《信息安全技术网络安全等级保护测评要求第4部分：物联网安全扩展要求》

GB/T28448.4—XXXX

信息安全技术网络安全等级保护测评要求第4部分：物联网安全

扩展要求

1范围

本标准规定了对物联网系统是否符合GB/T22239.4-20XX所进行的测试评估活动的要求，包括对第

一级物联网系统、第二级物联网系统、第三级物联网系统和第四级物联网系统进行安全测试评估的要求。

本标准略去对第五级物联网系统进行安全测试评估的要求。

本标准适用于物联网信息安全测评服务机构、物联网系统的主管部门及运营使用单位对物联网网络

安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的物联网信息安全等级保护监

督检查可以参考使用。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069-2010信息安全技术术语

GB/T22239.1-20XX信息安全技术网络安全等级保护基本要求第1部分：安全通用要求

GB/T22239.4-20XX信息安全技术网络安全等级保护基本要求第4部分：物联网安全扩展要求

GB/T22240-2008信息安全技术信息系统安全等级保护定级指南

GB/T28449-20XX信息安全技术网络安全等级保护测评过程指南

GB/T25070-20XX信息安全技术网络安全等级保护安全设计技术要求

3术语和定义

GB/T25069-2010和GB/T22239.4-20XX所确立的术语和定义适用于本标准。

4概述

4.1使用方法

本标准第5章到第8章分别描述了第一级物联网系统、第二级物联网系统、第三级物联网系统和第四

级物联网系统所有单项测评的内容，在章节上分别对应国标GB/T22239.4-20XX的第4章到第7章。在国

标GB/T22239.4-20XX第4章到第7章中，各章的二级目录都分为安全技术和安全管理两部分，三级目录

从安全层面（如物理和环境安全、网络和通信安全、设备和计算安全等）进行划分和描述，四级目录按

照安全控制点进行划分和描述（如设备和计算安全层面下分为访问控制、资源控制等），第五级目录是

每一个安全控制点下面包括的具体安全要求项（以下简称“要求项”，这些要求项在本标准中被称为“测

评指标”）。本标准中针对每一个要求项的测评就构成一个单项测评，单项测评中的每一个具体测评实

施要求项（以下简称“测评要求项”）是与安全控制点下面所包括的要求项（测评指标）相对应的。在

1

GB/T28448.4—XXXX

对每一要求项进行测评时，可能用到访谈、检查和测试三种测试方法，也可能用到其中一种或两种。测

评实施的内容完全覆盖了GB/T22239.4-20XX中所有要求项的测评要求,使用时应当从单项测评的测评

实施中抽取出对于GB/T22239.4-20XX中每一个要求项的测评要求，并按照这些测评要求开发测评指导

书，以规范和指导安全等级测评活动。

测评过程中，测评人员应注意对测评记录和证据的采集、处理、存储和销毁，保护其在测评期间免

遭破坏、更改或遗失，并保守秘密。

测评的最终输出是测评报告，测评报告应结合GB/T28448.1-20XX中第11章的要求给出等级测评结

论。

5第一级物联网系统单项测评要求

5.1安全技术测评

5.1.1物理和环境安全

5.1.1.1终端感知节点（包括RFID标签）的物理和环境安全

5.1.1.1.1测评单元(L1-PES4-01)

该测评单元包括以下要求：

a)测评指标：感知节点所处的物理环境应该不对感知节点造成物理破坏，如挤压、强振动。（本

条款引用自GB/T22239.4-20XX5.1.1.1a））

b)测评对象：物理安全负责人，感知节点所处物理环境，设计或验收文档。

c)测评实施包括以下内容：

1)应访谈物理安全负责人，询问现有终端感知节点的环境条件是否具有防挤压、防强振动等

防物理破坏的能力；

2)应检查感知节点所处物理环境的设计或验收文档，是否有感知节点所处物理环境具有防挤

压、防强振动等能力的说明，查看与实际情况是否一致；

3)应检查感知节点所处物理环境是否采取了防挤压、防强振动等的防护措施。

d)单元判定：如果1）-3）均为肯定，则物联网系统符合本单元测评指标要求，否则，物联网系

统不符合或部分符合本单元测评指标要求。

5.1.1.1.2测评单元(L1-PES4-02)

该测评单元包括以下要求：

a)测评指标：感知节点在工作状态所处物理环境应该能正确反映环境状态（如温湿度传感器不能

安装在阳光直射区域）。（本条款引用自GB/T22239.4-20XX5.1.1.1b））

b)测评对象：物理安全负责人，感知节点所处物理环境，设计或验收文档。

c)测评实施包括以下内容：

1)应访谈物理安全负责人，询问感知节点在工作状态所处物理环境是否能正确反映环境状态

（如温湿度传感器不能安装在阳光直射区域）；

2)应检查感知节点所处物理环境的设计或验收文档，是否有感知节点在工作状态所处物理环

境的说明，查看与实际情况是否一致；

3)应检查感知节点在工作状态所处物理环境是否能正确反映环境状态。

d)单元判定：如果1）-3）均为肯定，则物联网系统符合本单元测评指标要求，否则，物联网系

统不符合或部分符合本单元测评指标要求。

2

GB/T28448.4—XXXX

5.1.2网络和通信安全

5.1.2.1数据源认证

5.1.2.1.1测评单元(L1-NCMMS4-01)

