网络安全-等级保护(等保) 2-4 GB/T 22239-2019 《信息安全技术 网络安全等级保护基础要求》-2019-05-10发布【现行】
################################################################################
等级确定之后,需要根据不同的安全等级满足相关建设要求,《等级保护基础要求》明确了安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个方面,68 个控制点,135 个安全标准项。每一等级都有针对上述十个方面的要求。
其中除了安全管理人员,其他九个方面,每个方面都有高风险项,安全物理环境 8项、安全通信网络 8项、安全区域边界 11项、安全计算环境 网络设备、安全设备、主机设备等:10项,应用系统:22项、安全管理中心 4项、安全管理制度 1项、安全管理机构 1项、安全建设管理 5项、安全运维管理 10项。共计80项(其中有重复项)。
高风险项的等保测评过程中的否决项,我们在表格中以红色填充标记高风险项,所以必须满足。当然高风险项都有相应的补偿措施,可通过补偿措施降低风险。
GB/T 22239-2019 《信息安全技术 网络安全等级保护基础要求》是网络安全等级保护相关系列标准之一,由国家市场监督管理总局、中国国家标准化管理委员会 2019-05-10发布 2019-12-01实施,是现行有效的国家标准文件。
GB/T 22239-2019 《信息安全技术 网络安全等级保护基础要求》为了配合《中华人民共和国网络安全法》的实施,同时适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展,对 GB/T22239—2008进行修订,代替 GB/T 22239—2008《信息安全技术信息系统安全等级保护基本要求》。
主要内容包括如下内容,
- 5 网络安全等级保护概述
- 6 第一级安全要求
- 7 第二级安全要求
- 8 第三级安全要求
- 9 第四级安全要求
- 10 第五级安全要求
- 附录 A (规范性附录) 关于安全通用要求和安全扩展要求的选择和使用
- 附录 B (规范性附录) 关于等级保护对象整体安全保护能力的要求
- 附录 C (规范性附录) 等级保护安全框架和关键技术使用要求
- 附录 D (资料性附录) 云计算应用场景说明
- 附录 E (资料性附录) 移动互联应用场景说明
- 附录 F (资料性附录) 物联网应用场景说明
- 附录 G (资料性附录) 工业控制系统应用场景说明
- 附录 H (资料性附录) 大数据应用场景说明
博客内容会对1~5章及附录进行说明,6-9章第一级到第四级的具体内容以表格的方式展示,充分对比每一级要求差别,并标记高风险项,如下图所示:
文档标记说明:
- 绿色:标准或政策文件。
- 橙色:为网络安全标准要点。
- 加粗标记:以动词为主,根据政策要求动作去分解政策要求。
################################################################################
前 言
- 本标准按照 GB/T1.1—2009给出的规则起草。
- 本标准代 替 GB/T 22239—2008《信息安全技术信息系统安全等级保护基本要求》,与GB/T22239—2008相比,主要变化如下:
- ———将标准名称变更为《信息安全技术 网络安全等级保护基本要求》;
- ———调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理;
- ———调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求;
- ———取消了原来安全控制点的S、A、G 标注,增加一个附录 A 描述等级保护对象的定级结果和安全要求之间的关系,说明如何根据定级结果选择安全要求;
- ———调整了原来附录 A 和附录 B的顺序,增加了附录 C描述网络安全等级保护总体框架,并提出关键技术使用要求。
- ———将标准名称变更为《信息安全技术 网络安全等级保护基本要求》;
- 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
- 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
- 本标准起草单位:
- 公安部第三研究所(公安部信息安全等级保护评估中心)、国家能源局信息中心、阿里云计算有限公司、中国科学院信息工程研究所(信息安全国家重点实验室)、新华三技术有限公司、华为技术有限公司、启明星辰信息技术集团股份有限公司、北京鼎普科技股份有限公司、中国电子信息产业集团有限公司第六研究所、公安部第一研究所、国家信息中心、山东微分电子科技有限公司、中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、浙江大学、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、浙江国利信安科技有限公司、机械工业仪器仪表综合技术经济研究所、杭州科技职业技术学院。
- 公安部第三研究所(公安部信息安全等级保护评估中心)、国家能源局信息中心、阿里云计算有限公司、中国科学院信息工程研究所(信息安全国家重点实验室)、新华三技术有限公司、华为技术有限公司、启明星辰信息技术集团股份有限公司、北京鼎普科技股份有限公司、中国电子信息产业集团有限公司第六研究所、公安部第一研究所、国家信息中心、山东微分电子科技有限公司、中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、浙江大学、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、浙江国利信安科技有限公司、机械工业仪器仪表综合技术经济研究所、杭州科技职业技术学院。
- 本标准主要起草人:马力、陈广勇、张振峰、郭启全、葛波蔚、祝国邦、陆磊、曲洁、于东升、李秋香、任卫红、胡红升、陈雪鸿、冯冬芹、王江波、张宗喜、张宇翔、毕马宁、沙淼淼、李明、黎水林、于晴、李超、刘之涛、袁静、霍珊珊、黄顺京、尹湘培、苏艳芳、陶源、陈雪秀、于俊杰、沈锡镛、杜静、周颖、吴薇、刘志宇、宫月、王昱镔、禄凯、章恒、高亚楠、段伟恒、马闽、贾驰千、陆耿虹、高梦州、赵泰、孙晓军、许凤凯、王绍杰、马红霞、刘美丽。
- 本标准所代替标准的历次版本发布情况为:
- ———GB/T22239—2008。
- ———GB/T22239—2008。
引 言
- 为了配合《中华人民共和国网络安全法》的实施,同时适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展,需对 GB/T22239—2008进行修订,修订的思路和方法是调整原国家标准 GB/T22239—2008的内容,针对共性安全保护需求提出安全通用要求,针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。
- 本标准是网络安全等级保护相关系列标准之一。
- 与本标准相关的标准包括:
- ———GB/T25058 信息安全技术 信息系统安全等级保护实施指南;
- ———GB/T22240 信息安全技术 信息系统安全等级保护定级指南;
- ———GB/T25070 信息安全技术 网络安全等级保护安全设计技术要求;
- ———GB/T28448 信息安全技术 网络安全等级保护测评要求;
- ———GB/T28449 信息安全技术 网络安全等级保护测评过程指南。
- 在本标准中,黑体字部分表示较高等级中增加或增强的要求。
信息安全技术网络安全等级保护基本要求
1 范围
本标准规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。
本标准适用于指导分等级的非涉密对象的安全建设和监督管理。
注:第五级等级保护对象是非常重要的监督管理对象,对其有特殊的管理模式和安全要求,所以不在本标准中进行描述。
2 规范性引用文件
- 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
- GB17859 计算机信息系统 安全保护等级划分准则
最新现行标准:GB 17859-1999 计算机信息系统 安全保护等级划分准则【现行】
- GB/T22240 信息安全技术 信息系统安全等级保护定级指南
最新现行标准:GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南【现行】
- GB/T25069 信息安全技术 术语
最新现行标准:GB/T 25069-2022 信息安全技术 术语 【现行】
- GB/T31167—2014 信息安全技术 云计算服务安全指南【废止】
最新现行标准:GB/T 31167-2023 信息安全技术 云计算服务安全指南【现行】
- GB/T31168—2014 信息安全技术 云计算服务安全能力要求【废止】
最新现行标准:GB/T 31168-2023 信息安全技术 云计算服务安全能力要求【现行】
- GB/T32919—2016 信息安全技术 工业控制系统安全控制应用指南【现行】
3 术语和定义
