信息安全技术网络安全等级保护基本要求(GB-T 22239-2019).pdf
《信息安全技术网络安全等级保护基本要求(GB-T 22239-2019).pdf》由会员分享,可在线阅读,更多相关《信息安全技术网络安全等级保护基本要求(GB-T 22239-2019).pdf(92页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、ICS 35.040L 80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T 222392018代替 GB/T222392008信息安全技术网络安全等级保护基本要求Information security technology Baseline for classified protection of cybersecurity(报批稿)XXXX-XX-XX 发布XXXX-XX-XX 实施GB/T 22239XXXXI目次前言.VII引言.VIII1范围.12规范性引用文件.13术语和定义.14缩略语.35网络安全等级保护概述.45.1等级保护对象.45.2不同级别的安
2、全保护能力.45.3安全通用要求和安全扩展要求.46第一级安全要求.56.1安全通用要求.56.1.1安全物理环境.56.1.2安全通信网络.56.1.3安全区域边界.56.1.4安全计算环境.66.1.5安全管理制度.66.1.6安全管理机构.76.1.7安全管理人员.76.1.8安全建设管理.76.1.9安全运维管理.86.2云计算安全扩展要求.96.2.1安全物理环境.96.2.2安全通信网络.96.2.3安全区域边界.96.2.4安全计算环境.96.2.5安全建设管理.96.3移动互联安全扩展要求.106.3.1安全物理环境.106.3.2安全区域边界.106.3.3安全计算环境.10
3、6.3.4安全建设管理.106.4物联网安全扩展要求.106.4.1安全物理环境.106.4.2安全区域边界.10GB/T 22239XXXXII6.4.3安全运维管理.116.5工业控制系统安全扩展要求.116.5.1安全物理环境.116.5.2安全通信网络.116.5.3安全区域边界.116.5.4安全计算环境.117第二级安全要求.127.1安全通用要求.127.1.1安全物理环境.127.1.2安全通信网络.137.1.3安全区域边界.137.1.4安全计算环境.147.1.5安全管理中心.157.1.6安全管理制度.157.1.7安全管理机构.167.1.8安全管理人员.167.1.
4、9安全建设管理.177.1.10安全运维管理.187.2云计算安全扩展要求.207.2.1安全物理环境.207.2.2安全通信网络.207.2.3安全区域边界.207.2.4安全计算环境.217.2.5安全建设管理.217.2.6安全运维管理.227.3移动互联安全扩展要求.227.3.1安全物理环境.227.3.2安全区域边界.227.3.3安全计算环境.227.3.4安全建设管理.237.4物联网安全扩展要求.237.4.1安全物理环境.237.4.2安全区域边界.237.4.3安全运维管理.237.5工业控制系统安全扩展要求.247.5.1安全物理环境.247.5.2安全通信网络.247
5、.5.3安全区域边界.247.5.4安全计算环境.247.5.5安全建设管理.258第三级安全要求.258.1安全通用要求.25GB/T 22239XXXXIII8.1.1安全物理环境.258.1.2安全通信网络.268.1.3安全区域边界.278.1.4安全计算环境.288.1.5安全管理中心.298.1.6安全管理制度.308.1.7安全管理机构.318.1.8安全管理人员.328.1.9安全建设管理.328.1.10安全运维管理.348.2云计算安全扩展要求.368.2.1安全物理环境.378.2.2安全通信网络.378.2.3安全区域边界.378.2.4安全计算环境.378.2.5安全
6、管理中心.388.2.6安全建设管理.398.2.7安全运维管理.398.3移动互联安全扩展要求.398.3.1安全物理环境.398.3.2安全区域边界.398.3.3安全计算环境.408.3.4安全建设管理.408.3.5安全运维管理.408.4物联网安全扩展要求.418.4.1安全物理环境.418.4.2安全区域边界.418.4.3安全计算环境.418.4.4安全运维管理.428.5工业控制系统安全扩展要求.428.5.1安全物理环境.428.5.2安全通信网络.428.5.3安全区域边界.428.5.4安全计算环境.438.5.5安全建设管理.439第四级安全要求.439.1安全通用要求
7、.439.1.1安全物理环境.439.1.2安全通信网络.459.1.3安全区域边界.459.1.4安全计算环境.469.1.5安全管理中心.48GB/T 22239XXXXIV9.1.6安全管理制度.499.1.7安全管理机构.499.1.8安全管理人员.509.1.9安全建设管理.519.1.10安全运维管理.539.2云计算安全扩展要求.559.2.1安全物理环境.559.2.2安全通信网络.569.2.3安全区域边界.569.2.4安全计算环境.569.2.5安全管理中心.579.2.6安全建设管理.589.2.7安全运维管理.589.3移动互联安全扩展要求.589.3.1安全物理环境
8、.589.3.2安全区域边界.589.3.3安全计算环境.599.3.4安全建设管理.599.3.5安全运维管理.599.4物联网安全扩展要求.609.4.1安全物理环境.609.4.2安全区域边界.609.4.3安全计算环境.609.4.4安全运维管理.619.5工业控制系统安全扩展要求.619.5.1安全物理环境.619.5.2安全通信网络.619.5.3安全区域边界.619.5.4安全计算环境.629.5.5安全建设管理.6210第五级安全要求.63附录 A(规范性附录)关于安全通用要求和安全扩展要求的选择和使用.64附录 B(规范性附录)关于等级保护对象整体安全保护能力的要求.68附录
