网络安全-品级掩护(等保) 2-4 GB/T 22239-2019 《信息安全技术 网络安全品级掩护底子要求》-2019-05-10发布【现行】

################################################################################
  品级确定之后，必要根据差别的安全品级满足相关建立要求，《品级掩护底子要求》明白了安全物理环境、安全通讯网络、安全地区边界、安全计算环境、安全管理中央、安全管理制度、安全管理机构、安全管理职员、安全建立管理、安全运维管理十个方面，68 个控制点，135 个安全标准项。每一品级都有针对上述十个方面的要求。
  此中除了安全管理职员，其他九个方面，每个方面都有高风险项，安全物理环境 8项、安全通讯网络 8项、安全地区边界 11项、安全计算环境 网络装备、安全装备、主机装备等：10项，应用体系：22项、安全管理中央 4项、安全管理制度 1项、安全管理机构 1项、安全建立管理 5项、安全运维管理 10项。共计80项（此中有重复项）。
  高风险项的等保测评过程中的否决项，我们在表格中以赤色添补标志高风险项，以是必须满足。固然高风险项都有相应的补偿步调，可通过补偿步调低落风险。
  
  GB/T 22239-2019 《信息安全技术 网络安全品级掩护底子要求》是网络安全品级掩护相关系列标准之一，由国家市场监视管理总局、中国国家标准化管理委员会 2019-05-10发布   2019-12-01实验，是现行有用的国家标准文件。
  GB/T 22239-2019 《信息安全技术 网络安全品级掩护底子要求》为了共同《中华人民共和国网络安全法》的实验,同时顺应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用环境下网络安全品级掩护工作的开展，对 GB/T22239—2008举行修订，取代 GB/T 22239—2008《信息安全技术信息体系安全品级掩护根本要求》。
  重要内容包罗如下内容，  
  

• 5 网络安全品级掩护概述  
  
• 6 第一级安全要求   
  
• 7 第二级安全要求   
  
• 8 第三级安全要求  
  
• 9 第四级安全要求 
  
• 10 第五级安全要求
  
• 附录 A (规范性附录) 关于安全通用要求和安全扩展要求的选择和利用   
  
• 附录 B (规范性附录) 关于品级掩护对象团体安全掩护能力的要求
  
• 附录 C (规范性附录) 品级掩护安全框架和关键技术利用要求
  
• 附录 D (资料性附录) 云计算应用场景阐明
  
• 附录 E (资料性附录) 移动互联应用场景阐明
  
• 附录 F (资料性附录) 物联网应用场景阐明
  
• 附录 G (资料性附录) 工业控制体系应用场景阐明 
  
• 附录 H (资料性附录) 大数据应用场景阐明
  

  博客内容会对1~5章及附录举行阐明，6-9章第一级到第四级的详细内容以表格的方式展示，充分对比每一级要求差别，并标志高风险项，如下图所示：
  等保二级高风险项查对表下载链接：
https://download.csdn.net/download/qq_42591962/90878930?spm=1001.2014.3001.5503
  
  

  
  

  文档标志阐明：
  

• 绿色：标准或政策文件。
  
• 橙色：为网络安全标准要点。
  
•         引用斜体：为非本文件内容，个人注解阐明。
  
• 加粗标志：以动词为主，根据政策要求动作去分解政策要求。
  

  ################################################################################
  前 言

• 本标准按照 GB/T1.1—2009给出的规则草拟。
  
• 本标准代 替 GB/T 22239—2008《信息安全技术信息体系安全品级掩护根本要求》,与GB/T22239—2008相比,重要变化如下:
  
  
  
  • ———将标准名称变动为《信息安全技术 网络安全品级掩护根本要求》;
    
  • ———调解分类为安全物理环境、安全通讯网络、安全地区边界、安全计算环境、安全管理中央、安全管理制度、安全管理机构、安全管理职员、安全建立管理、安全运维管理;
    
  • ———调解各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制体系安全扩展要求;
    
