯(lián)相關(guān)管理崗位，崗位職責(zé)是否明確。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。安全意識(shí)教育和培訓(xùn)測(cè)評(píng)單元（L1-ORS3-02）測(cè)評(píng)指標(biāo)應(yīng)對(duì)各類(lèi)人員進(jìn)行移動(dòng)互聯(lián)管理安全意識(shí)教育和崗位技能培訓(xùn)，并告知相關(guān)的安全責(zé)任和懲戒措施。（本條款引用自GB/T22239.3-20XX5.2.2.2）測(cè)評(píng)對(duì)象信息安全負(fù)責(zé)人和管理制度類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)訪談信息安全負(fù)責(zé)人，詢問(wèn)是否對(duì)各類(lèi)人員進(jìn)行移動(dòng)互聯(lián)安全教育和崗位技能培訓(xùn)，告知相關(guān)的安全知識(shí)、安全責(zé)任和懲戒措施等。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。安全建設(shè)管理安全方案設(shè)計(jì)測(cè)評(píng)單元（L1-CMS3-01）測(cè)評(píng)指標(biāo)應(yīng)根據(jù)等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)選擇移動(dòng)互聯(lián)基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施。（本條款引用自GB/T22239.3-20XX5.2.3.1）測(cè)評(píng)對(duì)象系統(tǒng)建設(shè)負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整過(guò)安全措施，具體做過(guò)哪些調(diào)整。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。產(chǎn)品采購(gòu)和使用測(cè)評(píng)單元（L1-CMS3-02）測(cè)評(píng)指標(biāo)應(yīng)確保移動(dòng)互聯(lián)安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定。（本條款引用自GB/T22239.3-20XX5.2.3.2）測(cè)評(píng)對(duì)象系統(tǒng)建設(shè)負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)移動(dòng)應(yīng)用系統(tǒng)使用的有關(guān)信息安全產(chǎn)品是否符合國(guó)家的有關(guān)規(guī)定，如安全產(chǎn)品獲得了銷(xiāo)售許可證等。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。工程實(shí)施測(cè)評(píng)單元（L1-CMS3-03）測(cè)評(píng)指標(biāo)應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)系統(tǒng)移動(dòng)互聯(lián)工程實(shí)施過(guò)程的管理。（本條款引用自GB/T22239.3-20XX5.2.3.3）測(cè)評(píng)對(duì)象系統(tǒng)建設(shè)負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)訪系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否指定專(zhuān)門(mén)部門(mén)或人員對(duì)移動(dòng)互聯(lián)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制，具體由何部門(mén)/何人負(fù)責(zé)。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)試驗(yàn)收測(cè)評(píng)單元（L1-CMS3-04）測(cè)評(píng)指標(biāo)應(yīng)對(duì)系統(tǒng)的移動(dòng)互聯(lián)部分進(jìn)行必要的安全性測(cè)試驗(yàn)收。（本條款引用自GB/T22239.3-20XX5.2.3.4）測(cè)評(píng)對(duì)象系統(tǒng)建設(shè)負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)在移動(dòng)應(yīng)用系統(tǒng)建設(shè)完成后是否對(duì)其進(jìn)行安全性測(cè)試驗(yàn)收；應(yīng)檢查是否具有移動(dòng)互聯(lián)工程測(cè)試驗(yàn)收方案，查看其是否明確說(shuō)明參與測(cè)試的部門(mén)、人員、測(cè)試驗(yàn)收內(nèi)容、現(xiàn)場(chǎng)操作過(guò)程等內(nèi)容；應(yīng)檢查是否具有移動(dòng)應(yīng)用系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告。單項(xiàng)判定如果1）-3）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。系統(tǒng)交付測(cè)評(píng)單元（L1-CMS3-05）測(cè)評(píng)指標(biāo)應(yīng)根據(jù)交付清單對(duì)所交接的移動(dòng)互聯(lián)設(shè)備、移動(dòng)應(yīng)用軟件和文檔等進(jìn)行清點(diǎn)；（本條款引用自GB/T22239.3-20XX5.2.3.5）測(cè)評(píng)對(duì)象記錄表單類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查是否具有移動(dòng)應(yīng)用系統(tǒng)交付清單，查看交付清單是否說(shuō)明系統(tǒng)交付的各類(lèi)設(shè)備、軟件、文檔等。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L1-CMS3-06）測(cè)評(píng)指標(biāo)應(yīng)對(duì)負(fù)責(zé)系統(tǒng)移動(dòng)互聯(lián)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)。（本條款引用自GB/T22239.3-20XX5.2.3.5）測(cè)評(píng)對(duì)象系統(tǒng)建設(shè)負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)移動(dòng)應(yīng)用系統(tǒng)正式運(yùn)行前是否對(duì)運(yùn)行維護(hù)人員進(jìn)行過(guò)培訓(xùn)，針對(duì)哪些方面進(jìn)行過(guò)培訓(xùn)。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。安全服務(wù)商選擇測(cè)評(píng)單元（L1-CMS3-07）測(cè)評(píng)指標(biāo)應(yīng)確保移動(dòng)互聯(lián)安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定；（本條款引用自GB/T22239.3-20XX5.2.3.6）測(cè)評(píng)對(duì)象系統(tǒng)建設(shè)負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)系統(tǒng)選擇的安全服務(wù)商有哪些，是否符合國(guó)家有關(guān)規(guī)定。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L1-CMS3-08）測(cè)評(píng)指標(biāo)應(yīng)與選定的移動(dòng)互聯(lián)安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任。（本條款引用自GB/T22239.3-20XX5.2.3.6）測(cè)評(píng)對(duì)象記錄表單類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查與安全服務(wù)商簽訂的安全責(zé)任合同書(shū)或保密協(xié)議等文檔，查看其內(nèi)容是否包含保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。安全運(yùn)維管理設(shè)備維護(hù)管理測(cè)評(píng)單元（L1-MMS3-01）測(cè)評(píng)指標(biāo)應(yīng)對(duì)各種移動(dòng)互聯(lián)設(shè)備（包括無(wú)線接入設(shè)備）維護(hù)納入等級(jí)保護(hù)對(duì)象進(jìn)行管理。（本條款引用自GB/T22239.3-20XX5.2.4.1）測(cè)評(píng)對(duì)象管理制度類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查設(shè)備管理制度，查看是否將各種移動(dòng)互聯(lián)設(shè)備（包括無(wú)線接入設(shè)備）維護(hù)納入管理制度內(nèi)并進(jìn)行管理。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。漏洞和風(fēng)險(xiǎn)管理測(cè)評(píng)單元（L1-MMS3-02）測(cè)評(píng)指標(biāo)應(yīng)采取必要的措施識(shí)別移動(dòng)互聯(lián)安全漏洞和隱患，對(duì)發(fā)現(xiàn)的安全漏洞和隱患定期進(jìn)行修補(bǔ)。（本條款引用自GB/T22239.3-20XX5.2.4.2）測(cè)評(píng)對(duì)象安全管理員和記錄表單類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)訪談安全管理員，詢問(wèn)采取哪些措施識(shí)別移動(dòng)互聯(lián)安全漏洞和隱患，并在評(píng)估后對(duì)發(fā)現(xiàn)的安全漏洞和隱患進(jìn)行修補(bǔ)；應(yīng)檢查移動(dòng)互聯(lián)安全漏洞管理記錄。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。應(yīng)用軟件來(lái)源管理測(cè)評(píng)單元（L1-MMS3-03）測(cè)評(píng)指標(biāo)應(yīng)保證移動(dòng)終端安裝、運(yùn)行的應(yīng)用軟件來(lái)自可靠證書(shū)簽名或可靠分發(fā)渠道。（本條款引用自GB/T22239.3-20XX5.2.4.3）測(cè)評(píng)對(duì)象安全管理員。測(cè)評(píng)實(shí)施應(yīng)訪談安全管理員，移動(dòng)終端安裝、運(yùn)行的應(yīng)用軟件是否來(lái)自可靠證書(shū)簽名或可靠分發(fā)渠道。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。