第1页 / 共98页
第2页 / 共98页
第3页 / 共98页
第4页 / 共98页
第5页 / 共98页
第6页 / 共98页
第7页 / 共98页
第8页 / 共98页
信息安全技术 网络安全等级保护基本要求.pdf
ICS 35.040
L80
中 华 人 民 共 和 国 国 家 标 准
GB/T 22239—XXXX
信息安全技术
网络安全等级保护基本要求
Information Security Technology- Baseline for Cybersecurity Classified Protection
(送审稿)
XXXX-XX-XX 发布
XXXX-XX-XX 实施
GB/T 22239– XXXX
目次
前言 .................................................................................. V
引言 ................................................................................. VI
信息安全技术 网络安全等级保护基本要求 ................................................. 7
1 范围 ................................................................................ 7
2 规范性引用文件 ...................................................................... 7
3 术语和定义 .......................................................................... 7
3.1 安全保护能力 security protection ability .......................................... 7
3.2 云计算 cloud computing ............................................................ 7
3.3 云计算基础设施 cloud computing infrastructure ..................................... 7
3.4 云计算平台 cloud computing platform ............................................... 7
3.5 云计算环境 cloud computing environment ............................................ 7
3.6 云服务商 cloud service provider ................................................... 8
3.7 云服务客户 cloud service customer ................................................. 8
3.8 虚拟机监视器 hypervisor ........................................................... 8
3.9 宿主机 host machine ............................................................... 8
3.10 网络策略控制器 network policy controller ......................................... 8
3.11 移动终端 mobile device ........................................................... 8
3.12 无线接入设备 wireless access device .............................................. 8
3.13 无线接入网关 wireless access gateway ............................................. 8
3.14 移动应用软件 mobile application ................................................... 8
3.15 移动终端管理系统 mobile device management system .................................. 8
3.16 物联网 internet of things(IoT) ................................................... 8
3.17 网关节点设备 sensor layer gateway ................................................ 8
3.18 感知节点设备 sensor node ......................................................... 8
3.19 数据新鲜性 data freshness ........................................................ 9
3.20 工业控制系统 industrial control system ........................................... 9
4 缩略语 .............................................................................. 9
5 网络安全等级保护概述 ............................................................... 10
5.1 不同等级的安全保护对象 ........................................................... 10
5.2 不同等级的安全保护能力 ........................................................... 10
5.3 不同的应用场景和等级保护要求 ..................................................... 10
6 第一级安全要求 ..................................................................... 11
6.1 安全通用要求 ..................................................................... 11
6.2 云计算安全扩展要求 ............................................................... 14
6.3 移动互联安全扩展要求 ............................................................. 15
6.4 物联网安全扩展要求 ............................................................... 15
6.5 工业控制系统安全扩展要求 ......................................................... 16
II
GB/T 22239– XXXX
7 第二级安全要求 ..................................................................... 17
7.1 安全通用要求 ..................................................................... 17
7.2 云计算安全扩展要求 ............................................................... 25
7.3 移动互联安全扩展要求 ............................................................. 27
7.4 物联网安全扩展要求 ............................................................... 28
7.5 工业控制系统安全扩展要求 ......................................................... 29