  • ———取消了原来安全控制点的S、A、G 标注,增长一个附录 A 形貌品级掩护对象的定级结果和安全要求之间的关系,阐明怎样根据定级结果选择安全要求;
    
  • ———调解了原来附录 A 和附录 B的次序,增长了附录 C形貌网络安全品级掩护总体框架,并提出关键技术利用要求。
    
  
  
• 请留意本文件的某些内容可能涉及专利。本文件的发布机构不承担辨认这些专利的责任。
  
• 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
  
• 本标准草拟单位:
  
  
  
  • 公安部第三研究所(公安部信息安全品级掩护评估中央)、国家能源局信息中央、阿里云计算有限公司、中国科学院信息工程研究所(信息安全国家重点实验室)、新华三技术有限公司、华为技术有限公司、启明星辰信息技术团体股份有限公司、北京鼎普科技股份有限公司、中国电子信息产业团体有限公司第六研究所、公安部第一研究所、国家书息中央、山东微分电子科技有限公司、中国电子科技团体公司第十五研究所(信息产业信息安全测评中央)、浙江大学、工业和信息化部计算机与微电子发展研究中央(中国软件评测中央)、浙江国利信安科技有限公司、呆板工业仪器仪表综合技术经济研究所、杭州科技职业技术学院。
    
  
  
• 本标准重要草拟人:马力、陈广勇、张振峰、郭启全、葛波蔚、祝国邦、陆磊、曲洁、于东升、李秋香、任卫红、胡红升、陈雪鸿、冯冬芹、王江波、张宗喜、张宇翔、毕马宁、沙淼淼、李明、黎水林、于晴、李超、刘之涛、袁静、霍珊珊、黄顺京、尹湘培、苏艳芳、陶源、陈雪秀、于豪杰、沈锡镛、杜静、周颖、吴薇、刘志宇、宫月、王昱镔、禄凯、章恒、高亚楠、段伟恒、马闽、贾驰千、陆耿虹、高梦州、赵泰、孙晓军、许凤凯、王绍杰、马红霞、刘美丽。
  
• 本标准所取代标准的历次版本发布环境为:
  
  
  
  • ———GB/T22239—2008。
    
  
  

引 言

• 为了共同《中华人民共和国网络安全法》的实验,同时顺应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用环境下网络安全品级掩护工作的开展,需对 GB/T22239—2008举行修订,修订的思绪和方法是调解原国家标准 GB/T22239—2008的内容,针对共性安全掩护需求提出安全通用要求,针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用范畴的个性安全掩护需求提出安全扩展要求,形成新的网络安全品级掩护根本要求标准。
  
• 本标准是网络安全品级掩护相关系列标准之一。
  
• 与本标准相关的标准包罗:
  
  
  
  • ———GB/T25058 信息安全技术 信息体系安全品级掩护实验指南;
    
  • ———GB/T22240 信息安全技术 信息体系安全品级掩护定级指南;
    
  • ———GB/T25070 信息安全技术 网络安全品级掩护安全计划技术要求;
    
  • ———GB/T28448 信息安全技术 网络安全品级掩护测评要求;
    
  • ———GB/T28449 信息安全技术 网络安全品级掩护测评过程指南。
    
  • 在本标准中,黑体字部门表现较高品级中增长或增强的要求。
    
  
  

信息安全技术网络安全品级掩护根本要求

1 范围

• 本标准规定了网络安全品级掩护的第一级到第四级品级掩护对象的安全通用要求和安全扩展要求。
  
• 本标准实用于指导分品级的非涉密对象的安全建立和监视管理。
  
• 注:第五级品级掩护对象黑白常紧张的监视管理对象,对其有特别的管理模式和安全要求,以是不在本标准中举行形貌。
  

2 规范性引用文件

• 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本实用于本文件。凡是不注日期的引用文件,其最新版本(包罗全部的修改单)实用于本文件。
  
