GB/T 22239-2019 信息安全技术网络安全等级保护基本要求

ICS35.040 L.80
GB中华人民共和国国家标准
GB/T22239-2019 代替GB/T22239—2008
信息安全技术网络安全等级保护基本要求
Information security technology Baseline for classified protection of cybersecurity
2019-05-10发布
2019-12-01实施
国家市场监督管理总局
中国国家标准化管理委员会发布

本标准按照GB/T1.1一2009给出的规则起草。
本标准代替GB/T22239一2008《信息安全技术信息系统安全等级保护基本要求》，与
GB/T22239一2008相比，主要变化如下：
将标准名称变更为《信息安全技术网络安全等级保护基本要求》；
调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理；
调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求；
取消了原来安全控制点的、A、G标注，增加一个附录A描述等级保护对象的定级结果和安全要求之间的关系，说明如何根据定级结果选择安全要求；
调整了原来附录A和附录B的顺序，增加了附录C描述网络安全等级保护总体框架，并提出关键技术使用要求。

为了配合《中华人民共和国网络安全法》的实施，同时适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展，需对GB/T22239一2008进行修订，修订的思路和方法是调整原国家标准GB/T22239一2008的内容，针对共性安全保护需求提出安全通用要求，针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。
本标准是网络安全等级保护相关系列标准之一。
与本标准相关的标准包括：
一GB/T25058信息安全技术信息系统安全等级保护实施指南；
一GB/T22240信息安全技术信息系统安全等级保护定级指南；
一GB/T25070信息安全技术网络安全等级保护安全设计技术要求；
一GB/T28448信息安全技术网络安全等级保护测评要求；
一GB/T28449信息安全技术网络安全等级保护测评过程指南。
在本标准中，黑体字部分表示较高等级中增加或增强的要求。

信息安全技术网络安全等级保护基本要求
1范围
本标准规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。
本标准适用于指导分等级的非涉密对象的安全建设和监督管理。
注：第五级等级保护对象是非常重要的监督管理对象，对其有特殊的管理模式和安全要求，所以不在本标准中进行描述。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB17859计算机信息系统安全保护等级划分准则
GB/T22240信息安全技术信息系统安全等级保护定级指南
GB/T25069信息安全技术术语
GB/T31167一2014信息安全技术云计算服务安全指南
GB/T31168一2014信息安全技术云计算服务安全能力要求
GB/T32919一2016信息安全技术工业控制系统安全控制应用指南
3术语和定义
GB17859、GB/T22240、GB/T25069、GB/T31167—2014、GB/T31168—2014和GB/T32919—
2016界定的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了GB/T31167一2014、GB/T31168一2014和GB/T32919—2016中的一些术语和定义。
3.1网络安全cyber security
通过采取必要措施，防范对网络的攻击、侵人、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。
3.2安全保护能力security protection ability
能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。
3.3云计算cloud computing
通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。
注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。
[GB/T31167—2014,定义3.1]
3.4云服务商cloud service provider
云计算服务的供应方。
注：云服务商管理、运营、支撑云计算的计算基础设施及软件，通过网络交付云计算的资源。
[GB/T31167—2014,定义3.3]
3.5云服务客户cloud service customer
为使用云计算服务同云服务商建立业务关系的参与方。
[GB/T31168—2014,定义3.4]
3.6云计算平台/系统cloud computing platform/system
云服务商提供的云计算基础设施及其上的服务软件的集合。
3.7虚拟机监视器hypervisor
运行在基础物理服务器和操作系统之间的中间软件层，可允许多个操作系统和应用共享硬件。
3.8宿主机host machine
运行虚拟机监视器的物理服务器。
3.9移动互联mobile communication
采用无线通信技术将移动终端接人有线网络的过程。
3.10移动终端mobile device
在移动业务中使用的终端设备，包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。
3.11无线接入设备wireless access device
采用无线通信技术将移动终端接人有线网络的通信设备。
3.12无线接入网关wireless access gateway
部署在无线网络与有线网络之间，对有线网络进行安全防护的设备。
3.13移动应用软件mobile application
针对移动终端开发的应用软件。
3.14移动终端管理系统mobile device management system
用于进行移动终端设备管理、应用管理和内容管理的专用软件，包括客户端软件和服务端软件。
3.15物联网internet of things
将感知节点设备通过互联网等网络连接起来构成的系统。
3.16感知节点设备sensor node
对物或环境进行信息采集和/或执行操作，并能联网进行通信的装置。
3.17感知网关节点设备sensor layer gateway
将感知节点所采集的数据进行汇总、适当处理或数据融合，并进行转发的装置。
3.18工业控制系统industrial control system
工业控制系统(IC)是一个通用术语，它包括多种工业生产中使用的控制系统，包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统，如可编程逻辑控制器(PLC),现已广泛应用在工业部门和关键基础设施中。
[GB/T32919—2016,定义3.1]
4缩略语
下列缩略语适用于本文件。
AP:无线访问接人点(Wireless Access Point)
DCS:集散控制系统(Distributed Control System)
DDoS:拒绝服务(Distributed Denial of Service)
ERP:企业资源计划(Enterprise Resource Planning)
FTP:文件传输协议(File Transfer Protocol)
HMI:人机界面(Human Machine Interface)
IaaS:基础设施即服务(Infrastructure-as-a-Service)
ICS:工业控制系统(Industrial Control System)
IoT:物联网(Internet of Things)
IP:互联网协议(Internet Protocol)
IT:信息技术(Information Technology)
MES:制造执行系统(Manufacturing Execution System)
PaaS:平台即服务(Platform-as-a-Service)
PLC:可编程逻辑控制器(Programmable Logic Controller)
RFID:射频识别(Radio Frequency Identification)
SaaS:软件即服务(Software-as-a-Service)
SCADA:数据采集与监视控制系统(Supervisory Control and Data Acquisition System)
SSID:服务集标识(Service Set Identifier)
TCB:可信计算基(Trusted Computing Base)
USB:通用串行总线(Universal Serial Bus)
WEP:有线等效加密(Wired Equivalent Privacy)
WPS:WiFi保护设置(WiFi Protected Setup)

投稿会员：匿名用户