GB/T 22239-2019 信息安全技术网络安全等级保护基本要求

ICS35.040 L80
中华人民共和国国家标准
GB/T22239—2019 代替GB/T22239—2008
信息安全技术
网络安全等级保护基本要求
Information security technology Baseline for classified protection of cybersecurity
2019-05-10发布
2019-12-01实施
国家市场监督管理总局
中国国家标准化管理委员会 发布

本标准按照GB/T1.1一2009给出的规则起草。
本标准代替GB/T22239一2008《信息安全技术信息系统安全等级保护基本要求》，与GB/T22239一2008相比，主要变化如下：
将标准名称变更为《信息安全技术网络安全等级保护基本要求》；
一调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理；
调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求；
一取消了原来安全控制点的S、A、G标注，增加一个附录A描述等级保护对象的定级结果和安全要求之间的关系，说明如何根据定级结果选择安全要求；
调整了原来附录A和附录B的顺序，增加了附录C描述网络安全等级保护总体框架，并提出关键技术使用要求。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位：公安部第三研究所（公安部信息安全等级保护评估中心）、国家能源局信息中心、阿里云计算有限公司、中国科学院信息工程研究所（信息安全国家重点实验室）、新华三技术有限公司、华为技术有限公司、启明星辰信息技术集团股份有限公司、北京鼎普科技股份有限公司、中国电子信息产业集团有限公司第六研究所、公安部第一研究所、国家信息中心、山东微分电子科技有限公司、中国电子科技集团公司第十五研究所（信息产业信息安全测评中心）、浙江大学、工业和信息化部计算机与微电子发展研究中心（中国软件评测中心）、浙江国利信安科技有限公司、机械工业仪器仪表综合技术经济研究所、杭州科技职业技术学院。
本标准主要起草人：马力、陈广勇、张振峰、郭启全、葛波蔚、祝国邦、陆磊、曲洁、于东升、李秋香、任卫红、胡红升、陈雪鸿、冯冬芹、王江波、张宗喜、张宇翔、毕马宁、沙淼淼、李明、黎水林、于晴、李超、刘之涛、袁静、霍珊珊、黄顺京、尹湘培、苏艳芳、陶源、陈雪秀、于俊杰、沈锡铺、杜静、周颖、吴薇、刘志宇、宫月、王昱镔、禄凯、章恒、高亚楠、段伟恒、马闽、贾驰千、陆耿虹、高梦州、赵泰、孙晓军、许凤凯、王绍杰、马红霞、刘美丽。
本标准所代替标准的历次版本发布情况为：
—GB/T22239—2008。

为了配合《中华人民共和国网络安全法》的实施，同时适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展，需对GB/T22239一2008进行修订，修订的思路和方法是调整原国家标准GB/T22239一2008的内容，针对共性安全保护需求提出安全通用要求，针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。
本标准是网络安全等级保护相关系列标准之一。
与本标准相关的标准包括：
GB/T25058信息安全技术信息系统安全等级保护实施指南；
GB/T22240
信息安全技术信息系统安全等级保护定级指南；
GB/T25070信息安全技术网络安全等级保护安全设计技术要求；
GB/T28448信息安全技术网络安全等级保护测评要求；
GB/T28449信息安全技术网络安全等级保护测评过程指南。
在本标准中，黑体字部分表示较高等级中增加或增强的要求。

