安言咨询-网络安全等级保护基本要求 第1部分：安全通用要求解读.pdf

关于《网络安全等级保护基本要求 第一部分：安全通用要求》标准解析[1] 概述 [2] 技术要求和管理要求 [3] 升版变化 [4] 云计算安全扩要求 [5] 移动互联安全扩展要求 [6] 物联网安全扩展要求 [7] 工业控制系统安全扩展要求 目录 CONTENTS[1] 概述不同等级的安全保护对象 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组 织的合法权益 第一级 第二级 第三级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 网络基 础设施 信息系 统 大数据 云计算 平台 物联网 工控系 统等不同等级的安全保护能力 技术类安全要 求与提供的技 术安全机制有 关，主要通过 部署软硬件并 正确的配置其 安全功能来实 现 管理类安全要求 与各种角色参与 的活动有关，主 要通过控制各种 角色的活动，从 政策、制度、规 范、流程以及记 录等方面做出规 定来实现 技术要求 管理要求 安全保护能力 第一级: 用户自主保护级 第二级: 系统审计保护级 第三级: 安全标记保护级 第四级: 结构化保护级 第五级: 访问验证保护级安全要求的选择和使用 G的级别与系统级 别一致 S 和A 的级别根据对 象不同、关注重点不 同可以适当降低级别 要求 安全保护 等级 定级结果的组合 第一级 S1A1G1 第二级 S1A2G2，S2A2G2，S2A1G2 第三级 S1A3G3，S2A3G3，S3A3G3， S3A2G3，S3A1G3 第四级 S1A4G4，S2A4G4，S3A4G4， S4A4G4，S4A3G4，S4A2G4， S4A1G4 第五级 S1A5G5，S2A5G5，S3A5G5， S4A5G5，S5A4G5，S5A3G5， S5A2G5，S5A1G5安全要求及属性标识-- 安全技术要求 技术/ 管理 分类 安全控制点 属性标识 安全技术要求 物理和环境安全 物理位置选择 G 物理访问控制 G 防盗窃和防破坏 G 防雷击 G 防火 G 防水和防潮 G 防静电 G 温湿度控制 G 电力供应 A 电磁防护 S 网络和通信安全 网络架构 G 通信传输 G 边界防护 G 访问控制 G 入侵防范 G 恶意代码防范 G 安全审计 G 集中管控 G安全要求及属性标识-- 安全技术要求 技术/ 管理 分类 安全控制点 属性标识 安全技术要求 设备和计算安全 身份鉴别 S 访问控制 S 安全审计 G 入侵防范 G 恶意代码防范 G 资源控制 A 应用和数据安全 身份鉴别 S 访问控制 S 安全审计 G 软件容错 A 资源控制 A 数据完整性 S 数据保密性 S 数据备份恢复 A 剩余信息保护 S 个人信息保护 S安全要求及属性标识-- 安全管理要求 技术/ 管理 分类 安全控制点 属性标识 安全管理要求 安全策略和管理制度 安全策略 G 管理制度 G 制定和发布 G 评审和修订 G 安全管理机构和人员 岗位设置 G 人员配备 G 授权和审批 G 沟通和合作 G 审核和检查 G 人员录用 G 人员离岗 G 安全意识教育和培训 G 外部人员访问管理 G安全要求及属性标识-- 安全管理要求 技术/ 管理 分类 安全控制点 属性标识 安全管理要求 安全建设管理 定级和备案 G 安全方案设计 G 产品采购和使用 G 自行软件开发 G 外包软件开发 G 工程实施 G 测试验收 G 系统交付 G 等级测评 G 服务供应商管理 G安全要求及属性标识-- 安全管理要求 技术/ 管理 分类 安全控制点 属性标识 安全管理要求 安全运维管理 环境管理 G 资产管理 G 介质管理 G 设备维护管理 G 漏洞和风险管理 G 网络与系统安全管理 G 恶意代码防范管理 G 配置管理 G 密码管理 G 变更管理 G 备份与恢复管理 G 安全事件处置 G 应急预案管理 G[2] 技术要求和 管理要求技术要求 