8 第三级安全要求 ..................................................................... 30
8.1 安全通用要求 ..................................................................... 30
8.2 云计算安全扩展要求 ............................................................... 42
8.3 移动互联安全扩展要求 ............................................................. 45
8.4 物联网安全扩展要求 ............................................................... 46
8.5 工业控制系统安全扩展要求 ......................................................... 48
9 第四级安全要求 ..................................................................... 50
9.1 安全通用要求 ..................................................................... 50
9.2 云计算安全扩展要求 ............................................................... 61
9.3 移动互联安全扩展要求 ............................................................. 65
9.4 物联网安全扩展要求 ............................................................... 66
9.5 工业控制系统安全扩展要求 ......................................................... 68
10 第五级安全要求 .................................................................... 70
附录 A ................................................................................ 71
安全要求的选择和使用 ................................................................. 71
附录 B ................................................................................ 75
关于保护对象整体安全保护能力的要求 ................................................... 75
附录 C ................................................................................ 76
等级保护安全框架和关键技术 ........................................................... 76
附录 D ................................................................................ 78
云计算应用场景说明 ................................................................... 78
附录 E ................................................................................ 82
移动互联应用场景说明 ................................................................. 82
附录 F ................................................................................ 83
物联网应用场景说明 ................................................................... 83
附录 G ................................................................................ 84
工业控制系统应用场景说明 ............................................................. 84
附录 H ................................................................................ 88
大数据应用安全扩展要求 ............................................................... 88
A.1 大数据概述 ....................................................................... 88
A.2 数据保护主要环节 ................................................................. 88
A.3 第一级基本要求 ................................................................... 89
A.3.1 物理访问控制 ................................................................... 89
A.3.2 设备和计算安全 ................................................................. 89
A.3.3 应用和数据要求 ................................................................. 89
A.4 第二级基本要求 ................................................................... 90
A.4.1 物理访问控制 ................................................................... 90
A.4.2 设备和计算安全 ................................................................. 90
III
GB/T 22239– XXXX
A.4.3 应用和数据要求 ................................................................. 90
A.5 第三级基本要求 ................................................................... 91
A.5.1 物理和环境安全 ................................................................. 91
A.5.2 网络和通信安全 ................................................................. 91
A.5.3 设备和计算安全 ................................................................. 92
A.5.4 应用和数据要求 ................................................................. 92
A.6 第四级基本要求 ................................................................... 94
A.6.1 物理和环境安全 ................................................................. 94
