信息安全技术 网络安全等级保护基本要求

GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》是中国关于网络安全等级保护的核心标准，由全国信息安全标准化技术委员会（SAC/TC260）制定，2019年发布实施。以下是该标准的关键内容：

---

一、标准背景

• 替代关系：替代了2008版标准（GB/T 22239-2008），与《网络安全法》及《等级保护2.0》体系衔接。
• 法律依据：依据《网络安全法》第21条，要求网络运营者履行等级保护义务。

---

二、核心内容

1. 保护对象

涵盖网络基础设施、信息系统、云计算平台、大数据平台、物联网系统、工业控制系统等。

2. 安全等级划分

分为五个等级（第一级至第五级，逐级增高），根据系统遭破坏后的危害程度（公民/社会/国家利益）确定等级。

3. 安全要求框架

分为技术安全要求和管理安全要求两大类，具体包括：

• 技术安全：物理环境、通信网络、区域边界、计算环境、管理中心等层面的防护。
• 管理安全：安全管理制度、机构、人员、系统建设、运维管理等。

4. 扩展要求

针对新技术场景新增专项要求：

• 云计算安全：虚拟机隔离、云平台管理权限控制等。
• 移动互联安全：终端管控、无线接入加密等。
• 物联网安全：设备认证、数据防篡改等。
• 工业控制系统安全：实时监控、协议安全等。

---

三、实施流程

1. 定级：确定系统等级（需备案）。
2. 备案：向属地公安机关备案。
3. 测评：通过第三方测评机构合规性检测。
4. 整改：对不符合项进行整改。
5. 监督检查：持续合规性维护。

---

四、等级保护2.0的主要变化

• 范围扩大：从传统信息系统扩展到云计算、物联网等新场景。
• 强化防护：强调“一个中心，三重防护”（安全管理中心+计算环境、区域边界、通信网络防护）。
• 主动防御：增加威胁监测、应急处置等要求。

---

五、适用对象

• 企事业单位：涉及关键信息基础设施的行业（金融、电力、交通等）。
• 政府部门：政务系统、公共服务平台。
• 服务提供商：云服务商、大数据企业等。

---

六、相关标准

• 配套标准：
  • GB/T 25070-2019（安全设计技术要求）
  • GB/T 28448-2019（测评要求）
  • GB/T 25058-2019（实施指南）

---

七、重要性

• 法律合规：未履行等级保护可能面临行政处罚。
• 风险防控：帮助组织系统性识别和降低网络安全风险。

如需具体条款或实施细节，可进一步查阅标准全文或咨询专业测评机构。

逐模块详细解析

以下是针对GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》的逐模块详细解析，按标准框架分层展开：

---

一、安全等级划分（定级标准）

1. 定级依据

• 受侵害客体：
  • 第一级（一般损害）：公民、法人权益。
  • 第二级（严重损害）：社会秩序、公共利益。
  • 第三级（特别严重损害）：国家关键基础设施、社会稳定。
  • 第四级及以上（极严重损害）：国家安全（需国家专门审批）。
• 侵害程度：从“一般损害”到“国家级灾难”逐级递增。

2. 定级流程

• 自主定级：运营者根据业务重要性初步定级。
• 专家评审：二级及以上系统需专家评审。
• 公安备案：向属地公安机关提交《定级报告》和《备案表》。

---

二、技术安全要求

1. 物理环境安全

• 一级：基础防火、防盗、防雷击。
• 三级：增加电磁屏蔽、视频监控、门禁系统（需生物识别）。
• 特殊要求：数据中心电力冗余（UPS+柴油发电机）、抗震设计。

2. 通信网络安全

• 数据传输：
  • 二级：VPN或SSL加密。
  • 三级：IPSec VPN+双向证书认证。
• 网络架构：三级以上需冗余设计（双链路/设备热备）。

3. 区域边界防护

• 访问控制：
  • 二级：防火墙规则（端口/IP黑白名单）。
  • 三级：防火墙+入侵检测（IDS）联动阻断。
• 防攻击：抗DDoS设备（三级必备）、Web应用防火墙（WAF）。

4. 计算环境安全

• 主机安全：
  • 二级：口令复杂度策略、定期漏洞扫描。
  • 三级：强制双因素认证、主机入侵防御（HIPS）。
• 数据安全：
  • 三级：存储加密（AES-256）、传输加密（TLS 1.2+）。
  • 四级：数据分片存储+国密算法（SM4）。

5. 管理中心要求

• 集中管控：
  • 三级：统一日志审计（留存6个月）、SIEM系统。
  • 四级：安全运维堡垒机、操作行为录屏审计。

---

三、管理安全要求

1. 安全管理制度

• 文档体系：
  • 二级：《信息安全管理制度》《应急预案》。
  • 三级：增加《安全配置基线》《风险评估报告》。
• 评审机制：每年至少一次制度修订（需管理层签字）。

2. 组织机构与人员

• 岗位职责：
  • 三级：设立专职安全管理员（不得兼任网络运维）。
• 培训要求：全员年度安全意识培训，技术人员需CISP认证。

3. 系统建设管理

• 供应商管控：
  • 三级：设备采购需“安全功能检测报告”。
• 代码安全：二级以上系统需代码审计（SQL注入/XSS漏洞扫描）。

4. 系统运维管理

• 变更控制：三级系统需“三员分立”（系统管理员、安全管理员、审计员）。
• 应急响应：
  • 二级：每年1次应急演练。
  • 三级：建立7×24小时应急团队，2小时内响应。

---

四、扩展要求详解

1. 云计算安全

• 租户隔离：虚拟化层漏洞扫描（如Hypervisor逃逸防护）。
• 数据主权：云服务商需承诺“数据不出境”（三级以上强制）。

2. 移动互联安全

• 终端管控：MDM（移动设备管理）强制安装，远程擦除数据。
• APP安全：代码混淆、反调试（防逆向分析）。

3. 物联网安全

• 设备认证：三级需硬件级可信芯片（如TPM 2.0）。
• 协议加固：禁用Telnet/FTP，使用MQTT+DTLS。

4. 工业控制系统

• 边界防护：工业防火墙（Modbus TCP白名单）。
• 实时监控：SCADA系统行为基线分析（检测异常指令）。

---

五、实施流程细化

1. 定级阶段：

   • 参考《定级指南》（GB/T 22240-2020）附录A的典型案例。

2. 测评整改：

   • 高风险项：如“默认口令未修改”需72小时内修复。
   • 测评报告：三级系统每年复测，四级每半年一次。

3. 监督检查：

   • 公安机关抽查重点：医疗、金融行业的三级系统。

---

六、合规性关联

• 与《网络安全法》衔接：
  • 第21条：未落实等级保护可处10-100万元罚款。
• 与《数据安全法》关系：三级以上系统需单独评估数据跨境风险。