• GB17859 计算机信息体系 安全掩护品级分别准则
  

   最新现行标准：GB 17859-1999  计算机信息体系 安全掩护品级分别准则【现行】
  

• GB/T22240 信息安全技术 信息体系安全品级掩护定级指南
  

   最新现行标准：GB/T 22240-2020  信息安全技术 网络安全品级掩护定级指南【现行】
  

• GB/T25069 信息安全技术 术语
  

   最新现行标准：GB/T 25069-2022  信息安全技术 术语 【现行】
  

• GB/T31167—2014 信息安全技术 云计算服务安全指南【废止】
  

   最新现行标准：GB/T 31167-2023  信息安全技术 云计算服务安全指南【现行】
  

• GB/T31168—2014 信息安全技术 云计算服务安全能力要求【废止】
  

   最新现行标准：GB/T 31168-2023  信息安全技术 云计算服务安全能力要求【现行】
  

• GB/T32919—2016 信息安全技术 工业控制体系安全控制应用指南【现行】
  

 3 术语和界说

GB17859、GB/T22240、GB/T25069、GB/T31167—2014、GB/T31168—2014和 GB/T32919—2016界定的以及下列术语和界说实用于本文件。为了便于利用,以下重复列出了 GB/T31167—2014、GB/T31168—2014和 GB/T32919—2016中的一些术语和界说。
3.1 网络安全 cybersecurity

• 通过采取须要步调,防范对网络的攻击、侵入、干扰、粉碎和非法利用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完备性、保密性、可用性的能力。
  

3.2 安全掩护能力 securityprotectionability

• 可以大概抵御威胁、发现安全事件以及在遭到侵害后可以大概规复先前状态等的水平。
  

3.3 云计算 cloudcomputing

• 通过网络访问可扩展的、机动的物理或假造共享资源池,并按需自助获取和管理资源的模式。
  
• 注:资源实例包罗服务器、操纵体系、网络、软件、应用和存储装备等。
  
• [GB/T31167—2014,界说3.1]
  

3.4 云服务商 cloudserviceprovider

• 云计算服务的供应方。
  
• 注:云服务商管理、运营、支持云计算的计算底子设施及软件,通过网络交付云计算的资源。
  
• [GB/T31167—2014,界说3.3]
  

3.5 云服务客户 cloudservicecustomer

• 为利用云计算服务同云服务商建立业务关系的到场方。
  
• [GB/T31168—2014,界说3.4]
  

3.6 云计算平台/体系 cloudcomputingplatform/system

• 云服务商提供的云计算底子设施及其上的服务软件的聚集。
  

3.7 假造机监视器 hypervisor

• 运行在底子物理服 务器和操纵体系之间的中间软件层,可答应多个操纵体系和应用共享硬件。
  

3.8 宿主机 hostmachine

• 运行假造机监视器的物理服务器。
  

3.9 移动互联 mobilecommunication

• 采用无线通讯技术将移动终端接入有线网络的过程。
  

3.10 移动终端 mobiledevice

• 在移动业务中利用的终端装备,包罗智能手机、平板电脑、个人电脑等通用终端和专用终端装备。
  

3.11 无线接入装备 wirelessaccessdevice

• 采用无线通讯技术将移动终端接入有线网络的通讯装备。
  

3.12 无线接入网关 wirelessaccessgateway

• 摆设在无线网络与有线网络之间,对有线网络举行安全防护的装备。
  

3.13 移动应用软件 mobileapplication

• 针对移动终端开发的应用软件。
  

3.14 移动终端管理体系 mobiledevicemanagementsystem

• 用于举行移动终端装备管理、应用管理和内容管理的专用软件,包罗客户端软件和服务端软件。
  

3.15 物联网 internetofthings

• 将感知节点装备通过互联网等网络毗连起来构成的体系。
  

3.16 感知节点装备 sensornode

• 对物或环境举行信息收罗和/或实行操纵,并能联网举行通讯的装置。
  

3.17 感知网关节点装备 sensorlayergateway

• 将感知节点所收罗的数据举行汇总、适当处置惩罚或数据融合,并举行转发的装置。
  

3.18 工业控制体系 industrialcontrolsystem

• 工业控制体系(ICS)是一个通用术语,它包罗多种工业生产中利用的控制体系,包罗监控和数据采
  
• 团体系(SCADA)、分布式控制体系(DCS)和其他较小的控制体系,如可编程逻辑控制器(PLC),现已广
  
• 泛应用在工业部门和关键底子设施中。
  
• [GB/T32919—2016,界说3.1]
  