惡意代碼防范管理測(cè)評(píng)單元（L1-MMS3-04）測(cè)評(píng)指標(biāo)應(yīng)對(duì)移動(dòng)終端應(yīng)用軟件惡意代碼防范要求做出規(guī)定，包括防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、惡意代碼的定期查殺等。（本條款引用自GB/T22239.3-20XX5.2.4.4）測(cè)評(píng)對(duì)象系統(tǒng)運(yùn)維負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)是否對(duì)員工進(jìn)行移動(dòng)互聯(lián)基本惡意代碼防范意識(shí)的教育，是否告知應(yīng)及時(shí)升級(jí)軟件版本，使用外來(lái)設(shè)備、網(wǎng)絡(luò)上接收文件和外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前應(yīng)進(jìn)行病毒檢查等。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。備份與恢復(fù)管理測(cè)評(píng)單元（L1-MMS3-05）測(cè)評(píng)指標(biāo)應(yīng)識(shí)別需要定期備份的移動(dòng)終端中的關(guān)鍵業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；（本條款引用自GB/T22239.3-20XX5.2.4.5）測(cè)評(píng)對(duì)象系統(tǒng)運(yùn)維負(fù)責(zé)人和管理制度類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)是否識(shí)別出需要定期備份移動(dòng)應(yīng)用軟件中的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)，主要有哪些。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L1-MMS3-06）測(cè)評(píng)指標(biāo)應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等。（本條款引用自GB/T22239.3-20XX5.2.4.5）測(cè)評(píng)對(duì)象管理制度類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查備份管理文檔，查看其是否明確了備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等方面內(nèi)容。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。第二級(jí)測(cè)評(píng)要求安全技術(shù)單項(xiàng)測(cè)評(píng)物理和環(huán)境安全物理位置選擇測(cè)評(píng)單元（L2-PES3-01）測(cè)評(píng)指標(biāo)應(yīng)為無(wú)線接入設(shè)備的安裝選擇合理位置，避免過(guò)度覆蓋。（本條款引用自GB/T22239.3-20XX6.1.1）測(cè)評(píng)對(duì)象無(wú)線接入設(shè)備和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)無(wú)線網(wǎng)絡(luò)設(shè)備的覆蓋范圍與處理能力是否滿足業(yè)務(wù)需求；應(yīng)檢查無(wú)線接入設(shè)備的物理位置與無(wú)線信號(hào)的覆蓋范圍；應(yīng)使用無(wú)線信號(hào)探測(cè)工具測(cè)試無(wú)線信號(hào)的覆蓋范圍，判斷是否存在過(guò)度覆蓋的情況。單項(xiàng)判定如果1）-3）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。網(wǎng)絡(luò)和通信安全結(jié)構(gòu)安全測(cè)評(píng)單元（L2-NCS3-01）測(cè)評(píng)指標(biāo)應(yīng)保證無(wú)線接入網(wǎng)關(guān)的處理能力滿足業(yè)務(wù)高峰期需要。（本條款引用自GB/T22239.3-20XX6.1.2.1）測(cè)評(píng)對(duì)象無(wú)線接入網(wǎng)關(guān)和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)無(wú)線接入網(wǎng)關(guān)的業(yè)務(wù)處理能力是否滿足基本業(yè)務(wù)需求；應(yīng)檢查一段業(yè)務(wù)高峰時(shí)期內(nèi)無(wú)線接入網(wǎng)關(guān)的CPU使用率和內(nèi)存使用率。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-NCS3-02）測(cè)評(píng)指標(biāo)應(yīng)保證無(wú)線接入設(shè)備的帶寬滿足業(yè)務(wù)高峰期需要。（本條款引用自GB/T22239.3-20XX6.1.2.1）測(cè)評(píng)對(duì)象無(wú)線接入設(shè)備和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)無(wú)線接入設(shè)備的網(wǎng)絡(luò)帶寬；應(yīng)檢查一段業(yè)務(wù)高峰時(shí)期內(nèi)帶寬使用峰值，判斷是否滿足業(yè)務(wù)需求。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-NCS3-03）測(cè)評(píng)指標(biāo)無(wú)線接入設(shè)備應(yīng)開(kāi)啟接入認(rèn)證功能，并且禁止使用WEP方式進(jìn)行認(rèn)證，密鑰長(zhǎng)度不小于8位并且由數(shù)字、字母和特殊字符兩種或兩種以上進(jìn)行組合。（本條款引用自GB/T22239.3-20XX6.1.2.1）測(cè)評(píng)對(duì)象無(wú)線接入設(shè)備。測(cè)評(píng)實(shí)施應(yīng)檢查無(wú)線接入設(shè)備是否開(kāi)啟接入認(rèn)證功能并使用除WEP方式以外的其它方式進(jìn)行認(rèn)證，密鑰長(zhǎng)度不小于8位，且密碼由數(shù)字、字母和特殊字符兩種或兩種以上進(jìn)行組合。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。邊界防護(hù)測(cè)評(píng)單元（L2-NCS3-04）測(cè)評(píng)指標(biāo)應(yīng)保證有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)邊界之間的訪問(wèn)和數(shù)據(jù)流通過(guò)無(wú)線接入網(wǎng)關(guān)設(shè)備。（本條款引用自GB/T22239.3-20XX6.1.2.2）測(cè)評(píng)對(duì)象無(wú)線接入網(wǎng)關(guān)。測(cè)評(píng)實(shí)施應(yīng)檢查有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)邊界之間是否部署無(wú)線接入網(wǎng)關(guān)設(shè)備。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。訪問(wèn)控制測(cè)評(píng)單元（L2-NCS3-05）測(cè)評(píng)指標(biāo)應(yīng)在有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)邊界根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則，默認(rèn)情況下，除允許通信外，受控接口拒絕所有通信。（本條款引用自GB/T22239.3-20XX6.1.2.3）測(cè)評(píng)對(duì)象無(wú)線接入網(wǎng)關(guān)。測(cè)評(píng)實(shí)施應(yīng)檢查無(wú)線接入網(wǎng)關(guān)設(shè)置的訪問(wèn)控制規(guī)則有哪些，檢查是否只開(kāi)啟了必要的通信接口。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-NCS3-06）測(cè)評(píng)指標(biāo)應(yīng)對(duì)來(lái)自移動(dòng)終端的數(shù)據(jù)流量、數(shù)據(jù)包和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包通過(guò)。（本條款引用自GB/T22239.3-20XX6.1.2.3）測(cè)評(píng)對(duì)象無(wú)線接入網(wǎng)關(guān)。測(cè)評(píng)實(shí)施應(yīng)檢查無(wú)線接入網(wǎng)關(guān)，查看配置的訪問(wèn)控制策略是否對(duì)數(shù)據(jù)流量、數(shù)據(jù)包和協(xié)議等進(jìn)行檢查，并進(jìn)行數(shù)據(jù)流控制。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。入侵防范測(cè)評(píng)單元（L2-NCS3-07）測(cè)評(píng)指標(biāo)應(yīng)能夠檢測(cè)、記錄非授權(quán)無(wú)線接入設(shè)備。（本條款引用自GB/T22239.3-20XX6.1.2.4）測(cè)評(píng)對(duì)象入侵防范設(shè)備和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)無(wú)線網(wǎng)絡(luò)的入侵防范措施有哪些；詢問(wèn)無(wú)線網(wǎng)絡(luò)入侵防范設(shè)備具備哪些防范功能；應(yīng)檢查入侵防范設(shè)備是否能夠檢測(cè)、記錄非授權(quán)無(wú)線接入設(shè)備。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-NCS3-08）測(cè)評(píng)指標(biāo)應(yīng)能夠?qū)Ψ鞘跈?quán)移動(dòng)終端接入的行為進(jìn)行檢測(cè)、記錄。（本條款引用自GB/T22239.3-20XX6.1.2.4）測(cè)評(píng)對(duì)象入侵防范設(shè)備。測(cè)評(píng)實(shí)施應(yīng)檢查入侵防范設(shè)備是否能夠檢測(cè)、記錄非授權(quán)無(wú)線接入終端的接入行為。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-NCS3-09）測(cè)評(píng)指標(biāo)應(yīng)具備對(duì)針對(duì)無(wú)線接入設(shè)備的網(wǎng)絡(luò)掃描、DoS攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為進(jìn)行檢測(cè)、記錄。（本條款引用自GB/T22239.3-20XX6.1.2.4）測(cè)評(píng)對(duì)象入侵防范設(shè)備。