该测评单元包括以下要求：

a)测评指标：应确保信息来源于正确的感知节点设备。（本条款引用自GB/T22239.4-20XX

5.1.2.1a））

b)测评对象：网络管理员，感知终端，设计文档。

c)测评实施包括以下内容：

1)应访谈网络管理员，询问感知终端接入网络时是否采取设备认证机制，具体措施有哪些；

2)应检查感知终端认证机制策略文档，查看其是否包括防止非法的物联网终端接入网络的机

制描述。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

5.1.2.2异构网安全接入

5.1.2.2.1测评单元(L1-NCMMS4-02)

该测评单元包括以下要求：

a)测评指标：应建立异构网络的接入认证系统，实现安全的传输控制信息。（本条款引用自GB/T

22239.4-20XX5.1.2.2a））

b)测评对象：网络管理员，感知层网关。

c)测评实施包括以下内容：

1)应访谈网络管理员，询问异构网络接入认证采取的何种措施实现；

2)应检查异构网络的接入认证系统，查看是否能够正确完成异构网络接入认证功能。

d)单元判定：如果2）为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系统不符

合或部分符合本单项测评指标要求。

5.1.3应用和数据安全

5.1.3.1访问控制

5.1.3.1.1测评单元(L1-ADS4-01)

该测评单元包括以下要求：

a)测评指标：对远程登陆的用户具有认证功能，确保只有合法用户才能登陆。（本条款引用自

GB/T22239.4-20XX5.1.3.1a））

b)测评对象：应用系统管理员，物联网应用系统。

c)测评实施包括以下内容：

1)应访谈应用系统管理员，询问应用系统是否提供对远程登录用户的认证功能，认证的方式

有哪些；

2)应检查应用系统是否提供对远程登录用户的认证功能，应通过成功和失败登录测试认证功

能是否有效。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

3

GB/T28448.4—XXXX

5.1.3.2数据完整性

5.1.3.2.1测评单元(L1-ADS4-02)

该测评单元包括以下要求：

a)测评指标：应能够检测到感知节点生存信息在传输过程中完整性受到破坏。（本条款引用自

GB/T22239.4-20XX5.1.3.2a））

b)测评对象：安全管理员，感知节点设备，传输协议等。

c)测评实施包括以下内容：

1)应访谈安全管理员，询问针对感知节点生存信息在传输过程中完整性的保护措施，具体措

施有哪些；

2)应检查感知层是否配备检测感知节点生存信息在传输过程中完整性受到破坏的功能。

d)单元判定：如果2）为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系统不符

合或部分符合本单项测评指标要求。

5.1.3.3数据可用性

5.1.3.3.1测评单元(L1-ADS4-03)

该测评单元包括以下要求：

a)测评指标：应保证感知网络实体间通信数据的新鲜性。（本条款引用自GB/T22239.4-20XX

5.1.3.3a））

b)测评对象：网络管理员，感知节点设备。

c)测评实施包括以下内容：

1)应访谈网络管理员，询问保证感知网络实体间通信数据的新鲜性的措施有哪些；

2)应检查是否提供保障感知网络实体间通信数据新鲜性的功能，采用的具体方式有哪些；

3)应测试通信数据新鲜性保障措施是否有效，应通过测试发送过期数据，验证感知层网关是

否不接受过期数据。

d)单元判定：如果2）-3）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

5.2安全管理测评

5.2.1系统安全建设管理

5.2.1.1自行研发感知节点设备（包括RFID）

5.2.1.1.1测评单元(L1-CMMS4-01)

该测评单元包括以下要求：

a)测评指标：应确保终端感知节点、网关节点的主要部件（芯片、电池、天线等）参数满足系统

功能需求；（本条款引用自GB/T22239.4-20XX5.2.1.1a））

b)测评对象：系统建设负责人，软、硬件研发设计文档。

c)测评实施包括以下内容：

1)应访谈系统建设负责人，询问是否自行研发，感知节点主要部件（芯片、电池、天线等）

参数是否满足系统功能需求；

2)应检查软、硬件研发设计文档，查看感知节点主要部件（芯片、电池、天线等）参数是否

有满足系统功能需求的设计或描述。

4

GB/T28448.4—XXXX

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

5.2.1.1.2测评单元(L1-CMMS4-02)

该测评单元包括以下要求：

a)测评指标：应确保研发环境与实际运行环境物理分开；（本条款引用自GB/T22239.4-20XX

5.2.1.1b））

b)测评对象：系统建设负责人，研发环境。

c)测评实施包括以下内容：

1)应访谈系统建设负责人，自行研发是否在独立的模拟环境中完成编码和调试，如相对独立

的网络区域；

2)应检查研发环境是否与实际运行环境物理分开。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

5.2.1.1.3测评单元(L1-CMMS4-03)