技术要求 第一级 第二级 第三级 第四级 物理和环境安全 地理位置选择 0 2 2 2 物理访问控制 1 1 1 2 防盗窃和防破坏 1 2 3 3 防雷击 1 1 2 2 防火 1 2 3 3 防水和防潮 1 2 3 3 防静电 0 1 2 2 温湿度控制 1 1 1 1 电力供应 1 2 3 4 电磁防护 0 1 2 2 网络和通信安全 网络架构 2 4 5 6 通信传输 1 1 2 4 边界防护 1 1 4 5 访问控制 3 4 5 3 入侵防范 0 1 4 4 恶意代码防范 0 0 2 2 安全审计 0 3 5 4 集中管控 0 0 6 6技术要求 第一级 第二级 第三级 第四级 设备和计算安全 身份鉴别 2 3 4 4 访问控制 3 4 7 7 安全审计 0 3 5 5 入侵防范 2 4 5 5 恶意代码防范 1 1 1 1 资源控制 0 1 4 4 应用和数据安全 身份鉴别 2 4 5 6 访问控制 3 3 7 7 安全审计 0 3 5 5 软件容错 1 2 3 3 资源控制 0 3 4 4 数据完整性 1 1 2 3 数据保密性 0 0 2 3 数据备份恢复 1 2 3 4 剩余信息保护 0 1 2 2 个人信息保护 0 2 2 2 技术要求管理要求 第一级 第二级 第三级 第四级 安全策略和管理制度 安全策略 0 0 1 1 管理制度 1 2 3 3 制定和发布 0 2 2 2 评审和修订 0 1 1 1 安全管理机构和人员 岗位设置 1 2 3 3 人员配备 1 1 2 3 授权和审批 1 2 3 3 沟通和合作 0 3 3 2 审核和检查 0 1 3 3 人员录用 1 2 3 4 人员离岗 1 1 2 2 安全意识教育和培 训 1 1 2 2 外部人员访问管理 1 3 4 5 管理要求管理要求 第一级 第二级 第三级 第四级 安全建设管理 定级和备案 1 4 4 4 安全方案设计 1 3 3 3 产品采购和使用 1 2 3 4 自行软件开发 0 2 7 7 外包软件开发 0 0 3 3 工程实施 1 2 3 3 测试验收 1 2 2 2 系统交付 2 3 3 3 等级测评 0 3 3 3 服务供应商选择 2 2 3 3 安全运维管理 环境管理 2 3 3 4 资产管理 0 1 3 3 介质管理 1 2 2 2 设备维护管理 1 2 4 4 漏洞和风险管理 1 1 2 2 网络和系统安全管理 2 5 9 9 恶意代码防范管理 2 2 3 3 配置管理 0 1 2 2 密码管理 0 2 1 1 变更管理 0 1 3 3 备份与恢复管理 2 3 3 3 安全事件处置 2 3 4 4 应急预案管理 0 3 4 4 外包运维管理 0 2 4 4 管理要求升版变化 [3]标准名称变化 GB/T 22239.1-2017 信息安全技术 网络安 全等级保护基本要求 第1 部分 安全通用要求 GB/T 22239.2-2017 信息安全技术 网络安全等级保护 基本要求 第2 部分 云计算安全扩展要求 GB/T 22239.3-2017 信息安全技术 网络安全等级保护 基本要求 第3 部分 移动互联安全扩展要求 GB/T 22239.4-2017 信息安全技术 网络安全等级保护 基本要求 第4 部分 物联网安全扩展要求 GB/T 22239.5-2017 信息安全技术 网络安全等级保护 基本要求 第5 部分 工业控制安全扩展要求 GB/T 22239.6-2017 信息安全技术 网络安全等级保护 基本要求 第6 部分 大数据安全扩展要求 GB/T 22239-2008 信息安全技术 信息系统 安全等级保护基本要求安全控制项变化 旧版 技术要求 物理安全 网络安全 主机安全 应用安全 数据安全及备份恢复 管理要求 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 新版 物理和环境安全 技术要求 网络和通信安全 设备和计算安全 应用和数据安全 安全策略和管理制度 