4 缩略语

• 下列缩略语实用于本文件。
  
• AP:无线访问接入点(WirelessAccessPoint)
  
• DCS:集散控制体系(DistributedControlSystem)
  
• DDoS:拒绝服务 (DistributedDenialofService)
  
• ERP:企业资源计划(EnterpriseResourcePlanning)
  
• FTP:文件传输协议(FileTransferProtocol)
  
• HMI:人机界面(HumanMachineInterface)
  
• IaaS:底子设施即服务(Infrastructure-as-a-Service)
  
• ICS:工业控制体系(IndustrialControlSystem)
  
• IoT:物联网(InternetofThings)
  
• IP:互联网协议(InternetProtocol)
  
• IT:信息技术(InformationTechnology)
  
• MES:制造实行体系(ManufacturingExecutionSystem)
  
• PaaS:平台即服务(Platform-as-a-Service)
  
• PLC:可编程逻辑控制器(ProgrammableLogicController)
  
• RFID:射频辨认(RadioFrequencyIdentification)
  
• SaaS:软件即服务(Software-as-a-Service)
  
• SCADA:数据收罗与监视控制体系(SupervisoryControlandDataAcquisitionSystem)
  
• SSID:服务集标识(ServiceSetIdentifier)
  
• TCB:可信计算基(TrustedComputingBase)
  
• USB:通用串行总线(UniversalSerialBus)
  
• WEP:有线等效加密(WiredEquivalentPrivacy)
  
• WPS:WiFi掩护设置(WiFiProtectedSetup)
  

5 网络安全品级掩护概述

5.1 品级掩护对象

• 品级掩护对象是指网络安全品级掩护工作中的对象,通常是指由计算机或者其他信息终端及相关装备构成的按照肯定的规则和步调对信息举行网络、存储、传输、交换、处置惩罚的体系,重要包罗底子信息网络、云计算平台/体系、大数据应用/平台/资源、物联网(IoT)、工业控制体系和采用移动互联技术的体系等。品级掩护对象根据其在国家安全、经济建立、社会生存中的紧张水平,遭到粉碎后对国家安全、社会秩序、公共优点以及公民、法人和其他组织的合法权益的危害水平等,由低到高被分别为五个安全掩护品级。
  
• 掩护对象的安全掩护品级确定方法见 GB/T22240。
  

5.2 差别级别的安全掩护能力

• 差别级别的品级掩护对象应具备的根本安全掩护能力如下:
  
• 第一级安全掩护能力:应可以大概防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一样平常的天然灾难,以及其他相当危害水平的威胁所造成的关键资源侵害,在自身遭到侵害后,可以大概规复部门功能。
  
• 第二级安全掩护能力:应可以大概防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一样平常的天然灾难,以及其他相当危害水平的威胁所造成的紧张资源侵害,可以大概发现紧张的安全毛病和处置安全事件,在自身遭到侵害后,可以大概在一段时间内规复部门功能。
  
• 第三级安全掩护能力:应可以大概在同一安全计谋下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严肃的天然灾难,以及其他相当危害水平的威胁所造成的重要资源侵害,可以大概及时发现、监测攻击举动和处置安全事件,在自身遭到侵害后,可以大概较快规复绝大部门功能。
  
• 第四级安全掩护能力:应可以大概在同一安全计谋下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严肃的天然灾难,以及其他相当危害水平的威胁所造成的资源侵害,可以大概及时发现、监测发现攻击举动和安全事件,在自身遭到侵害后,可以大概灵敏规复全部功能。
  