该测评单元包括以下要求：

a)测评指标：应确保提供软、硬件设计的相关文档，并由专人负责保管。（本条款引用自GB/T

22239.4-20XX5.2.1.1c））

b)测评对象：系统建设负责人，软、硬件研发设计文档。

c)测评实施包括以下内容：

1)应访谈系统建设负责人，询问软、硬件设计相关文档是否由专人负责保管，负责人是何人；

2)应访谈软、硬件研发设计文档保管人员，采用何种方式进行保管。

d)单元判定：如果1）为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系统不符

合或部分符合本单项测评指标要求。

5.2.1.2外包研发感知节点设备（包括RFID）

5.2.1.2.1测评单元(L1-CMMS4-04)

该测评单元包括以下要求：

a)测评指标：应根据研发需求检测软、硬件质量；（本条款引用自GB/T22239.4-20XX5.2.1.2

a））

b)测评对象：系统建设负责人，检测记录、报告等文档。

c)测评实施包括以下内容：

1)应访谈系统建设负责人，询问软、硬件交付前是否依据研发要求的技术指标对软件、硬件

功能和性能等方面进行验收测试；

2)应检查是否具有软、硬件质量检测记录、报告等文档。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

5.2.1.2.2测评单元(L1-CMMS4-05)

该测评单元包括以下要求：

5

GB/T28448.4—XXXX

a)测评指标：应在软件安装之前检测软件包中可能存在的恶意代码；（本条款引用自GB/T

22239.4-20XX5.2.1.2b））

b)测评对象：系统建设负责人，检测记录等文档。

c)测评实施包括以下内容：

1)应访谈系统建设负责人，询问软件安装之前是否检测软件中的恶意代码，检测工具是否是

第三方的商业产品；

2)应检查是否具有恶意代码检测记录。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

5.2.1.2.3测评单元(L1-CMMS4-06)

该测评单元包括以下要求：

a)测评指标：应要求研发单位提供软、硬件设计的相关文档和使用指南；（本条款引用自GB/T

22239.4-20XX5.2.1.2c））

b)测评对象：系统建设负责人，软、硬件设计的相关文档和使用指南等文档。

c)测评实施包括以下内容：

1)应访谈系统建设负责人，询问是否要求研发单位提供软、硬件设计的相关文档和使用指南；

2)应检查是否具有需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档等软

件开发文档和使用指南；

3)应检查是否具有硬件设计相关文档和使用指南。

d)单元判定：如果1）-3）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

5.2.1.2.4测评单元(L1-CMMS4-07)

该测评单元包括以下要求：

a)测评指标：应根据研发单位提供的硬件设计图审查实物与设计是否一致。（本条款引用自GB/T

22239.4-20XX5.2.1.2d））

b)测评对象：系统建设负责人，硬件设计图审查记录。

c)测评实施包括以下内容：

1)应访谈系统建设负责人，询问是否要求研发单位提供硬件设计图，是否对实物与设计的一

致性进行审查；

2)应检查硬件设计图审查记录，查看是否包括对实物与设计一致性的审查结果。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

5.2.2系统安全运维管理

5.2.2.1感知层（包括RFID）环境管理

5.2.2.1.1测评单元(L1-MMS4-01)

该测评单元包括以下要求：

a)测评指标：应指定人员定期巡视终端感知节点、网关节点的部署环境，对可能影响终端感知节

点、网关节点正常工作的环境异常进行记录和维护；（本条款引用自GB/T22239.4-20XX

5.2.2.1a））

6

GB/T28448.4—XXXX

b)测评对象：系统运维负责人，维护记录。

c)测评实施包括以下内容：

1)应访谈系统运维负责人，询问是否有专门的人员对终端感知节点、网关节点进行定期维护，

由何部门或何人负责，维护周期多长；

2)应检查终端感知节点、网关节点部署环境维护记录，查看是否记录维护日期、维护人、维

护设备、故障原因、维护结果等方面内容。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

5.2.2.1.2测评单元(L1-MMS4-02)

该测评单元包括以下要求：

a)测评指标：应记录终端感知节点、网关节点的状态（包括外观、电量、指示灯等信息），对网

关设备进行现场维护（除尘、充电、修理等）；（本条款引用自GB/T22239.4-20XX5.2.2.1

b））

b)测评对象：维护记录。

c)测评实施：应检查终端感知节点、网关节点部署环境维护记录，查看是否包括了终端感知节点、

网关节点的状态（包括外观、电量、指示灯等信息）检查、对网关设备进行现场维护（除尘、

充电、修理等）等方面内容。

d)单元判定：如果以上测评实施内容为肯定，则物联网系统符合本单项测评指标要求，否则，物

联网系统不符合或部分符合本单项测评指标要求。

5.2.2.1.3测评单元(L1-MMS4-03)

