《信息(xi)(xi)安(an)全(quan)(quan)技(ji)術 信息(xi)(xi)系統安(an)全(quan)(quan)等(deng)級(ji)保(bao)護(hu)基本要求》(GB/T 22239-2008)在(zai)我(wo)國(guo)推行信息(xi)(xi)安(an)全(quan)(quan)等(deng)級(ji)保(bao)護(hu)制度的(de)(de)過程中(zhong)起(qi)到了(le)非常重要的(de)(de)作(zuo)(zuo)用(yong), 被廣泛(fan)用(yong)于各行業(ye)或領域(yu), 指導用(yong)戶開展信息(xi)(xi)系統安(an)全(qua������n)(quan)等(deng)級(ji)保(bao)護(hu)的(de)(de)建設整(zheng)改、等(deng)級(ji)測(ce)評(ping)等(deng)工作(zuo)(zuo)。隨著信息(xi)(xi)技(ji)術的(de)(de)發展, 已有10年歷史的(de)(de)《GB/T 22239-2008》在(zai)時效性、易(yi)用(yong)性、可操(cao)作(zuo)(zuo)性上需要進一步完善。2017年《中(zhong)華人(ren)民共(gong)和國(guo)網(wang)(wang)絡(luo)安(an)全(quan)(quan)法(fa)》實施(shi), 為了(le)配合國(guo)家落實網(wang)(wang)絡(luo)安(an)全(quan)(quan)等(deng)級(ji)保(bao)護(hu)制度, 也需要修訂(ding)《GB/T 22239-2008》。
2014年(nian), 全(quan)國(guo)(guo)信息安(an)(an)全(quan)標(biao)準(zhun)化技術委員(yuan)會(以下簡稱安(an)(an)標(biao)委)下達了(le)對(dui)《GB/T 22239-2008》進行修訂的(de)任(ren)務。標(biao)準(zhun)修訂主要承擔單位為公(gong)安(an)(an)部第三研究所(公(gong)安(an)(an)部信息安(an)(an)全(quan)等級保護評估中心(xin)), 20多(duo)家(jia)企事業(ye)單位派人員(yuan)參與了(le)標(biao)準(zhun)的(de)修訂工作。標(biao)準(zhun)編制組于2014年(nian)成(cheng)立, 先后調研了(le)國(guo)(guo)際和(he)(he)國(guo)(guo)內云計算平臺、大(da)數據應用、移動互(hu)聯(lian)接(jie)入、物聯(lian)網和(he)(he)工業(ye)控制系統(tong)等新(xin)(xin)技術、新(xin)(xin)應用的(de)使用情������況, 分析并總結了(le)新(xin)(xin)技術和(he)(he)新(xin)(xin)應用中的(de)安(an)(an)全(quan)關(guan)注點和(he)(he)安(an)(an)全(quan)控制要素, 完成(cheng)了(le)基本(ben)要求草案第一稿。
2015年(nian)(nian)2月(yue)(yue)至2016年(nian)(nian)7月(yue)(yue), 標(biao)(biao)(biao)準(zhun)編制組(zu)(zu)在(zai)草(cao)案(an)(an)第(di)一稿(gao)的(de)基礎上, 廣(guang)泛征求行(xing)業用戶(hu)單位、安(an)(an)全服務機構和(he)各行(xing)業/領域(yu)專家的(de)意(yi)見(jian), 并按照(zhao)意(yi)見(jian)調整和(he)完善標(biao)(biao)(biao)準(zhun)草(cao)案(an)(an), 先后共形(xing)成7個版(ban)本的(de)標(biao)(biao)(biao)準(zhun)草(cao)案(an)(an)。2016年(nian)(nian)9月(yue)(yue), 標(biao)(biao)(biao)準(zhun)編制組(zu)(zu)參加了(le)安(an)(an)標(biao)(biao)(biao)委(wei)WG5 工(gong)作組(zu)(zu)在(zai)研標(biao)(biao)(biao)準(zhun)推進會, 按照(zhao)專家及成員單位提������(ti)出的(de)修(xiu)改(gai)建議, 對草(cao)案(an)(an)進行(xing)了(le)修(xiu)改(gai), 形(xing)成了(le)標(biao)(biao)(biao)準(zhun)征求意(yi)見(jian)稿(gao)。2017年(nian)(nian)4月(yue)(yue), 標(biao)(biao)(biao)準(zhun)編制組(zu)(zu)再次(ci)參加了(le)安(an)(an)標(biao)(biao)(biao)委(wei)WG5 工(gong)作組(zu)(zu)在(zai)研標(biao)(biao)(biao)準(zhun)推進會, 根(gen)據(ju)征求意(yi)見(jian)稿(gao)收集(ji)(ji)的(de)修(xiu)改(gai)建議, 對征求意(yi)見(jian)稿(gao)進行(xing)了(le)修(xiu)改(gai), 形(xing)成了(le)標(biao)(biao)(biao)準(zhun)送審(shen)(shen)稿(gao)。2017年(nian)(nian)10月(yue)(yue), 標(biao)(biao)(biao)準(zhun)編制組(zu)(zu)又(you)一次(ci)參加了(le)安(an)(an)標(biao)(biao)(biao)委(wei)WG5 工(gong)作組(zu)(zu)在(zai)研標(biao)(biao)(biao)準(zhun)推進會, 在(zai)會上介(jie)紹了(le)送審(shen)(shen)稿(gao)內容(rong), 并征求成員單位意(yi)見(jian), 根(gen)據(ju)收集(ji)(ji)的(de)修(xiu)改(gai)建議, 對送審(shen)(shen)稿(gao)進行(xing)了(le)修(xiu)改(gai)完善, 形(xing)成了(le)標(biao)(biao)(biao)準(zhun)報批(pi)稿(gao)。
2019年《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)將正式實施。本文分析《GB/T 22239-2019》相較《GB/T 22239-2008》發生的主要變化, 解讀其安全通用要求和安全擴展要求的主要內容, 以便于讀者更好地了解和掌握《GB/T 22239-2019》的內容。更多關于信息安全技術網絡安全等級保護的相關問題,可咨詢山東世通國際認證有限公司,專業等級保護測評,電話:400-675-8617
1 總體結構(gou)的(de)變化
1.1 主要變化內容(rong)
《GB/T ������22239-2019》相(xiang)較于(yu)《GB/T 22239-2008》, 無論是(shi)(shi)在總(zong)體結構方面(mian)還是(shi)(shi)在細節(jie)內容方面(mian)均發生了變(bian)化[4]。在總(zong)體結構方面(mian)的主(zhu)要變(bian)化為:
1)為(������wei)適應網(wang)絡(luo)安(an)(an)全(quan)(quan)法, 配合落實網(wang)絡(luo)安(an)(an)全(quan)(quan)等(deng)級保護(hu)制度, 標準的(de)名稱由原來的(de)《信息系統安(an)(an)全(quan)(quan)等(deng)級保護(hu)基(ji)本(ben)(ben)要求》改為(wei)《網(wang)絡(luo)安(an)(an)全(quan)(quan)等(deng)級保護(hu)基(ji)本(ben)(ben)要求》。