測(cè)評(píng)實(shí)施應(yīng)檢查入侵防范設(shè)備，是否能夠?qū)W(wǎng)絡(luò)掃描、DoS攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為進(jìn)行檢測(cè)、記錄；應(yīng)檢查網(wǎng)絡(luò)入侵防范設(shè)備的規(guī)則庫(kù)版本，查看其規(guī)則庫(kù)是否及時(shí)更新。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-NCS3-010）測(cè)評(píng)指標(biāo)應(yīng)能夠檢測(cè)到無(wú)線接入設(shè)備的SSID廣播、WPS等高風(fēng)險(xiǎn)功能的開(kāi)啟狀態(tài)。（本條款引用自GB/T22239.3-20XX6.1.2.4）測(cè)評(píng)對(duì)象入侵防范設(shè)備。測(cè)評(píng)實(shí)施應(yīng)檢查入侵防范設(shè)備，是否能夠檢測(cè)無(wú)線接入設(shè)備的SSID廣播、WPS等高風(fēng)險(xiǎn)功能的開(kāi)啟狀態(tài)。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。通信完整性和保密性測(cè)評(píng)單元（L2-NCS3-011）測(cè)評(píng)指標(biāo)應(yīng)保證無(wú)線通信過(guò)程中數(shù)據(jù)的完整性。（本條款引用自GB/T22239.3-20XX6.1.2.5）測(cè)評(píng)對(duì)象移動(dòng)應(yīng)用設(shè)計(jì)文檔和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)采用哪種校驗(yàn)技術(shù)保證無(wú)線網(wǎng)絡(luò)通信過(guò)程中數(shù)據(jù)的完整性；應(yīng)檢查設(shè)計(jì)、驗(yàn)收文檔或源代碼，查看是否有關(guān)于保護(hù)無(wú)線通信完整性的描述。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-NCS3-012）測(cè)評(píng)指標(biāo)應(yīng)保證無(wú)線通信過(guò)程中敏感信息字段或整個(gè)報(bào)文的保密性。（本條款引用自GB/T22239.3-20XX6.1.2.5）測(cè)評(píng)對(duì)象移動(dòng)應(yīng)用設(shè)計(jì)文檔、移動(dòng)應(yīng)用軟件和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)采用哪種校驗(yàn)技術(shù)保證無(wú)線網(wǎng)絡(luò)通信過(guò)程中數(shù)據(jù)的保密性；應(yīng)檢查設(shè)計(jì)、驗(yàn)收文檔或源代碼，查看是否有采用加密技術(shù)保護(hù)無(wú)線通信保密性的描述；應(yīng)測(cè)試無(wú)線通信過(guò)程中重要數(shù)據(jù)是否進(jìn)行了加密。單項(xiàng)判定如果1）-3）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。安全審計(jì)測(cè)評(píng)單元（L2-NCS3-013）測(cè)評(píng)指標(biāo)應(yīng)啟用設(shè)備安全審計(jì)功能，審計(jì)覆蓋到每個(gè)移動(dòng)終端，對(duì)重要的終端行為和重要安全事件進(jìn)行審計(jì)。（本條款引用自GB/T22239.3-20XX6.1.2.6）測(cè)評(píng)對(duì)象無(wú)線接入設(shè)備和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)網(wǎng)絡(luò)采用了何種審計(jì)機(jī)制，采用了哪些審計(jì)策略，用以實(shí)現(xiàn)對(duì)無(wú)線網(wǎng)絡(luò)的安全審計(jì)；應(yīng)檢查無(wú)線接入網(wǎng)關(guān)及無(wú)線接入設(shè)備，是否開(kāi)啟安全審計(jì)功能，查看審計(jì)策略是否包括設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、管理賬戶的登錄及重要操作等；應(yīng)檢查網(wǎng)絡(luò)中是否部署了審計(jì)措施，對(duì)每個(gè)移動(dòng)終端的重要行為和重要安全事件進(jìn)行審計(jì)。單項(xiàng)判定如果1）-3）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。網(wǎng)絡(luò)設(shè)備防護(hù)測(cè)評(píng)單元（L2-NCS3-014）測(cè)評(píng)指標(biāo)應(yīng)能發(fā)現(xiàn)系統(tǒng)移動(dòng)終端、無(wú)線接入設(shè)備、無(wú)線接入網(wǎng)關(guān)設(shè)備可能存在的漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞。（本條款引用自GB/T22239.3-20XX6.1.2.7）測(cè)評(píng)對(duì)象移動(dòng)終端、無(wú)線接入設(shè)備、無(wú)線接入網(wǎng)關(guān)設(shè)備和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)系統(tǒng)移動(dòng)終端、無(wú)線接入設(shè)備、無(wú)線接入網(wǎng)關(guān)等設(shè)備的補(bǔ)丁管理采用何種機(jī)制；應(yīng)檢查系統(tǒng)移動(dòng)終端、無(wú)線接入設(shè)備、無(wú)線接入網(wǎng)關(guān)等設(shè)備的補(bǔ)丁是否得到了及時(shí)更新。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-NCS3-015）測(cè)評(píng)指標(biāo)應(yīng)禁用無(wú)線接入設(shè)備和無(wú)線接入網(wǎng)關(guān)存在風(fēng)險(xiǎn)的功能，如：SSID廣播、WEP認(rèn)證等。（本條款引用自GB/T22239.3-20XX6.1.2.7）測(cè)評(píng)對(duì)象無(wú)線接入設(shè)備和無(wú)線接入網(wǎng)關(guān)。測(cè)評(píng)實(shí)施應(yīng)檢查無(wú)線接入設(shè)備和無(wú)線接入網(wǎng)關(guān)是否關(guān)閉了“SSID廣播、WEP認(rèn)證”等存在風(fēng)險(xiǎn)的功能。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-NCS3-016）測(cè)評(píng)指標(biāo)應(yīng)禁止多個(gè)AP使用同一個(gè)鑒別密鑰。（本條款引用自GB/T22239.3-20XX6.1.2.7）測(cè)評(píng)對(duì)象無(wú)線接入設(shè)備。測(cè)評(píng)實(shí)施應(yīng)檢查無(wú)線接入設(shè)備是否分別使用了不同的鑒別密鑰。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。設(shè)備和計(jì)算安全身份鑒別測(cè)評(píng)單元（L2-ECS3-01）測(cè)評(píng)指標(biāo)應(yīng)對(duì)移動(dòng)終端用戶登錄、移動(dòng)終端管理系統(tǒng)登錄及其他系統(tǒng)級(jí)應(yīng)用登錄進(jìn)行身份鑒別。（本條款引用自GB/T22239.3-20XX6.1.3.1）測(cè)評(píng)對(duì)象移動(dòng)終端和移動(dòng)終端管理系統(tǒng)。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)終端登錄、移動(dòng)終端管理系統(tǒng)登錄的身份鑒別策略，查看是否提供了身份鑒別措施；應(yīng)測(cè)試移動(dòng)終端、移動(dòng)終端管理系統(tǒng)的登錄口令復(fù)雜度。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-ECS3-02）測(cè)評(píng)指標(biāo)移動(dòng)終端應(yīng)具有登錄失敗處理功能。（本條款引用自GB/T22239.3-20XX6.1.3.1）測(cè)評(píng)對(duì)象移動(dòng)終端。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)終端是否啟用了登錄失敗處理功能，包括結(jié)束會(huì)話、限制非法登錄次數(shù)、登錄連接超時(shí)自動(dòng)退出等；應(yīng)測(cè)試移動(dòng)終端的登錄失敗處理功能。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。應(yīng)用管控測(cè)評(píng)單元（L2-ECS3-03）測(cè)評(píng)指標(biāo)移動(dòng)終端管理客戶端應(yīng)具有軟件白名單功能，應(yīng)能根據(jù)白名單控制應(yīng)用軟件安裝、運(yùn)行。（本條款引用自GB/T22239.3-20XX6.1.3.2）測(cè)評(píng)對(duì)象移動(dòng)終端管理系統(tǒng)。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)終端管理客戶端是否具有軟件白名單功能；應(yīng)測(cè)試使用白名單控制應(yīng)用軟件安裝、運(yùn)行。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-ECS3-04）測(cè)評(píng)指標(biāo)移動(dòng)終端管理客戶端應(yīng)具有應(yīng)用軟件權(quán)限控制功能，應(yīng)能控制應(yīng)用軟件對(duì)移動(dòng)終端中資源的訪問(wèn)。（本條款引用自GB/T22239.3-20XX6.1.3.2）測(cè)評(píng)對(duì)象移動(dòng)終端管理系統(tǒng)。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)終端管理客戶端是否具有應(yīng)用軟件權(quán)限控制功能；應(yīng)測(cè)試是否可以對(duì)移動(dòng)終端中資源的訪問(wèn)進(jìn)行限制。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-ECS3-05）測(cè)評(píng)指標(biāo)移動(dòng)終端管理客戶端應(yīng)只允許可靠證書(shū)簽名的應(yīng)用軟件安裝和運(yùn)行。（本條款引用自GB/T22239.3-20XX6.1.3.2）測(cè)評(píng)對(duì)象移動(dòng)終端管理系統(tǒng)。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)終端管理客戶端所允許使用的簽名證書(shū)。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。