9、 C(规范性附录)等级保护安全框架和关键技术使用要求.69附录 D(资料性附录)云计算应用场景说明.71附录 E(资料性附录)移动互联应用场景说明.72附录 F(资料性附录)物联网应用场景说明.73附录 G(资料性附录)工业控制系统应用场景说明.74G.1工业控制系统概述.74G.2工业控制系统层次模型.74GB/T 22239XXXXVG.3各个层次实现等级保护基本要求的差异.75G.4实现等级保护要求的一些约束条件.76附录 H(资料性附录)大数据应用场景说明.77H.1大数据概述.77H.2第一级可参考安全控制措施.78H.3第二级可参考安全控制措施.78H.4第三级可参考安全控制措施.
10、79H.5第四级可参考安全控制措施.80参考文献.82GB/T 22239XXXXVI前言本标准按照GB/T 1.12009标准化工作导则第1部分:标准的结构和编写给出的规则起草。本标准代替GB/T 222392008信息安全技术信息系统安全等级保护基本要求,与GB/T 222392008相比,主要变化如下:标准的名称由“信息安全技术信息系统安全等级保护基本要求”变更为“信息安全技术网络安全等级保护基本要求”。调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。调整各个级别的安全要求为安全通用要求
11、、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。取消了原来安全控制点的 S、A、G 标注,增加一个附录 A 描述等级保护对象的定级结果和安全要求之间的关系,说明如何根据定级结果选择安全要求。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准起草单位:公安部第三研究所(公安部信息安全等级保护评估中心)、国家能源局信息中心、阿里云计算有限公司、中国科学院信息工程研究所(信息安全国家重点实验室)、新华三技术有限公司、华为技术有限公司、启明星辰信息技术集团股
12、份有限公司、北京鼎普科技股份有限公司、中国电子信息产业集团有限公司第六研究所、公安部第一研究所、国家信息中心、山东微分电子科技有限公司、中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、浙江大学、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、浙江国利信安科技有限公司、机械工业仪器仪表综合技术经济研究所、杭州科技职业技术学院。本标准主要起草人:马力、陈广勇、张振峰、郭启全、葛波蔚、祝国邦、陆磊、曲洁、于东升、李秋香、任卫红、胡红升、陈雪鸿、冯冬芹、王江波、张宗喜、张宇翔、毕马宁、沙淼淼、李明、黎水林、于晴、李超、刘之涛、袁静、霍珊珊、黄顺京、尹湘培、苏艳芳、陶源、陈雪
13、秀、于俊杰、沈锡镛、杜静、周颖、吴薇、刘志宇、宫月、王昱镔、禄凯、章恒、高亚楠、段伟恒、马闽、贾驰千、陆耿虹、高梦州、赵泰、孙晓军、许凤凯、王绍杰、马红霞、刘美丽。GB/T 22239XXXXVII引言为了配合中华人民共和国网络安全法的实施,适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展,需对GB/T 222392008进行修订,修订的思路和方法是调整原国家标准GB/T 222392008的内容,针对共性安全保护需求提出安全通用要求,针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络
14、安全等级保护基本要求标准。本标准是网络安全等级保护相关系列标准之一。与本标准相关的标准包括:GB/T 25058信息安全技术网络安全等级保护实施指南;GB/T 22240信息安全技术网络安全等级保护定级指南;GB/T 25070信息安全技术网络安全等级保护安全设计技术要求;GB/T 28448信息安全技术网络安全等级保护测评要求;GB/T 28449信息安全技术网络安全等级保护测评过程指南。在本标准中,加黑部分加黑部分表示较高等级中增加或增强的要求。GB/T 22239XXXX1信息安全技术网络安全等级保护基本要求1范围本标准规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安
15、全扩展要求。本标准适用于指导分等级的非涉密对象的安全建设和监督管理。对第五级等级保护对象的安全要求不在本标准中描述。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB 17859计算机信息系统安全保护等级划分准则GB/T 22240信息安全技术信息系统安全等级保护定级指南GB/T 25069信息安全技术术语GB/T 311672014信息安全技术云计算服务安全指南GB/T 311682014信息安全技术云计算服务安全能力要求GB/T 329192016信息安全技术工业控
16、制系统安全控制应用指南3术语和定义GB 17859、GB/T 22240、GB/T 25069、GB/T 311672014、GB/T 311682014和GB/T 329192016界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了GB/T 311672014、GB/T311682014和GB/T 329192016中的某些术语和定义。3.1网络安全cybersecurity通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。3.2安全保护能力security protect