2)等級保護(hu)對象由原來(lai)的信(xin)(xin)息系統(to�������ng)調整為基礎(chu)信(xin)(xin)息網絡、信(xin)(xin)息系統(tong)(含采用移(yi)動互聯(lian)技術的系統(tong))、云(yun)計算平臺/系統(tong)、大數(shu)據應(ying)用/平臺/資(zi)源(yuan)、物聯(lian)網和(he)工(gong)業控制系統(tong)等。
3)將原(yuan)來各個級(ji)別的(de)安(an)(an)(an)全(quan)(quan)要(yao)(yao)(yao)求(qiu)(qiu)(qiu)分(fen)為安(an)(an)(an)全(quan)(quan)通(tong)用要(yao)(yao)(yao)求(qiu)(qiu)(qiu)和(he)安(an)(an)(an)全(quan)(quan)擴展(zhan)要(yao������)(yao)(yao)求(qiu)(qiu)(qiu), 安(an)(an)(an)全(quan)(quan)擴展(zhan)要(yao)(yao)(yao)求(qiu)(qiu)(qiu)包括云(yun)計算安(an)(an)(an)全(quan)(quan)擴展(zhan)要(yao)(yao)(yao)求(qiu)(qiu)(qiu)、移(yi)動互聯(lian)(lian)安(an)(an)(an)全(quan)(quan)擴展(zhan)要(yao)(yao)(yao)求(qiu)(qiu)(qiu)、物聯(lian)(lian)網安(an)(an)(an)全(quan)(quan)擴展(zhan)要(yao)(yao)(yao)求(qiu)(qiu)(qiu)以及工(gong)業控制系統安(an)(an)(an)全(quan)(quan)擴展(zhan)要(yao)(yao)(yao)求(qiu)(qiu)(qiu)。安(an)(an)(an)全(quan)(quan)通(tong)用要(yao)(yao)(yao)求(qiu)(qiu)(qiu)是不管等級(ji)保護(hu)對象形態(tai)如何必須滿(man)足的(de)要(yao)(yao)(yao)求(qiu)(qiu)(qiu); 針(zhen)對云(yun)計算、移(yi)動互聯(lian)(lian)、物聯(lian)(lian)網和(he)工(gong)業控制系統提出(chu)的(de)特殊要(yao)(yao)(yao)求(qiu)(qiu)(qiu)稱為安(an)(an)(an)全(quan)(quan)擴展(zhan)要(yao)(yao)(yao)求(qiu)(qiu)(qiu)。
4)原(yuan)來(lai)基(ji)本要(yao)求中各(ge)級(ji)技術(shu)要(yao)求的“ 物(wu)理(li)(li)(li)安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)” 、“ 網絡安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)” 、“ 主機(ji)安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)” 、“ 應用安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)” 和“ 數據安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)和備份與恢復(fu)” 修(xiu)訂為“ 安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)物(wu)理(li)(li)(li)環(huan)境” 、“ 安(an)(an)全(quan)(quan)(qua������n)(quan)(quan)(quan)通信網絡” 、“ 安(an)(an)全(quan)(quan)(quan)(quan)(quan����)(quan)區域邊(bian)界” 、“ 安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)計算(suan)環(huan)境” 和“ 安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)管(guan)理(li)(li)(li)中心” ; 原(yuan)各(ge)級(ji)管(guan)理(li)(li)(li)要(yao)求的“ 安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)管(guan)理(li)(li)(li)制度(du)” 、“ 安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)管(guan)理(li)(li)(li)機(ji)構(gou)” 、“ 人(ren)員安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)管(guan)理(li)(li)(li)” 、“ 系統(tong)建設管(guan)理(li)(li)(li)” 和“ 系統(tong)運維管(guan)理(li)(li)(li)” 修(xiu)訂為“ 安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)管(guan)理(li)(li)(li)制度(du)” 、“ 安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)管(guan)理(li)(li)(li)機(ji)構(gou)” 、“ 安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)管(guan)理(li)(li)(li)人(ren)員” 、“ 安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)建設管(guan)理(li)(li)(li)” 和“ 安(an)(an)全(quan)(quan)(quan)(quan)(quan)(quan)運維管(guan)理(li)(li)(li)” [5]。
������ 5)云(yun)計算安(an)全擴展(zhan)要(yao)求針對云(yun)計算環境(jing)的(de)(de)特點(dian)提出。主要(yao)內容包括“ 基礎設施的(de)(de)位(wei)置” 、“ 虛擬(ni)化安(an)全保(bao)護(hu)(hu)” 、“ 鏡像和快照保(bao)護(hu)(hu)” 、“ 云(yun)計算環境(jing)管理” 和“ 云(yun)服務(wu)商選(xuan)擇” 等。
6)移(yi)動(dong)(dong)(dong)互(hu)聯安全擴展要求針(zhen)對移(yi)動(dong)(dong)(dong)互(hu)聯的(de)特點提出。主要內容(rong)包括“ 無線接入點的(de)物理位(wei)置” 、“ 移(yi)動(dong)(dong)(dong)終端(duan)管控” 、“ 移(yi)動(dong)(dong)(dong)應(yi�������ng)(ying)用(yong)管控” 、“ 移(yi)動(dong)(dong)(dong)應(ying)(ying)用(yong)軟(ruan)件采購” 和“ 移(y�������i)動(dong)(dong)(dong)應(ying)(ying)用(yong)軟(ruan)件開發” 等。
7)物聯網(wang)安(an)������(an)全(quan)擴展要(yao)求針對物聯網(wang)�������的(de)特(te)點提出。主要(yao)內容包括“ 感(gan)知(zhi)節(jie)點的(de)物理防護” 、“ 感(gan)知(zhi)節(jie)點設(she)備(bei)安(an)(an)全(quan)” 、“ 網(wang)關節(jie)點設(she)備(bei)安(an)(an)全(quan)” 、“ 感(gan)知(zhi)節(jie)點的(de)管(guan)理” 和(he)“ 數據融(rong)合處理” 等。