入侵防范測(cè)評(píng)單元（L2-ECS3-06）測(cè)評(píng)指標(biāo)移動(dòng)終端應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序。（本條款引用自GB/T22239.3-20XX6.1.3.3）測(cè)評(píng)對(duì)象移動(dòng)終端。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)終端中是否安裝多余組件和應(yīng)用程序；應(yīng)檢查移動(dòng)終端操作系統(tǒng)版本，查看補(bǔ)丁是否得到了及時(shí)更新。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-ECS3-07）測(cè)評(píng)指標(biāo)移動(dòng)終端應(yīng)能發(fā)現(xiàn)可能存在的漏洞，及時(shí)修補(bǔ)漏洞。（本條款引用自GB/T22239.3-20XX6.1.3.3）測(cè)評(píng)對(duì)象移動(dòng)終端。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)終端操作系統(tǒng)版本，查看補(bǔ)丁是否得到了及時(shí)更新；應(yīng)檢查移動(dòng)終端是否能夠發(fā)現(xiàn)系統(tǒng)漏洞并及時(shí)修補(bǔ)。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-ECS3-08）測(cè)評(píng)指標(biāo)移動(dòng)終端應(yīng)能夠發(fā)現(xiàn)用戶權(quán)限異常改變的情況。（本條款引用自GB/T22239.3-20XX6.1.3.3）測(cè)評(píng)對(duì)象移動(dòng)終端。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)終端是否能夠發(fā)現(xiàn)用戶權(quán)限異常改變的情況。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。惡意代碼防范測(cè)評(píng)單元（L2-ECS3-09）測(cè)評(píng)指標(biāo)移動(dòng)終端應(yīng)安裝防惡意代碼軟件，并定期進(jìn)行惡意代碼掃描，及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)。（本條款引用自GB/T22239.3-20XX6.1.3.4）測(cè)評(píng)對(duì)象移動(dòng)終端和安全管理員。測(cè)評(píng)實(shí)施應(yīng)訪談安全管理員，詢問(wèn)移動(dòng)終端惡意代碼防護(hù)策略以及定期查殺頻率；應(yīng)檢查移動(dòng)終端是否安裝了查殺惡意代碼的防惡意代碼產(chǎn)品；應(yīng)檢查移動(dòng)終端防惡意代碼產(chǎn)品軟件版本和惡意代碼庫(kù)版本。單項(xiàng)判定如果1）-3）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。資源控制測(cè)評(píng)單元（L2-ECS3-10）測(cè)評(píng)指標(biāo)應(yīng)將移動(dòng)終端處理訪問(wèn)不同等級(jí)等級(jí)保護(hù)對(duì)象的進(jìn)行應(yīng)用級(jí)隔離。（本條款引用自GB/T22239.3-20XX6.1.3.5）測(cè)評(píng)對(duì)象安全管理員。測(cè)評(píng)實(shí)施應(yīng)訪談安全管理員，詢問(wèn)移動(dòng)終端采用哪種安全隔離手段或措施對(duì)不同等級(jí)等級(jí)保護(hù)對(duì)象進(jìn)行應(yīng)用級(jí)隔離。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-ECS3-11）測(cè)評(píng)指標(biāo)應(yīng)將移動(dòng)終端處理訪問(wèn)等級(jí)保護(hù)對(duì)象的應(yīng)用軟件、數(shù)據(jù)存儲(chǔ)區(qū)與處理訪問(wèn)非等級(jí)保護(hù)對(duì)象的應(yīng)用軟件、數(shù)據(jù)存儲(chǔ)區(qū)等進(jìn)行隔離。（本條款引用自GB/T22239.3-20XX6.1.3.5）測(cè)評(píng)對(duì)象移動(dòng)終端。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)終端是否采用安全沙箱或其它安全區(qū)域隔離措施進(jìn)行應(yīng)用級(jí)隔離。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-ECS3-12）測(cè)評(píng)指標(biāo)應(yīng)限制用戶或進(jìn)程對(duì)移動(dòng)終端系統(tǒng)資源的最大使用限度，防止移動(dòng)終端被提權(quán)。（本條款引用自GB/T22239.3-20XX6.1.3.5）測(cè)評(píng)對(duì)象移動(dòng)終端管理系統(tǒng)。測(cè)評(píng)實(shí)施應(yīng)檢查對(duì)移動(dòng)終端的用戶或進(jìn)程可訪問(wèn)資源的限定，防止移動(dòng)終端被提權(quán)。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。應(yīng)用和數(shù)據(jù)安全身份鑒別測(cè)評(píng)單元（L2-ADS3-01）測(cè)評(píng)指標(biāo)使用口令登錄時(shí)，應(yīng)強(qiáng)制用戶首次登錄時(shí)修改初始口令，對(duì)用戶的鑒別信息進(jìn)行復(fù)雜度檢查。（本條款引用自GB/T22239.3-20XX6.1.4.1）測(cè)評(píng)對(duì)象移動(dòng)應(yīng)用軟件。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)應(yīng)用軟件，查看是否提供身份標(biāo)識(shí)和鑒別功能；應(yīng)檢查移動(dòng)應(yīng)用軟件，查看是否采用了措施保證身份標(biāo)識(shí)具有唯一性，是否強(qiáng)制用戶首次登錄時(shí)修改初始口令，是否對(duì)登錄用戶的口令最小長(zhǎng)度、復(fù)雜度和更換周期等進(jìn)行了要求和限制，保證身份鑒別信息不易被冒用。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-ADS3-02）測(cè)評(píng)指標(biāo)用戶身份鑒別信息丟失或失效時(shí)，應(yīng)采用鑒別信息重置或其他技術(shù)措施保證系統(tǒng)安全。（本條款引用自GB/T22239.3-20XX6.1.4.1）測(cè)評(píng)對(duì)象移動(dòng)應(yīng)用軟件。測(cè)評(píng)實(shí)施應(yīng)測(cè)試移動(dòng)應(yīng)用軟件，可通過(guò)試圖以合法和非法用戶分別登錄系統(tǒng)，查看是否成功，驗(yàn)證身份標(biāo)識(shí)和鑒別功能是否有效；應(yīng)測(cè)試移動(dòng)應(yīng)用軟件，可通過(guò)重置鑒別信息，查看是否成功，驗(yàn)證鑒別信息重置是否有效。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。軟件審核與檢測(cè)測(cè)評(píng)單元（L2-ADS3-03）測(cè)評(píng)指標(biāo)應(yīng)保證等級(jí)保護(hù)對(duì)象業(yè)務(wù)移動(dòng)應(yīng)用軟件開(kāi)發(fā)結(jié)束后經(jīng)合規(guī)性審核。（本條款引用自GB/T22239.3-20XX6.1.4.2）測(cè)評(píng)對(duì)象移動(dòng)應(yīng)用設(shè)計(jì)文檔和系統(tǒng)建設(shè)負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)訪談建設(shè)負(fù)責(zé)人，詢問(wèn)是否在移動(dòng)應(yīng)用軟件開(kāi)發(fā)結(jié)束后進(jìn)行規(guī)性審核；應(yīng)檢查是否有移動(dòng)應(yīng)用軟件規(guī)性審核報(bào)告。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。數(shù)據(jù)完整性測(cè)評(píng)單元（L2-ADS3-04）測(cè)評(píng)指標(biāo)移動(dòng)應(yīng)用軟件應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。（本條款引用自GB/T22239.3-20XX6.1.4.3）測(cè)評(píng)對(duì)象移動(dòng)應(yīng)用設(shè)計(jì)文檔、移動(dòng)應(yīng)用軟件和應(yīng)用管理員。測(cè)評(píng)實(shí)施應(yīng)訪談應(yīng)用管理員，采用哪種校驗(yàn)技術(shù)或密碼技術(shù)保證通信和存儲(chǔ)過(guò)程中數(shù)據(jù)的完整性；應(yīng)檢查移動(dòng)應(yīng)用軟件設(shè)計(jì)、驗(yàn)收文檔或源代碼，查看是否有關(guān)于能檢測(cè)數(shù)據(jù)通信和存儲(chǔ)過(guò)程中完整性受到破壞的描述；應(yīng)測(cè)試移動(dòng)應(yīng)用軟件，可通過(guò)獲取通信雙方的數(shù)據(jù)包，查看通信報(bào)文中是否含有校驗(yàn)碼。單項(xiàng)判定如果1）-3）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-ADS3-05）測(cè)評(píng)指標(biāo)移動(dòng)應(yīng)用軟件應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)存儲(chǔ)的完整性。（本條款引用自GB/T22239.3-20XX6.1.4.3）測(cè)評(píng)對(duì)象移動(dòng)應(yīng)用軟件。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)應(yīng)用軟件，查看是否配備檢測(cè)系統(tǒng)管理數(shù)據(jù)、鑒別信息和業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性受到破壞的功能。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。數(shù)據(jù)保密性測(cè)評(píng)單元（L2-ADS3-06）測(cè)評(píng)指標(biāo)移動(dòng)應(yīng)用軟件應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在本地存儲(chǔ)時(shí)的保密性。（本條款引用自GB/T22239.3-20XX6.1.4.4）測(cè)評(píng)對(duì)象移動(dòng)應(yīng)用軟件。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)應(yīng)用軟件，查看其鑒別信息和主要數(shù)據(jù)是否采用加密或其他有效措施實(shí)現(xiàn)了存儲(chǔ)保密性。