• 第五级安全掩护能力:略。
  

5.3 安全通用要求和安全扩展要求

• 由于业务目标的差别、利用技术的差别、应用场景的差别等因素,差别的品级掩护对象会以差别的形态出现,表现情势可能称之为底子信息网络、信息体系(包罗采用移动互联等技术的体系)、云计算平台/体系、大数据平台/体系、物联网、工业控制体系等。形态差别的品级掩护对象面临的威胁有所差别,安全掩护需求也会有所差异。为了便于实现对差别级别的和差别形态的品级掩护对象的共性化和个性化掩护,品级掩护要求分为安全通用要求和安全扩展要求。
  
• 安全通用要求针对共性化掩护需求提出,品级掩护对象无论以何种情势出现,应根据安全掩护品级实现相应级别的安全通用要求;安全扩展要求针对个性化掩护需求提出,必要根据安全掩护品级和利用的特定技术或特定的应用场景选择性实现安全扩展要求。安全通用要求和安全扩展要求共同构成了对品级掩护对象的安全要求。
  
• 安全要求的选择见附录 A,团体安全掩护能力的要求见附录 B和附录 C。
  
• 本标准针对云计算、移动互联、物联网、工业控制体系提出了安全扩展要求。
  
• 云计算应用场景拜见附录 D,移动互联应用场景拜见附录 E,物联网应用场景拜见附录 F,工业控制体系应用场景拜见附录G,大数据应用场景拜见附录 H。对于采用其他特别技术或处于特别应用场景的品级掩护对象,应在安全风险评估的底子上,针对安全风险采取特别的安全步调作为增补。
  

6-10章第一级~第五级安全要求见excel表格

• 可接洽作者付费获取全套材料。
  

附录A (规范性附录) 关于安全通用要求和安全扩展要求的选择和利用

   在思量信息的安全性要求和体系服务的连续性中，以等保三级为例，S类或者A类至少有一类满足三级要求。
  

• 
  
  
  
  • 由于品级掩护对象承载的业务差别,对其的安全关注点会有所差别,有的更关注信息的安全性,即更关注对搭线窃听、冒充用户等可能导致信息泄密、非法篡改等;有的更关注业务的连续性,即更关注保证体系连续正常的运行,免受对体系未授权的修改、粉碎而导致体系不可用引起业务制止。
    
  • 差别级别的品级掩护对象,其对业务信息的安全性要求和体系服务的连续性要求是有差异的,纵然雷同级别的品级掩护对象,其对业务信息的安全性要求和体系服务的连续性要求也有差异。
    
  • 品级掩护对象定级后,可能形成的定级结果组合见表 A.1。
    
  
  

• 
  
  
  
  •  安全掩护步调的选择应依据上述定级结果,本标准中的技术安全要求进一步细分为:
    
    
    
    • 掩护数据在存储、传输、处置惩罚过程中不被走漏、粉碎和免受未授权的修改的信息安全类要求(简记为S);
      
    • 掩护体系连续正常的运行,免受对体系的未授权修改、粉碎而导致体系不可用的服务保证类要求(简记为 A);
      
    • 其他安全掩护类要求(简记为 G)。
      
    
    
  •  本标准中全部安全管理要求和安全扩展要求均标注为 G,安全要求及属性标识见表 A.2。
    
  
  

• 
  
  
  
  • 对于确定了级别的品级掩护对象,应依据表 A.1的定级结果,结合表 A.2利用安全要求,应按照以下过程举行安全要求的选择:
    
    
    
    • a) 根据品级掩护对象的级别选择安全要求。
      
      
      
      • 方法是根据本标准,第一级选择第一级安全要求,第二级选择第二级安全要求,第三级选择第三级安全要求,第四级选择第四级安全要求,以此作为出发点。
        
      
      
         
    
    
    
    • b) 根据定级结果,基于表 A.1和表 A.2对安全要求举行调解。
      
      
      
      • 根据体系服务保证性品级选择相应级别的体系服务保证类(A 类)安全要求;
        
            
      
      
      
      • 根据业务信息安全性品级选择相应级别的业务信息安全类(S类)安全要求;
        
            
      
      
      
      • 根据体系安全品级选择相应级别的安全通用要求(G 类)和安全扩展要求(G 类)。
        
      
      