8)工業控(kong)制系統(tong)(tong)安(an)全(quan)擴展要(yao)求針對工業控(kong)制系統(tong)(tong)��������的特點提出。主(zhu)要(yao)內容包括“ 室外控(kong)制設備防護(hu)” 、“ 工業控(kong)制系統(tong)(tong)網(wang)絡架構安(an�����)全(quan)” 、“ 撥號使用控(kong)制” 、“ 無線使用控(kong)制” 和“ 控(kong)制設備安(an)全(quan)” 等。
9)取(qu)消了原來安(an)(an)(an)全控制點的(de)(de)S、A、G標注, 增加附錄A“ 關(guan)于安(an)(an)(������an)全通用(yong)要求(qiu)和(he)安(an)(an)(an)全擴展要求(qiu)的(de)(de)選擇和(he)使用(yong)” , 描(miao)述等級保護(hu)對象的(de)(de)定(ding)級結果和(he)安(an)(an)(an)全要求(qiu)之(zhi)間的(de)(de)關(guan)系, 說明如(ru)何根(gen)據定(ding)級的(de)(de)S、A結果選擇安(an)(an)(an)全要求(qiu)的(de)(de)相關(guan)條款, 簡化了標準正文部分的(de)(de)內(nei)容(rong)。
10)增加附(fu)(fu)錄C描(miao)述(shu)(shu)等級保護(hu)安全框(kuang)架和關鍵技(ji)術、附(fu)(fu)錄D描(miao)述(shu)(shu)云計算應(ying)用(yong)場(chang)(chang)景(jing)、附(fu)(fu)錄E描(miao)述(shu)��������(shu)移動互聯應(ying)用(yong)場(chang)(chang)景(jing)、附(fu)(fu)錄F描(miao)述(shu)(shu)物(wu)聯網應(ying)用(yong)場(chang)(chang)景(jing)、附(fu)(fu)錄G描(miao)述(shu)(shu)工業(ye)控制系統(tong)應(ying)用(yong)場(chang)(chang)景(jing)、附(fu)(fu)錄H描(miao)述(shu)(shu)大數據(ju)應(ying)用(yong)場(chang)(chang)景(jing)[6, 7]。
1.2 變(bian)化的意(yi)義和作用
《GB/T 22239-2019》采(cai)(cai)用(yong)安全通用(yong)要(yao)求(qiu)和(he)(he)安全擴展要(yao)求(qiu)的劃分(fen)使得標準的使用(yong)更加具有(you)靈活(huo)性和(he)(he)針對性。不(bu)(bu)(bu)同等級保(bao)護對象(xiang)由于采(cai)(cai)用(yong)的信息技術(shu)不(bu)(bu)(bu)同, 所(suo)采(cai)(cai)用(yong)的保(bao)護措(cuo)(cuo)施也會(hui)不(bu)(bu)(bu)同。例如, 傳統(tong)的信息系統(������tong)和(he)(he)云計算平(ping)臺的保(bao)護措(cuo)(cuo)施有(you)差異, 云計算平(ping)臺和(he)(he)工業控制系統(tong)的保(bao)護措(cuo)(cuo)施也有(you)差異。為(wei)(wei)了體現不(bu)(bu)(bu)同對象(xiang)的保(bao)護差異, 《GB/T 22239-2019》將安全要(yao)求(qiu)劃分(fen)為(wei)(wei)安全通用(yong)要(yao)求(qiu)和(he)(he)安全擴展要(yao)求(qiu)。
安(an)(an)(an)全(quan)(quan)(quan)(quan)通用(yong)(yong)(yong)要(yao)(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)針(zhen)對共性(xing)化保(bao)(bao)護(hu)(hu)(hu)需(xu)(xu)求(qiu)(qiu)(qiu)(qiu)提(ti)(ti)出(chu)(chu), 無(wu)論等(deng)級(ji)(ji)(ji)保(bao)(bao)護(hu)(hu)(hu)對象以(yi)何種(zho���ng)形式出(chu)(chu)現, 需(xu)(xu)要(yao)(yao)(yao)(yao)(yao)根(gen)據安(an)(an)(an)全(quan)(quan)(quan)(quan)保(bao)(bao)護(hu)(hu)(hu)等(deng)級(ji)(ji)(ji)實現相(xiang)應(ying)(ying)級(ji)(ji)(ji)別的(de)(de)安(an)(an)(an)全(quan)(quan)(quan)(quan)通用(yong)(yong)(yong)要(yao)(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)。安(an)(an)(an)全(quan)(quan)(quan)(quan)擴展(zhan)(zhan)要(yao)(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)針(zhen)對個性(xing)化保(bao)(bao)護(hu)(hu)(hu)需(xu)(xu)求(qiu)(qiu)(qiu)(qiu)提(ti)(ti)出(chu)(����chu), 等(deng)級(ji)(ji)(ji)保(bao)(bao)護(hu)(hu)(hu)對象需(xu)(xu)要(yao)(yao)(yao)(yao)(yao)根(gen)據安(an)(an)(an)全(quan)(quan)(quan)(quan)保(bao)(bao)護(hu)(hu)(hu)等(deng)級(ji)(ji)(ji)、使用(yong)(yong)(yong)的(de)(de)特(te)定技術或(huo)特(te)定的(de)(de)應(ying)(ying)用(yong)(yong)(yong)場景實現安(an)(an)(an)全(quan)(quan)(quan)(quan)擴展(zhan)(zhan)要(yao)(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)。等(deng)級(ji)(ji)(ji)保(bao)(bao)護(hu)(hu)(hu)對象的(de)(de)安(an)(an)(an)全(quan)(quan)(quan)(quan)保(bao)(bao)護(hu)(hu)(hu)措(cuo)施(shi)需(xu)(xu)要(yao)(yao)(yao)(yao)(yao)同時實現安(an)(an)(an)全(quan)(quan)(quan)(quan)通用(yong)(yong)(yong)要(yao)(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)和安(an)(an)(an)全(quan)(quan)(quan)(quan)擴展(zhan)(zhan)要(yao)(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu), 從而更加有(you)效地保(bao)(bao)護(hu)(hu)(hu)等(deng)級(ji)(ji)(ji)保(bao)(bao)護(hu)(hu)(hu)對象。