信息安全技术网络安全等级保护基本要求(GB-T 22239-2019).docx
《信息安全技术网络安全等级保护基本要求(GB-T 22239-2019).docx》由会员分享,可在线阅读,更多相关《信息安全技术网络安全等级保护基本要求(GB-T 22239-2019).docx(92页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、ICS35.040L 80中华人民共和国国家标准GB/T 222392018代替GB/T222392008 信息安全技术网络安全等级保护基本要求Information security technology Baseline for classified protection of cybersecurityXXXX - XX - XX发布XXXX - XX - XX实施GB/T 22239XXXX目次前言VII引言VIII1范围12规范性引用文件13术语和定义14缩略语35网络安全等级保护概述45.1等级保护对象45.2不同级别的安全保护能力45.3安全通用要求和安全扩展要求46第一级安全要
2、求56.1安全通用要求56.1.1安全物理环境56.1.2安全通信网络56.1.3安全区域边界56.1.4安全计算环境66.1.5安全管理制度66.1.6安全管理机构76.1.7安全管理人员76.1.8安全建设管理76.1.9安全运维管理86.2云计算安全扩展要求96.2.1安全物理环境96.2.2安全通信网络96.2.3安全区域边界96.2.4安全计算环境96.2.5安全建设管理96.3移动互联安全扩展要求106.3.1安全物理环境106.3.2安全区域边界106.3.3安全计算环境106.3.4安全建设管理106.4物联网安全扩展要求106.4.1安全物理环境106.4.2安全区域边界10
3、6.4.3安全运维管理116.5工业控制系统安全扩展要求116.5.1安全物理环境116.5.2安全通信网络116.5.3安全区域边界116.5.4安全计算环境117第二级安全要求127.1安全通用要求127.1.1安全物理环境127.1.2安全通信网络137.1.3安全区域边界137.1.4安全计算环境147.1.5安全管理中心157.1.6安全管理制度157.1.7安全管理机构167.1.8安全管理人员167.1.9安全建设管理177.1.10安全运维管理187.2云计算安全扩展要求207.2.1安全物理环境207.2.2安全通信网络207.2.3安全区域边界207.2.4安全计算环境21
4、7.2.5安全建设管理217.2.6安全运维管理227.3移动互联安全扩展要求227.3.1安全物理环境227.3.2安全区域边界227.3.3安全计算环境227.3.4安全建设管理237.4物联网安全扩展要求237.4.1安全物理环境237.4.2安全区域边界237.4.3安全运维管理237.5工业控制系统安全扩展要求247.5.1安全物理环境247.5.2安全通信网络247.5.3安全区域边界247.5.4安全计算环境247.5.5安全建设管理258第三级安全要求258.1安全通用要求258.1.1安全物理环境258.1.2安全通信网络268.1.3安全区域边界278.1.4安全计算环境2
5、88.1.5安全管理中心298.1.6安全管理制度308.1.7安全管理机构318.1.8安全管理人员328.1.9安全建设管理328.1.10安全运维管理348.2云计算安全扩展要求368.2.1安全物理环境378.2.2安全通信网络378.2.3安全区域边界378.2.4安全计算环境378.2.5安全管理中心388.2.6安全建设管理398.2.7安全运维管理398.3移动互联安全扩展要求398.3.1安全物理环境398.3.2安全区域边界398.3.3安全计算环境408.3.4安全建设管理408.3.5安全运维管理408.4物联网安全扩展要求418.4.1安全物理环境418.4.2安全区
6、域边界418.4.3安全计算环境418.4.4安全运维管理428.5工业控制系统安全扩展要求428.5.1安全物理环境428.5.2安全通信网络428.5.3安全区域边界428.5.4安全计算环境438.5.5安全建设管理439第四级安全要求439.1安全通用要求439.1.1安全物理环境439.1.2安全通信网络459.1.3安全区域边界459.1.4安全计算环境469.1.5安全管理中心489.1.6安全管理制度499.1.7安全管理机构499.1.8安全管理人员509.1.9安全建设管理519.1.10安全运维管理539.2云计算安全扩展要求559.2.1安全物理环境559.2.2安全通
7、信网络569.2.3安全区域边界569.2.4安全计算环境569.2.5安全管理中心579.2.6安全建设管理589.2.7安全运维管理589.3移动互联安全扩展要求589.3.1安全物理环境589.3.2安全区域边界589.3.3安全计算环境599.3.4安全建设管理599.3.5安全运维管理599.4物联网安全扩展要求609.4.1安全物理环境609.4.2安全区域边界609.4.3安全计算环境609.4.4安全运维管理619.5工业控制系统安全扩展要求619.5.1安全物理环境619.5.2安全通信网络619.5.3安全区域边界619.5.4安全计算环境629.5.5安全建设管理6210