GB17859、GB/T22240、GB/T25069、GB/T31167—2014、GB/T31168—2014和 GB/T32919—2016界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了 GB/T31167—2014、GB/T31168—2014和 GB/T32919—2016中的一些术语和定义。
3.1 网络安全 cybersecurity
通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
3.2 安全保护能力 securityprotectionability
能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。
3.3 云计算 cloudcomputing
通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式。
注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。
[GB/T31167—2014,定义3.1]
3.4 云服务商 cloudserviceprovider
云计算服务的供应方。
注:云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。
[GB/T31167—2014,定义3.3]
3.5 云服务客户 cloudservicecustomer
为使用云计算服务同云服务商建立业务关系的参与方。
[GB/T31168—2014,定义3.4]
3.6 云计算平台/系统 cloudcomputingplatform/system
云服务商提供的云计算基础设施及其上的服务软件的集合。
3.7 虚拟机监视器 hypervisor
运行在基础物理服 务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享硬件。
3.8 宿主机 hostmachine
运行虚拟机监视器的物理服务器。
3.9 移动互联 mobilecommunication
采用无线通信技术将移动终端接入有线网络的过程。
3.10 移动终端 mobiledevice
在移动业务中使用的终端设备,包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。
3.11 无线接入设备 wirelessaccessdevice
采用无线通信技术将移动终端接入有线网络的通信设备。
3.12 无线接入网关 wirelessaccessgateway
部署在无线网络与有线网络之间,对有线网络进行安全防护的设备。
3.13 移动应用软件 mobileapplication
针对移动终端开发的应用软件。
3.14 移动终端管理系统 mobiledevicemanagementsystem
用于进行移动终端设备管理、应用管理和内容管理的专用软件,包括客户端软件和服务端软件。
3.15 物联网 internetofthings
将感知节点设备通过互联网等网络连接起来构成的系统。
3.16 感知节点设备 sensornode
对物或环境进行信息采集和/或执行操作,并能联网进行通信的装置。
3.17 感知网关节点设备 sensorlayergateway
将感知节点所采集的数据进行汇总、适当处理或数据融合,并进行转发的装置。
3.18 工业控制系统 industrialcontrolsystem
工业控制系统(ICS)是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和数据采
集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统,如可编程逻辑控制器(PLC),现已广
泛应用在工业部门和关键基础设施中。
[GB/T32919—2016,定义3.1]
4 缩略语
- 下列缩略语适用于本文件。
- AP:无线访问接入点(WirelessAccessPoint)
- DCS:集散控制系统(DistributedControlSystem)
- DDoS:拒绝服务 (DistributedDenialofService)
- ERP:企业资源计划(EnterpriseResourcePlanning)
- FTP:文件传输协议(FileTransferProtocol)
- HMI:人机界面(HumanMachineInterface)
- IaaS:基础设施即服务(Infrastructure-as-a-Service)
- ICS:工业控制系统(IndustrialControlSystem)