         
    
    
    
    • c) 根据品级掩护对象采用新技术和新应用的环境,选用相应级别的安全扩展要求作为增补。
      
      
      
      • 采用云计算技术的选用云计算安全扩展要求,采用移动互联技术的选用移动互联安全扩展要求,物联网选用物联网安全扩展要求,工业控制体系选用工业控制体系安全扩展要求。
        
      
      
         
    
    
    
    • d) 针对不偕行业或差别对象的特点,分析可能在某些方面的特别安全掩护能力要求,选择较高级别的安全要求或其他标准的增补安全要求。
      
      
      
      • 对于本标准中提出的安全要求无法实现或有更加有用的安全步调可以替换的,可以对安全要求举行调解,调解的原则是保证不低落团体安全掩护能力。
        
      
      
         
    
    
    
    • 总之,保证差别安全掩护品级的对象具有相应级别的安全掩护能力,是安全品级掩护的核心。
      
      
      
      • 选用本标准中提供的安全通用要求和安全扩展要求是保证品级掩护对象具备肯定安全掩护能力的一种途径和出发点,在此出发点的底子上,可以参考品级掩护的其他相关标准和安全方面的其他相关标准,调解和增补安全要求,从而实现品级掩护对象在满足品级掩护安全要求底子上,又具有自身特点的掩护。
        
      
      
    
    
  
  

 附 录 B(规范性附录)关于品级掩护对象团体安全掩护能力的要求

   就是对较高品级的安全要求要思量团体，处置惩罚满足底子安全掩护能力外，还要思量纵深、互补、同等性、会合管理等方面。
  测评在不止有单项要求，另有团体要求，在GB/T 28448-2019 《信息安全技术 网络安全品级掩护测评要求》【现行】中会给出详细是阐明。
  品级测评是打分制的，除了高风险项，其他不是固定的，是可以根据差别现场环境调治变化的。
  

• 网络安全品级掩护的核心是保证差别安全掩护品级的对象具有相顺应的安全掩护能力。
  
• 本标准第5章提出了差别级别的品级掩护对象的安全掩护能力要求,第6章~第10章分别针对差别安全掩护品级的对象应该具有的安全掩护能力提出了相应的安全通用要求和安全扩展要求。
  
• 依据本标准分层面采取各种安全步调时,还应思量以下总体性要求,保证品级掩护对象的团体安全掩护能力
  

• 
  
  
  
  • 
    
    
    
    • a) 构建纵深的防御体系
      
      
      
      • 本标准从技术和管理两个方面提出安全要求,在采取由点到面的各种安全步调时,在团体上还应保证各种安全步调的组合从外到内构成一个纵深的安全防御体系,保证品级掩护对象团体的安全掩护能力。
        
            
      
      
      
      • 应从通讯网络、网络边界、局域网络内部、各种业务应用平台等各个层次落实本标准中提到的各种安全步调,形成纵深防御体系。
        
      
      
    • b) 采取互补的安全步调
      
      
      
      • 本标准以安全控制的情势提出安全要求,在将各种安全控制落实到特定品级掩护对象中时,应思量各个安全控制之间的互补性,关注各个安全控制在层面内、层面间和功能间产生的毗连、交互、依赖、协调、协划一相互关联关系,保证各个安全控制共同综互助用于品级掩护对象上,使得品级掩护对象的团体安全掩护能力得以保证。
        
      
      
    • c) 保证同等的安全强度
      
      
      
      • 本标准将安全功能要求,如身份鉴别、访问控制、安全审计、入侵防范等内容,分解到品级掩护对象的各个层面,在实现各个层面安全功能时,应保证各个层面安全功能实现强度的同等性。
        
            
      
      
      
      • 应防止某个层面安全功能的削弱导致团体安全掩护能力在这个安全功能上削弱。
        
        
        
        • 比方,
          
                 
        
        
        
        • 要实现双因子身份鉴别,则应在各个层面的身份鉴别上均实现双因子身份鉴别;
          
                 
        
        
        