17、ion ability能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。3.3云计算cloud computing通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式。注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。GB/T 311672014,定义3.1GB/T 22239XXXX23.4云服务商cloud service provider云计算服务的供应方。注:云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。GB/T 311672014,定义3.33.5云服务客户cloud service cust
18、omer为使用云计算服务同云服务商建立业务关系的参与方。GB/T 311682014,定义3.43.6云计算平台/系统cloud computing platform/system云服务商提供的云计算基础设施及其上的服务软件的集合。3.7虚拟机监视器hypervisor运行在基础物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享硬件。3.8宿主机host machine运行虚拟机监视器的物理服务器。3.9移动互联mobile communication采用无线通信技术将移动终端接入有线网络的过程。3.10移动终端mobile device在移动业务中使用的终端设备,包括智能手机
19、、平板电脑、个人电脑等通用终端和专用终端设备。3.11无线接入设备wireless access device采用无线通信技术将移动终端接入有线网络的通信设备。3.12无线接入网关wireless access gateway部署在无线网络与有线网络之间,对有线网络进行安全防护的设备。3.13移动应用软件mobile application针对移动终端开发的应用软件。3.14移动终端管理系统mobile device management system用于进行移动终端设备管理、应用管理和内容管理的专用软件,包括客户端软件和服务端软件。GB/T 22239XXXX33.15物联网internet
20、 of things(IoT)将感知节点设备通过互联网等网络连接起来构成的系统。3.16感知节点设备sensor node对物或环境进行信息采集和/或执行操作,并能联网进行通信的装置。3.17感知网关节点设备sensor layer gateway将感知节点所采集的数据进行汇总、适当处理或数据融合,并进行转发的装置。3.18工业控制系统industrial control system工业控制系统(ICS)是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统,如可编程逻辑控制器(PLC),现已广泛应用在工业部门和
21、关键基础设施中。GB/T 329192016,定义3.14缩略语下列缩略语适用于本文件。AP:无线访问接入点(Wireless Access Point)CPU:中央处理器(Central Processing Unit)DCS:集散控制系统(Distributed Control System)DDoS:拒绝服务(Distributed Denial of Service)ERP:企业资源计划(Enterprise Resource Planning)FTP:文件传输协议(File Transfer Protocol)HMI:人机界面(Human Machine Interface)IaaS
22、:基础设施即服务(Infrastructure-as-a-Service)ICS:工业控制系统(Industrial Control System)IoT:物联网(internet of things)IP:互联网协议(Internet Protocol)IT:信息技术(Information Technology)MES:制造执行系统(Manufactoring Execution System)PaaS:平台即服务(Platform-as-a-Service)PLC:可编程逻辑控制器(Programmable Logic Controller)RFID:射频识别(radio frequen
23、cy identification)SaaS:软件即服务(Software-as-a-Service)SCADA:数据采集与监视控制系统(Supervisory Control And Data Acquisition system)SSID:服务集标识(Service Set Identifier)TCB:可信计算基(Trusted Computing Base)USB:通用串行总线(Universal Serial Bus)WEP:有线等效加密(Wired Equivalent Privacy)GB/T 22239XXXX4WPS:WiFi保护设置(WiFi Protected Setup
24、)5网络安全等级保护概述5.1等级保护对象等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。保护对象的安全保护等级确定方法见GB/T 22240。5.2不同级别的安全保护能力不同级别的等级保护对
25、象应具备的基本安全保护能力如下:第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全技术网络安全等级保护基本要求GB-T 22239-2019 信息 安全技术 网络安全 等级 保护 基本要求 GB 22239 2019
限制150内