- IoT:物联网(InternetofThings)
- IP:互联网协议(InternetProtocol)
- IT:信息技术(InformationTechnology)
- MES:制造执行系统(ManufacturingExecutionSystem)
- PaaS:平台即服务(Platform-as-a-Service)
- PLC:可编程逻辑控制器(ProgrammableLogicController)
- RFID:射频识别(RadioFrequencyIdentification)
- SaaS:软件即服务(Software-as-a-Service)
- SCADA:数据采集与监视控制系统(SupervisoryControlandDataAcquisitionSystem)
- SSID:服务集标识(ServiceSetIdentifier)
- TCB:可信计算基(TrustedComputingBase)
- USB:通用串行总线(UniversalSerialBus)
- WEP:有线等效加密(WiredEquivalentPrivacy)
- WPS:WiFi保护设置(WiFiProtectedSetup)
5 网络安全等级保护概述
5.1 等级保护对象
等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。
保护对象的安全保护等级确定方法见 GB/T22240。
5.2 不同级别的安全保护能力
不同级别的等级保护对象应具备的基本安全保护能力如下:
第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。
第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。
第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。
第五级安全保护能力:略。
5.3 安全通用要求和安全扩展要求
由于业务目标的不同、使用技术的不同、应用场景的不同等因素,不同的等级保护对象会以不同的形态出现,表现形式可能称之为基础信息网络、信息系统(包含采用移动互联等技术的系统)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统等。形态不同的等级保护对象面临的威胁有所不同,安全保护需求也会有所差异。为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护,等级保护要求分为安全通用要求和安全扩展要求。
安全通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现,应根据安全保护等级实现相应级别的安全通用要求;安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现安全扩展要求。安全通用要求和安全扩展要求共同构成了对等级保护对象的安全要求。
安全要求的选择见附录 A,整体安全保护能力的要求见附录 B和附录 C。
本标准针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求。
云计算应用场景参见附录 D,移动互联应用场景参见附录 E,物联网应用场景参见附录 F,工业控制系统应用场景参见附录G,大数据应用场景参见附录 H。对于采用其他特殊技术或处于特殊应用场景的等级保护对象,应在安全风险评估的基础上,针对安全风险采取特殊的安全措施作为补充。
6-10章第一级~第五级安全要求见excel表格
可联系作者付费获取全套材料。
附录A (规范性附录) 关于安全通用要求和安全扩展要求的选择和使用
在考虑信息的安全性要求和系统服务的连续性中,以等保三级为例,S类或者A类至少有一类满足三级要求。
-
- 由于等级保护对象承载的业务不同,对其的安全关注点会有所不同,有的更关注信息的安全性,即更关注对搭线窃听、假冒用户等可能导致信息泄密、非法篡改等;有的更关注业务的连续性,即更关注保证系统连续正常的运行,免受对系统未授权的修改、破坏而导致系统不可用引起业务中断。
- 不同级别的等级保护对象,其对业务信息的安全性要求和系统服务的连续性要求是有差异的,即使相同级别的等级保护对象,其对业务信息的安全性要求和系统服务的连续性要求也有差异。
- 等级保护对象定级后,可能形成的定级结果组合见表 A.1。
-
- 安全保护措施的选择应依据上述定级结果,本标准中的技术安全要求进一步细分为:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为 A);其他安全保护类要求(简记为 G)。
