《信息安全技術信息系統安全等級保護基本要求》（GB/T22239-2008）在我國推行信息安全等級保護制度的過程中起到了非常重要的作用，被廣泛用于各行業或領域，指導用戶開展信息系統安全等級保護的建設整改、等級測評等工作。隨著信息技術的發展，已有10年歷史的《GB/T22239-2008》在時效性、易用性、可操作性上需要進一步完善。2017年《中華人民共和國網絡安全法》實施，為了配合國家落實網絡安全等級保護制度，也需要修訂《GB/T22239-2008》。

2014年，全國信息安全標準化技術委員會（以下簡稱安標委）下達了對《GB/T22239-2008》進行修訂的任務。標準修訂主要承擔單位為公安部第三研究所 （公安部信息安全等級保護評估中心），20多家企事業單位派人員參與了標準的修訂工作。標準編制組于2014年成立，先后調研了國際和國內云計算平臺、大數據應用、移動互聯接入、物聯網和工業控制系統等新技術、新應用的使用情況，分析并總結了新技術和新應用中的安全關注點和安全控制要素，完成了基本要求草案第一稿。

2015年2月至2016年7月，標準編制組在草案第一稿的基礎上，廣泛征求行業用戶單位、安全服務機構和各行業/領域專家的意見，并按照意見調整和完善標準草案，先后共形成7個版本的標準草案。2016年9月，標準編制組參加了安標委WG5工作組在研標 準推進會，按照專家及成員單位提出的修改建議，對草案進行了修改，形成了標準征求意見稿。2017年4月，標準編制組再次參加了安標委WG5工作組在研標準推進會，根據征求意見稿收集的修改建議，對征求意見稿進行了修改，形成了標準送審稿。2017年10月，標準編制組又一次參加了安標委WG5工作組在研標準推進會，在會上介紹了送審稿內容，并征求成員單位意見，根據收集的修改建議，對送審稿進行了修改完善，形成了標準報批稿。

2019年《信息安全技術網絡安全等級保護基本要求》（GB/T 22239-2019）將正式實施。本文分析《GB/T22239-2019》相較《GB/T22239-2008》發生的主要變化，解讀其安全通用要求和安全擴展要求的主要內容，以便于讀者更好地了解和掌握《GB/T22239-2019》的內容。

1總體結構的變化

1.1主要變化內容

《GB/T22239-2019》相較于《GB/T22239-2008》，無論是在總體結構方面還是在細節內容方面均發生了變化。在總體結構方面的主要變化為：

1）為適應網絡安全法，配合落實網絡安全等級保護制度，標準的名稱由原來的《信息系統安全等級保護基本要求》改為《網絡安全等級保護基本要求》。

2）等級保護對象由原來的信息系統調整為基礎信息網絡、信息系統（含采用移動互聯技術的系統）、云計算平臺/系統、大數據應用/平臺/資源、物聯網和工業控制系統等。

3）將原來各個級別的安全要求分為安全通用要求和安全擴展要求，安全擴展要求包括云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求以及工業控制系統安全擴展要求。安全通用要求是不管等級保護對象形態如何必須滿足的要求；針對云計算、移動互聯、物聯網和工業控制系統提出的特殊要求稱為安全擴展要求。

4）原來基本要求中各級技術要求的“物理安全”、“網絡安全”、“主機安全”、“應用安全”和“數據安全和備份與恢復”修訂為“安全物理環境”、“安全通信網絡”、“安全區域邊界”、“安全計算環境”和“安全管理中心”；原各級管理要求的“安全管理制度”、“安全管理機構”、“人員安全管理”、“系統建設管理”和“系統運維管理，修訂為“安全管理制度”、“安全管理機構”、“安全管理人員”、“安全建設管理”和“安全運維管理”。

5）云計算安全擴展要求針對云計算環境的特點提出。主要內容包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云計算環境管理”和“云服務商選擇”等。

6）移動互聯安全擴展要求針對移動互聯的特點提出。主要內容包括“無線接入點的物理位置”、“移 動終端管控”、“移動應用管控”、“移動應用軟件采購” 和“移動應用軟件開發”等。

7）物聯網安全擴展要求針對物聯網的特點提出。主要內容包括“感知節點的物理防護”、“感知節點設 備安全”、“網關節點設備安全”、“感知節點的管理” 和“數據融合處理”等。

8）工業控制系統安全擴展要求針對工業控制系統的特點提出。主要內容包括“室外控制設備防護”、“工業控制系統網絡架構安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”等。