该测评单元包括以下要求：

a)测评指标：应建立针对终端感知节点、网关节点部署环境的评估制度，编写可操作评估方法，

并由专人完成评估；（本条款引用自GB/T22239.4-20XX5.2.2.1c））

b)测评对象：系统运维负责人，终端感知节点、网关节点部署环境的评估制度。

c)测评实施包括以下内容：

1)应访谈系统运维负责人，询问是否有专门的人员对终端感知节点、网关节点部署环境进行

评估；

2)应检查终端感知节点、网关节点部署环境的评估制度，查看其内容是否包含可操作的评估

方法。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

5.2.2.1.4测评单元(L1-MMS4-04)

该测评单元包括以下要求：

a)测评指标：应制定终端感知节点、网关节点管理制度，对终端感知节点、网关节点入库、存储、

部署、携带、维修、丢失和报废等过程进行全程管理。（本条款引用自GB/T22239.4-20XX

5.2.2.1d））

b)测评对象：终端感知节点、网关节点管理制度。

c)测评实施：应检查终端感知节点、网关节点安全管理制度，查看其内容是否覆盖终端感知节点、

网关节点入库、存储、部署、携带、维修、丢失和报废等方面。

7

GB/T28448.4—XXXX

d)单元判定：如果以上测评实施内容为肯定，则物联网系统符合本单项测评指标要求，否则，物

联网系统不符合或部分符合本单项测评指标要求。

5.2.2.2感知层（包括RFID）备份与恢复管理

5.2.2.2.1测评单元(L1-MMS4-05)

该测评单元包括以下要求：

a)测评指标：应识别需要定期备份的重要业务信息、系统数据及软件系统等；（本条款引用自

GB/T22239.4-20XX5.2.2.2a））

b)测评对象：系统管理员，应用系统管理员，网络管理员，备份数据。

c)测评实施包括以下内容：

1)应访谈系统管理员、应用系统管理员和网络管理员，，询问是否识别出需要定期备份的业

务信息、系统数据及软件系统，主要有哪些；

2)应检查是否已对识别的备份对象进行备份。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

5.2.2.2.2测评单元(L1-MMS4-06)

该测评单元包括以下要求：

a)测评指标：应规定终端感知节点、网关节点备份信息的备份方式、备份频度、存储介质、保存

期等。（本条款引用自GB/T22239.4-20XX5.2.2.2b））

b)测评对象：系统管理员，应用系统管理员，网络管理员，管理制度等文档。

c)测评实施包括以下内容：

1)应访谈系统管理员、应用系统管理员和网络管理员，，询问是否定期执行恢复程序，周期

多长；

2)应查看其是否明确备份方式、备份频度、存储介质和保存期等方面内容。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6第二级物联网系统单项测评要求

6.1安全技术测评

6.1.1物理和环境安全

6.1.1.1终端感知节点（包括RFID标签）的物理和环境安全

6.1.1.1.1测评单元(L2-PES4-01)

该测评单元包括以下要求：

a)测评指标：感知节点所处的物理环境应该不对感知节点造成物理破坏，如挤压、强振动；（本

条款引用自GB/T22239.4-20XX6.1.1.1a））

b)测评对象：物理安全负责人，感知节点所处物理环境，设计或验收文档。

c)测评实施包括以下内容：

8

GB/T28448.4—XXXX

1)应访谈物理安全负责人，询问现有终端感知节点的环境条件是否具有防挤压、防强振动等

防物理破坏的能力；

2)应检查感知节点所处物理环境的设计或验收文档，是否有感知节点所处物理环境具有防挤

压、防强振动等能力的说明，查看与实际情况是否一致；

3)应检查感知节点所处物理环境是否采取了防挤压、防强振动等的防护措施。

d)单元判定：如果1）-3）均为肯定，则物联网系统符合本单元测评指标要求，否则，物联网系

统不符合或部分符合本单元测评指标要求。

6.1.1.1.2测评单元(L2-PES4-02)

该测评单元包括以下要求：

a)测评指标：感知节点在工作状态所处物理环境应该能正确反映环境状态（如温湿度传感器不能

安装在阳光直射区域）。（本条款引用自GB/T22239.4-20XX6.1.1.1b））

b)测评对象：物理安全负责人，感知节点所处物理环境，设计或验收文档。

c)测评实施包括以下内容：

1)应访谈物理安全负责人，询问感知节点在工作状态所处物理环境是否能正确反映环境状态

（如温湿度传感器不能安装在阳光直射区域）；

2)应检查感知节点所处物理环境的设计或验收文档，是否有感知节点在工作状态所处物理环

境的说明，查看与实际情况是否一致；

3)应检查感知节点在工作状态所处物理环境是否能正确反映环境状态。

d)单元判定：如果1）-3）均为肯定，则物联网系统符合本单元测评指标要求，否则，物联网系

统不符合或部分符合本单元测评指标要求。

6.1.1.2感知层网关节点（包括RFID读写器）的物理和环境安全

6.1.1.2.1测评单元(L2-PES4-03)

