解释“网络安全级别保护的基本要求”（GB / T 22239-2019）

解释“网络安全级别保护的基本要求”（GB / T 22239-2019）

马力1，朱国邦2网络安全等级保护，路雷2

摘要

关键字: 级别保护对象；一般安全要求；安全扩展要求

CLC号: TP309文件编号: A物品编号: 1671-1122（2019）02-0077-08

网络安全分类保护基准（GB / T 22239-2019）标准解释

马力1，朱国邦2，路磊2

摘要

关键词: 分类保护对象；安全通用要求；安全特殊要求

简介

《信息安全技术信息系统安全等级保护的基本要求》（GB / T 22239-2008）在中国实施信息安全等级保护系统的过程中起着非常重要的作用，并在各种领域得到了广泛的应用. 行业或领域，指导用户开展建设和整改信息系统安全等级保护，等级评估等工作[1]. 随着信息技术的发展，具有10年历史的“ GB / T 22239-2008”在及时性，易用性和可操作性方面需要进一步改进. 2017年，实施了《中华人民共和国网络安全法》 [2]. 为了与国家合作实施网络安全级别保护系统[3]，还必须修改“ GB / T 22239-2008”.

2014年，国家信息安全标准化技术委员会（以下简称安标委员会）发布了修订“ GB / T 22239-2008”的任务. 标准修订的主要单位是部第三研究所（部信息安全等级保护评估中心），已有20多家企事业单位派人参加了标准修订. 标准制定小组成立于2014年. 该小组调查了新技术和新应用程序的使用，例如国际和国内云计算平台，大数据应用程序，移动互联网访问，物联网和工业控制系统，并进行了分析和总结. 新技术以及新应用程序中的安全问题和安全控制元素已经完成了基本要求的初稿.

2015年2月至2016年7月，标准制定团队在初稿的基础上广泛征求了行业用户单位，安全服务机构以及各个行业/领域专家的意见，并根据标准进行了调整和改进. 的意见. 该草案共有7个标准草案版本. 2016年9月，标准制定小组参加了安全标准委员会WG5工作组的标准促进会议，并根据专家和成员单位提出的修订建议对草案进行了修订，并形成了标准草案征求意见. 2017年4月，标准制定小组再次参加了安全标准委员会WG5工作组的标准促进会议. 根据从咨询草案中收集到的修订建议，对咨询草案进行了修订，以形成标准草案以供审核. 2017年10月，标准制定小组再次参加了安全标准委员会WG5工作组的标准促进会议，并在会议上介绍了提交草案的内容，并征求了各成员单位的意见. 已对其进行了修订和完善，并形成了标准手稿.

2019年，“信息安全技术网络安全等级保护的基本要求”（GB / T 22239-2019）将正式实施. 本文分析了“ GB / T 22239-2019”相对于“ GB / T 22239-2008”的主要变化，并解释了其一般安全要求和安全扩展要求的主要内容，以便读者更好地理解和掌握“ GB / T 22239-2019”. T 22239-2019”.

1总体结构发生变化

1.1重大更改

与“ GB / T 22239-2008”相比，“ GB / T 22239-2019”在整体结构和细节上都发生了变化[4]. 总体结构的主要变化是:

1）为了适应网络安全法并配合网络安全级别保护系统的实施，该标准的名称从原来的“信息系统安全级别保护的基本要求”更改为“基本”. 网络安全级别保护的要求. ”

2）将保护级别从原始信息系统调整为基本信息网络，信息系统（包括使用移动互联网技术的系统），云计算平台/系统，大数据应用程序/平台/资源，物联网和工业控制系统等.

3）各个级别的原始安全要求分为一般安全要求和安全扩展要求. 安全扩展需求包括云计算安全扩展需求，移动互联网安全扩展需求，IoT安全扩展需求和工业控制系统安全扩展需求. 通用安全要求是无论保护对象级别的形式如何都必须满足的要求；对云计算，移动互联网，物联网和工业控制系统的特殊要求称为安全扩展要求.

4）将“物理安全性”，“网络安全性”，“主机安全性”，“应用程序安全性”和“数据安全性以及备份和恢复”中的原始基本要求的各个级别的技术要求修订为“安全物理性”环境”，“安全通信网络”，“安全区域边界”，“安全计算环境”和“安全管理中心”；各级管理部门最初要求的“安全管理系统”，“安全管理组织”，“人事安全管理”，“系统”分别修订为“安全管理系统”，“安全管理组织”，“安全管理人员”，“安全施工管理”和“安全运维管理” [5].