例如, 傳(chuan)統(tong)的(de)(de)信息系統(tong)可能只需(xu)(xu)要(yao)(yao)(yao)(yao)(yao)采(cai)用(yong)(yong)(yong)安(an)(an)(an)全(quan)(quan)(quan)(quan)通用(yong)(yong)(yong)要(yao)(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)提(ti)(ti)出(chu)(chu)的(de)(de)保(bao)(bao)護(hu)(hu)(hu)措(cuo)施(shi)即可, 而云計(ji)算(suan)平(ping)臺不(bu)(bu)僅需(xu)(xu)要(yao)(yao)(yao)(yao)(yao)采(cai)用(yong)(yong)(yong)安(an)(an)(an)全(quan)(quan)(quan)(quan)通用(yong)(yong)(yong)要(yao)(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)提(ti)(ti)出(chu)(chu)的(de)(de)保(bao)(bao)護(hu)(hu)(hu)措(cuo)施(shi), 還(huan)(huan)要(yao)(yao)(yao)(yao)(yao)針(zhen)對云計(ji)算(suan)平(ping)臺的(de)(de)技術特(te)點采(cai)用(yong)(yong)(yong)云計(ji)算(suan)安(an)(an)(an)全(quan)(quan)(quan)(quan)擴展(zhan)(zhan)要(yao)(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)提(ti)(ti)出(chu)(chu)的(de)(de)保(bao)(bao)護(hu)(hu)(hu)措(cuo)施(shi); 工業(ye)控制系統(tong)不(bu)(bu)僅需(xu)(xu)要(yao)(yao)(yao)(yao)(yao)采(cai)用(yong)(yong)(yong)安(an)(an)(an)全(quan)(quan)(quan)(quan)通用(yong)(yong)(yong)要(yao)(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)提(ti)(ti)出(chu)(chu)的(de)(de)保(bao)(bao)護(hu)(hu)(hu)措(cuo)施(shi), 還(huan)(huan)要(yao)(yao)(yao)(yao)(yao)針(zhen)對工業(ye)控制系統(tong)的(de)(de)技術特(te)點采(cai)用(yong)(yong)(yong)工業(ye)控制系統(tong)安(an)(an)(an)全(quan)(quan)(quan)(quan)擴展(zhan)(zhan)要(yao)(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)(qiu)提(ti)(ti)出(chu)(chu)的(de)(de)保(bao)(bao)護(hu)(hu)(hu)措(cuo)施(shi)。
2 安(an)全通用(yong)要求的內容
2.1 安(an)全(quan)通用要求基本(ben)分類
《GB/T 22239-2019》�����規定了第(di)一級(ji)到第(di)四級(ji)等級(ji)保護對象的安(an)全要求(qiu), 每個級(ji)別的安(an)全要求(qiu)均由安(an)全通(tong)用要求(qiu)和安(an)全擴展要求(qiu)構成。例如, 《GB/T 22239-2019》提出(chu)的第(di)三(san)級(ji)安(an)全要求(qiu)基(ji)本(ben)結構為:
8 第三(san)級安全要求
8.1 安全通用要求
8.2 云計算安全擴展要求
8.3 移動(dong)互聯安(an)全(quan)擴展要求
8.4 物聯網安全(quan)擴展要求
8.5 工業(ye)控制(zhi)系統安全擴(kuo)展要求(qiu)
安(an)(an)(an)(an)全(quan)(quan)(quan)通(tong)用要求(qiu)細分為技(ji)術(shu)要求(qiu)和管(guan)(guan)(guan)(guan)理(li)要求(qiu)。其中技(ji)術(shu)要求(qiu)包括(kuo)“ 安(an)(an)(an)(an)全(quan)(quan)(quan)物(wu)理(li)環境(jing)” 、“ 安(an)(an)(an)(an)全(quan)(quan)(quan)通(tong)信(xin)網絡” 、“ 安(an)(an)(an)(an)全(quan)(quan)(quan)區域邊界(jie)” 、“ 安(an)(an)(an)(an)全(quan)(quan)(quan)計(ji)算環境(jing)” 和“ 安(an)(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)(guan)(guan)理(li)中心” ; 管(guan)(guan)(guan)(guan)理(li)要求(qiu)包括(kuo)“ 安(an)(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)(guan)(guan)理(li)制度” 、“ 安(an)(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)(guan)(guan)理(li)機構” 、“ 安(an)(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)(g�����uan)(guan)理(li)人員(yuan)” 、“ 安(an)(an)(an)(an)全(qu������an)(quan)(quan)建(jian)設管(guan)(guan)(guan)(guan)理(li)” 和“ 安(an)(an)(an)(an)全(quan)(quan)(quan)運(yun)維管(guan)(guan)(guan)(guan)理(li)” 。兩者合計(ji)10大類, 如圖1所示。
2.2 技術(shu)要求
技術要(yao)(yao)求分類(lei)體現了從外(wai)部(bu)到內部(bu)的(de)縱深防(fang)御思想(xiang)。對等(deng)級保護(hu)(hu)對象(xiang)的(��������de)安全(quan)防(fang)護(hu)(hu)應考(kao)慮(lv)從通信網絡(luo)到區域邊界再到計算環境(jing)的(de)從外(wai)到內的(de)整體防(fang)護(hu)(hu), 同時(shi)考(kao)慮(lv)對其所處的(de)物理(li)環境(jing)的(de)安全(quan)防(fang)護(hu)(hu)。對級別較高的(de)等(deng)級保護(hu)(hu)對象�������(xiang)還需要(yao)(yao)考(kao)慮(lv)對分布在整個(ge)系統中的(de)安全(quan)功(gong)能或安全(quan)組件的(de)集(ji)中技術管(guan)理(li)手段(duan)。
1)安全物理環境
安(an)全(quan������)通用要(yao)求中的(de)安(an)全(quan)物(wu)理(li)環(huan)境部分是針對物(wu)理(li)機房提出的(de)安(an)全(quan)控(kong)制(zhi)要(yao)求。主要(yao)對象為物(wu)理(li)環(huan)境、物(wu)理(li)設(she)備(bei)和(he)物(wu)理(li)設(she)施(shi)等(deng); 涉及的(de)安(an)全(quan)控(kong)制(zhi)點(dian)包(bao)括物(wu)理(li)位置的(de)選擇(ze)、物(wu)理(li)訪問控(kong)制(zhi)、防(fang)盜竊和(he)防(fang)破壞、防(fang)雷擊(ji)、防(fang)火、防(fang)水(shui)和(he)防(fang)潮、防(fang)靜電、溫(wen�������)濕度(du)控(kong)制(zhi)、電力(li)供應和(he)電磁(ci)防(fang)護。
承(cheng)載高(gao)級(ji)別系(xi)統的機(ji)房相對承(cheng)載低(di)級(ji)別系(xi)統的機(ji)房強化(hua)了(le)(le)物理訪問控(kong)制、電(dian)力(li)供(gong)應和電(dian)磁防護������等方面的要求(qiu)。例如, 四級(ji)相比三級(ji)增設(she)了(le)(le)“ 重(zhong)要區域應配置第二道電(dian)子(zi)門禁系(xi)統” 、“ 應提供(gong)應急供(gong)電(dian)設(she)施” 、“ 應對關鍵區域實施電(dian)磁屏(p������ing)蔽(bi)” 等要求(qiu)。
2)安全通信網絡(luo)