- 本标准中所有安全管理要求和安全扩展要求均标注为 G,安全要求及属性标识见表 A.2。
- 对于确定了级别的等级保护对象,应依据表 A.1的定级结果,结合表 A.2使用安全要求,应按照以下过程进行安全要求的选择:
- a) 根据等级保护对象的级别选择安全要求。
- 方法是根据本标准,第一级选择第一级安全要求,第二级选择第二级安全要求,第三级选择第三级安全要求,第四级选择第四级安全要求,以此作为出发点。
- 方法是根据本标准,第一级选择第一级安全要求,第二级选择第二级安全要求,第三级选择第三级安全要求,第四级选择第四级安全要求,以此作为出发点。
- b) 根据定级结果,基于表 A.1和表 A.2对安全要求进行调整。
- 根据系统服务保证性等级选择相应级别的系统服务保证类(A 类)安全要求;
- 根据业务信息安全性等级选择相应级别的业务信息安全类(S类)安全要求;
- 根据系统安全等级选择相应级别的安全通用要求(G 类)和安全扩展要求(G 类)。
- 根据系统服务保证性等级选择相应级别的系统服务保证类(A 类)安全要求;
- c) 根据等级保护对象采用新技术和新应用的情况,选用相应级别的安全扩展要求作为补充。
- 采用云计算技术的选用云计算安全扩展要求,采用移动互联技术的选用移动互联安全扩展要求,物联网选用物联网安全扩展要求,工业控制系统选用工业控制系统安全扩展要求。
- 采用云计算技术的选用云计算安全扩展要求,采用移动互联技术的选用移动互联安全扩展要求,物联网选用物联网安全扩展要求,工业控制系统选用工业控制系统安全扩展要求。
- d) 针对不同行业或不同对象的特点,分析可能在某些方面的特殊安全保护能力要求,选择较高级别的安全要求或其他标准的补充安全要求。
- 对于本标准中提出的安全要求无法实现或有更加有效的安全措施可以替代的,可以对安全要求进行调整,调整的原则是保证不降低整体安全保护能力。
- 对于本标准中提出的安全要求无法实现或有更加有效的安全措施可以替代的,可以对安全要求进行调整,调整的原则是保证不降低整体安全保护能力。
- 总之,保证不同安全保护等级的对象具有相应级别的安全保护能力,是安全等级保护的核心。
- 选用本标准中提供的安全通用要求和安全扩展要求是保证等级保护对象具备一定安全保护能力的一种途径和出发点,在此出发点的基础上,可以参考等级保护的其他相关标准和安全方面的其他相关标准,调整和补充安全要求,从而实现等级保护对象在满足等级保护安全要求基础上,又具有自身特点的保护。
- a) 根据等级保护对象的级别选择安全要求。
附 录 B(规范性附录)关于等级保护对象整体安全保护能力的要求
就是对较高等级的安全要求要考虑整体,处理满足基础安全保护能力外,还要考虑纵深、互补、一致性、集中管理等方面。
测评在不止有单项要求,还有整体要求,在GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》【现行】中会给出详细是说明。
等级测评是打分制的,除了高风险项,其他不是固定的,是可以根据不同现场环境调节变化的。
- 网络安全等级保护的核心是保证不同安全保护等级的对象具有相适应的安全保护能力。
- 本标准第5章提出了不同级别的等级保护对象的安全保护能力要求,第6章~第10章分别针对不同安全保护等级的对象应该具有的安全保护能力提出了相应的安全通用要求和安全扩展要求。
- 依据本标准分层面采取各种安全措施时,还应考虑以下总体性要求,保证等级保护对象的整体安全保护能力
- a) 构建纵深的防御体系
- 本标准从技术和管理两个方面提出安全要求,在采取由点到面的各种安全措施时,在整体上还应保证各种安全措施的组合从外到内构成一个纵深的安全防御体系,保证等级保护对象整体的安全保护能力。
- 应从通信网络、网络边界、局域网络内部、各种业务应用平台等各个层次落实本标准中提到的各种安全措施,形成纵深防御体系。
- 本标准从技术和管理两个方面提出安全要求,在采取由点到面的各种安全措施时,在整体上还应保证各种安全措施的组合从外到内构成一个纵深的安全防御体系,保证等级保护对象整体的安全保护能力。
- b) 采取互补的安全措施
- 本标准以安全控制的形式提出安全要求,在将各种安全控制落实到特定等级保护对象中时,应考虑各个安全控制之间的互补性,关注各个安全控制在层面内、层面间和功能间产生的连接、交互、依赖、协调、协同等相互关联关系,保证各个安全控制共同综合作用于等级保护对象上,使得等级保护对象的整体安全保护能力得以保证。
- 本标准以安全控制的形式提出安全要求,在将各种安全控制落实到特定等级保护对象中时,应考虑各个安全控制之间的互补性,关注各个安全控制在层面内、层面间和功能间产生的连接、交互、依赖、协调、协同等相互关联关系,保证各个安全控制共同综合作用于等级保护对象上,使得等级保护对象的整体安全保护能力得以保证。