        • 要实现基于标志的访问控制,则应保证在各个层面均实现基于标志的访问控制,并保证标志数据在整个品级掩护对象内部流动时标志的唯一性等。
          
        
        
      
      
    • d) 建立同一的支持平台
      
      
      
      • 本标准针对较高级别的品级掩护对象,提到了利用暗码技术、可信技术等,多数安全功能(如身份鉴别、访问控制、数据完备性、数据保密性等)为了得到更高的强度,均要基于暗码技术或可信技术,为了保证品级掩护对象的团体安全防护能力,应建立基于暗码技术的同一支持平台,支持高强度身份鉴别、访问控制、数据完备性、数据保密性等安全功能的实现。
        
      
      
    • e) 举行会合的安全管理
      
      
      
      • 本标准针对较高级别的品级掩护对象,提到了实现会合的安全管理、安全监控和安全审计等要求,为了保证分散于各个层面的安全功能在同一计谋的指导下实现,各个安全控制在可控环境下发挥各自的作用,应建立会合的管理中央,会合管理品级掩护对象中的各个安全控制组件,支持同一安全管理。
        
      
      
    
    
  
  

附 录 C(规范性附录)品级掩护安全框架和关键技术利用要求

在开展网络安全品级掩护工作中应

• 
  
  
  
  • 起首明白品级掩护对象,品级掩护对象包罗通讯网络设施、信息体系(包罗采用移动互联等技术的体系)、云计算平台/体系、大数据平台/体系、物联网、工业控制体系等;
    
  • 确定了品级掩护对象的安全掩护品级后,应根据差别对象的安全掩护品级完成安全建立或安全整改工作;
    
  • 应针对品级掩护对象特点建立安全技术体系和安全管理体系,构建具备相应品级安全掩护能力的网络安全综合防御体系。
    
  • 应依据国家网络安全品级掩护政策和标准,开展组织管理、机制建立、安全规划、安全监测、转达预警、应急处置、态势感知、能力建立、监视查抄、技术检测、安全可控、队伍建立、教育培训和经费保障等工作。
    
  
  

品级掩护安全框架见图 C.1。

 应在较高级别品级掩护对象的安全建立和安全整改中留意利用一些关键技术:

• 
  
  
  
  • 
    
    
    
    • a) 可信计算技术
      
      
      
      • 应针对计算资源构建掩护环境,以可信计算基(TCB)为底子,实现软硬件计算资源可信;
        
            
      
      
      
      • 针对信息资源构建业务流程控制链,基于可信计算技术实现访问控制和安全认证,暗码操纵调用和资源的管理等,构建以可信计算技术为底子的品级掩护核心技术体系。
        
      
      
    • b) 逼迫访问控制
      
      
      
      • 应在高品级掩护对象中利用逼迫访问控制机制,逼迫访问控制机制必要总体计划、全局思量,在通讯网络、操纵体系、应用体系各个方面实现访问控制标志和计谋,举行同一的主客体安全标志,安全标志随数据全程流动,并在差别访问控制点之间实现访问控制计谋的关联,构建各个层面强度同等的访问控制体系。
        
      
      
    • c) 审计追查技术
      
      
      
      • 应驻足于现有的大量事件收罗、数据发掘、智能事件关联和基于业务的运维监控技术,解决海量数据处置惩罚瓶颈,通过对审计数据快速提取,满足信息处置惩罚中对于检索速率和精确性的需求;
        
            
      
      
      
      • 同时,还应建立事件分析模子,发现高级安全威胁,并追查威胁路径和定位威胁源头,实现对攻击举动的有用防范和追查。
        
      
      
    • d) 结构化掩护技术
      
      
      
      • 应通过精良的模块结构与层次计划等方法来保证具有相当的抗渗透能力,为安全功能的正常实行提供保障。
        
            
      
      
      
      • 高品级掩护对象的安全功能可以情势表述、不可被篡改、不可被绕转,潜伏信道不可被利用,通过保障安全功能的正常实行,使体系具备源于自身结构的、自动性的防御能力,利用可信技术实现结构化掩护。
        