安(an)全通用要(yao)求(qiu)中的(de)(de)安(an)全通信網(wang)絡(luo)(luo)部分是針對通信網(wang)絡(luo)(luo)提出的(de)(de)安(an)全控制要(yao)求(qiu)。主要(yao)對象(xiang)為(w������ei)廣域(yu)網(wang)、城域(yu)網(wang)和局域(yu)網(wang)等; 涉及的(de)(de)安(an)全控制點包括網(wan��������g)絡(luo)(luo)架構(gou)、通信傳輸和可信驗證。
高級(ji)別(bie)(bie)系(xi)統(tong)的(de)(de)通(tong)(tong)(tong)信(xin)(xin)網絡相對低級(ji)別(bie)(bie)系(xi)統(tong)的(de)(de)通(tong)(tong)(tong)信(xin)(xin)網絡強化了優先(xian)帶寬(kuan)分(fen)配(pei)、設(she)(she)備接(jie)(jie)入(ru)認證(zheng)、通(tong)(tong)(tong)信(xin)(xin)設(she)(she)備認證(zheng)等方面的(de)(de)要(yao)(yao)求(qiu)。例如, 四級(ji)相比三(san)級(ji)增設(she)(she)了“ 應(ying)可(ke)按照(zhao)業務(wu)服務(wu)的(de)(de)重要(yao)(yao)程度(du)分(fen)配(pei)帶寬(kuan), 優先(xian)保(bao)障重要(yao)(yao)業務(wu)” , “ 應(ying)采用可(ke)信(xin)(xin)驗證(zheng)機制對接(jie)(jie)入(ru)網絡中的(de)(de)設(she)(she)備進行可(ke)信(xin)(xin)驗證(zheng), 保(bao)證(zheng)接(jie)(jie)入(ru)網絡的(de)(de)設(she)(she)備真實可(ke)信(xin)(xin)” , “ 應(ying)在通(tong)(tong)(tong)信(xin)(������xin)前基于(yu)密碼技術對通(tong)(tong)(tong)信(xin)(xin)雙方進行驗證(zheng)或認證(zheng)” 等要(yao)(yao)求(qiu)。
3)安全區域邊界(jie)
安(an)(an)全(quan)(quan)通用要(yao)(yao)求(qiu)(qiu)中的安(an)(an)全(quan)(quan)區域(yu)邊界(jie)(jie)部分(fen)是針(zhen)對網絡邊界(jie)(jie)提出的安(an)(an)全(quan)(quan)控(kong)制要(yao)(yao)求(qiu)(qiu)。主(zhu)要(yao)(yao)對象為系統(tong)邊界(jie)(jie)和區域(yu)邊界(jie)(jie)等; 涉及的安(an)(an)全(quan)(quan)控(kong)制點包括(kuo)邊界(jie)(jie)防(fang)護、訪問控(kong)制、入侵防(fang)范(fan)、惡意代碼防(fang)范(fan)、安(an)(an)全(quan)(quan)審計和可(ke)信(xin)驗(yan����)證。
高(gao)級別系統(tong)的網(wang)(wang)絡邊(bian)界相對低級別系統(tong)的網(wang)(wang)絡邊(bian)界強(qiang)(qiang)化了高(gao)強(qiang)(qiang)度隔(ge)離(li)和(he)非法接(jie)入阻�����(zu)斷(duan)等(deng)方面的要求。例如(ru), 四級相比三級增(zeng)設(she)了“ 應在網(wang)(wang)絡邊(bian)界通(tong)過通(tong)信(xin)協議(yi)轉換(huan)或通(tong)信(xin)協議(yi)隔(ge)離(li)等(deng)方式進(jin)行(xing)數據交換(huan)” , “ 應能夠(gou)在發(fa)現(����xian)非授(shou)權設(she)備私自(zi)聯到(dao)內(nei)部網(wang)(wang)絡的行(xing)為或內(nei)部用戶非授(shou)權聯到(dao)外部網(wang)(wang)絡的行(xing)為時, 對其(qi)進(jin)行(xing)有效阻(zu)斷(duan)” 等(deng)要求。
4)安全計(ji)算環境(jing)
安(an)�����全通用要(yao)求中的(de)安(an)全計(ji)(ji)算(suan)環(huan)境部分是(shi)針對邊界(jie)內部提出的(de)安(an)全控(kong)(kong)制(zhi)要(yao)求。主(zhu)要(yao)對象為(wei)邊界(jie)內部的(de)所有(you)對象, 包括網絡(luo)設(she)(she)(she)備(bei)、安(an)全設(she)(she)(she)備(bei)、服務器設(she)(she)(she)備(bei)、終端(duan)設(she)(she)(she)備(bei)、應用系統、數(shu)(shu)據(ju)對象和(he)其他(ta)設(she)(she)(she)備(bei)等; 涉及的(de)安(an)全控(kong)(kong)制(zhi)點包括身(shen)份鑒別、訪問(wen)控(kong)(kong)制(zhi)、安(an)全審計(ji)(ji)、入侵防范(fan)、惡意代碼防范(fan)、可信驗證、數(shu)(s�����hu)據(ju)完整性、數(shu)(shu)據(ju)保(bao)密性、數(shu)(shu)據(ju)備(bei)份與恢(hui)復、剩余信息(xi)(xi)保(bao)護和(he)個人信息(xi)(xi)保(bao)護。
高級(ji)別(bie)系(xi)統的(de)計算環境相對(dui)低級(ji)別(bie)系(xi)統的(de)計算環境強(qiang)化了身份鑒別(bie)、訪問控制(zhi)和程序(xu)完整性等(deng)方面(mian)的(de)要求。例如, 四(si)級(ji)相比三級(ji)增(zeng)設了“ 應(ying)采(cai)用(yong)(yong)口(kou)令、密(mi)碼技(ji)�������(ji)術(shu)、生物技(ji)(ji)術(shu)等(deng)兩種或兩種以上組合的(de)鑒別(bie)技(ji)(ji)術(shu)對(dui)用(yong)(yong)戶進(jin)行(xing)身份鑒別(bie), 且其(qi)中一種鑒別(bie)技(ji)(ji)術(shu)至少(shao)應(ying)使用(yong)(yong)密(mi)碼技(ji)(ji)術(shu)來實現” , “ 應(ying)對(dui)主體(ti)、客體(ti)設置安全標記, 并(bing)依據安全標記和強(qiang)制(zhi)訪問控制(zhi)規則確定主體(ti)對(dui)客體(ti)的(de)訪問” , “ 應(ying)采(cai)用(yong)(yong)主動免疫可信驗證機制(zhi)及時識別(bie)入侵和病毒行(xing)為(wei), 并(bing)將(jiang)其(qi)有效阻斷” 等(deng)要求。
5)安全管理中心
安(an)全通(tong)用要求中的安(an)全管理(li)中心(xin)部(bu)分是(shi)針(zhen)對整個系統提出(chu)的安(an)全管理(li)方面的技(ji������)術控制要求, 通(tong)過(guo)技(ji)術手段(duan)實現(xian)集中管理(li)。涉(she)及的安(an)全控制點包括系統管理(li)、審計管理(li)、安(an)全管理(li)和集中管控。