管理要求 安全管理机构和人员 安全建设管理 安全运维管理第三级安全要求示例 旧版-技术要求 控制域 控制项 控制点 物理安全 物理位置的选择 2 物理访问控制 4 防盗窃和防破坏 6 防雷击 3 防火 3 防水和防潮 4 防静电 2 温湿度控制 1 电力供应 4 电磁防护 3 新版-技术要求 控制点 控制项 控制域 2 物理位置的选择 物理和环境 安全 1 物理访问控制 3 防盗窃和防破坏 2 防雷击 3 防火 3 防水和防潮 2 防静电 1 温湿度控制 3 电力供应 2 电磁防护 控制项内容发生变化 控制项内容未发生变化旧版-技术要求 控制域 控制项 控制点 网络安全 结构安全 7 访问控制 8 安全审计 4 边界完整性检查 2 入侵防范 2 恶意代码防范 2 网络设备防护 8 新版-技术要求 控制点 控制项 控制域 5 网络架构 网络和通信 安全 2 通信传输 4 边界防护 5 访问控制 4 入侵防范 2 恶意代码防范 5 安全审计 6 集中管控 第三级安全要求示例 为新版本新增内容旧版-技术要求 控制域 控制项 控制点 主机安全 身份鉴别 7 访问控制 7 安全审计 6 剩余信息保护 2 入侵防范 3 恶意代码防范 3 资源控制 5 新版-技术要求 控制点 控制项 控制域 4 身份鉴别 设备和计算 安全 7 访问控制 5 安全审计 5 入侵防范 1 恶意代码防范 4 资源控制 第三级安全要求示例 为旧版删除控制项旧版-技术要求 控制域 控制项 控制点 应用安全 身份鉴别 5 访问控制 6 安全审计 4 剩余信息保护 2 通信完整性 1 通信保密性 2 抗抵赖 2 软件容错 2 资源控制 7 数据安全及 备份恢复 数据完整性 2 数据保密性 2 备份和恢复 4 新版-技术要求 控制点 控制项 控制域 5 身份鉴别 应用和数据 安全 7 访问控制 5 安全审计 3 软件容错 4 资源控制 2 数据完整性 2 数据保密性 3 备份和恢复 2 剩余信息保护 2 个人信息保护 第三级安全要求示例 为新版本新增内容旧版-管理要求 控制域 控制项 控制点 安全管理制 度 管理制度 4 制定和发布 5 评审和修订 2 安全管理机 构 岗位设置 4 人员配备 3 授权和审批 4 沟通和合作 5 审核和检查 4 人员安全管 理 人员录用 4 人员离岗 3 人员考核 3 安全意识教育和培训 4 外部人员访问管理 2 新版-管理要求 控制点 控制项 控制域 1 安全策略 安全策略和 管理制度 3 管理制度 2 制定和发布 1 评审和修订 3 岗位设置 安全管理机 构和人员 2 人员配备 3 授权和审批 3 沟通和合作 3 审核和检查 3 人员录用 2 人员离岗 2 安全意识教育和培训 4 外部人员访问管理 第三级安全要求示例旧版-管理要求 控制域 控制项 控制点 系统建设管 理 系统定级 4 安全方案设计 5 产品采购和使用 4 自行软件开发 5 外包软件开发 4 工程实施 3 测试验收 5 系统交付 5 系统备案 3 等级测评 4 安全服务商选择 3 新版-管理要求 控制点 控制项 控制域 4 定级和备案 安全建设 管理 3 安全方案设计 3 产品采购和使用 7 自行软件开发 3 外包软件开发 3 工程实施 2 测试验收 3 系统交付 3 等级测评 3 服务供应商选择 第三级安全要求示例旧版-管理要求 控制域 控制项 控制点 系统运 维管理 环境管理 4 资产管理 4 介质管理 6 设备管理 5 监控管理和安全管理中心 3 网络安全管理 8 系统安全管理 7 恶意代码防范管理 4 密码管理 1 变更管理 4 备份与恢复管理 5 安全事件处置 6 应急预案管理 5 新版-管理要求 控制点 控制项 控制域 3 环境管理 安全运 维管理 3 资产管理 2 介质管理 4 设备维护管理 2 漏洞和风险管理 9 网络和系统安全管理 3 恶意代码防范管理 2 配置管理 1 密码管理 3 变更管理 3 备份与恢复管理 4 安全事件处置 4 应急预案管理 4 。