该测评单元包括以下要求：

a)测评指标：网关设备所在物理环境应该具备防火、防静电的能力；（本条款引用自GB/T

22239.4-20XX6.1.1.2a））

b)测评对象：物理安全负责人，感知层网关节点设备所在物理环境，设计或验收文档。

c)测评实施包括以下内容：

1)应访谈物理安全负责人，询问感知层网关节点所在物理环境是否具有防火、防静电的能

力；

2)应检查感知层网关节点所在物理环境的设计或验收文档，是否有感知层网关节点所在物

理环境具有防火、防静电能力的说明；

3)应查看感知层网关节点所在物理环境是否部署了防火、防静电设施，并检查上述设施的

使用期限、是否可正常使用。

d)单元判定：如果1）-3）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.1.1.2.2测评单元(L2-PES4-04)

该测评单元包括以下要求：

a)测评指标：网关设备所在物理环境应该具备防潮、防水的能力；（本条款引用自GB/T

22239.4-20XX6.1.1.2b））

9

GB/T28448.4—XXXX

b)测评对象：物理安全负责人，感知层网关节点设备所在物理环境，设计或验收文档。

c)测评实施包括以下内容：

1)应访谈物理安全负责人，询问感知层网关节点所在物理环境是否具有防潮、防水的能力；

2)应检查感知层网关节点所在物理环境的设计或验收文档，是否有感知层网关节点所在物

理环境具有防潮、防水能力的说明；

3)应查看感知层网关节点所在物理环境是否部署了防潮、防水设施，并检查上述设施的使

用期限、是否可正常使用。

d)单元判定：如果1）-3）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.1.1.2.3测评单元(L2-PES4-05)

该测评单元包括以下要求：

a)测评指标：网关节点的主要部件进行固定，并设置明显的不易除去的标记。（本条款引用自

GB/T22239.4-20XX6.1.1.2c））

b)测评对象：感知层网关节点设备。

c)测评实施包括以下内容：

1)应检查感知层网关节点，是否对其主要部件进行了固定，查看其是否不易被移动或被搬

走；

2)应检查感知层网关节点，是否设置了明显的不易除去的标记。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.1.2网络和通信安全

6.1.2.1数据源认证

6.1.2.1.1测评单元(L2-NCMMS4-01)

该测评单元包括以下要求：

a)测评指标：应确保信息来源于正确的感知节点设备。（本条款引用自GB/T22239.4-20XX

6.1.2.1a））

b)测评对象：网络管理员，感知终端，设计文档。

c)测评实施包括以下内容：

1)应访谈网络管理员，询问感知终端接入网络时是否采取设备认证机制，具体措施有哪些；

2)应检查感知终端认证机制策略文档，查看其是否包括防止非法的物联网终端接入网络的机

制描述。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.1.2.2感知设备访问控制

6.1.2.2.1测评单元(L2-NCMMS4-02)

该测评单元包括以下要求：

a)测评指标：应设置传感网入网访问控制，对感知终端接入网络资源设置访问控制机制，防止

感知网资源被非法访问和非法使用；（本条款引用自GB/T22239.4-20XX6.1.2.2a））

10

GB/T28448.4—XXXX

b)测评对象：网络管理员，传感网入网访问控制设备。

c)测评实施包括以下内容：

1)应访谈网络管理员，询问传感网入网访问控制措施有哪些，访问控制策略的设计原则是

什么；

2)应检查传感网入网访问控制设备，查看其是否对感知终端接入网络资源设置了访问控制

机制。

d)单元判定：如果2）为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系统不符

合或部分符合本单项测评指标要求。

6.1.2.2.2测评单元(L2-NCMMS4-03)

该测评单元包括以下要求：

a)测评指标：远程配置物联网终端、感知节点设备上软件应用时应当提供安全保护。（本条款

引用自GB/T22239.4-20XX6.1.2.2b））

b)测评对象：网络管理员，感知终端，传感网入网访问控制设备。

c)测评实施包括以下内容：

1)应访谈网络管理员，询问是否允许远程配置物联网终端、感知节点设备上的软件应用；

2)应检查传感网入网访问控制设备，查看其是否对感知终端接入网络资源设置了访问控制

机制，机制是否覆盖了资源访问相关的主体、客体及它们之间的操作；

3)应检查物联网终端及感知节点设备，查看是否启用了远程配置软件应用时的安全保护措

施。

d)单元判定：如果1）-3）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.1.2.3异构网安全接入

6.1.2.3.1测评单元(L2-NCMMS4-04)

该测评单元包括以下要求：

a)测评指标：应建立异构网络的接入认证系统，实现安全的传输控制信息；（本条款引用自GB/T

22239.4-20XX6.1.2.3a））

b)测评对象：网络管理员，感知层网关。

c)测评实施包括以下内容：

1)应访谈网络管理员，询问异构网络接入认证采取的何种措施实现；

2)应检查异构网络的接入认证系统，查看是否能够正确完成异构网络接入认证功能。

d)单元判定：如果2）为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系统不符

合或部分符合本单项测评指标要求。

6.1.2.3.2测评单元(L2-NCMMS4-05)