- c) 保证一致的安全强度
- 本标准将安全功能要求,如身份鉴别、访问控制、安全审计、入侵防范等内容,分解到等级保护对象的各个层面,在实现各个层面安全功能时,应保证各个层面安全功能实现强度的一致性。
- 应防止某个层面安全功能的减弱导致整体安全保护能力在这个安全功能上削弱。
- 例如,
- 要实现双因子身份鉴别,则应在各个层面的身份鉴别上均实现双因子身份鉴别;
- 要实现基于标记的访问控制,则应保证在各个层面均实现基于标记的访问控制,并保证标记数据在整个等级保护对象内部流动时标记的唯一性等。
- 例如,
- 本标准将安全功能要求,如身份鉴别、访问控制、安全审计、入侵防范等内容,分解到等级保护对象的各个层面,在实现各个层面安全功能时,应保证各个层面安全功能实现强度的一致性。
- d) 建立统一的支撑平台
- 本标准针对较高级别的等级保护对象,提到了使用密码技术、可信技术等,多数安全功能(如身份鉴别、访问控制、数据完整性、数据保密性等)为了获得更高的强度,均要基于密码技术或可信技术,为了保证等级保护对象的整体安全防护能力,应建立基于密码技术的统一支撑平台,支持高强度身份鉴别、访问控制、数据完整性、数据保密性等安全功能的实现。
- 本标准针对较高级别的等级保护对象,提到了使用密码技术、可信技术等,多数安全功能(如身份鉴别、访问控制、数据完整性、数据保密性等)为了获得更高的强度,均要基于密码技术或可信技术,为了保证等级保护对象的整体安全防护能力,应建立基于密码技术的统一支撑平台,支持高强度身份鉴别、访问控制、数据完整性、数据保密性等安全功能的实现。
- e) 进行集中的安全管理
- 本标准针对较高级别的等级保护对象,提到了实现集中的安全管理、安全监控和安全审计等要求,为了保证分散于各个层面的安全功能在统一策略的指导下实现,各个安全控制在可控情况下发挥各自的作用,应建立集中的管理中心,集中管理等级保护对象中的各个安全控制组件,支持统一安全管理。
附 录 C(规范性附录)等级保护安全框架和关键技术使用要求
在开展网络安全等级保护工作中应
- 首先明确等级保护对象,等级保护对象包括通信网络设施、信息系统(包含采用移动互联等技术的系统)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统等;
- 确定了等级保护对象的安全保护等级后,应根据不同对象的安全保护等级完成安全建设或安全整改工作;
- 应针对等级保护对象特点建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系。
- 应依据国家网络安全等级保护政策和标准,开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。
等级保护安全框架见图 C.1。
应在较高级别等级保护对象的安全建设和安全整改中注重使用一些关键技术:
- a) 可信计算技术
- 应针对计算资源构建保护环境,以可信计算基(TCB)为基础,实现软硬件计算资源可信;
- 针对信息资源构建业务流程控制链,基于可信计算技术实现访问控制和安全认证,密码操作调用和资源的管理等,构建以可信计算技术为基础的等级保护核心技术体系。
- 应针对计算资源构建保护环境,以可信计算基(TCB)为基础,实现软硬件计算资源可信;
- b) 强制访问控制
- 应在高等级保护对象中使用强制访问控制机制,强制访问控制机制需要总体设计、全局考虑,在通信网络、操作系统、应用系统各个方面实现访问控制标记和策略,进行统一的主客体安全标记,安全标记随数据全程流动,并在不同访问控制点之间实现访问控制策略的关联,构建各个层面强度一致的访问控制体系。
- 应在高等级保护对象中使用强制访问控制机制,强制访问控制机制需要总体设计、全局考虑,在通信网络、操作系统、应用系统各个方面实现访问控制标记和策略,进行统一的主客体安全标记,安全标记随数据全程流动,并在不同访问控制点之间实现访问控制策略的关联,构建各个层面强度一致的访问控制体系。
- c) 审计追查技术
- 应立足于现有的大量事件采集、数据挖掘、智能事件关联和基于业务的运维监控技术,解决海量数据处理瓶颈,通过对审计数据快速提取,满足信息处理中对于检索速度和准确性的需求;
- 同时,还应建立事件分析模型,发现高级安全威胁,并追查威胁路径和定位威胁源头,实现对攻击行为的有效防范和追查。
- 应立足于现有的大量事件采集、数据挖掘、智能事件关联和基于业务的运维监控技术,解决海量数据处理瓶颈,通过对审计数据快速提取,满足信息处理中对于检索速度和准确性的需求;
- d) 结构化保护技术
- 应通过良好的模块结构与层次设计等方法来保证具有相当的抗渗透能力,为安全功能的正常执行提供保障。