高級別系(xi)統的(de)(de)(de)安(an)(an)(an)全(quan)(quan)管(guan)(guan)理(li)相對低(di)級別系(xi)統的(de)(de)(de)安(an)(an)(an)全(quan)(quan)管(guan)(guan)理(li)強(qiang)化了(le������)采(cai)用技(ji)術手段(duan)進(jin)(jin)行(xing)(xing)集中(zhong)(zhong)管(guan)(guan)控等方面的(de)(de)(de)要(yao)求。例如, 三級相比二級增設了(le)“ 應(ying)劃分出特(te)定(ding)的(de)(de)(de)管(guan)(guan)理(li)區域(yu), 對分布在網絡中(zhong)(zhong)的(de)(de)(de)安(an)(an)(an)全(quan)(quan)設備或安(an)(an)(an)全(quan)(quan)組件(jian)進(jin)(jin)行(xing)(xing)管(guan)(guan)控” , “ 應(ying)對網絡鏈路、安(an)(an)(an)全(quan)(quan)設備、網絡設備和(he)服務器等的(de)(de)(de)運(yun)行(xing)(xing)狀況進(jin)(jin)行(xing)(xing)集中(zhong)(zhong)監(jian)測” , “ 應(ying)對分散在各個設備上的(de)(de)(de)審計(ji)數據進(jin)(jin)行(xing)(xing)收集匯總和(he)集中(zhong)(zhong)分析, 并保證審計(ji)記錄的(de)(de)(de)留(liu)存時(shi)間(jian����)符合法律法規要(yao)求” , “ 應(ying)對安(an)(an)(an)全(quan)(quan)策略、惡意代碼、補丁升(sheng)級等安(an)(an)(an)全(quan)(quan)相關事(shi)項進(jin)(jin)行(xing)(xing)集中(zhong)(zhong)管(guan)(guan)理(li)” 等要(yao)求。
2.3 管理要求(qiu)
管(guan)(guan)理要(yao)求分類體(ti)現了從要(yao)素(su)到活(huo)動的(de)(de)(de)綜(zong)合管(guan)(guan)理思想(xiang)。安全(quan)管(gua��������n)(guan)理需要(yao)的(de)(de)(de)“ 機(ji)構” 、“ 制度” 和“ 人員” 三(san�����)要(yao)素(su)缺一不可, 同時還應對系統(tong)建(jian)設(she)整(zheng)改過程(cheng)中和運行維護過程(cheng)中的(de)(de)(de)重要(yao)活(huo)動實施控制和管(guan)(guan)理。對級(ji)別(bie)較高(gao)的(de)(de)(de)等級(ji)保護對象需要(yao)構建(jian)完備的(de)(de)(de)安全(quan)管(guan)(guan)理體(ti)系。
1)安全管理(li)制度
安(an)全(quan)(quan)通(tong)用要求中的安(an)全(quan)(quan)管(guan)����理制(zhi)(zhi)(zhi)度(du)部分(fen)是(shi)針對整個(ge)管(guan)理制(zhi)(zhi)(zhi)度(du)體系提(ti)出(chu)的安(an)全(quan)(quan)控制(zhi)(zhi)(zhi)要求, 涉(she)及的安(an)全(q������uan)(quan)控制(zhi)(zhi)(zhi)點包括安(an)全(quan)(quan)策略(lve)、管(guan)理制(zhi)(zhi)(zhi)度(du)、制(zhi)(zhi)(zhi)定和發布以(yi)及評審和修訂(ding)。
2)安(an)全管理機構
安(an)全(quan)通用要求(qiu)中的安(an)全(quan)管理機(ji)構部分是針對整個管理組織架構提出的安(an)全(quan)控制(zhi)要求(qiu), 涉及的安(an)全(quan)控制(zhi)點包括崗位設置、人員配備、授權和(he)審批(pi)、溝(gou)通和(he)合(he)作(zuo)以及����審核和(he)檢查。
3)安全管理人(ren)員
安(an)(an)全通用(yong)(yong)要(yao)求(qiu)中(zhong)的安(an)(an)全管理(li)(li)人員(yuan)部(bu)分是針對(dui)人員(yuan)管理(li)(li)模式提出的安(an)(an)全控制要(yao)求�������(qiu), 涉(she)及的安(an)(an)全控制點(dian)包括人員(yuan)錄用(yong)(yong)、人員(yuan)離崗、安(an)(an)全意識教(jiao)育和培(pei)訓(xun)以及外部(bu)人員(yuan)訪問管理(li)(li)。
4)安全建(jian)設管理(li)
安(an)全(quan)通用(yong)要求中的�������(de)(de)(de)安(an)全(quan)建設(she)管理(li)(li)部分是針(zhen)對安(an)全(quan)建設(she)過程(cheng)提出(chu)的(de)(de)(de)安(an)全(quan)控制(zhi)要求, 涉及的(de)(de)(de)安(an)全(quan)控制(zhi)點包(bao)括定級和(he)備案、安(an)全(quan)方(fang)案設(she)計、安(an)全(quan)產(chan)品采購和���������(he)使用(yong)、自行軟(ruan)件開發、外包(bao)軟(ruan)件開發、工程(cheng)實施、測(ce)試驗收、系(xi)統交付、等級測(ce)評和(he)服務供應商管理(li)(li)。
5)安全運維管理
安全(quan)通(tong)用要求中的安全(quan)運維(wei)管(guan)(guan)理(li)(li)(li)(li)(li)部(bu)分是針(zhen)對(dui)安全(quan)運維(wei)過(guo)程提(ti)出(chu)的安全(quan)控制(zhi)要求, 涉及的安全(quan)控制(zhi)點包(bao)(bao)括環境管(guan)(guan)理(li)(li)(li)(li)(li)、資產管(guan)(guan)理(li)(li)(li)(li)(li)、介質管(guan)(guan)理(li)(li)(li)(li)(li)、設備維(wei)護管(guan)(guan)理(li)(li)(li)(li)(li)、漏洞和風險管(guan)(guan)理(li)(li)(li)(li)(li)、網絡(luo)和系統安全(�������quan)管(guan)(guan)理(li)(li)(li)(li)(li)、惡意代(dai)碼(ma)防(fang)范(fan)管(guan)(guan)理(li)(li)(li)(li)(l������i)、配置(zhi)管(guan)(guan)理(li)(li)(li)(li)(li)、密(mi)碼(ma)管(guan)(guan)理(li)(li)(li)(li)(li)、變更管(guan)(guan)理(li)(li)(li)(li)(li)、備份與恢復管(guan)(guan)理(li)(li)(li)(li)(li)、安全(quan)事件處置(zhi)、應急預案(an)管(guan)(guan)理(li)(li)(li)(li)(li)和外包(bao)(bao)運維(wei)管(guan)(guan)理(li)(li)(li)(li)(li)。
3 安全擴展要求的內容(rong)
安(an)(an)全(quan)擴(kuo)(kuo)展要(yao)(yao)(yao)求(qiu)(qiu)是采(cai)用特(te)定技術(shu)或特(te)定應用場(chang)景下的等級保(bao)護對象(xiang)需要(yao)(yao)(yao)增(zeng)加實現的安(an)(an)全(quan)要(yao)(yao)(yao)求(qiu)(qiu)。《GB/T 22239-2019》提出的安(an)(an)全(quan)擴(kuo)(kuo)展要(yao)(yao)(yao)求(qiu)(qiu)包括云計算(suan)安(an)(an)全(quan)擴(kuo)(kuo)展要(yao)(yao)(yao)求(qiu)(qiu)、移動互聯(lian)安(an)(an)全(quan)擴(kuo)(kuo)展要(yao)(yao)(yao)求(qiu)(qiu)、物聯(lian)網安(an)(an)全(quan)擴(kuo)(kuo)展要(yao)(yao)(yao)求(qiu)(qiu)和(he)工業控制系統(tong)安(an)(an)全(quan)擴(kuo)(�������kuo)展要(yao)(yao)(yao)求(qiu)(q������iu)。