1范围
本标准规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。
本标准适用于指导分等级的非涉密对象的安全建设和监督管理。
注：第五级等级保护对象是非常重要的监督管理对象，对其有特殊的管理模式和安全要求，所以不在本标准中进行描述。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB17859计算机信息系统安全保护等级划分准则
GB/T22240信息安全技术信息系统安全等级保护定级指南
GB/T25069信息安全技术术语
GB/T31167一2014信息安全技术云计算服务安全指南
GB/T31168一2014信息安全技术云计算服务安全能力要求
GB/T32919-2016
信息安全技术工业控制系统安全控制应用指南
3术语和定义
GB17859、GB/T22240、GB/T25069、GB/T31167-2014、GB/T31168—2014和GB/T32919-2016界定的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了GB/T31167一2014、GB/T31168—2014和GB/T32919—2016中的一些术语和定义。
3.1网络安全cybersecurity
通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。
3.2安全保护能力security protection ability
能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。
3.3云计算cloud computing
通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。
注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。
[GB/T311672014,定义3.1]
3.4云服务商cloud service provider
云计算服务的供应方。
注：云服务商管理、运营、支撑云计算的计算基础设施及软件，通过网络交付云计算的资源。
[GB/T311672014,定义3.3]
3.5云服务客户cloud service customer
为使用云计算服务同云服务商建立业务关系的参与方。
[GB/T311682014，定义3.4]
3.6云计算平台/系统cloud computing platform/system
云服务商提供的云计算基础设施及其上的服务软件的集合。
3.7虚拟机监视器hypervisor
运行在基础物理服务器和操作系统之间的中间软件层，可允许多个操作系统和应用共享硬件。
3.8宿主机host machine
运行虚拟机监视器的物理服务器。
3.9移动互联mobile communication
采用无线通信技术将移动终端接人有线网络的过程。
3.10移动终端mobile device
在移动业务中使用的终端设备，包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。
3.11无线接入设备wireless access device
采用无线通信技术将移动终端接人有线网络的通信设备。
3.12无线接入网关wireless access gateway
部署在无线网络与有线网络之间，对有线网络进行安全防护的设备。
3.13移动应用软件mobile application
针对移动终端开发的应用软件。
3.14移动终端管理系统mobile device management system
用于进行移动终端设备管理、应用管理和内容管理的专用软件，包括客户端软件和服务端软件。
3.15物联网internet of things
将感知节点设备通过互联网等网络连接起来构成的系统。
3.16感知节点设备sensor node
对物或环境进行信息采集和/或执行操作，并能联网进行通信的装置。
3.17感知网关节点设备sensor layer gateway
将感知节点所采集的数据进行汇总、适当处理或数据融合，并进行转发的装置。
3.18工业控制系统industrial control system
工业控制系统(ICS)是一个通用术语，它包括多种工业生产中使用的控制系统，包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统，如可编程逻辑控制器(PLC),现已广泛应用在工业部门和关键基础设施中。
[GB/T32919一2016，定义3.1]
4缩略语
下列缩略语适用于本文件。
AP:无线访问接人点(Wireless Access Point)
DCS:集散控制系统(Distributed Control System)
DDoS:拒绝服务(Distributed Denial of Service)
ERP:企业资源计划(Enterprise Resource Planning)
FTP:文件传输协议(File Transfer Protocol)
HMI:人机界面(Human Machine Interface)
laaS:基础设施即服务(Infrastructure-as-a-Service)
ICS:工业控制系统(Industrial Control System)
IoT:物联网(Internet of Things)
IP:互联网协议(Internet Protocol)
IT:信息技术(Information Technology)
MES:制造执行系统(Manufacturing Execution System)
PaaS:平台即服务(Platform-as-a-Service)
PLC:可编程逻辑控制器(Programmable Logic Controller)
RFID:射频识别(Radio Frequency Identification)
SaaS:软件即服务(Software-as-a-Service)
SCADA:数据采集与监视控制系统(Supervisory Control and Data Acquisition System)
SSID:服务集标识(Service Set Identifier)
TCB:可信计算基(Trusted Computing Base)
USB:通用串行总线(Universal Serial Bus)
WEP:有线等效加密(Wired Equivalent Privacy)
WPS:WiFi保护设置(WiFi Protected Setup)
5网络安全等级保护概述
5.1等级保护对象
等级保护对象是指网络安全等级保护工作中的对象，通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(0T)、工业控制系统和采用移动互联技术的

内容索引：

前言Ⅲ
引言Ⅳ
1范围1
2规范性引用文件1
3术语和定义1
4缩略语3
5网络安全等级保护概述3
5.1等级保护对象3
5.2不同级别的安全保护能力4
5.3安全通用要求和安全扩展要求4
6第一级安全要求4
6.1安全通用要求4
6.2云计算安全扩展要求9
6.3移动互联安全扩展要求……10
6.4物联网安全扩展要求………10
6.5工业控制系统安全扩展要求…11
7第二级安全要求………12
7.1安全通用要求12
7.2云计算安全扩展要求21
7.3移动互联安全扩展要求……23
7.4物联网安全扩展要求24
7.5工业控制系统安全扩展要求·24
8第三级安全要求26
8.1安全通用要求26
8.2云计算安全扩展要求38
8.3移动互联安全扩展要求…40
8.4物联网安全扩展要求42
8.5工业控制系统安全扩展要求·43
9第四级安全要求45
9.1安全通用要求45
9.2云计算安全扩展要求…57
9.3移动互联安全扩展要求………60
9.4物联网安全扩展要求………………61
9.5工业控制系统安全扩展要求·63
10第五级安全要求64
附录A(规范性附录)关于安全通用要求和安全扩展要求的选择和使用65
附录B(规范性附录)关于等级保护对象整体安全保护能力的要求………………………69
附录C(规范性附录)等级保护安全框架和关键技术使用要求……70
附录D(资料性附录)云计算应用场景说明…………72
附录E(资料性附录)移动互联应用场景说明……,73
附录F(资料性附录)物联网应用场景说明……·74
附录G(资料性附录)工业控制系统应用场景说明75
附录H(资料性附录)大数据应用场景说明……78
参考文献83

投稿会员：匿名用户