- 高等级保护对象的安全功能可以形式表述、不可被篡改、不可被绕转,隐蔽信道不可被利用,通过保障安全功能的正常执行,使系统具备源于自身结构的、主动性的防御能力,利用可信技术实现结构化保护。
- 应通过良好的模块结构与层次设计等方法来保证具有相当的抗渗透能力,为安全功能的正常执行提供保障。
- e) 多级互联技术
- 应在保证各等级保护对象自治和安全的前提下,有效控制异构等级保护对象间的安全互操作,从而实现分布式资源的共享和交互。
- 随着对结构网络化和业务应用分布化动态性要求越来越高,多级互联技术应在不破坏原有等级保护对象正常运行和安全的前提下,实现不同级别之间的多级安全互联、互通和数据交换。
- 应在保证各等级保护对象自治和安全的前提下,有效控制异构等级保护对象间的安全互操作,从而实现分布式资源的共享和交互。
附录D-H(资料性附录)
云大物移+工控的应用场景说明,包含不同新技术新业务的基础说明内容和组成。可直接查看 GB/T 22239-2019 《信息安全技术 网络安全等级保护基础要求》标准文件。
- 附录 D (资料性附录) 云计算应用场景说明
- 附录 E (资料性附录) 移动互联应用场景说明
- 附录 F (资料性附录) 物联网应用场景说明
- 附录 G (资料性附录) 工业控制系统应用场景说明
- 附录 H (资料性附录) 大数据应用场景说明
参 考 文 献
[1] GB/T18336.1—2015 信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般模型
[2] GB/T22080—2016 信息技术 安全技术 信息安全管理体系 要求
[3] GB/T22081—2016 信息技术 安全技术 信息安全控制实践指南
[4] NISTSpecialPublication800-53SecurityandPrivacyControlsforFederalInformationSystemsandOrganizations
##################################################################################
愿各位在进步中安心。2025.05.19 禾木可联系作者付费获取,定价69.9元。包括如下内容:1. 信息安全技术全套标准指南
- ———GB/T 22239-2019 《信息安全技术 网络安全等级保护基础要求》
- ———GB/T25058 信息安全技术 信息系统安全等级保护实施指南;
- ———GB/T22240 信息安全技术 信息系统安全等级保护定级指南;
- ———GB/T25070 信息安全技术 网络安全等级保护安全设计技术要求;
- ———GB/T28448 信息安全技术 网络安全等级保护测评要求;
- ———GB/T28449 信息安全技术 网络安全等级保护测评过程指南。
2. 等保2.0标准执行之高风险判定
3. GBT 22239-2019 《信息安全技术 网络安全等级保护基础要求》一到四级对比表格(按照十大方面整理,每方面包含四级要求并标记高风险项)
4. GBT 22239-2019 +GBT 25070—2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护安全设计技术要求》一到四级对比表格(在基础要求中添加安全设计技术要求,安全设计技术要求主要用于开发人员和产品经理)
5. GBT 36958—2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》一到四级对比表格(说明安全管理中心技术要求:系统管理要求、安全管理要求、审计管理要求、接口要求、自身安全要求)
6. GBT 22239-2019+GBT 28448-2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护测评要求》一到四级对比表格(在基础要求中添加等保测评要求,可用于实施过程)
7. 等保项目预调研情况汇报表(博主整理word,用于项目前期调研和高风险项判定,分为2级和3级两个文档,并根据项目经验整理和标准整理前期项目调研内容)
部分材料下载链接:
1、等保二级高风险项核对表下载链接:
2、GBT 36958-2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》1~4级拆分表下载链接:
##################################################################################
浙公网安备 33010602011771号