9）取消了原來安全控制點的S、A、G標注，增加附錄A“關于安全通用要求和安全擴展要求的選擇 和使用描述等級保護對象的定級結果和安全要求之間的關系，說明如何根據定級的S、A結果選擇安全要求的相關條款，簡化了標準正文部分的內容。

10）增加附錄C描述等級保護安全框架和關鍵技術、附錄D描述云計算應用場景、附錄E描述移動互聯應用場景、附錄F描述物聯網應用場景、附錄G描述工業控制系統應用場景、附錄H描述大數據應用場景。

1.2變化的意義和作用

《GB/T22239-2019》采用安全通用要求和安全擴展要求的劃分使得標準的使用更加具有靈活性和針對性。不同等級保護對象由于采用的信息技術不同，所采用的保護措施也會不同。例如，傳統的信息系統和云計算平臺的保護措施有差異，云計算平臺和工業控制系統的保護措施也有差異。為了體現不同對象的保護差異，《GB/T22239-2019》將安全要求劃分為安全通用要求和安全擴展要求。

安全通用要求針對共性化保護需求提出，無論等級保護對象以何種形式出現，需要根據安全保護等級實現相應級別的安全通用要求。安全擴展要求針對個性化保護需求提出，等級保護對象需要根據安全保護等級、使用的特定技術或特定的應用場景實現安全擴展要求。等級保護對象的安全保護措施需要同時實現安全通用要求和安全擴展要求，從而更加有效地保護等級保護對象。例如，傳統的信息系統可能只需要采用安全通用要求提出的保護措施即可，而云計算平臺不僅需要采用安全通用要求提出的保護措施，還要針對云計算平臺的技術特點采用云計算安全擴展要求提出的保護措施； 工業控制系統不僅需要采用安全通用要求提出的保護措施，還要針對工業控制系統的技術特點采用工業 控制系統安全擴展要求提出的保護措施。

2.安全通用要求的內容

2.1安全通用要求基本分類

《GB/T22239-2019》規定了第一級到第四級等級保護對象的安全要求，每個級別的安全要求均由安全通用要求和安全擴展要求構成。例如，《GB/T22239-2019》提出的第三級安全要求基本結構為：

8 第三級安全要求

8.1 安全通用要求

8.2 云計算安全擴展要求

8.3 移動互聯安全擴展要求

8.4 物聯網安全擴展要求

8.5 工控制系統安全擴展要求

安全通用要求細分為技術要求和管理要求。其中技術要求包括“安全物理環境”、“安全通信網絡”、“安全區域邊界”、“安全計算環境”和“安全管理中心”；管理要求包括“安全管理制度”、“安全管理機構”、“安全管理人員”、“安全建設管理”和“安全運維管理”。兩者合計10大類，如下圖所示。

安全通用要求基本分類

2.2技術要求

技術要求分類體現了從外部到內部的縱深防御思想。對等級保護對象的安全防護應考慮從通信網絡到區域邊界再到計算環境的從外到內的整體防護，同時考慮對其所處的物理環境的安全防護。對級別較高的等級保護對象還需要考慮對分布在整個系統中的安全功能或安全組件的集中技術管理手段。

1）安全物理環境

安全通用要求中的安全物理環境部分是針對物理機房提出的安全控制要求。主要對象為物理環境、物理設備和物理設施等；涉及的安全控制點包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護。

*下圖中數字表示每個控制點下各個級別的要求項數量，級別越高，要求項越多。后續表中的數字均為此含義。

表1安全物理環境控制點/要求項的逐級變化

承載高級別系統的機房相對承載低級別系統的機房強化了物理訪問控制、電力供應和電磁防護等方面的要求。例如，四級相比三級增設了“重要區域應配置第二道電子門禁系統”、“應提供應急供電設施”、“應對關鍵區域實施電磁屏蔽”等要求。

2）安全通信網絡

安全通用要求中的安全通信網絡部分是針對通信網絡提出的安全控制要求。主要對象為廣域網、城域網和局域網等；涉及的安全控制點包括網絡架構、通信傳輸和可信驗證。

表2安全通信網絡控制點/要求項的逐級變化

高級別系統的通信網絡相對低級別系統的通信網絡強化了優先帶寬分配、設備接入認證、通信設備認證等方面的要求。例如，四級相比三級增設了“應可按照業務服務的重要程度分配帶寬，優先保障重要業務”，“應采用可信驗證機制對接入網絡中的設備進行可信驗證，保證接入網絡的設備真實可信“應在通信前基于密碼技術對通信雙方進行驗證或認證”等要求。