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-ADS3-07）測(cè)評(píng)指標(biāo)移動(dòng)應(yīng)用軟件應(yīng)對(duì)通信過(guò)程中的敏感信息字段進(jìn)行加密。（本條款引用自GB/T22239.3-20XX6.1.4.4）測(cè)評(píng)對(duì)象移動(dòng)應(yīng)用軟件。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)應(yīng)用軟件，查看其管理數(shù)據(jù)和鑒別信息是否采用加密或其他有效措施實(shí)現(xiàn)了傳輸保密性。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。安全管理單項(xiàng)測(cè)評(píng)安全策略和管理制度管理制度測(cè)評(píng)單元（L2-PSS3-01）測(cè)評(píng)指標(biāo)應(yīng)建立等級(jí)保護(hù)對(duì)象移動(dòng)互聯(lián)安全管理規(guī)范，并納入等級(jí)保護(hù)對(duì)象管理安全制度；（本條款引用自GB/T22239.3-20XX6.2.1.1）測(cè)評(píng)對(duì)象管理制度類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查安全管理制度，查看是否包括移動(dòng)互聯(lián)安全管理規(guī)范等相關(guān)內(nèi)容。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-PSS3-02）測(cè)評(píng)指標(biāo)應(yīng)對(duì)管理人員或移動(dòng)終端操作人員執(zhí)行的日常管理操作建立操作規(guī)程。（本條款引用自GB/T22239.3-20XX6.2.1.1）測(cè)評(píng)對(duì)象管理制度類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查安全管理制度，查看是否包括人員日常管理操作規(guī)程。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。安全管理機(jī)構(gòu)和人員崗位設(shè)置測(cè)評(píng)單元（L2-ORS3-01）測(cè)評(píng)指標(biāo)應(yīng)將移動(dòng)互聯(lián)管理納入等級(jí)保護(hù)對(duì)象管理員職責(zé)。（本條款引用自GB/T22239.3-20XX6.2.2.1）測(cè)評(píng)對(duì)象信息安全負(fù)責(zé)人和管理制度類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)訪談信息安全負(fù)責(zé)人，詢問(wèn)是否設(shè)置了移動(dòng)互聯(lián)相關(guān)管理崗位，崗位職責(zé)是否明確。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。授權(quán)和審批測(cè)評(píng)單元（L2-ORS3-02）測(cè)評(píng)指標(biāo)應(yīng)針對(duì)移動(dòng)互聯(lián)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)執(zhí)行審批過(guò)程。（本條款引用自GB/T22239.3-20XX6.2.2.2）測(cè)評(píng)對(duì)象記錄表單類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查是否針對(duì)移動(dòng)應(yīng)用系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)執(zhí)行審批過(guò)程，是否有相關(guān)審批記錄表單。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。安全意識(shí)教育和培訓(xùn)測(cè)評(píng)單元（L2-ORS3-03）測(cè)評(píng)指標(biāo)應(yīng)對(duì)各類(lèi)人員進(jìn)行移動(dòng)互聯(lián)管理安全意識(shí)教育和崗位技能培訓(xùn)，并告知相關(guān)的安全責(zé)任和懲戒措施。（本條款引用自GB/T22239.3-20XX6.2.2.3）測(cè)評(píng)對(duì)象信息安全負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)訪談信息安全負(fù)責(zé)人，詢問(wèn)是否對(duì)各類(lèi)人員進(jìn)行移動(dòng)互聯(lián)安全教育和崗位技能培訓(xùn)，告知相關(guān)的安全知識(shí)、安全責(zé)任和懲戒措施等。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。安全建設(shè)管理安全方案設(shè)計(jì)測(cè)評(píng)單元（L2-CMS3-01）測(cè)評(píng)指標(biāo)應(yīng)根據(jù)等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)選擇移動(dòng)互聯(lián)基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施；（本條款引用自GB/T22239.3-20XX6.2.3.1）測(cè)評(píng)對(duì)象系統(tǒng)建設(shè)負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整過(guò)安全措施，具體做過(guò)哪些調(diào)整。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-CMS3-02）測(cè)評(píng)指標(biāo)應(yīng)根據(jù)等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)進(jìn)行移動(dòng)互聯(lián)安全方案設(shè)計(jì)；（本條款引用自GB/T22239.3-20XX6.2.3.1）測(cè)評(píng)對(duì)象安全規(guī)劃設(shè)計(jì)類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)應(yīng)用系統(tǒng)的安全設(shè)計(jì)方案，查看方案是否描述系統(tǒng)的安全保護(hù)等級(jí)，是否描述系統(tǒng)的安全保護(hù)策略，是否根據(jù)系統(tǒng)的安全級(jí)別選擇了安全措施；應(yīng)檢查移動(dòng)應(yīng)用系統(tǒng)的安全設(shè)計(jì)方案，查看是否詳細(xì)描述安全措施的實(shí)現(xiàn)內(nèi)容，是否有安全產(chǎn)品的功能、性能和部署等描述，是否有安全建設(shè)的費(fèi)用和計(jì)劃等。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。產(chǎn)品采購(gòu)和使用測(cè)評(píng)單元（L2-CMS3-03）測(cè)評(píng)指標(biāo)應(yīng)確保移動(dòng)互聯(lián)安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定。（本條款引用自GB/T22239.3-20XX6.2.3.2）測(cè)評(píng)對(duì)象系統(tǒng)建設(shè)負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)移動(dòng)應(yīng)用軟件使用的有關(guān)信息安全產(chǎn)品是否符合國(guó)家的有關(guān)規(guī)定，如安全產(chǎn)品獲得了銷(xiāo)售許可證等。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。移動(dòng)應(yīng)用軟件開(kāi)發(fā)測(cè)評(píng)單元（L2-CMS3-04）測(cè)評(píng)指標(biāo)應(yīng)要求對(duì)移動(dòng)業(yè)務(wù)應(yīng)用軟件開(kāi)發(fā)者進(jìn)行資格審查；（本條款引用自GB/T22239.3-20XX6.2.3.3）測(cè)評(píng)對(duì)象系統(tǒng)建設(shè)負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否對(duì)開(kāi)發(fā)者進(jìn)行資格審查。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-CMS3-05）測(cè)評(píng)指標(biāo)應(yīng)確保開(kāi)發(fā)移動(dòng)業(yè)務(wù)應(yīng)用軟件的簽名證書(shū)合法性；（本條款引用自GB/T22239.3-20XX6.2.3.3）測(cè)評(píng)對(duì)象移動(dòng)應(yīng)用軟件。測(cè)評(píng)實(shí)施應(yīng)檢查開(kāi)發(fā)移動(dòng)業(yè)務(wù)應(yīng)用軟件的簽名證書(shū)是否具有合法性。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-CMS3-06）測(cè)評(píng)指標(biāo)應(yīng)要求移動(dòng)應(yīng)用軟件開(kāi)發(fā)完提供軟件設(shè)計(jì)文檔和使用指南；（本條款引用自GB/T22239.3-20XX6.2.3.3）測(cè)評(píng)對(duì)象移動(dòng)應(yīng)用設(shè)計(jì)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查是否具備軟件設(shè)計(jì)文檔和使用指南。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-CMS3-07）測(cè)評(píng)指標(biāo)應(yīng)要求應(yīng)用軟件開(kāi)發(fā)使用的工具來(lái)源可靠；（本條款引用自GB/T22239.3-20XX6.2.3.3）測(cè)評(píng)對(duì)象系統(tǒng)建設(shè)負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)檢查應(yīng)用軟件開(kāi)發(fā)使用的工具來(lái)源。