3.1 云計算安全(quan)擴展要求
采用了云(yun)計(ji)算(suan)技術的(de)信息(xi)系統通(tong)常(chang)稱為云(yun)計(ji)算(suan)平(ping)(ping)(ping)臺(tai)(tai)。云(yun)計(�����ji)算(suan)平(ping)(ping)(ping)臺(tai)(tai)由設(she)施、硬件(jian)、資源抽象控制(zhi)層、虛(xu)擬化計(ji)算(suan)資源、軟件(jian)平(ping)(ping)(ping)臺(tai)(tai)和應用軟件(jian)等組(zu)成。云(yun)計(ji)算(suan)平(ping)(ping)(ping)臺(tai)(tai)中通(tong)常(chang)有云(yun)服務(wu)(wu)(wu)商(shang)和云(yun)服務(wu)(wu)(wu)客戶/云(yun)租戶兩種角色。根據云(yun)服務(wu)(wu)(wu)商(shang)所提供服務(wu)(wu)(wu)的(de)類型, 云(yun)計(ji)算(suan)平(ping)(ping)(ping)臺(tai)(tai)有軟件(jian)即服務(wu)(wu)(wu)(SaaS)、平(ping)(ping)(ping)臺(tai)(tai)即服務(wu)(wu)(wu)(PaaS)、基(ji)(ji)礎設(she)施即服務(wu)(wu)(wu)(IaaS)3種基(ji)(ji)本的(de)云(yun)計(ji)算(suan)服務(wu)(wu)(wu)模式(shi)。在(zai)不(bu)同(tong)的(de)服務(wu)(wu)(wu)模式(shi)中, 云(yun)服務(wu)(wu)(wu)商(shang)和云(yun)服務(wu)(wu)(wu)客戶對資源擁有不(bu)同(tong)的(de)控制(zhi)范(fan)圍, 控制(zhi)范(fan)圍決定了安全責任的(de)邊界。
云(yun)(yun)計(ji)(ji)算安(an)全(quan)(quan)擴展(zhan)要(yao)(yao)求是針對(dui)云(yun)(yun)計(ji)(ji)算平臺提(ti)出的(de)安(an)全(quan)(quan)通用要(yao)(yao)求之外額外需要(yao)(yao)實現(xian)的(de)安(an)全(quan)(quan)要(ya�������o)(yao)求。云(yun)(yun)計(ji)(ji)算安(an)全(quan)(quan)擴展(zhan)要(yao)(yao)求涉(she)及的(de)控(kong)制(zhi)點包括(kuo)基(ji)礎(chu)設施位置、網絡(luo)架構、網絡�����(luo)邊界的(de)訪問控(kong)制(zhi)、網絡(luo)邊界的(de)入(ru)侵防范、網絡(luo)邊界的(de)安(an)全(quan)(quan)審計(ji)(ji)、集中管控(kong)、計(ji)(ji)算環(huan)境的(de)身份鑒別、計(ji)(ji)算環(huan)境的(de)訪問控(kong)制(zhi)、計(ji)(ji)算環(huan)境的(de)入(ru)侵防范、鏡像(xiang)和快照保護(hu)、數(shu)據安(an)全(quan)(quan)性、數(shu)據備份恢復、剩余(yu)信息保護(hu)、云(yun)(yun)服(fu)務商選擇、供應鏈(lian)管理和云(yun)(yun)計(ji)(ji)算環(huan)境管理。
3.2 移動(dong)互聯安全擴展要求
采用移(yi)(yi)(yi)(yi)動(dong)互聯技術的(de)(de)等(deng)級保護對象(xiang), 其移(yi)(yi)(yi)(yi)動(dong)互聯部分通常由移(yi)(yi)(yi)(yi)動(dong)終端(duan)、移(yi)(yi)(yi)(yi)動(dong)應(ying)用和(he)無(wu)線網絡3部分組成(cheng)。移(yi)(yi)(yi)(yi)動(dong)終端(duan)通過(guo)無(wu)線通道(dao)連接(��������jie)無(wu)線接(jie)入設備接(jie)入有線網絡; 無(wu)線接(jie)入網關通過(guo)訪問控(kong)制策略(lve)限制移(yi)(yi)(yi)(yi)動(dong)終端(duan)的(de)(de)訪問行為; 后臺(tai)的(de)(de)移(yi)(yi)(yi)(yi)動(dong)終端(duan)管(guan)(guan)理(li)系統(如果(guo)配置)負責對移(yi)(yi)(yi)(yi)動(dong)終端(duan)的(de)(de)管(guan)(guan)理(li), 包(bao)括(kuo)向(xiang)客戶(hu)端(duan)軟件發送(song)移(yi)(yi)(yi)(yi)動(dong)設備管(guan)(guan)理(li)、移(yi)(yi)(yi)(yi)動(dong)應(ying)用管(guan)(guan)理(li)和(he)移(yi)(yi)(yi)(yi)動(dong)內容管(guan)(guan)理(li)策略(lve)等(deng)。
移(yi)(yi)動(dong)(dong)(dong)互聯安全(quan)(quan)擴(kuo)(kuo)展要求是針對(dui)移(yi)(yi)動(dong)(dong)(dong)終端、移(yi)(yi)動(dong)(dong)(dong)應(ying)用(yong)(yong)和(he)(he)無(wu)線(xian)(xian)網絡(luo)提出的(de)特殊安全(quan)(quan)要求, 它(ta)們與(yu)安全(quan)(quan)通(tong)用(yong)(yong)要求一起構成針對(dui)采用(yong)(yong)移(yi)(yi)動(dong)(dong)(dong)互聯技術的(de)等(deng)級保護對(dui)象(xiang)的(de)完整安全(quan)(quan)要求。移(yi)(yi)動(dong)(dong)(dong)互聯安全(quan)(quan)��������擴(kuo)(kuo)展要求涉(she)及的(de)控(kong)(kong)制點(dian)包括無(wu)線(xian)(xian)接入(ru)點(dian)的(de)物理位(wei)置、無(wu)線(xian)(xian�����)和(he)(he)有線(xian)(xian)網絡(luo)之(zhi)間(jian)的(de)邊界防護、無(wu)線(xian)(xian)和(he)(he)有線(xian)(xian)網絡(luo)之(zhi)間(jian)的(de)訪(fang)問控(kong)(kong)制、無(wu)線(xian)(xian)和(he)(he)有線(xian)(xian)網絡(luo)之(zhi)間(jian)的(de)入(ru)侵防范, 移(yi)(yi)動(dong)(dong)(dong)終端管控(kong)(kong)、移(yi)(yi)動(dong)(dong)(dong)應(ying)用(yong)(yong)管控(kong)(kong)、移(yi)(yi)動(dong)(dong)(dong)應(ying)用(yong)(yong)軟(ruan)(ruan)件采購、移(yi)(yi)動(dong)(dong)(dong)應(ying)用(yong)(yong)軟(ruan)(ruan)件開發和(he)(he)配置管理。
3.3 物(wu)聯(lian)網(wang)安全擴展要求