3）安全區域邊界

安全通用要求中的安全區域邊界部分是針對網絡邊界提出的安全控制要求。主要對象為系統邊界和區域邊界等；涉及的安全控制點包括邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計和可信驗證。

表3安全區域邊界控制點/要求項的逐級變化

高級別系統的網絡邊界相對低級別系統的網絡邊界強化了高強度隔離和非法接入阻斷等方面的要求。例如，四級相比三級增設了“應在網絡邊界通過通信協議轉換或通信協議隔離等方式進行數據交換”，“應能夠在發現非授權設備私自聯到內部網絡的行為或內部用戶非授權聯到外部網絡的行為時，對其進行有效阻斷”等要求。

4) 安全計算環境

安全通用要求中的安全計算環境部分是針對邊界內部提出的安全控制要求。主要對象為邊界內部的所有對象，包括網絡設備、安全設備、服務器設備、終端設備、應用系統、數據對象和其他設備等；涉及的安全控制點包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份與恢復、剩余信息保護和個人信息保護。

表4安全計算環境控制點/要求項的逐級變化

高級別系統的計算環境相對低級別系統的計算環境強化了身份鑒別、訪問控制和程序完整性等方面的要求。例如，四級相比三級增設了“應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現”，“應對主體、客體設置安全標記，并依據安全標記和強制訪問控制規則確定主體對客體的訪問”，“應采用主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷”等要求。

5）安全管理中心

安全通用要求中的安全管理中心部分是針對整個系統提出的安全管理方面的技術控制要求，通過技術手段實現集中管理。涉及的安全控制點包括系統管理、審計管理、安全管理和集中管控。

高級別系統的安全管理相對低級別系統的安全管理強化了采用技術手段進行集中管控等方面的要求。

表5安全管理中心控制點/要求項的逐級變化

例如，三級相比二級增設了“應劃分出特定的管理區域，對分布在網絡中的安全設備或安全組件進行管控”,“應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測”，“應對分散在各個設備上的審計數據進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規要求”，“應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理”等要求。

2.3管理要求

管理要求分類體現了從要素到活動的綜合管理思想。安全管理需要的“機構”、“制度”和“人員”三要素缺一不可，同時還應對系統建設整改過程中和運行維護過程中的重要活動實施控制和管理。對級別較高的等級保護對象需要構建完備的安全管理體系。

1）安全管理制度

安全通用要求中的安全管理制度部分是針對整個管理制度體系提出的安全控制要求，涉及的安全控制點包括安全策略、管理制度、制定和發布以及評審和修訂。

表6安全管理制度控制點/要求項的逐級變化

2）安全管理機構

安全通用要求中的安全管理機構部分是針對整個管理組織架構提出的安全控制要求，涉及的安全控制點包括崗位設置、人員配備、授權和審批、溝通和合作以及審核和檢查。

表7安全管理機構控制點/要求項的逐級變化

3）安全管理人員

安全通用要求中的安全管理人員部分是針對人員管理模式提出的安全控制要求，涉及的安全控制點包括人員錄用、人員離崗、安全意識教育和培訓以及外部人員訪問管理。

表8安全管理人員控制點/要求項的逐級變化

4）安全建設管理

安全通用要求中的安全建設管理部分是針對安全建設過程提出的安全控制要求，涉及的安全控制點包括定級和備案、安全方案設計、安全產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、等級測評和服務供應商管理。

表9安全建設管理控制點/要求項的逐級變化

5）安全運維管理

安全通用要求中的安全運維管理部分是針對安全運維過程括環境管理、資產管理、介質管理、設備維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理和外包運維管理。

表10安全運維管理控制點/要求項的逐級變化

3.安全擴展要求的內容

安全擴展要求是采用特定技術或特定應用場景下的等級保護對象需要增加實現的安全要求。《GB/T22239-2019》提出的安全擴展要求包括云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求和工業控制系統安全擴展要求。

3.1云計算安全擴展要求

采用了云計算技術的信息系統通常稱為云計算平臺。云計算平臺由設施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應用軟件等組成。云計算平臺中通常有云服務商和云服務客戶/云租戶兩種角色。根據云服務商所提供服務的類型，云計算平臺有軟件即服務（SaaS）、平臺即服務（PaaS）、基礎設施即服務（IaaS）3種基本的云計算服務模式。在不同的服務模式中，云服務商和云服務客戶對資源擁有不同的控制范圍，控制范圍決定了安全責任的邊界。