5）根据云计算环境的特点提出了云计算安全扩展需求. 主要内容包括“基础架构位置”，“虚拟化安全保护”，“图像和快照保护”，“云计算环境管理”和“云服务提供商选择”.

6）根据移动互联网的特点提出了移动互联网安全扩展的要求. 主要内容包括“无线接入点的物理位置”，“移动终端管理”，“移动应用管理”，“移动应用软件采购”和“移动应用软件开发”.

7）根据物联网的特点提出了物联网的安全扩展要求. 主要内容包括“传感器节点的物理保护”，“传感器节点的设备安全性”，“网关节点的设备安全性”，“传感器节点的管理”和“数据融合处理”.

8）根据工业控制系统的特点提出了工业控制系统安全扩展的要求. 主要内容包括“室外控制设备保护”，“工业控制系统网络体系结构安全性”，“拨号使用控制”，“无线使用控制”和“控制设备安全性”.

9）取消原始安全控制点的S，A，G标签，添加附录A“关于安全通用要求和安全扩展要求的选择和使用”，描述防护对象等级与安全等级之间的等级结果. 安全要求关系，解释了如何根据分级的S和A结果选择安全要求的相关规定，从而简化了标准主体的内容.

10）添加附录C描述分级保护安全框架和关键技术，附录D描述云计算应用场景，附录E描述移动互联网应用场景，附录F描述物联网应用场景，附录G描述了工业控制系统的应用场景，附录H描述了大数据应用场景[6，7].

1.2变革的意义和作用

“ GB / T 22239-2019”采用了一般安全要求和安全扩展要求的划分，以使标准的使用更加灵活和针对性强. 由于信息技术的不同，不同级别的保护对象采取不同的保护措施. 例如，传统的信息系统和云计算平台具有不同的保护措施，而云计算平台和工业控制系统具有不同的保护措施. 为了反映不同对象的保护差异，《 GB / T 22239-2019》将安全要求分为安全通用要求和安全扩展要求.

提出了一般安全要求，以满足一般保护的要求. 无论采用何种形式的级别保护对象，都应根据安全保护级别实现相应的一般安全要求级别. 针对个性化保护需求，提出了安全扩展要求. 级别保护对象需要根据安全保护级别，使用的特定技术或特定应用场景来实现安全扩展要求. 分层保护对象的安全保护措施既要实现一般安全要求，又要实现安全扩展要求，才能更有效地保护分层保护对象. 例如，传统的信息系统可能只需要采取一般安全要求提出的保护措施，而云计算平台不仅需要采取一般安全要求提出的保护措施，而且还采用云计算安全扩展要求. 针对云计算平台的技术特点. 拟议的保护措施；工业控制系统不仅需要采取一般安全要求中提出的保护措施，而且还需要针对工业控制系统的技术特点采取工业控制系统安全扩展要求中提出的保护措施.

2一般安全要求的内容

2.1一般安全要求的基本分类

GB / T 22239-2019规定了第一至第四级保护对象的安全要求，每一级的安全要求均由一般安全要求和安全扩展要求组成. 例如，“ GB / T 22239-2019”中提出的第三级安全要求的基本结构是:

8个3级安全要求

8.1一般安全要求

8.2云计算安全扩展要求

8.3移动Internet安全扩展要求

8.4 IoT安全扩展要求

8.5工业控制系统的安全扩展要求

一般安全要求分为技术要求和管理要求. 技术要求包括“安全物理环境”，“安全通信网络”，“安全区域边界”，“安全计算环境”和“安全管理中心”；管理要求包括“安全管理体系”，“安全管理组织”，“安全管理人员”，“安全施工管理”和“安全运维管理”，共10个类别，如图1所示.

图1一般安全要求的基本分类

2.2技术要求

技术要求的分类反映了从外部到内部的深度防御思想. 级别保护对象的安全保护应考虑从通信网络到区域边界再到从外部到内部的计算环境的整体保护，同时还要考虑其所在物理环境的安全保护. 对于更高级别的保护对象，还必须考虑对整个系统中分布的安全功能或安全组件采用集中式技术管理方法.