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-CMS3-08）測(cè)評(píng)指標(biāo)自行開(kāi)發(fā)移動(dòng)應(yīng)用軟件，應(yīng)確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi)，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制；（本條款引用自GB/T22239.3-20XX6.2.3.3）測(cè)評(píng)對(duì)象系統(tǒng)建設(shè)負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)檢查開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境是否物理分開(kāi)，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-CMS3-09）測(cè)評(píng)指標(biāo)自行開(kāi)發(fā)移動(dòng)應(yīng)用軟件，應(yīng)制定軟件開(kāi)發(fā)管理制度，明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則；（本條款引用自GB/T22239.3-20XX6.2.3.3）測(cè)評(píng)對(duì)象管理制度類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查是否制定軟件開(kāi)發(fā)管理制度，明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-CMS3-010）測(cè)評(píng)指標(biāo)自行開(kāi)發(fā)移動(dòng)應(yīng)用軟件，應(yīng)確保具備軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并對(duì)文檔使用進(jìn)行控制；（本條款引用自GB/T22239.3-20XX6.2.3.3）測(cè)評(píng)對(duì)象管理制度類(lèi)文檔和記錄表單類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查是否包含移動(dòng)應(yīng)用軟件設(shè)計(jì)的相關(guān)文檔并對(duì)文檔使用進(jìn)行控制。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-CMS3-011）測(cè)評(píng)指標(biāo)自行開(kāi)發(fā)移動(dòng)應(yīng)用軟件，應(yīng)確保對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)，并嚴(yán)格進(jìn)行版本控制。（本條款引用自GB/T22239.3-20XX6.2.3.3）測(cè)評(píng)對(duì)象管理制度類(lèi)文檔和記錄表單類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查是否對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)，并嚴(yán)格進(jìn)行版本控制。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。工程實(shí)施測(cè)評(píng)單元（L2-CMS3-012）測(cè)評(píng)指標(biāo)應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)系統(tǒng)移動(dòng)互聯(lián)工程實(shí)施過(guò)程的管理。（本條款引用自GB/T22239.3-20XX6.2.3.4）測(cè)評(píng)對(duì)象系統(tǒng)建設(shè)負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)訪系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)是否指定專(zhuān)門(mén)部門(mén)或人員對(duì)移動(dòng)互聯(lián)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制，具體由何部門(mén)/何人負(fù)責(zé)。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)試驗(yàn)收測(cè)評(píng)單元（L2-CMS3-013）測(cè)評(píng)指標(biāo)應(yīng)對(duì)系統(tǒng)的移動(dòng)互聯(lián)部分進(jìn)行安全性測(cè)試驗(yàn)收。（本條款引用自GB/T22239.3-20XX6.2.3.5）測(cè)評(píng)對(duì)象系統(tǒng)建設(shè)負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)在移動(dòng)應(yīng)用系統(tǒng)建設(shè)完成后是否對(duì)其進(jìn)行安全性測(cè)試驗(yàn)收；應(yīng)檢查是否具有移動(dòng)互聯(lián)工程測(cè)試驗(yàn)收方案，查看其是否明確說(shuō)明參與測(cè)試的部門(mén)、人員、測(cè)試驗(yàn)收內(nèi)容、現(xiàn)場(chǎng)操作過(guò)程等內(nèi)容；應(yīng)檢查是否具有移動(dòng)應(yīng)用軟件測(cè)試驗(yàn)收?qǐng)?bào)告。單項(xiàng)判定如果1）-3）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。系統(tǒng)交付測(cè)評(píng)單元（L2-CMS3-014）測(cè)評(píng)指標(biāo)應(yīng)根據(jù)交付清單對(duì)所交接的移動(dòng)互聯(lián)設(shè)備、移動(dòng)應(yīng)用軟件和文檔等進(jìn)行清點(diǎn)；（本條款引用自GB/T22239.3-20XX6.2.3.6）測(cè)評(píng)對(duì)象記錄表單類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查是否具有移動(dòng)應(yīng)用系統(tǒng)交付清單，查看交付清單是否說(shuō)明系統(tǒng)交付的各類(lèi)設(shè)備、軟件、文檔等。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-CMS3-015）測(cè)評(píng)指標(biāo)應(yīng)對(duì)負(fù)責(zé)系統(tǒng)移動(dòng)互聯(lián)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；（本條款引用自GB/T22239.3-20XX6.2.3.6）測(cè)評(píng)對(duì)象系統(tǒng)建設(shè)負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)移動(dòng)應(yīng)用系統(tǒng)正式運(yùn)行前是否對(duì)運(yùn)行維護(hù)人員進(jìn)行過(guò)培訓(xùn)，針對(duì)哪些方面進(jìn)行過(guò)培訓(xùn)。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-CMS3-016）測(cè)評(píng)指標(biāo)應(yīng)確保提供移動(dòng)互聯(lián)建設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔。（本條款引用自GB/T22239.3-20XX6.2.3.6）測(cè)評(píng)對(duì)象記錄表單類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查是否提供移動(dòng)互聯(lián)建設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。安全服務(wù)商選擇測(cè)評(píng)單元（L2-CMS3-017）測(cè)評(píng)指標(biāo)應(yīng)確保移動(dòng)互聯(lián)安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定；（本條款引用自GB/T22239.3-20XX6.2.3.7）測(cè)評(píng)對(duì)象系統(tǒng)建設(shè)負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)訪談系統(tǒng)建設(shè)負(fù)責(zé)人，詢問(wèn)系統(tǒng)選擇的安全服務(wù)商有哪些，是否符合國(guó)家有關(guān)規(guī)定。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-CMS3-018）測(cè)評(píng)指標(biāo)應(yīng)與選定的移動(dòng)互聯(lián)安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任；（本條款引用自GB/T22239.3-20XX6.2.3.7）測(cè)評(píng)對(duì)象記錄表單類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查與安全服務(wù)商簽訂的安全責(zé)任合同書(shū)或保密協(xié)議等文檔，查看其內(nèi)容是否包含保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-CMS3-019）測(cè)評(píng)指標(biāo)應(yīng)與選定的服務(wù)供應(yīng)商簽訂相關(guān)協(xié)議，明確整個(gè)服務(wù)供應(yīng)鏈各方需履行的信息安全相關(guān)義務(wù)。（本條款引用自GB/T22239.3-20XX6.2.3.7）測(cè)評(píng)對(duì)象記錄表單類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查與服務(wù)商簽訂的相關(guān)協(xié)議等文檔，查看其內(nèi)容是否協(xié)議的有效期限和責(zé)任人的簽字等整個(gè)服務(wù)供應(yīng)鏈各方需履行的信息安全相關(guān)義務(wù)。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。安全運(yùn)維管理設(shè)備維護(hù)管理測(cè)評(píng)單元（L2-MMS3-01）測(cè)評(píng)指標(biāo)應(yīng)對(duì)各種移動(dòng)互聯(lián)設(shè)備（包括無(wú)線接入設(shè)備）維護(hù)納入等級(jí)保護(hù)對(duì)象進(jìn)行管理。（本條款引用自GB/T22239.3-20XX6.2.4.1）測(cè)評(píng)對(duì)象管理制度類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查設(shè)備管理制度，查看是否將各種移動(dòng)互聯(lián)設(shè)備（包括無(wú)線接入設(shè)備）維護(hù)納入管理制度內(nèi)并進(jìn)行管理。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。漏洞和風(fēng)險(xiǎn)管理測(cè)評(píng)單元（L2-MMS3-02）測(cè)評(píng)指標(biāo)應(yīng)采取必要的措施識(shí)別移動(dòng)互聯(lián)安全漏洞和隱患，對(duì)發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn)行修補(bǔ)或評(píng)估可能的影響后進(jìn)行修補(bǔ)。