该测评单元包括以下要求：

a)测评指标：应具有拒绝恶意节点的接入能力，保证合法节点不被恶意节点攻击而被拒绝接入，

保证网络资源的可使用性。（本条款引用自GB/T22239.4-20XX6.1.2.3b））

b)测评对象：异构网接入认证系统。

c)测评实施包括以下内容：

1)应检查异构网络的接入认证系统，查看是否能够正确完成异构网络接入认证功能；

11

GB/T28448.4—XXXX

2)应测试异构网络接入认证系统，是否能够识别出恶意节点，并拒绝其接入。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.1.3应用和数据安全

6.1.3.1访问控制

6.1.3.1.1测评单元(L2-ADS4-01)

该测评单元包括以下要求：

a)测评指标：对远程登陆的用户具有认证功能，确保只有合法用户才能登陆；（本条款引用自

GB/T22239.4-20XX6.1.3.1a））

b)测评对象：应用系统管理员，物联网应用系统。

c)测评实施包括以下内容：

1)应访谈应用系统管理员，询问应用系统是否提供对远程登录用户的认证功能，认证的方式

有哪些；

2)应检查应用系统是否提供对远程登录用户的认证功能，应通过成功和失败登录测试认证功

能是否有效。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.1.3.1.2测评单元(L2-ADS4-02)

该测评单元包括以下要求：

a)测评指标：对远程登陆的用户服务应覆盖高峰时期的用户访问数量。（本条款引用自GB/T

22239.4-20XX6.1.3.1b））

b)测评对象：应用系统管理员，物联网应用系统。

c)测评实施包括以下内容：

1)应访谈应用系统管理员，询问高峰时期的用户访问数量；

2)应检查是否有措施保证远程登录的用户服务能覆盖高峰时期的用户访问数量。

d)单元判定：如果2）为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系统不符

合或部分符合本单项测评指标要求。

6.1.3.2数据完整性

6.1.3.2.1测评单元(L2-ADS4-03)

该测评单元包括以下要求：

a)测评指标：应能够检测到感知节点生存信息、鉴别信息、隐私性数据和重要业务数据在传输

过程中完整性受到破坏。（本条款引用自GB/T22239.4-20XX6.1.3.2a））

b)测评对象：安全管理员，感知节点设备，传输协议等。

c)测评实施包括以下内容：

1)应访谈安全管理员，询问针对感知节点生存信息、鉴别信息、隐私性数据和重要业务数

据在传输过程中完整性的保护措施，具体措施有哪些；

2)应检查感知层是否配备检测感知节点生存信息、鉴别信息、隐私性数据和重要业务数据

在传输过程中完整性受到破坏的功能。

12

GB/T28448.4—XXXX

d)单元判定：如果2）为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系统不符

合或部分符合本单项测评指标要求。

6.1.3.3数据保密性

6.1.3.3.1测评单元(L2-ADS4-04)

该测评单元包括以下要求：

a)测评指标：应采用密码技术对重要数据（指令控制数据、业务数据）实施机密性保护，确保

这些数据在传输中的保密性。（本条款引用自GB/T22239.4-20XX6.1.3.3a））

b)测评对象：安全管理员，感知节点设备，物联网应用系统。

c)测评实施包括以下内容：

1)应访谈安全管理员，询问重要数据（指令控制数据、业务数据）是否采用加密或其他有

效措施实现传输保密性；

2)应检查重要数据（指令控制数据、业务数据），查看其是否采用加密或其他有效措施实

现传输保密性；

3)应测试重要数据（指令控制数据、业务数据），通过用嗅探工具获取系统传输数据包，

查看其是否采用了加密或其他有效措施实现传输保密性。

d)单元判定：如果1）-3）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.1.3.4数据可用性

6.1.3.4.1测评单元(L2-ADS4-05)

该测评单元包括以下要求：

a)测评指标：应提供重要业务数据的本地备份与重传功能；（本条款引用自GB/T22239.4-20XX

6.1.3.4a））

b)测评对象：网络管理员，感知节点设备，数据存储设备，设计或验收文档。

c)测评实施包括以下内容：

1)应访谈网络管理员，询问是否对感知层重要业务数据进行本地备份，备份策略是什么；

传输失败时是否会重传，重传策略是什么；

2)应检查设计或验收文档，查看其是否有关于感知层重要业务数据本地备份和重传功能及

策略的描述；

3)应检查感知层重要业务数据的本地备份和重传功能，其配置是否正确，并且查看其备份

结果是否与备份策略一致，重传策略是否生效。

d)单元判定：如果1）-3）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.1.3.4.2测评单元(L2-ADS4-06)

该测评单元包括以下要求：

a)测评指标：应保证感知网络实体间通信数据的新鲜性。（本条款引用自GB/T22239.4-20XX

6.1.3.4b））

b)测评对象：网络管理员，感知节点设备。

c)测评实施包括以下内容：

1)应访谈网络管理员，询问保证感知网络实体间通信数据的新鲜性的措施有哪些；

13

GB/T28448.4—XXXX

2)应检查是否提供保障感知网络实体间通信数据新鲜性的功能，采用的具体方式有哪些；

3)应测试通信数据新鲜性保障措施是否有效，应通过测试发送过期数据，验证感知层网关是

否不接受过期数据。

d)单元判定：如果2）-3）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.2安全管理测评

6.2.1系统安全建设管理

6.2.1.1自行研发感知节点设备（包括RFID）

6.2.1.1.1测评单元(L2-CMMS4-01)