1）安全的物理环境

一般安全要求中的安全物理环境部分是物理机房的安全控制要求. 主要对象是物理环境，物理设备和物理设施等；涉及的安全控制点包括物理位置的选择，物理访问控制，防盗和防破坏，防雷击，防火，防水和防潮，防静电，温度和湿度控制，电源电源和电磁保护.

表1逐步列出了控制点/安全物理环境的要求. 该数字表示每个控制点下每个级别的要求数量. 级别越高，要求越高. 后续表中的数字具有此含义.

表1控制点的逐步更改/安全物理环境的要求

与低层系统相比，托管高层系统的计算机室对物理访问控制，电源和电磁保护的要求得到了加强. 例如，与第三级相比，第四级增加了一些要求，例如“重要区域应配备第二套电子门禁系统”，“应提供应急电源设施”，“在关键区域实施电磁屏蔽”. 和其他要求.

2）安全的通讯网络

安全通信网络中一般安全要求的一部分是通信网络的安全控制要求. 主要目标是广域网，城域网和局域网. 其中涉及的安全控制点包括网络体系结构，通信传输和可信验证.

表2逐步列出了安全通信网络的控制点/要求.

与低级系统的通信网络相比，高级系统的通信网络增强了对优先带宽分配，设备访问身份验证和通信设备身份验证的要求. 例如，与级别3相比，级别4增加了“应该可以根据业务服务的重要性分配带宽，并且应该为重要服务赋予优先级”. 应该使用受信任的验证机制来对设备中的设备执行可信验证. 接入网以确保接入. 该网络的设备是真实可信的”，并且“在通信之前，应基于加密技术对通信的双方进行验证或认证”.

3）安全区域边界

一般安全要求中的安全区域边界部分是网络边界的安全控制要求. 主要对象是系统边界和区域边界等；涉及的安全控制点包括边界保护，访问控制，入侵防御，恶意代码预防，安全审核和可信验证.

表3显示了控制点的逐步变化/安全区边界的要求.

高级别系统的网络边界比低级别系统的网络边界更强，这增强了高强度隔离和非法访问阻止的要求. 例如，与第三级相比，第四级添加了“应通过通信协议转换或通信协议隔离在网络边界交换数据”，“应能够发现未授权设备私下连接到内部网络或未经授权的行为”. 内部用户. 连接到外部网络时，有效地阻止它. ”

4）安全的计算环境

一般安全要求中的安全计算环境部分是针对边界内提出的安全控制要求. 主要对象是边界内的所有对象，包括网络设备，安全设备，服务器设备，终端设备，应用系统，数据对象和其他设备；涉及的安全控制点包括身份认证，访问控制，安全审计，入侵防御，恶意代码预防，可信验证，数据完整性，数据机密性，数据备份和恢复，剩余信息保护和个人信息保护.

表4显示了安全控制环境的控制点/要求的逐步更改.

与低级系统的计算环境相比，高级系统的计算环境增强了身份认证，访问控制和程序完整性的要求. 例如，第四级增加了“应使用密码，密码技术，生物技术等两种或多种组合的认证技术来认证用户，并且其中一种认证技术应至少使用密码技术来实现认证. ，“应为主体和对象设置安全标签，并应根据安全标签和强制性访问控制规则确定对象对对象的访问权限”，“应使用主动免疫可信验证机制来识别入侵者和对象中的病毒行为及时处理并有效地阻止它们“和其他要求.

5）安全管理中心

安全管理中心的一般安全要求部分是整个系统安全管理的技术控制要求，而集中管理是通过技术手段来实现的. 涉及的安全控制点包括系统管理，审计管理，安全管理以及集中管理和控制.

表5逐步介绍了安全管理中心的控制点/要求.

高层系统的安全管理比底层系统的安全管理相对严格，这增强了对使用技术手段进行集中管理和控制的要求. 例如，与第二级相比，第三级添加了“应划分特定的管理区域，以管理和控制分布在网络中的安全设备或安全组件”，“对网络链路，安全设备的运行的响应，网络设备和服务器等情况的集中监视”，“应收集，汇总和分析散布在每个设备上的审核数据，审核记录的保留时间应符合法律法规的要求”，与安全相关的事务，例如安全策略，恶意代码，补丁升级等. 执行集中管理”和其他要求.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-270464-1.html