A.6.2 网络和通信安全 ................................................................. 94
A.6.3 设备和计算安全 ................................................................. 94
A.6.4 应用和数据要求 ................................................................. 95
参考文献 ............................................................................. 98
IV
GB/T 22239– XXXX
前言
本文件按照 GB/T1.1—2009 给出的规则起草。
本文件代替 GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》。
本文件由全国信息安全标准化技术委员会提出。
本文件由全国信息安全标准化技术委员会归口。
本文件起草单位:公安部信息安全等级保护评估中心、国家能源局信息中心、阿里云计算有限公司、
中科院信息工程研究所、新华三技术有限公司、华为技术有限公司、北京网御星云信息技术有限公司、
北京鼎普科技股份有限公司、工业控制系统信息安全技术国家工程实验室、公安部第一研究所、中国科
学院信息工程研究所、山东微分电子科技有限公司、中国电子科技集团公司第十五研究所、工业和信息
化部电信研究院、浙江大学、浙江国利信安科技有限公司、机械工业仪器仪表综合技术经济研究所、杭
州科技职业技术学院。
本文件主要起草人:马力、陈广勇、张振峰、郭启全、葛波蔚、曲洁、于东升、李秋香、任卫红、
胡红升、陈雪鸿、冯冬芹、王江波、蒋勇、张宗喜、李明、于晴、李超、刘之涛、袁静、陆磊、黎水林、
黄顺京、尹湘培、申永波、陶源、陈雪秀、毛溯、杜静、周颖、吴薇、刘志宇、宫月、贾驰千、陆耿虹、
高梦州。
V
GB/T 22239– XXXX
引言
国家标准 GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》在开展安全等级
保护工作的过程中起到了非常重要的作用,被广泛应用于各个行业和领域开展安全等级保护的建设整改
和等级测评等工作,但是随着信息技术的发展,GB/T 22239—2008 在适用性、时效性、易用性、可操
作性上需要进一步完善。
为了配合《中华人民共和国网络安全法》的实施,同时适应移动互联、云计算、物联网和工业控制
等新技术、新应用情况下安全等级保护工作的开展,需对 GB/T 22239—2008 进行修订,修订的思路和
方法是调整原国家标准 GB/T 22239—2008 的内容,针对共性安全保护需求提出通用的安全要求,针对
移动互联、云计算、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出特殊的安全要求,
形成新的《信息安全技术 网络安全等级保护基本要求》标准。
在本文件中,黑体字表示较低等级中没有出现或增强的要求。
VI
GB/T 22239– XXXX
信息安全技术 网络安全等级保护基本要求
1 范围
本文件规定了不同等级保护对象的安全通用要求和安全扩展要求。
本文件适用于指导分等级的非涉密保护对象的安全建设和监督管理。
2 规范性引用文件
下列文件中的条款通过在本文件的引用而成为本文件的条款。凡是注日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本文件,然而,鼓励根据本文件达成协议的各方研
究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本文件。
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 25069-2010 信息安全技术术语
GB/T 22240-2008 信息安全技术 网络安全等级保护定级指南
GB/T 31167—2014 信息安全技术 云计算服务安全指南
GB/T 31168—2014 信息安全技术 云计算服务安全能力要求
3 术语和定义
GB/T 25069-2010和GB 17859-1999确立的以及下列术语和定义适用于本文件。
3.1 安全保护能力 security protection ability
能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。
3.2 云计算 cloud computing
通过网络访问可扩展的,灵活的物理或虚拟共享资源池,并可按需自助获取和管理资源的模式。
注: 资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。
[GB/T 31168—2014,定义3.1]
3.3 云计算基础设施 cloud computing infrastructure
由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施。
注: 硬件资源包括所有的物理计算资源。包括服务器(CPU,内存等)、存储组件(硬盘等)、网络组件(路
由器、防火墙、交换机、网络连接和接口等)及其他物理计算基础元素。资源抽象控制组件对物理计算资源进
行软件抽象。云服务商通过这些组件提供和管理对物理计算资源的访问。
注: 改写GB/T 31168—2014,定义3.5
3.4 云计算平台 cloud computing platform
云服务商提供的云计算基础设施及其上的服务软件的集合。
注: 改写GB/T 31168—2014,定义3.6
3.5 云计算环境 cloud computing environment
云服务商提供的云计算平台,及云服务客户在平台之上部署的软件及相关组件的集合。
注: 改写GB/T 31168—2014,定义3.7
7
GB/T 22239– XXXX
3.6 云服务商 cloud service provider
云计算服务的供应方。
注: 云服务商管理、运营、支撑云计算的基础设施和软件,通过网络交付云计算的资源。包括与云服务客户建
立商业关系或没有商业关系的云服务提供者。
注: 改写GB/T 31168—2014,定义3.3
3.7 云服务客户 cloud service customer
为使用云计算服务同云服务商建立业务关系的参与方。
注: 租用或使用云计算资源的客户,包括计费的和不计费的云服务的机构和个人。
注: 改写GB/T 31168—2014,定义3.4
3.8 虚拟机监视器 hypervisor
一种运行在基础物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享硬件。
3.9 宿主机 host machine
运行虚拟机监视器的物理服务器。
3.10 网络策略控制器 network policy controller
在网络中,把网络配置信息转化为网络设备上的转发规则集,并对这些转发规则集进行管理的核心控
制系统。
3.11 移动终端 mobile device
在移动业务中使用的终端设备,包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。
3.12 无线接入设备 wireless access device
采用无线通信技术将移动终端接入有线网络的通信设备。
注:本文件中无线接入设备不包括公共的无线接入设备(如公共WiFi、运营商基站等)。
3.13 无线接入网关 wireless access gateway
部署在无线网络与有线网络之间,对有线网络进行安全防护的设备。
3.14 移动应用软件 mobile application
针对移动移动终端开发的应用软件,包括移动终端预置的应用软件,和互联网信息服务提供者提供
的可以通过网站、应用商店等移动应用分发平台下载、安装和升级的第三方应用软件。
3.15 移动终端管理系统 mobile device management system
用于进行移动终端设备管理、应用管理和内容管理的专用软件,包括客户端软件和服务端软件。
3.16 物联网 internet of things(IoT)
物联网是将感知节点设备通过互联网等网络连接起来构成的一个应用系统,它融合信息系统和物理
世界实体,是虚拟世界与现实世界的结合。
3.17 网关节点设备 sensor layer gateway
网关节点设备是一种以将感知节点设备所采集的数据传输到数据处理中心的关键出口,是连接传统
信息网络(有线网、移动网等)和传感网的桥梁,其安全设置也区分对感知层的安全设置和对网络传输
层的安全设置。简单的感知层网关只是对感知数据的转发(因电力充足),而智能的感知层网关可以包
括对数据进行适当处理、数据融合等业务。
3.18 感知节点设备 sensor node
8
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
