安言咨询-网络安全等级保护基本要求-第1部分：安全通用要求解读

关于《网络安全等级保护基本要求第一部分：安全通用要求》标准解析[1]概述[2]技术要求和管理要求[3]升版变化[4]云计算安全扩要求[5]移动互联安全扩展要求[6]物联网安全扩展要求[7]工业控制系统安全扩展要求目录CONTENTS[1]概述不同等级的安全保护对象受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级网络基础设施信息系统大数据云计算平台物联网工控系统等不同等级的安全保护能力技术类安全要求与提供的技术安全机制有关，主要通过部署软硬件并正确的配置其安全功能来实现管理类安全要求与各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现技术要求管理要求安全保护能力第一级:用户自主保护级第二级:系统审计保护级第三级:安全标记保护级第四级:结构化保护级第五级:访问验证保护级安全要求的选择和使用G的级别与系统级别一致S和A的级别根据对象不同、关注重点不同可以适当降低级别要求安全保护等级定级结果的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五级S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5安全要求及属性标识--安全技术要求技术/管理分类安全控制点属性标识安全技术要求物理和环境安全物理位置选择G物理访问控制G防盗窃和防破坏G防雷击G防火G防水和防潮G防静电G温湿度控制G电力供应A电磁防护S网络和通信安全网络架构G通信传输G边界防护G访问控制G入侵防范G恶意代码防范G安全审计G集中管控G安全要求及属性标识--安全技术要求技术/管理分类安全控制点属性标识安全技术要求设备和计算安全身份鉴别S访问控制S安全审计G入侵防范G恶意代码防范G资源控制A应用和数据安全身份鉴别S访问控制S安全审计G软件容错A资源控制A数据完整性S数据保密性S数据备份恢复A剩余信息保护S个人信息保护S安全要求及属性标识--安全管理要求技术/管理分类安全控制点属性标识安全管理要求安全策略和管理制度安全策略G管理制度G制定和发布G评审和修订G安全管理机构和人员岗位设置G人员配备G授权和审批G沟通和合作G审核和检查G人员录用G人员离岗G安全意识教育和培训G外部人员访问管理G安全要求及属性标识--安全管理要求技术/管理分类安全控制点属性标识安全管理要求安全建设管理定级和备案G安全方案设计G产品采购和使用G自行软件开发G外包软件开发G工程实施G测试验收G系统交付G等级测评G服务供应商管理G安全要求及属性标识--安全管理要求技术/管理分类安全控制点属性标识安全管理要求安全运维管理环境管理G资产管理G介质管理G设备维护管理G漏洞和风险管理G网络与系统安全管理G恶意代码防范管理G配置管理G密码管理G变更管理G备份与恢复管理G安全事件处置G应急预案管理G[2]技术要求和管理要求技术要求技术要求第一级第二级第三级第四级物理和环境安全地理位置选择0222物理访问控制1112防盗窃和防破坏1233防雷击1122防火1233防水和防潮1233防静电0122温湿度控制1111电力供应1234电磁防护0122网络和通信安全网络架构2456通信传输1124边界防护1145访问控制3453入侵防范0144恶意代码防范0022安全审计0354集中管控0066技术要求第一级第二级第三级第四级设备和计算安全身份鉴别2344访问控制3477安全审计0355入侵防范2455恶意代码防范1111资源控制0144应用和数据安全身份鉴别2456访问控制3377安全审计0355软件容错1233资源控制0344数据完整性1123数据保密性0023数据备份恢复1234剩余信息保护0122个人信息保护0222技术要求管理要求第一级第二级第三级第四