标准编号:	GB/T 22239-2019
中文名称:	信息安全技术 网络安全等级保护基本要求
英文名称:	Information security technology—Baseline for classified protection of cybersecurity
中标分类:	L80    数据加密
行业分类:	GB    国家标准
ICS分类:	35.040 35.040    字符集和信息编码 35.040
发布机构:	国家市场监督管理总局 中国国家标准化管理委员会
发布日期:	2019-05-10
实施日期:	2019-12-1
标准状态:	valid
替代旧标准:	GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求
翻译语言:	英文
文件格式:	PDF
中文字符数:	82000 字
翻译价格(元):	1000.0
交付时间:	付款后 1 个工作日

Codeofchina.com is in charge of this English translation. In case of any doubt about the English translation, the Chinese original shall be considered authoritative. This standard is developed in accordance with the rules given in GB/T 1.1-2009. This standard replaces GB/T 22239-2008 Information security technology - Baseline for classified protection of information system security and has the following main changes with respect to GB/T 22239-2008: ——The standard name is changed to Information security technology - Baseline for classified protection of cybersecurity. ——The classification is adjusted to secure physical environment, secure communication network, secure area boundary, secure computing environment, security management center, security management system, security management organization, security management personnel, secure construction management and secure operation and maintenance management. ——The security requirements of each level are adjusted to general security requirements, special security requirements for cloud computing, special security requirements for mobile communication, special security requirements for internet of things and special security requirements for industrial control system. ——Marks S, A and G of the original security control point are deleted; Annex A is added to describe the relationship between the classification result for targets of classified security and the security requirements, stating how to select security requirements according to the classification result. ——The sequence of Annex A and Annex B is adjusted; Annex C is added to describe the general framework of classified protection of cybersecurity and put forward the requirements for the use of key technologies. Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. The issuing body of this document shall not be held responsible for identifying any or all such patent rights. This standard was proposed by and is under the jurisdiction of the National Information Security Standardization Technical Committee (SAC/TC 260). The previous edition of this standard is as follows: ——GB/T 22239-2008. Introduction With a view to cooperating with the implementation of Cybersecurity Law of the People's Republic of China and adapting to the proceeding of classified protection of cybersecurity under new technologies and applications such as cloud computing, mobile communication, internet of things, industrial control and big data, GB/T 22239-2008 shall be revised; the revision idea and method are to adjust the contents of GB/T 22239-2008, propose general security requirements in allusion to general security protection requirements and put forward special security requirements in allusion to individualized security protection requirements of new technologies and applications such as cloud computing, mobile communication, internet of things, industrial control and big data in order to form new standard of baseline for classified protection of cybersecurity. This standard is one of the series standards related to classified protection of cybersecurity. Standards in relation to this one include: ——GB/T 25058 Information security technology - Implementation guide for classified protection of information system; ——GB/T 22240 Information security technology - Classification guide for classified protection of information system security; ——GB/T 25070 Information security technology - Technical requirements of security design for classified protection of cybersecurity; ——GB/T 28448 Information security technology - Evaluation requirement for classified protection of cybersecurity; ——GB/T 28449 Information security technology - Testing and evaluation process guide for classified protection of cybersecurity. In the text of this standard, those in bold represent requirements added or strengthened in higher level. Information security technology - Baseline for classified protection of cybersecurity 1 Scope This standard specifies the general security requirements and special security requirements for the targets of classified security from Level 1 to Level 4 under the classified protection of cybersecurity. It applies to guide the security construction and supervisory management for classified non-secret-involved targets. Note: The Level 5 targets of classified security are very important objects for supervision and management. There are special management mode and security requirements proposed for them, which are not expatiated herein. 