云計算安全擴展要求是針對云計算平臺提出的安全通用要求之外額外需要實現的安全要求。云計算安全擴展要求涉及的控制點包括基礎設施位置、網絡架構、網絡邊界的訪問控制、網絡邊界的入侵防范、網絡邊界的安全審計、集中管控、計算環境的身份鑒別、計算環境的訪問控制、計算環境的入侵防范、鏡像和快照保護、數據安全性、數據備份恢復、剩余信息保護、云服務商選擇、供應鏈管理和云計算環境管理。

表11云計算安全擴展要求控制點/要求項的逐級變化

3.2移動互聯安全擴展要求

采用移動互聯技術的等級保護對象，其移動互聯部分通常由移動終端、移動應用和無線網絡3部分組成。移動終端通過無線通道連接無線接入設備接入有線網絡；無線接入網關通過訪問控制策略限制移動終端的訪問行為；后臺的移動終端管理系統（如果配置）負責對移動終端的管理，包括向客戶端軟件發送移動設備管理、移動應用管理和移動內容管理策略等。

移動互聯安全擴展要求是針對移動終端、移動應用和無線網絡提出的特殊安全要求，它們與安全通用要求一起構成針對采用移動互聯技術的等級保護對象的完整安全要求。移動互聯安全擴展要求涉及的控制點包括無線接入點的物理位置、無線和有線網絡之間的邊界防護、無線和有線網絡之間的訪問控制、無線和有線網絡之間的入侵防范，移動終端管控、移動應用管控、移動應用軟件采購、移動應用軟件開發和配置管理。

表12移動互聯安全擴展要求控制點/要求項的逐級變化

3.3物聯網安全擴展要求

物聯網從架構上通常可分為3個邏輯層，即感知層、網絡傳輸層和處理應用層。其中感知層包括傳感器節點和傳感網網關節點或RFID標簽和RFID讀寫器，也包括感知設備與傳感網網關之間、RFID標簽與RFID讀寫器之間的短距離通信（通常為無線）部分；網絡傳輸層包括將感知數據遠距離傳輸到處理中心的網絡，如互聯網、移動網或幾種不同網絡的融合；處理應用層包括對感知數據進行存儲與智能處理的平臺，并對業務應用終端提供服務。對大型物聯網來說，處理應用層一般由云計算平臺和業務應用終端構成。

對物聯網的安全防護應包括感知層、網絡傳輸層和處理應用層。由于網絡傳輸層和處理應用層通常由計算機設備構成，因此這兩部分按照安全通用要求提出的要求進行保護。物聯網安全擴展要求是針對感知層提出的特殊安全要求，它們與安全通用要求一起構成針對物聯網的完整安全要求。

物聯網安全擴展要求涉及的控制點包括感知節點的物理防護、感知網的入侵防范、感知網的接入控制、感知節點設備安全、網關節點設備安全、抗數據重放、數據融合處理和感知節點的管理。

表13物聯網安全擴展要求控制點/要求項的逐級變化

3.4工業控制系統安全擴展要求

工業控制系統通常是可用性要求較高的等級保護對象。工業控制系統是各種控制系統的總稱，典型的 如數據采集與監視控制系統（SCADA）、集散控制系統（DCS）等。工業控制系統通常用于電力，水和污水處理，石油和天然氣，化工，交通運輸，制藥，紙漿和造紙，食品和飲料以及離散制造（如汽車、航空航天和耐用品）等行業。

工業控制系統從上到下一般分為5個層級，依次為企業資源層，生產管理層、過程監控層、現場控制層和現場設備層，不同層級的實時性要求有所不同，工業控制系統的安全防護應包括各個層級。由于企業資源層、生產管理層和過程監控層通常由計算機設備構成，因此這些層級按照安全通用要求提出的要求進行保護。

工業控制系統安全擴展要求是針對現場控制層和現場設備層提出的特殊安全要求，它們與安全通用要求一起構成針對工業控制系統的完整安全要求。工業控制系統安全擴展要求涉及的控制點包括室外控制設備防護、網絡架構、通信傳輸、訪問控制、撥號使用控制、無線使用控制、控制設備安全、產品采購和使用以及外包軟件開發。

表14工業控制系統安全擴展要求控制點/要求項的逐級變化

4.結束語

《GB/T22239-2019》在結構上和內容上相較于《GB/T22239-2008》均發生了較大變化，這些變化給網絡安全等級保護的建設整改、等級測評等工作均帶來了一定的影響。如何基于新標準形成安全解決方案，如何基于新標準開展等級保護測評等，都需要仔細研讀新標準，基于新標準找到開展網絡安全等級保護工作的新思路和新方法。