8、第五级安全要求63附录A(规范性附录)关于安全通用要求和安全扩展要求的选择和使用64附录B(规范性附录)关于等级保护对象整体安全保护能力的要求68附录C(规范性附录)等级保护安全框架和关键技术使用要求69附录D(资料性附录)云计算应用场景说明71附录E(资料性附录)移动互联应用场景说明72附录F(资料性附录)物联网应用场景说明73附录G(资料性附录)工业控制系统应用场景说明74G.1工业控制系统概述74G.2工业控制系统层次模型74G.3各个层次实现等级保护基本要求的差异75G.4实现等级保护要求的一些约束条件76附录H(资料性附录)大数据应用场景说明77H.1大数据概述77H.2第一级可参考
9、安全控制措施78H.3第二级可参考安全控制措施78H.4第三级可参考安全控制措施79H.5第四级可参考安全控制措施80参考文献82前言本标准按照GB/T 1.12009标准化工作导则 第1部分:标准的结构和编写给出的规则起草。本标准代替GB/T 222392008信息安全技术 信息系统安全等级保护基本要求,与GB/T 222392008相比,主要变化如下: 标准的名称由“信息安全技术 信息系统安全等级保护基本要求”变更为“信息安全技术 网络安全等级保护基本要求”。 调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设
10、管理、安全运维管理。 调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。 取消了原来安全控制点的S、A、G标注,增加一个附录A描述等级保护对象的定级结果和安全要求之间的关系,说明如何根据定级结果选择安全要求。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准起草单位:公安部第三研究所(公安部信息安全等级保护评估中心)、国家能源局信息中心、阿里云计算有限公司、中国科学院信息工程研究所(信息安全国家重点实验室)、新华三技
11、术有限公司、华为技术有限公司、启明星辰信息技术集团股份有限公司、北京鼎普科技股份有限公司、中国电子信息产业集团有限公司第六研究所、公安部第一研究所、国家信息中心、山东微分电子科技有限公司、中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、浙江大学、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、浙江国利信安科技有限公司、机械工业仪器仪表综合技术经济研究所、杭州科技职业技术学院。本标准主要起草人:马力、陈广勇、张振峰、郭启全、葛波蔚、祝国邦、陆磊、曲洁、于东升、李秋香、任卫红、胡红升、陈雪鸿、冯冬芹、王江波、张宗喜、张宇翔、毕马宁、沙淼淼、李明、黎水林、于晴、李超、刘之
12、涛、袁静、霍珊珊、黄顺京、尹湘培、苏艳芳、陶源、陈雪秀、于俊杰、沈锡镛、杜静、周颖、吴薇、刘志宇、宫月、王昱镔、禄凯、章恒、高亚楠、段伟恒、马闽、贾驰千、陆耿虹、高梦州、赵泰、孙晓军、许凤凯、王绍杰、马红霞、刘美丽。引言为了配合中华人民共和国网络安全法的实施,适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展,需对GB/T 222392008进行修订,修订的思路和方法是调整原国家标准GB/T 222392008的内容,针对共性安全保护需求提出安全通用要求,针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展
13、要求,形成新的网络安全等级保护基本要求标准。本标准是网络安全等级保护相关系列标准之一。与本标准相关的标准包括: GB/T 25058 信息安全技术 网络安全等级保护实施指南; GB/T 22240 信息安全技术 网络安全等级保护定级指南; GB/T 25070 信息安全技术 网络安全等级保护安全设计技术要求; GB/T 28448 信息安全技术 网络安全等级保护测评要求; GB/T 28449 信息安全技术 网络安全等级保护测评过程指南。在本标准中,加黑部分表示较高等级中增加或增强的要求。81信息安全技术 网络安全等级保护基本要求1 范围本标准规定了网络安全等级保护的第一级到第四级等级保护对象
14、的安全通用要求和安全扩展要求。本标准适用于指导分等级的非涉密对象的安全建设和监督管理。对第五级等级保护对象的安全要求不在本标准中描述。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB 17859 计算机信息系统安全保护等级划分准则GB/T 22240 信息安全技术 信息系统安全等级保护定级指南GB/T 25069 信息安全技术 术语GB/T 311672014 信息安全技术 云计算服务安全指南GB/T 311682014 信息安全技术 云计算服务安全能力要求GB/T
15、 329192016 信息安全技术 工业控制系统安全控制应用指南3 术语和定义GB 17859、GB/T 22240、GB/T 25069、GB/T 311672014、GB/T 311682014和GB/T 329192016界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了GB/T 311672014、GB/T 311682014和GB/T 329192016中的某些术语和定义。3.1 网络安全 cybersecurity通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