级安全策略和管理制度安全策略0011管理制度1233制定和发布0222评审和修订0111安全管理机构和人员岗位设置1233人员配备1123授权和审批1233沟通和合作0332审核和检查0133人员录用1234人员离岗1122安全意识教育和培训1122外部人员访问管理1345管理要求管理要求第一级第二级第三级第四级安全建设管理定级和备案1444安全方案设计1333产品采购和使用1234自行软件开发0277外包软件开发0033工程实施1233测试验收1222系统交付2333等级测评0333服务供应商选择2233安全运维管理环境管理2334资产管理0133介质管理1222设备维护管理1244漏洞和风险管理1122网络和系统安全管理2599恶意代码防范管理2233配置管理0122密码管理0211变更管理0133备份与恢复管理2333安全事件处置2344应急预案管理0344外包运维管理0244管理要求升版变化[3]标准名称变化GB/T22239.1-2017信息安全技术网络安全等级保护基本要求第1部分安全通用要求GB/T22239.2-2017信息安全技术网络安全等级保护基本要求第2部分云计算安全扩展要求GB/T22239.3-2017信息安全技术网络安全等级保护基本要求第3部分移动互联安全扩展要求GB/T22239.4-2017信息安全技术网络安全等级保护基本要求第4部分物联网安全扩展要求GB/T22239.5-2017信息安全技术网络安全等级保护基本要求第5部分工业控制安全扩展要求GB/T22239.6-2017信息安全技术网络安全等级保护基本要求第6部分大数据安全扩展要求GB/T22239-2008信息安全技术信息系统安全等级保护基本要求安全控制项变化旧版技术要求物理安全网络安全主机安全应用安全数据安全及备份恢复管理要求安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理新版物理和环境安全技术要求网络和通信安全设备和计算安全应用和数据安全安全策略和管理制度管理要求安全管理机构和人员安全建设管理安全运维管理第三级安全要求示例旧版-技术要求控制域控制项控制点物理安全物理位置的选择2物理访问控制4防盗窃和防破坏6防雷击3防火3防水和防潮4防静电2温湿度控制1电力供应4电磁防护3新版-技术要求控制点控制项控制域2物理位置的选择物理和环境安全1物理访问控制3防盗窃和防破坏2防雷击3防火3防水和防潮2防静电1温湿度控制3电力供应2电磁防护控制项内容发生变化控制项内容未发生变化旧版-技术要求控制域控制项控制点网络安全结构安全7访问控制8安全审计4边界完整性检查2入侵防范2恶意代码防范2网络设备防护8新版-技术要求控制点控制项控制域5网络架构网络和通信安全2通信传输4边界防护5访问控制4入侵防范2恶意代码防范5安全审计6集中管控第三级安全要求示例为新版本新增内容旧版-技术要求控制域控制项控制点主机安全身份鉴别7访问控制7安全审计6剩余信息保护2入侵防范3恶意代码防范3资源控制5新版-技术要求控制点控制项控制域4身份鉴别设备和计算安全7访问控制5安全审计5入侵防范1恶意代码防范4资源控制第三级安全要求示例为旧版删除控制项旧版-技术要求控制域控制项控制点应用安全身份鉴别5访问控制6安全审计4剩余信息保护2通信完整性1通信保密性2抗抵赖2软件容错2资源控制7数据安全及备份恢复数据完整性2数据保密性2备份和恢复4新版-技术要求控制点控制项控制域5身份鉴别应用和数据安全7访问控制5安全审计3软件容错4资源控制2数据完整性2数据保密性3备份和恢复2剩余信息保护2个人信息保护第三级安全要求示例为新版本新增内容旧版-管理要求控制域控制项控制点安全管理制度管理制度4制定和发布5评审和修订2安全管理机构岗位设置4人员配备3授权和审批4沟通和合作5审核和检查4人员安全管理人员录用4人员离岗3人员考核3安全意识教育和培训4外部人员访问管