2 Normative references The following referenced documents are indispensable for the application of this document. For dated references, only the referenced edition is applicable. For undated references, the latest edition of the referenced document (including all amendments) is applicable. GB 17859 Classified criteria for security protection of computer information system GB/T 22240 Information security technology - Classification guide for classified protection of information system security GB/T 25069 Information security technology - Glossary GB/T 31167-2014 Information security technology - Security guide of cloud computing services GB/T 31168-2014 Information security technology - Security capability requirements of cloud computing services GB/T 32919-2016 Information security technology - Application guide to industrial control system security control 3 Terms and definitions For the purpose of this document, terms and definitions given in GB 17859, GB/T 22240, GB/T 25069, GB/T 31167-2014, GB/T 31168-2014 and GB/T 32919-2016 as well as the following ones are applicable to this document. For ease of use, some terms and definitions in GB/T 31167-2014, GB/T 31168-2014 and GB/T 32919-2016 are relisted as follows. 3.1 cybersecurity abilities to keep the network away from attack, intrusion, interference, damage, illegal use and unexpected accident, enable the network to operate stably and reliably and ensure the integrity, confidentiality and availability of network data by taking necessary measures 3.2 security protection ability extent for being protected against threat, detecting security incident, restoring to the previous state after damage, etc. 3.3 cloud computing mode of gaining access to extensible, flexible and shareable physical or virtual resource pools and acquiring, managing resources through on-demand self-service through Internet Note: Resource examples include the server, operating system, network, software, application, storage device, etc. [GB/T 31167-2014, definition 3.1] 3.4 cloud service provider provider of cloud computing service Note: The cloud service provider manages, operates and supports the computing infrastructure and software for cloud computing, and delivers cloud computing resources through Internet. [GB/T 31167-2014, definition 3.3] 3.5 cloud service customer participant entering into business relationship with the cloud service provider for cloud computing service [GB/T 31168-2014, definition 3.4] 3.6 cloud computing platform/system collection of cloud computing infrastructure and service software on it offered by the cloud service provider 3.7 hypervisor intermediate software layer running between the basic physical server and the operating system, which allow hardware sharing among multiple operating systems and applications 3.8 host machine physical server that runs the hypervisor 3.9 mobile communication process of connecting mobile devices to a wired network through wireless communication technology 3.10 mobile device terminal devices used in mobile services, including general terminal and special terminal devices such as smartphones, tablet computers and personal computers 3.11 wireless access device communication device that connects mobile devices to a wired network though wireless communication technology 3.12 wireless access gateway device deployed between a wireless network and a wired network to safeguard the wired network 3.13 mobile application application developed for mobile devices 3.14 mobile device management system specialized software for mobile device management, application management and content management, including client software and server software 3.15 internet of things system formed by connecting sensor nodes via Internet or other networks 3.16 sensor node device capable of acquiring information from and/or executing operation on objects or environment, as well as conducting network communication 3.17 sensor layer gateway device for summarizing, properly processing or integrating and forwarding the data collected from sensor node