（本條款引用自GB/T22239.3-20XX6.2.4.2）測(cè)評(píng)對(duì)象安全管理員和記錄表單類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)訪談安全管理員，詢問(wèn)采取哪些措施識(shí)別移動(dòng)互聯(lián)安全漏洞和隱患，并在評(píng)估后對(duì)發(fā)現(xiàn)的安全漏洞和隱患進(jìn)行修補(bǔ)；應(yīng)檢查移動(dòng)互聯(lián)安全漏洞管理記錄。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。應(yīng)用軟件來(lái)源管理測(cè)評(píng)單元（L2-MMS3-03）測(cè)評(píng)指標(biāo)應(yīng)保證移動(dòng)終端安裝、運(yùn)行的應(yīng)用軟件來(lái)自可靠證書(shū)簽名或可靠分發(fā)渠道；（本條款引用自GB/T22239.3-20XX6.2.4.3）測(cè)評(píng)對(duì)象安全管理員。測(cè)評(píng)實(shí)施應(yīng)訪談安全管理員，移動(dòng)終端安裝、運(yùn)行的應(yīng)用軟件是否來(lái)自可靠證書(shū)簽名或可靠分發(fā)渠道。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-MMS3-04）測(cè)評(píng)指標(biāo)應(yīng)保證移動(dòng)終端安裝、運(yùn)行的等級(jí)保護(hù)對(duì)象業(yè)務(wù)移動(dòng)應(yīng)用軟件由經(jīng)審核的開(kāi)發(fā)者開(kāi)發(fā)。（本條款引用自GB/T22239.3-20XX6.2.4.3）測(cè)評(píng)對(duì)象移動(dòng)應(yīng)用軟件。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)終端安裝、運(yùn)行的移動(dòng)應(yīng)用軟件是否由經(jīng)審核的開(kāi)發(fā)者開(kāi)發(fā)。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。惡意代碼防范管理測(cè)評(píng)單元（L2-MMS3-05）測(cè)評(píng)指標(biāo)應(yīng)對(duì)移動(dòng)終端應(yīng)用軟件惡意代碼防范要求做出規(guī)定，包括防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、惡意代碼的定期查殺等；（本條款引用自GB/T22239.3-20XX6.2.4.4）測(cè)評(píng)對(duì)象系統(tǒng)運(yùn)維負(fù)責(zé)人。測(cè)評(píng)實(shí)施應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)是否對(duì)員工進(jìn)行移動(dòng)互聯(lián)基本惡意代碼防范意識(shí)的教育，是否告知應(yīng)及時(shí)升級(jí)軟件版本，使用外來(lái)設(shè)備、網(wǎng)絡(luò)上接收文件和外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前應(yīng)進(jìn)行病毒檢查等。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。備份與恢復(fù)管理測(cè)評(píng)單元（L2-MMS3-06）測(cè)評(píng)指標(biāo)應(yīng)識(shí)別需要定期備份的移動(dòng)終端中的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；（本條款引用自GB/T22239.3-20XX6.2.4.5）測(cè)評(píng)對(duì)象系統(tǒng)運(yùn)維負(fù)責(zé)人和管理制度類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)是否識(shí)別出需要定期備份移動(dòng)應(yīng)用軟件中的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)和軟件系統(tǒng)，主要有哪些。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-MMS3-07）測(cè)評(píng)指標(biāo)應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等。（本條款引用自GB/T22239.3-20XX6.2.4.5）測(cè)評(píng)對(duì)象管理制度類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查備份管理文檔，查看其是否明確了備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等方面內(nèi)容。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。安全事件處置測(cè)評(píng)單元（L2-MMS3-08）測(cè)評(píng)指標(biāo)應(yīng)報(bào)告所發(fā)現(xiàn)的移動(dòng)互聯(lián)安全弱點(diǎn)和可疑事件；（本條款引用自GB/T22239.3-20XX6.2.4.6）測(cè)評(píng)對(duì)象系統(tǒng)運(yùn)維負(fù)責(zé)人和記錄表單類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問(wèn)是否有報(bào)告所發(fā)現(xiàn)的移動(dòng)互聯(lián)安全弱點(diǎn)和可疑事件的相關(guān)流程與文件。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L2-MMS3-09）測(cè)評(píng)指標(biāo)應(yīng)明確移動(dòng)互聯(lián)安全事件的報(bào)告和處置流程，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)。（本條款引用自GB/T22239.3-20XX6.2.4.6）測(cè)評(píng)對(duì)象管理制度類(lèi)文檔。測(cè)評(píng)實(shí)施應(yīng)檢查移動(dòng)互聯(lián)安全事件的報(bào)告和處置流程，查看其是否明確了安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)等方面內(nèi)容。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。第三級(jí)測(cè)評(píng)要求安全技術(shù)單項(xiàng)測(cè)評(píng)物理和環(huán)境安全物理位置選擇測(cè)評(píng)單元（L3-PES3-01）測(cè)評(píng)指標(biāo)應(yīng)為無(wú)線接入設(shè)備的安裝選擇合理位置，避免過(guò)度覆蓋。（本條款引用自GB/T22239.3-20XX7.1.1）測(cè)評(píng)對(duì)象無(wú)線接入設(shè)備和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)無(wú)線網(wǎng)絡(luò)設(shè)備的覆蓋范圍與處理能力是否滿足業(yè)務(wù)需求；應(yīng)檢查無(wú)線接入設(shè)備的物理位置與無(wú)線信號(hào)的覆蓋范圍；應(yīng)使用無(wú)線信號(hào)探測(cè)工具測(cè)試無(wú)線信號(hào)的覆蓋范圍，判斷是否存在過(guò)度覆蓋的情況。單項(xiàng)判定如果1）-3）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。網(wǎng)絡(luò)和通信安全結(jié)構(gòu)安全測(cè)評(píng)單元（L3-NCS3-01）測(cè)評(píng)指標(biāo)應(yīng)保證無(wú)線接入網(wǎng)關(guān)的處理能力滿足業(yè)務(wù)高峰期需要。（本條款引用自GB/T22239.3-20XX7.1.2.1）測(cè)評(píng)對(duì)象無(wú)線接入網(wǎng)關(guān)和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)無(wú)線接入網(wǎng)關(guān)的業(yè)務(wù)處理能力是否滿足基本業(yè)務(wù)需求；應(yīng)檢查一段業(yè)務(wù)高峰時(shí)期內(nèi)無(wú)線接入網(wǎng)關(guān)的CPU使用率和內(nèi)存使用率。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L3-NCS3-02）測(cè)評(píng)指標(biāo)應(yīng)保證無(wú)線接入設(shè)備的帶寬滿足業(yè)務(wù)高峰期需要。（本條款引用自GB/T22239.3-20XX7.1.2.1）測(cè)評(píng)對(duì)象無(wú)線接入設(shè)備和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)無(wú)線接入設(shè)備的網(wǎng)絡(luò)帶寬；應(yīng)檢查一段業(yè)務(wù)高峰時(shí)期內(nèi)帶寬使用峰值，判斷是否滿足業(yè)務(wù)需求。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L3-NCS3-03）測(cè)評(píng)指標(biāo)無(wú)線接入設(shè)備應(yīng)開(kāi)啟接入認(rèn)證功能，并支持采用認(rèn)證服務(wù)器或國(guó)產(chǎn)算法進(jìn)行加密。（本條款引用自GB/T22239.3-20XX7.1.2.1）測(cè)評(píng)對(duì)象無(wú)線接入設(shè)備。測(cè)評(píng)實(shí)施應(yīng)檢查無(wú)線接入設(shè)備是否開(kāi)啟接入認(rèn)證功能，且認(rèn)證過(guò)程采用認(rèn)證服務(wù)器或國(guó)產(chǎn)算法進(jìn)行加密。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。邊界防護(hù)測(cè)評(píng)單元（L3-NCS3-04）測(cè)評(píng)指標(biāo)應(yīng)保證有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)邊界之間的訪問(wèn)和數(shù)據(jù)流通過(guò)無(wú)線接入網(wǎng)關(guān)設(shè)備。（本條款引用自GB/T22239.3-20XX7.1.2.2）測(cè)評(píng)對(duì)象無(wú)線接入網(wǎng)關(guān)。測(cè)評(píng)實(shí)施應(yīng)檢查有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)邊界之間是否部署無(wú)線接入網(wǎng)關(guān)設(shè)備。