物聯(lian)網(wang)(wang)(wang)從架構(gou)上通常(chang)可分為3個邏輯層, 即感(gan)(gan)(gan)(gan)(gan)知(zhi)層、網(wang)(wang)(wang)絡傳(chuan)(chuan)輸(shu)層和(he)處(chu)(chu)理應(ying)(ying)用(yong)(yong)層。其中感(gan)(gan)(gan)(gan)(gan)知(zhi)層包(bao)括(kuo)傳(chuan)(chuan)感(gan)(gan)(gan)(gan)(gan)器(qi)節點和(he)傳(chuan)(chuan)感(gan)(gan)(gan)(gan)(gan)網(wang)(wang)(wang)網(wang)(wang)(wang)關節點或RFID標(biao)簽和(he)RFID讀(du)寫器(qi), 也包(bao)括(kuo)感(gan)(gan)(gan)(gan)(gan)知(zhi)設備(bei)與(yu)傳(chuan)(chuan)感(gan)(gan)(gan)(gan)(gan)網(wang)(wang)(wang)網(wang)(wang)(wang)關之間、RFID標(biao)簽與(yu)RFID讀(du)寫器(qi)之間的(de)(de)短(duan)距離通信(通常(chang)為無線(xian))部分; 網(wang)(wang)(wang)絡傳(chuan)(chuan)輸(shu)層包(bao)括(kuo)將感(ga������n)(gan)(gan)(gan)(gan)知(zhi)數據(ju)遠距離傳(chuan)(chuan)輸(shu)到處(chu)(chu)理中心的(de)(de)網(wang)(wang)(wang)絡, 如互聯(lian)網(wang)(wang)(wang)、移動網(wang)(wang)(wang)或幾種(zhong)不同網(wang)(wang)(wang)絡的(de)(de)融合; 處(chu)(chu)理應(ying)(ying)用(yong)(yong)層包(bao)括(kuo)對(dui)感(gan)(gan)(gan)(gan)(gan)知(zhi)數據(ju)進行(xing)存儲(chu)與(yu)智(zhi)能(neng)處(chu)(chu)理的(de)(de)平臺, 并(bing)對(dui)業(ye)務(wu)應(ying)(ying)用(yong)(yong)終端(duan)提供(gong)服務(wu)。對(dui)大型物聯(lian)網(wang)(wang)(wang)來(lai)說, 處(chu)(chu)理應(ying)(ying)用(yong)(yong)層一般由云計算平臺和(he)業(ye)務(wu)應(ying)(ying)用(yong)(yong)終端(duan)構(gou)成。
對(dui)物聯網(wang)的安(an)全(quan)防護(hu�������)應(ying)包括感知層、網(wang)絡傳輸層和處理(li)應(ying)用層。由于網(wang)絡傳輸層和處理(li)應(ying)用層通常由計算機設備構(gou)成(cheng)(cheng), 因(yin)此(ci)這兩部(bu)分(fen)按照安(an)全(quan)通用要求(qiu)(qiu)提出的要求(qiu)(qiu)進行(xing)保(bao)護(hu)。物聯網(wang)安(an)全(quan)擴展要求(qiu)(qiu)是針(zhen)對(dui)感知層提出的特殊安(an)全(quan)要求(qiu)(qiu), 它們與安(an)全(quan)通用要求(qiu)(qiu)一起構(gou)成(cheng)(cheng)針(zhen)對(dui)物聯網(wang)的完整(zheng)安(an)全(quan)要求(qiu)(qiu)。
物(wu)聯網安(an)(an)全擴展要求涉及的(de)控制點(dian)(dian)包括感(gan)知(zhi)節(jie)(jie)點(dian)(dian)的(de)物(wu)理(li)(li)防護、感(gan)知(zhi)網的(de)入侵防范(fan)、感(gan)知(zhi)網的(de)接入控制、感(gan)知(zhi)節(jie)(jie)點(dian)(dia��������n)設備安(an)(an)全、網關(guan)節(jie)(jie)點(dian)(dian)設備安(an)(an)全、抗數據(ju)重放、數據(ju)融合處理(li)(li)和感(gan)知(zhi)節(jie)(jie)點(dian)(dian)的(de)管(g������uan)理(li)(li)。
3.4 工(gong)業(ye)控制系統安全擴展(zhan)要求
工(gong)業(ye)(ye)控制系(xi)(xi)統(tong)通常(chang)是(shi)可用性要求較高(gao)的(de)等級保護對象(xiang)。工(gong)業(ye)(ye)控制系(xi)(xi)統(tong)是(shi)各種(zhong)控制系(xi)(xi)統(tong)的(de)����總稱, 典型的(de)如數據采(cai)集(ji)與監視控制系(xi)(xi)統(tong)(SCAD�������A)、集(ji)散控制系(xi)(xi)統(tong)(DCS)等。工(gong)業(ye)(ye)控制系(xi)(xi)統(tong)通常(chang)用于電力, 水和(he)污水處理, 石油和(he)天然(ran)氣(qi), 化工(gong), 交通運輸, 制藥, 紙(zhi)漿和(he)造紙(zhi), 食品和(he)飲料以及離散制造(如汽車、航空航天和(he)耐用品)等行業(ye)(ye)。
工(gong)業(ye)(ye)控制(zhi)系(xi)(xi)統從上到下一般(ban)分為(wei)5個層(ceng)(ceng)級, 依次為(wei)企業(ye)(ye)資源(yuan)層(ceng)(ceng)、生產管(guan)(guan)理(li)層(ceng)(ceng)、過程監控層(ceng)(ceng)、現場控制(zhi)層(ceng)(ceng)和現場設備層(ceng)(ceng), 不同層(ceng)(ceng)級的(de)實時性要(yao)求有所(suo)不同, 對(dui)工(gong)業(ye)(ye)控制(zh�����i)系(xi)(xi)統的(de)安(an)全防護(hu)應(ying)包括各(ge)個層(ceng)(ceng)級。由于企業(ye)(ye)資源(yuan)層(ceng)(ceng)、生產管(guan)(guan)理(li)層(ceng)(ceng)和過程監控層(ceng)(ceng)通常由計算機(ji)設備構(gou)成, 因此這(zhe)些(xie)層(ceng)(ceng)級按(an)照安(an)全通用要(yao)求提出的(de)要(yao)求進行保護(hu)。
工業(ye)控制系統(tong)安(an)全擴(kuo)展(zhan)要(yao)(yao)求(qiu)是針對現(xian)場控制層和(he)現(xian)場設(she)(she)備(bei)(bei)層提出的特(te)殊安(an)全要(yao)(yao)求(qiu), 它們與(yu)安(an)全通用要(yao)(yao)求(qiu)一起構(gou)成針對工業(ye)控制系統(tong)的完(wan)整安(an)全要(yao)(yao)求(qiu)。工業(ye)控制系統(tong)安(an)全擴(kuo)展(zhan)要(ya������o)(yao)求(qiu)涉及的控制點包(bao)括室外控制設(she)(she)備(bei)(bei)防(fang)護、網絡架構(gou)、通信傳輸、訪問控制、撥號使用控制、無線使用控制、控制設(she)(she)備(bei)(bei)安(an)全、產品(pin)采購和(he)使用以及外包(bao)軟件(jian)開發。
4 結束(shu)語
《GB/T 22239-2019》在(zai)結構(gou)上(shang)和內(nei)容上(shang)相較于《GB/T 22239-2008》均發生了(le)(le)較大變化, 這(zhe)些變化給網(wang)絡安全等(deng)級保護的建設整改、等(deng)級測評等(deng)工(gong)作(zuo)均帶來了(le)(le)一定的影響(xian����g)。如何(he)(he)基(ji)于新標(biao)準形成(cheng)安全解決方案(an), 如何(he)(he)基(ji)于新標(biao)準開展等(deng)級保護測評等(deng), 都需要(yao)仔細(xi)研讀新標(biao)準, 基(ji)于新標(biao)準找(zhao)到開展網(wang)絡安全等(deng)級保護工(gong)作(zuo)的新������思路(lu)和新方法。
以上標(biao)準解讀來源(yuan)于網絡。
搜索
客戶案例