Foreword i Introduction iii 1 Scope 2 Normative references 3 Terms and definitions 4 Abbreviations 5 Overview on classified protection of cybersecurity 5.1 Target of classified security 5.2 Different levels of security protection abilities 5.3 General security requirements and special security requirements 6 Level 1 security requirements 6.1 General security requirements 6.2 Special security requirements for cloud computing 6.3 Special security requirements for mobile communication 6.4 Special security requirements for IoT 6.5 Special security requirements for industrial control system 7 Level 2 security requirements 7.1 General security requirements 7.2 Special security requirements for cloud computing 7.3 Special security requirements for mobile communication 7.4 Special security requirements for IoT 7.5 Special security requirements for industrial control system 8 Level 3 security requirements 8.1 General security requirements 8.2 Special security requirements for cloud computing 8.3 Special security requirements for mobile communication 8.4 Special security requirements for IoT 8.5 Special security requirements for industrial control system 9 Level 4 security requirements 9.1 General security requirements 9.2 Special security requirements for cloud computing 9.3 Special security requirements for mobile interconnection 9.4 Special security requirements for IoT 9.5 Special security requirements for industrial control system 10 Level 5 security requirements Annex A (Normative) Selection and application for general security requirements and special security requirements Annex B (Normative) Requirements for the integral security protection ability of targets of classified security Annex C (Normative) Security framework of classified protection and operating requirements of key technology Annex D (Informative) Description of the application scenarios of cloud computing Annex E (Informative) Description of the application scenarios of mobile communication Annex F (Informative) Description of the application scenarios of IoT Annex G (Informative) Description of the application scenarios of industrial control system Annex H (Informative) Description of the application scenarios of big data Bibliography

网络安全等级保护基本要求 1 范围 本标准规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。 本标准适用于指导分等级的非涉密对象的安全建设和监督管理。 注：第五级等级保护对象是非常重要的监督管理对象，对其有特殊的管理模式和安全要求，所以不在本标准中进行描述。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 GB 17859计算机信息系统 安全保护等级划分准则 GB/T 22240 信息安全技术 信息系统安全等级保护定级指南 GB/T 25069信息安全技术 术语 GB/T 31167—2014信息安全技术 云计算服务安全指南 GB/T 31168—2014信息安全技术 云计算服务安全能力要求 GB/T 32919—2016信息安全技术 工业控制系统安全控制应用指南 3术语和定义 GB 17859、GB/T 22240、GB/T 25069、GB/T 31167—2014、GB/T 31168—2014和GB/T 32919—2016界定的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了GB/T 31167—2014、GB/T 31168—2014和GB/T 32919—2016中的一些术语和定义。 3.1 网络安全 cybersecurity 通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。 3.2 安全保护能力 security protection ability 能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。 3.3 云计算 cloud computing 通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。 注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。 [GB/T 31167—2014，定义3.1] 3.4 云服务商 cloud service provider 云计算服务的供应方。 注：云服务商管理、运营、支撑云计算的计算基础设施及软件，通过网络交付云计算的资源。 [GB/T 31167—2014，定义3.3] 3.5 云服务客户 cloud service customer 为使用云计算服务同云服务商建立业务关系的参与方。 [GB/T 31168—2014，定义3.4] 3.6 云计算平台/系统 cloud computing platform/system 云服务商提供的云计算基础设施及其上的服务软件的集合。 3.7 虚拟机监视器hypervisor 运行在基础物理服务器和操作系统之间的中间软件层，可允许多个操作系统和应用共享硬件。 3.8 宿主机host machine 运行虚拟机监视器的物理服务器。 3.9 移动互联 mobile communication 采用无线通信技术将移动终端接入有线网络的过程。 3.10 移动终端 mobile device 在移动业务中使用的终端设备.包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。 3.11 无线接入设备wireless access device 采用无线通信技术将移动终端接入有线网络的通信设备。 3.12 无线接入网关wireless access gateway 部署在无线网络与有线网络之间，对有线网络进行安全防护的设备。 3.13 移动应用软件 mobile application 针对移动终端开发的应用软件。 3.14 移动终端管理系统mobile device management system 用于进行移动终端设备管理、应用管理和内容管理的专用软件，包括客户端软件和服务端软件。 3.15 物联网 internet of things 将感知节点设备通过互联网等网络连接起来构成的系统。 3.16 感知节点设备sensor node 对物或环境进行信息采集和/或执行操作，并能联网进行通信的装置。 3.17 感知网关节点设备sensor layer gateway 将感知节点所采集的数据进行汇总、适当处理或数据融合，并进行转发的装置。 