该测评单元包括以下要求：

a)测评指标：应确保终端感知节点、网关节点的主要部件（芯片、电池、天线等）参数满足系统

功能需求；（本条款引用自GB/T22239.4-20XX6.2.1.1a））

b)测评对象：系统建设负责人，软、硬件研发设计文档。

c)测评实施包括以下内容：

1)应访谈系统建设负责人，询问是否自行研发，感知节点主要部件（芯片、电池、天线等）

参数是否满足系统功能需求；

2)应检查软、硬件研发设计文档，查看感知节点主要部件（芯片、电池、天线等）参数是否

有满足系统功能需求的设计或描述。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.2.1.1.2测评单元(L2-CMMS4-02)

该测评单元包括以下要求：

a)测评指标：应确保研发环境与实际运行环境物理分开；（本条款引用自GB/T22239.4-20XX

6.2.1.1b））

b)测评对象：系统建设负责人，研发环境。

c)测评实施包括以下内容：

1)应访谈系统建设负责人，自行研发是否在独立的模拟环境中完成编码和调试，如相对独立

的网络区域；

2)应检查研发环境是否与实际运行环境物理分开。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.2.1.1.3测评单元(L2-CMMS4-03)

该测评单元包括以下要求：

a)测评指标：应制定软、硬件研发管理制度，明确说明发过程的控制方法和人员行为准则；（本

条款引用自GB/T22239.4-20XX6.2.1.1c））

b)测评对象：软、硬件研发管理制度。

c)测评实施：应检查软、硬件研发管理制度，查看文件是否明确软、硬件的设计、开发、测试、

验收过程的控制方法和人员行为准则。

14

GB/T28448.4—XXXX

d)单元判定：如果以上测评实施内容为肯定，则物联网系统符合本单项测评指标要求，否则，物

联网系统不符合或部分符合本单项测评指标要求。

6.2.1.1.4测评单元(L2-CMMS4-04)

该测评单元包括以下要求：

a)测评指标：应确保提供软、硬件设计的相关文档和使用指南，并由专人负责保管。（本条款引

用自GB/T22239.4-20XX6.2.1.1d））

b)测评对象：系统建设负责人，软、硬件研发设计文档和使用指南。

c)测评实施包括以下内容：

1)应访谈系统建设负责人，询问软、硬件设计相关文档和使用指南是否由专人负责保管，负

责人是何人；

2)应访谈软、硬件研发设计文档和使用指南保管人员，采用何种方式进行保管。

d)单元判定：如果1）为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系统不符

合或部分符合本单项测评指标要求。

6.2.1.2外包研发感知节点设备（包括RFID）

6.2.1.2.1测评单元(L2-CMMS4-05)

该测评单元包括以下要求：

a)测评指标：应根据研发需求检测软、硬件质量；（本条款引用自GB/T22239.4-20XX6.2.1.2

a））

b)测评对象：系统建设负责人，检测记录、报告等文档。

c)测评实施包括以下内容：

1)应访谈系统建设负责人，询问软、硬件交付前是否依据研发要求的技术指标对软件、硬件

功能和性能等方面进行验收测试；

2)应检查是否具有软、硬件质量检测记录、报告等文档。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.2.1.2.2测评单元(L2-CMMS4-06)

该测评单元包括以下要求：

a)测评指标：应在软件安装之前检测软件包中可能存在的恶意代码；（本条款引用自GB/T

22239.4-20XX6.2.1.2b））

b)测评对象：系统建设负责人，检测记录等文档。

c)测评实施包括以下内容：

1)应访谈系统建设负责人，询问软件安装之前是否检测软件中的恶意代码，检测工具是否是

第三方的商业产品；

2)应检查是否具有恶意代码检测记录。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.2.1.2.3测评单元(L2-CMMS4-07)

该测评单元包括以下要求：

15

GB/T28448.4—XXXX

a)测评指标：应要求研发单位提供软、硬件设计的相关文档和使用指南；（本条款引用自GB/T

22239.4-20XX6.2.1.2c））

b)测评对象：系统建设负责人，软、硬件设计的相关文档和使用指南等文档。

c)测评实施包括以下内容：

1)应访谈系统建设负责人，询问是否要求研发单位提供软、硬件设计的相关文档和使用指南；

2)应检查是否具有需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档等软

件开发文档和使用指南；

3)应检查是否具有硬件设计相关文档和使用指南。

d)单元判定：如果1）-3）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.2.1.2.4测评单元(L2-CMMS4-08)

该测评单元包括以下要求：

a)测评指标：应要求研发单位提供软件源代码，并审查软件中可能存在的后门；（本条款引用

自GB/T22239.4-20XX6.2.1.2d））

b)测评对象：系统建设负责人，检测记录等文档。

c)测评实施包括以下内容：

1)应访谈系统建设负责人，询问是否要求研发单位提供软件源代码，是否根据软件源代码，

对软件中可能存在的后门进行审查；

2)应检查软件源代码审查记录，查看是否包括对可能存在后门的审查结果。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.2.1.2.5测评单元(L2-CMMS4-09)