理2新版-管理要求控制点控制项控制域1安全策略安全策略和管理制度3管理制度2制定和发布1评审和修订3岗位设置安全管理机构和人员2人员配备3授权和审批3沟通和合作3审核和检查3人员录用2人员离岗2安全意识教育和培训4外部人员访问管理第三级安全要求示例旧版-管理要求控制域控制项控制点系统建设管理系统定级4安全方案设计5产品采购和使用4自行软件开发5外包软件开发4工程实施3测试验收5系统交付5系统备案3等级测评4安全服务商选择3新版-管理要求控制点控制项控制域4定级和备案安全建设管理3安全方案设计3产品采购和使用7自行软件开发3外包软件开发3工程实施2测试验收3系统交付3等级测评3服务供应商选择第三级安全要求示例旧版-管理要求控制域控制项控制点系统运维管理环境管理4资产管理4介质管理6设备管理5监控管理和安全管理中心3网络安全管理8系统安全管理7恶意代码防范管理4密码管理1变更管理4备份与恢复管理5安全事件处置6应急预案管理5新版-管理要求控制点控制项控制域3环境管理安全运维管理3资产管理2介质管理4设备维护管理2漏洞和风险管理9网络和系统安全管理3恶意代码防范管理2配置管理1密码管理3变更管理3备份与恢复管理4安全事件处置4应急预案管理4外包运维管理第三级安全要求示例新增扩展要求安全通用要求云计算移动互联物联网工业控制大数据[4]云计算安全扩展要求类子类第一级第二级第三级第四级物理和环境安全物理位置选择/扩展扩展扩展物理访问控制继承继承继承继承防盗窃和防破坏继承继承继承继承防雷击继承继承继承继承防火继承继承继承继承防水和防潮继承继承继承继承防静电/继承继承继承温湿度控制继承继承继承继承电力供应继承继承继承继承电磁防护/继承继承继承网络和通信安全网络架构继承扩展扩展扩展通信传输继承继承继承继承边界防护继承继承继承继承访问控制继承扩展扩展扩展入侵防范/扩展扩展扩展恶意代码防范//继承继承安全审计/继承扩展扩展集中管控//继承继承设备和计算安全身份鉴别继承扩展扩展扩展访问控制继承扩展扩展扩展安全审计/扩展扩展扩展入侵防范继承扩展扩展扩展恶意代码防范继承继承扩展扩展资源控制/扩展扩展扩展镜像和快照保护/增加增加增加注：“/”代表此级别的控制点没有要求项；“继承”代表此级别的控制点要求项完全继承22239.1；“扩展”代表此级别的控制点要求项对于22239.1有扩展；“增加”代表此级别的控制点对于22239.1为新增控制点。类子类第一级第二级第三级第四级应用和数据安全身份鉴别继承继承继承继承访问控制继承继承继承继承安全审计/扩展扩展扩展软件容错继承继承继承继承资源控制/扩展扩展扩展接口安全/增加增加增加数据完整性继承扩展扩展扩展数据保密性//扩展扩展数据备份恢复继承扩展扩展扩展剩余信息保护/继承扩展扩展个人信息保护/继承继承继承安全策略和管理制度安全策略//继承继承管理制度继承继承继承继承制定和发布继承继承继承继承评审和修订/继承继承继承安全管理机构和人员岗位设置继承继承继承继承人员配备继承继承继承继承授权和审批继承扩展扩展扩展沟通和合作/继承继承继承审核和检查/继承继承继承人员录用继承继承继承继承人员离岗继承继承继承继承安全意识教育和培训继承继承继承继承外部人员访问管理继承继承继承继承类子类第一级第二级第三级第四级系统安全建设管理系统定级和备案继承继承继承继承安全方案设计继承继承扩展扩展产品采购和使用继承继承继承继承自行软件开发/继承继承继承外包软件开发/继承继承继承工程实施继承继承继承继承测试验收继承扩展扩展扩展系统交付继承继承继承继承等级测评/继承继承继承服务供应商选择继承继承继承继承云服务商选择/增加增加增加供应链管理/增加增加增加系统安全运维管理环境管理继承继承继承继承资产管理/继承继承继承介质管理继承继承继承继承设备维护管理继承继承继承继承漏洞和风险管理继承继承继承继承网络和系统安全管理继承继承继承继承恶意代码防范管理继承继承继承继承配置管理/继承继