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。訪問(wèn)控制測(cè)評(píng)單元（L3-NCS3-05）測(cè)評(píng)指標(biāo)應(yīng)在有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)邊界根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則，默認(rèn)情況下，除允許通信外，受控接口拒絕所有通信。（本條款引用自GB/T22239.3-20XX7.1.2.3）測(cè)評(píng)對(duì)象無(wú)線接入網(wǎng)關(guān)。測(cè)評(píng)實(shí)施應(yīng)檢查無(wú)線接入網(wǎng)關(guān)設(shè)置的訪問(wèn)控制規(guī)則有哪些，檢查是否只開(kāi)啟了必要的通信接口。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L3-NCS3-06）測(cè)評(píng)指標(biāo)應(yīng)對(duì)來(lái)自移動(dòng)終端的數(shù)據(jù)流量、數(shù)據(jù)包和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包通過(guò)。（本條款引用自GB/T22239.3-20XX7.1.2.3）測(cè)評(píng)對(duì)象無(wú)線接入網(wǎng)關(guān)。測(cè)評(píng)實(shí)施應(yīng)檢查無(wú)線接入網(wǎng)關(guān)，查看配置的訪問(wèn)控制策略是否對(duì)數(shù)據(jù)流量、數(shù)據(jù)包和協(xié)議等進(jìn)行檢查，并進(jìn)行數(shù)據(jù)流控制。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L3-NCS3-07）測(cè)評(píng)指標(biāo)應(yīng)在無(wú)線接入網(wǎng)關(guān)上對(duì)進(jìn)出無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行內(nèi)容過(guò)濾。（本條款引用自GB/T22239.3-20XX7.1.2.3）測(cè)評(píng)對(duì)象無(wú)線接入網(wǎng)關(guān)。測(cè)評(píng)實(shí)施應(yīng)檢查無(wú)線接入網(wǎng)關(guān)是否具備并開(kāi)啟了數(shù)據(jù)內(nèi)容過(guò)濾功能。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L3-NCS3-08）測(cè)評(píng)指標(biāo)應(yīng)設(shè)置訪問(wèn)控制規(guī)則限制移動(dòng)終端可訪問(wèn)的等級(jí)保護(hù)對(duì)象資源。（本條款引用自GB/T22239.3-20XX7.1.2.3）測(cè)評(píng)對(duì)象無(wú)線接入網(wǎng)關(guān)。測(cè)評(píng)實(shí)施應(yīng)檢查無(wú)線接入網(wǎng)關(guān)及無(wú)線接入設(shè)備，是否設(shè)置了訪問(wèn)控制規(guī)則，限制終端用戶的訪問(wèn)權(quán)限。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。入侵防范測(cè)評(píng)單元（L3-NCS3-09）測(cè)評(píng)指標(biāo)應(yīng)能夠檢測(cè)、記錄、定位非授權(quán)無(wú)線接入設(shè)備。（本條款引用自GB/T22239.3-20XX7.1.2.4）測(cè)評(píng)對(duì)象入侵防范設(shè)備和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)無(wú)線網(wǎng)絡(luò)的入侵防范措施有哪些；詢問(wèn)無(wú)線網(wǎng)絡(luò)入侵防范設(shè)備具備哪些防范功能；應(yīng)檢查入侵防范設(shè)備是否能夠檢測(cè)、記錄、定位非授權(quán)無(wú)線接入設(shè)備。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L3-NCS3-10）測(cè)評(píng)指標(biāo)應(yīng)能夠?qū)Ψ鞘跈?quán)移動(dòng)終端接入的行為進(jìn)行檢測(cè)、記錄、定位。（本條款引用自GB/T22239.3-20XX7.1.2.4）測(cè)評(píng)對(duì)象入侵防范設(shè)備。測(cè)評(píng)實(shí)施應(yīng)檢查入侵防范設(shè)備是否能夠檢測(cè)、記錄、定位非授權(quán)無(wú)線接入終端的接入行為。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L3-NCS3-11）測(cè)評(píng)指標(biāo)應(yīng)具備對(duì)針對(duì)無(wú)線接入設(shè)備的網(wǎng)絡(luò)掃描、DoS攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為進(jìn)行檢測(cè)、記錄、分析定位。（本條款引用自GB/T22239.3-20XX7.1.2.4）測(cè)評(píng)對(duì)象入侵防范設(shè)備。測(cè)評(píng)實(shí)施應(yīng)檢查無(wú)線網(wǎng)絡(luò)入侵防范設(shè)備，是否能夠?qū)W(wǎng)絡(luò)掃描、DoS攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為進(jìn)行檢測(cè)、記錄、分析定位；應(yīng)檢查網(wǎng)絡(luò)入侵防范設(shè)備的規(guī)則庫(kù)版本，查看其規(guī)則庫(kù)是否及時(shí)更新。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L3-NCS3-12）測(cè)評(píng)指標(biāo)應(yīng)能夠檢測(cè)到無(wú)線接入設(shè)備的SSID廣播、WPS等高風(fēng)險(xiǎn)功能的開(kāi)啟狀態(tài)。（本條款引用自GB/T22239.3-20XX7.1.2.4）測(cè)評(píng)對(duì)象入侵防范設(shè)備。測(cè)評(píng)實(shí)施應(yīng)檢查入侵防范設(shè)備，是否能夠檢測(cè)無(wú)線接入設(shè)備的SSID廣播、WPS等高風(fēng)險(xiǎn)功能的開(kāi)啟狀態(tài)。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合本單元測(cè)評(píng)指標(biāo)要求。無(wú)線通信完整性和保密性測(cè)評(píng)單元（L3-NCS3-13）測(cè)評(píng)指標(biāo)應(yīng)采用密碼技術(shù)保證無(wú)線通信過(guò)程中數(shù)據(jù)的完整性。（本條款引用自GB/T22239.3-20XX7.1.2.5）測(cè)評(píng)對(duì)象移動(dòng)應(yīng)用設(shè)計(jì)文檔和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)是否采用加密技術(shù)保證無(wú)線網(wǎng)絡(luò)通信過(guò)程中數(shù)據(jù)的完整性；應(yīng)檢查設(shè)計(jì)、驗(yàn)收文檔或源代碼，查看是否有采用加密技術(shù)保護(hù)無(wú)線通信完整性的描述。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L3-NCS3-14）測(cè)評(píng)指標(biāo)應(yīng)采用密碼技術(shù)保證無(wú)線通信過(guò)程中敏感信息字段或整個(gè)報(bào)文的保密性。（本條款引用自GB/T22239.3-20XX7.1.2.5）測(cè)評(píng)對(duì)象移動(dòng)應(yīng)用設(shè)計(jì)文檔、移動(dòng)應(yīng)用軟件和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)是否采用加密技術(shù)保證無(wú)線網(wǎng)絡(luò)通信過(guò)程中數(shù)據(jù)的保密性；應(yīng)檢查設(shè)計(jì)、驗(yàn)收文檔或源代碼，查看是否有采用國(guó)產(chǎn)加密技術(shù)保護(hù)無(wú)線通信保密性的描述；應(yīng)測(cè)試無(wú)線通信過(guò)程中重要數(shù)據(jù)是否進(jìn)行了加密。單項(xiàng)判定如果1）-3）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。安全審計(jì)測(cè)評(píng)單元（L3-NCS3-15）測(cè)評(píng)指標(biāo)應(yīng)啟用設(shè)備安全審計(jì)功能，審計(jì)覆蓋到每個(gè)移動(dòng)終端，對(duì)重要的終端行為和重要安全事件進(jìn)行審計(jì)。（本條款引用自GB/T22239.3-20XX7.1.2.6）測(cè)評(píng)對(duì)象無(wú)線接入網(wǎng)關(guān)、無(wú)線接入設(shè)備和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)訪談網(wǎng)絡(luò)管理員，詢問(wèn)網(wǎng)絡(luò)采用了何種審計(jì)機(jī)制，采用了哪些審計(jì)策略，用以實(shí)現(xiàn)對(duì)無(wú)線網(wǎng)絡(luò)的安全審計(jì)；應(yīng)檢無(wú)線接入網(wǎng)關(guān)及無(wú)線接入設(shè)備，是否開(kāi)啟安全審計(jì)功能，查看審計(jì)策略是否包括設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、管理賬戶的登錄及重要操作等。單項(xiàng)判定如果1）-2）為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否則，等級(jí)保護(hù)對(duì)象不符合或部分符合本單元測(cè)評(píng)指標(biāo)要求。測(cè)評(píng)單元（L3-NCS3-16）測(cè)評(píng)指標(biāo)應(yīng)能對(duì)移動(dòng)終端接入的用戶行為、訪問(wèn)互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析。（本條款引用自GB/T22239.3-20XX7.1.2.6）測(cè)評(píng)對(duì)象無(wú)線接入網(wǎng)關(guān)、無(wú)線接入設(shè)備和網(wǎng)絡(luò)管理員。測(cè)評(píng)實(shí)施應(yīng)檢查審計(jì)措施是否能夠?qū)σ苿?dòng)終端的用戶接入行為及訪問(wèn)互聯(lián)網(wǎng)的用戶行為進(jìn)行審計(jì)和數(shù)據(jù)分析。單項(xiàng)判定如果為肯定，則等級(jí)保護(hù)對(duì)象符合本單元測(cè)評(píng)指標(biāo)要求，否