      
      
    • e) 多级互联技术
      
      
      
      • 应在保证各品级掩护对象自治和安全的前提下,有用控制异构品级掩护对象间的安全互操纵,从而实现分布式资源的共享和交互。
        
            
      
      
      
      • 随着对结构网络化和业务应用分布化动态性要求越来越高,多级互联技术应在不粉碎原有品级掩护对象正常运行和安全的前提下,实现差别级别之间的多级安全互联、互通和数据交换。
        
      
      
    
    
  
  

 附录D-H（资料性附录）

   云大物移+工控的应用场景阐明，包罗差别新技术新业务的底子阐明内容和构成。可直接查看 GB/T 22239-2019 《信息安全技术 网络安全品级掩护底子要求》标准文件。
  

• 附录 D (资料性附录) 云计算应用场景阐明
  
• 附录 E (资料性附录) 移动互联应用场景阐明
  
• 附录 F (资料性附录) 物联网应用场景阐明
  
• 附录 G (资料性附录) 工业控制体系应用场景阐明 
  
• 附录 H (资料性附录) 大数据应用场景阐明
  

参 考 文 献

[1] GB/T18336.1—2015 信息技术 安全技术 信息技术安全评估准则 第1部门:简介和一样平常模子
[2] GB/T22080—2016 信息技术 安全技术 信息安全管理体系 要求
[3] GB/T22081—2016 信息技术 安全技术 信息安全控制实践指南
[4] NISTSpecialPublication800-53SecurityandPrivacyControlsforFederalInformationSystemsandOrganizations
   ##################################################################################
   愿各位在进步中安心。
  2025.05.15 禾木
  可接洽作者付费获取，69.9。包罗如下内容：
1. 信息安全技术全套标准指南  

• ———GB/T 22239-2019 《信息安全技术 网络安全品级掩护底子要求》
  
• ———GB/T25058 信息安全技术 信息体系安全品级掩护实验指南;
  
• ———GB/T22240 信息安全技术 信息体系安全品级掩护定级指南;
  
• ———GB/T25070 信息安全技术 网络安全品级掩护安全计划技术要求;
  
• ———GB/T28448 信息安全技术 网络安全品级掩护测评要求;
  
• ———GB/T28449 信息安全技术 网络安全品级掩护测评过程指南。
  

  2. 等保2.0标准实行之高风险判定
  3. GBT 22239-2019 《信息安全技术 网络安全品级掩护底子要求》一到四级对比表格（按照十大方面整理，每方面包罗四级要求并标志高风险项）
  4. GBT 22239-2019 +GBT 25070—2019 《信息安全技术 网络安全品级掩护底子要求》+《信息安全技术 网络安全品级掩护安全计划技术要求》一到四级对比表格（在底子要求中添加安全计划技术要求，安全计划技术要求重要用于开发职员和产物司理）
  5. GBT 36958—2018 《信息安全技术  网络安全品级掩护安全管理中央技术要求》一到四级对比表格（阐明安全管理中央技术要求：体系管理要求、安全管理要求、审计管理要求、接口要求、自身安全要求）
  6. GBT 22239-2019+GBT  28448-2019  《信息安全技术 网络安全品级掩护底子要求》+《信息安全技术  网络安全品级掩护测评要求》一到四级对比表格（在底子要求中添加等保测评要求，可用于实验过程）
  7. 等保项目预调研环境报告表（博主整理word，用于项现在期调研和高风险项判定，分为2级和3级两个文档，并根据项目经验整理和标准整理前期项目调研内容）
  部门材料下载链接：
  1、等保二级高风险项查对表下载链接：
  https://download.csdn.net/download/qq_42591962/90878930?spm=1001.2014.3001.5503
  2、GBT 36958-2018 《信息安全技术  网络安全品级掩护安全管理中央技术要求》1~4级拆分表下载链接：
  https://download.csdn.net/download/qq_42591962/90879022?spm=1001.2014.3001.5503
  ##################################################################################
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

继续阅读请点击广告