16、3.2 安全保护能力 security protection ability能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。3.3 云计算cloud computing通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式。注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。GB/T 311672014,定义3.13.4 云服务商 cloud service provider云计算服务的供应方。注:云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。GB/T 311672014,定义3.33.5 云服务客户 c
17、loud service customer为使用云计算服务同云服务商建立业务关系的参与方。GB/T 311682014,定义3.43.6 云计算平台/系统 cloud computing platform/system云服务商提供的云计算基础设施及其上的服务软件的集合。3.7 虚拟机监视器 hypervisor运行在基础物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享硬件。3.8 宿主机 host machine运行虚拟机监视器的物理服务器。3.9 移动互联 mobile communication采用无线通信技术将移动终端接入有线网络的过程。3.10 移动终端 mobile
18、 device在移动业务中使用的终端设备,包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。3.11 无线接入设备 wireless access device采用无线通信技术将移动终端接入有线网络的通信设备。3.12 无线接入网关 wireless access gateway部署在无线网络与有线网络之间,对有线网络进行安全防护的设备。3.13 移动应用软件 mobile application针对移动终端开发的应用软件。3.14 移动终端管理系统 mobile device management system用于进行移动终端设备管理、应用管理和内容管理的专用软件,包括客户端软件和服
19、务端软件。3.15 物联网 internet of things(IoT)将感知节点设备通过互联网等网络连接起来构成的系统。3.16 感知节点设备 sensor node对物或环境进行信息采集和/或执行操作,并能联网进行通信的装置。3.17 感知网关节点设备 sensor layer gateway将感知节点所采集的数据进行汇总、适当处理或数据融合,并进行转发的装置。3.18 工业控制系统industrial control system工业控制系统(ICS)是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统,
20、如可编程逻辑控制器(PLC),现已广泛应用在工业部门和关键基础设施中。GB/T 329192016,定义3.14 缩略语下列缩略语适用于本文件。AP:无线访问接入点(Wireless Access Point)CPU:中央处理器(Central Processing Unit)DCS:集散控制系统(Distributed Control System)DDoS:拒绝服务 (Distributed Denial of Service)ERP:企业资源计划(Enterprise Resource Planning)FTP:文件传输协议(File Transfer Protocol)HMI:人机界面
21、(Human Machine Interface)IaaS:基础设施即服务(Infrastructure-as-a-Service)ICS:工业控制系统(Industrial Control System)IoT:物联网(internet of things)IP:互联网协议(Internet Protocol)IT:信息技术(Information Technology)MES:制造执行系统(Manufactoring Execution System)PaaS:平台即服务(Platform-as-a-Service)PLC:可编程逻辑控制器(Programmable Logic Contr
22、oller)RFID:射频识别(radio frequency identification)SaaS:软件即服务(Software-as-a-Service)SCADA:数据采集与监视控制系统(Supervisory Control And Data Acquisition system)SSID:服务集标识(Service Set Identifier)TCB:可信计算基(Trusted Computing Base)USB:通用串行总线(Universal Serial Bus)WEP:有线等效加密(Wired Equivalent Privacy)WPS:WiFi保护设置(WiFi P
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全技术网络安全等级保护基本要求GB-T 22239-2019 信息 安全技术 网络安全 等级 保护 基本要求 GB 22239 2019
限制150内