该测评单元包括以下要求：

a)测评指标：应要求研发单位提供硬件设计图，并审查硬件设计中可能存在的后门；（本条款

引用自GB/T22239.4-20XX6.2.1.2e））

b)测评对象：系统建设负责人，检测记录，硬件设计图审查记录。

c)测评实施包括以下内容：

1)应访谈系统建设负责人，询问是否要求研发单位提供硬件设计图，是否根据硬件设计图，

对硬件中可能存在的后门进行审查；

2)应检查硬件设计图审查记录，查看是否包括对可能存在后门的审查结果。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.2.1.2.6测评单元(L2-CMMS4-10)

该测评单元包括以下要求：

a)测评指标：应根据研发单位提供的硬件设计图审查实物与设计是否一致。（本条款引用自GB/T

22239.4-20XX6.2.1.2f））

b)测评对象：系统建设负责人，硬件设计图审查记录。

c)测评实施包括以下内容：

1)应访谈系统建设负责人，询问是否要求研发单位提供硬件设计图，是否对实物与设计的一

致性进行审查；

16

GB/T28448.4—XXXX

2)应检查硬件设计图审查记录，查看是否包括对实物与设计一致性的审查结果。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.2.2系统安全运维管理

6.2.2.1感知层（包括RFID）环境管理

6.2.2.1.1测评单元(L2-MMS4-01)

该测评单元包括以下要求：

a)测评指标：应指定人员定期巡视终端感知节点、网关节点的部署环境，对可能影响终端感知节

点、网关节点正常工作的环境异常进行记录和维护；（本条款引用自GB/T22239.4-20XX

6.2.2.1a））

b)测评对象：系统运维负责人，维护记录。

c)测评实施包括以下内容：

1)应访谈系统运维负责人，询问是否有专门的人员对终端感知节点、网关节点进行定期维护，

由何部门或何人负责，维护周期多长；

2)应检查终端感知节点、网关节点部署环境维护记录，查看是否记录维护日期、维护人、维

护设备、故障原因、维护结果等方面内容。

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.2.2.1.2测评单元(L2-MMS4-02)

该测评单元包括以下要求：

a)测评指标：应记录终端感知节点、网关节点的状态（包括外观、电量、指示灯等信息），对网

关设备进行现场维护（除尘、充电、修理等）；（本条款引用自GB/T22239.4-20XX6.2.2.1

b））

b)测评对象：维护记录。

c)测评实施：应检查终端感知节点、网关节点部署环境维护记录，查看是否包括了终端感知节点、

网关节点的状态（包括外观、电量、指示灯等信息）检查、对网关设备进行现场维护（除尘、

充电、修理等）等方面内容。

d)单元判定：如果以上测评实施内容为肯定，则物联网系统符合本单项测评指标要求，否则，物

联网系统不符合或部分符合本单项测评指标要求。

6.2.2.1.3测评单元(L2-MMS4-03)

该测评单元包括以下要求：

a)测评指标：应建立针对终端感知节点、网关节点部署环境的评估制度，编写可操作评估方法，

并由专人完成评估；（本条款引用自GB/T22239.4-20XX6.2.2.1c））

b)测评对象：系统运维负责人，终端感知节点、网关节点部署环境的评估制度。

c)测评实施包括以下内容：

1)应访谈系统运维负责人，询问是否有专门的人员对终端感知节点、网关节点部署环境进行

评估；

2)应检查终端感知节点、网关节点部署环境的评估制度，查看其内容是否包含可操作的评估

方法。

17

GB/T28448.4—XXXX

d)单元判定：如果1）-2）均为肯定，则物联网系统符合本单项测评指标要求，否则，物联网系

统不符合或部分符合本单项测评指标要求。

6.2.2.1.4测评单元(L2-MMS4-04)

该测评单元包括以下要求：

a)测评指标：应制定终端感知节点、网关节点管理制度，对终端感知节点、网关节点入库、存储、

部署、携带、维修、丢失和报废等过程进行全程管理；（本条款引用自GB/T22239.4-20XX

6.2.2.1d））

b)测评对象：终端感知节点、网关节点管理制度。

c)测评实施：应检查终端感知节点、网关节点安全管理制度，查看其内容是否覆盖终端感知节点、

网关节点入库、存储、部署、携带、维修、丢失和报废等方面。

d)单元判定：如果以上测评实施内容为肯定，则物联网系统符合本单项测评指标要求，否则，物

联网系统不符合或部分符合本单项测评指标要求。

6.2.2.1.5测评单元(L2-MMS4-05)

该测评单元包括以下要求：

a)测评指标：应加强对终端感知节点、网关节点部署环境的保密性管理，包括负责检查和维护

的人员调离工作岗位应立即交还相关检查工具和检查维护记录等。（本条款引用自GB/T

22239.4-2