解释“网络安全级别保护的基本要求”（GB / T 22239-2019）(2)

2.3管理要求

管理要求的分类反映了从要素到活动的综合管理思想. 安全管理所需的“机构”，“系统”和“人员”三个要素是必不可少的. 同时，应当控制和管理系统建设，整改，运维中的重要活动. 有必要为上级保护对象建立一套完整的安全管理体系.

1）安全管理系统

一般安全要求中的安全管理系统部分是整个管理系统系统的安全控制要求. 涉及的安全控制点包括安全策略，管理体系，制定和发布以及审查和修订.

表6逐步介绍了安全管理系统的控制点/要求.

2）安全管理组织

一般安全要求中的安全管理组织部分是整个管理组织结构的安全控制要求. 涉及的安全控制点包括工作设置，人员配备，授权和批准，沟通与合作以及审核和检查.

表7给出了安全管理组织的控制点/要求的逐步更改.

3）安全管理人员

一般安全要求中的安全管理人员部分是人员管理模型的安全控制要求. 涉及的安全控制点包括人员招聘，人员离职，安全意识教育和培训以及外部人员访问管理.

表8逐步介绍了安全管理人员的控制点/要求.

4）安全施工管理

安全通用要求中的安全施工管理部分是安全施工过程的安全控制要求. 涉及的安全控制点包括等级和归档，安全计划设计，安全产品的购买和使用，自行开发的软件以及外包软件的开发，项目实施，测试和验收，系统交付，等级评估和服务提供商管理.

表9给出了安全施工管理控制点/要求的逐步更改.

5）安全的运维管理

一般安全要求中的安全运维管理部分是安全运维过程的安全控制要求. 涉及的安全控制点包括环境管理，资产管理，媒体管理网络安全等级保护，设备维护管理，漏洞和风险管理以及网络和系统安全管理，恶意代码预防管理，配置管理，密码管理，变更管理，备份和恢复管理，安全事件处理，应急计划管理以及外包运维管理.

表10逐步列出了控制点/安全操作和维护管理的要求.

3个安全扩展所需的内容

安全扩展要求是在特定技术或特定应用场景下需要添加到保护对象级别的安全要求. “ GB / T 22239-2019”提议的安全扩展要求包括云计算安全扩展要求，移动互联网安全扩展要求，IoT安全扩展要求和工业控制系统安全扩展要求.

3.1云计算安全性扩展要求

使用云计算技术的信息系统通常被称为云计算平台. 云计算平台由设施，硬件，资源抽象控制层，虚拟化计算资源，软件平台和应用软件组成. 云计算平台通常扮演两个角色: 云服务提供商和云服务客户/云租户. 根据云服务提供商提供的服务类型，云计算平台具有三种基本的云计算服务模型: 软件即服务（SaaS），平台即服务（PaaS）和基础架构即服务（IaaS）. 在不同的服务模型中，云服务提供商和云服务客户对资源的控制范围不同，并且控制范围确定了安全责任的边界.

云计算安全扩展要求是除云计算平台的常规安全要求之外，还需要实现的其他安全要求. 云计算安全扩展要求中涉及的控制点包括基础架构位置，网络体系结构，网络边界访问控制，网络边界入侵预防，网络边界安全审核，集中式管理和控制，计算环境身份认证，计算环境访问控制，计算环境入侵预防，图像和快照保护，数据安全，数据备份和恢复，剩余信息保护，云服务提供商选择，供应链管理和云计算环境管理.

表11逐步介绍了控制点/云计算安全扩展要求的要求.

3.2移动Internet安全扩展要求

使用移动互联网技术的保护对象级别，移动互联网部分通常由三个部分组成: 移动终端，移动应用程序和无线网络. 移动终端通过无线信道将无线接入设备连接至有线网络；无线接入网关通过访问控制策略限制移动终端的访问行为；后台移动终端管理系统（如果已配置）负责管理移动终端，包括向客户进行管理. 终端软件发送移动设备管理，移动应用程序管理和移动内容管理策略.

移动Internet安全扩展要求是针对移动终端，移动应用程序和无线网络的特殊安全要求. 它们与一般安全要求一起，构成了使用移动Internet技术的保护对象级别的完整安全要求. 移动Internet安全扩展要求中涉及的控制点包括无线访问点的物理位置，无线和有线网络之间的边界保护，无线和有线网络之间的访问控制，无线和有线网络之间的入侵防护，移动终端管理和控制，移动应用程序管理和控制，移动应用程序软件采购，移动应用程序软件开发和配置管理.

表12逐步列出了控制点/移动互联网安全扩展要求的要求.

3.3 IoT安全扩展要求

就体系结构而言，物联网通常可以分为3个逻辑层，即感知层，网络传输层和处理应用层. 传感层包括传感器节点和传感器网络网关节点或RFID标签和RFID阅读器，还包括传感设备和传感器网络网关之间的短距离通信以及RFID标签和RFID阅读器（通常为无线）部分；网络传输层包括将传感数据远距离传输到处理中心的网络，例如互联网，移动网络或几种不同网络的融合. 处理应用层包括用于存储和智能处理传感数据的平台，应用终端提供服务. 对于的物联网，处理应用层通常由云计算平台和业务应用终端组成.

物联网的安全保护应包括感知层，网络传输层和处理应用程序层. 由于网络传输层和处理应用层通常由计算机设备组成，因此这两个部分将根据一般安全要求中规定的要求得到保护. 物联网的扩展安全要求是感知层的特殊安全要求. 它们与一般安全要求一起构成了物联网的完整安全要求.

物联网安全扩展需求中涉及的控制点包括传感节点的物理保护，传感网络的入侵防御，传感网络的访问控制，传感节点设备的安全性，网关节点的安全性设备，反数据重放，数据融合处理以及感知节点管理.

表13逐步列出了控制点/物联网安全扩展要求的要求.

3.4工业控制系统的安全扩展要求

工业控制系统通常是需要高可用性的高级保护的对象. 工业控制系统是各种控制系统的统称，例如数据采集和监视控制系统（SCADA），分布式控制系统（DCS）等.

4结论

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-270464-2.html