3.18 工业控制系统 industrial control system 工业控制系统(ICS)是一个通用术语，它包括多种工业生产中使用的控制系统，包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统，如可编程逻辑控制器(PLC)，现已广泛应用在工业部门和关键基础设施中。 [GB/T 32919—2016，定义3.1] 4 缩略语 下列缩略语适用于本文件。 AP：无线访问接入点(Wireless Access Point) DCS：集散控制系统(Distributed Control System) DDoS：拒绝服务(Distributed Denial of Service) ERP：企业资源计划(Enterprise Resource Planning) FTP：文件传输协议(File Transfer Protocol) HMI：人机界面(Human Machine Interface) IaaS：基础设施即服务(Infrastructure-as-a-Service) ICS：工业控制系统(Industrial Control System) IoT：物联网(Internet of Things) IP：互联网协议(Internet Protocol) IT：信息技术(Information Technology) MES：制造执行系统(Manufacturing Execution System) PaaS：平台即服务(Platform-as-a-Service) PLC：可编程逻辑控制器(Programmable Logic Controller) RFID：射频识别(Radio Frequency Identification) SaaS：软件即服务(Software—as a Service) SCADA：数据采集与监视控制系统(Supervisory Control and Data Acquisition System) SSID：服务集标识(Service Set Identifier) TCB：可信计算基(Trusted Computing Base) USB：通用串行总线(Universal Serial Bus) WEP：有线等效加密(wired Equivalent Privacy) WPS：WiFi保护设置(WiFi Protected Setup) 5 网络安全等级保护概述 5.1等级保护对象 等级保护对象是指网络安全等级保护工作中的对象，通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高被划分为五个安全保护等级。 保护对象的安全保护等级确定方法见GB/T 22240。 5.2不同级别的安全保护能力 不同级别的等级保护对象应具备的基本安全保护能力如下： 第一级安全保护能力：应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能。 第二级安全保护能力：应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害.能够发现重要的安全漏洞和处置安全事件，在自身遭到损害后，能够在一段时间内恢复部分功能。 第三级安全保护能力：应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当危害程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。 第四级安全保护能力：应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难.以及其他相当危害程度的威胁所造成的资源损害，能够及时发现、监测发现攻击行为和安全事件，在自身遭到损害后，能够迅速恢复所有功能。 第五级安全保护能力：略。 5.3安全通用要求和安全扩展要求 由于业务目标的不同、使用技术的不同、应用场景的不同等因素.不同的等级保护对象会以不同的形态出现，表现形式可能称之为基础信息网络、信息系统(包含采用移动互联等技术的系统)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统等。形态不同的等级保护对象面临的威胁有所不同，安全保护需求也会有所差异。为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护，等级保护要求分为安全通用要求和安全扩展要求。 安全通用要求针对共性化保护需求提出，等级保护对象无论以何种形式出现，应根据安全保护等级实现相应级别的安全通用要求；安全扩展要求针对个性化保护需求提出，需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现安全扩展要求。安全通用要求和安全扩展要求共同构成了对等级保护对象的安全要求。安全要求的选择见附录A，整体安全保护能力的要求见附录B和附录C。 本标准针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求。云计算应用场景参见附录D，移动互联应用场景参见附录E，物联网应用场景参见附录F，工业控制系统应用场景参见附录G，大数据应用场景参见附录H。对于采用其他特殊技术或处于特殊应用场景的等级保护对象，应在安全风险评估的基础上，针对安全风险采取特殊的安全措施作为补充。 6第一级安全要求 6.1 安全通用要求 6.1.1安全物理环境 6.1.1.1 物理访问控制 机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员。 6.1.1.2防盗窃和防破坏 应将设备或主要部件进行固定，并设置明显的不易除去的标识。 6.1.1.3防雷击 应将各类机柜、设施和设备等通过接地系统安全接地。 6.1.1.4 防火 机房应设置灭火设备。 6.1.1.5防水和防潮 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 6.1.1.6温湿度控制 应设置必要的温湿度调节设施，使机房温湿度的变化在设备运行所允许的范围之内。 6.1.1.7 电力供应 应在机房供电线路上配置稳压器和过电压防护设备。 6.1.2安全通信网络 6.1.2.1 通信传输 应采用校验技术保证通信过程中数据的完整性。 6.1.2.2可信验证 可基于可信根对通信设备的系统引导程序、系统程序等进行可信验证，并在检测到其可信性受到破坏后进行报警。 6.1.3安全区域边界 6.1.3.1 边界防护 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 6.1.3.2 访问控制 本项要求包括： a)应在网络边界根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信； b)应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化； c)应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出。 6.1.3.3可信验证 可基于可信根对边界设备的系统引导程序、系统程序等进行可信验证，并在检测到其可信性受到破坏后进行报警。 6.1.4安全计算环境 6.1.4.1身份鉴别 本项要求包括： a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换； b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 6.1.4.2访问控制 本项要求包括： a)应对登录的用户分配账户和权限； b)应重命名或删除默认账户，修改默认账户的默认口令； c)应及时删除或停用多余的、过期的账户，避免共享账户的存在。 6.1.4.3入侵防范 本项要求包括： a)应遵循最小安装的原则，仅安装需要的组件和应用程序； b)应关闭不需要的系统服务、默认共享和高危端口。 6.1.4.4恶意代码防范 应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。 6.1.4.5可信验证 可基于可信根对计算设备的系统引导程序、系统程序等进行可信验证，并在检测到其可信性受到破坏后进行报警。 6.1.4.6数据完整性 应采用校验技术保证重要数据在传输过程中的完整性。 6.1.4.7数据备份恢复 应提供重要数据的本地数据备份与恢复功能。 6.1.5安全管理制度 6.1.5.1 管理制度 应建立日常管理活动中常用的安全管理制度。 6.1.6安全管理机构 6.1.6.1 岗位设置 应设立系统管理员等岗位，并定义各个工作岗位的职责。 6.1.6.2人员配备 应配备一定数量的系统管理员。 6.1.6.3授权和审批 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。 6.1.7安全管理人员 6.1.7.1 人员录用 应指定或授权专门的部门或人员负责人员录用。 6.1.7.2人员离岗 应及时终止离岗人员的所有访问权限，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。 6.1.7.3安全意识教育和培训 应对各类人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施。 6.1.7.4外部人员访问管理 应保证在外部人员访问受控区域前得到授权或审批。 6.1.8安全建设管理 6.1.8.1定级和备案 应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由。 6.1.8.2安全方案设计 应根据安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施。 6.1.8.3产品采购和使用 应确保网络安全产品采购和使用符合国家的有关规定。 6.1.8.4工程实施 应指定或授权专门的部门或人员负责工程实施过程的管理。 6.1.8.5测试验收 应进行安全性测试验收。