1 范围

      本标准规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。

      本标准适用于指导分等级的非涉密对象的安全建设和监督管理。

      注：第五级等级保护对象是非常重要的监督管理对象，对其有特殊的管理模式和安全要求，所以不在本标准中进行描述。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB 17859 计算机信息系统 安全保护等级划分准则

      GB/T 22240 信息安全技术 信息系统安全等级保护定级指南

      GB/T 25069 信息安全技术 术语

      GB/T 31167-2014 信息安全技术 云计算服务安全指南

      GB/T 31168-2014 信息安全技术 云计算服务安全能力要求

      GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南

3 术语和定义

      GB 17859、GB/T 22240、GB/T 25069、GB/T 31167-2014、GB/T 31168-2014和GB/T 32919-2016界定的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了（GB/T 31167-2014、GB/T 31168-2014和GB/T 32919-2016中的一些术语和定义。

3.1

      网络安全 cybersecurity

      通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

3.2

      安全保护能力 security protection ability

      能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。

3.3

      云计算 cloud computing

      通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。

      [GB/T 31167-2014，定义3.1］

3.4

      云服务商 cloud service provider

      云计算服务的供应方。

      注：云服务商管理、运营、支撑云计算的计算基础设施及软件，通过网络交付云计算的资源。

      ［GB/T 31167-2014，定义3.3］

3.5

      云服务客户 cloud service customer

      为使用云计算服务同云服务商建立业务关系的参与方。

      [GB/T 31168-2014，定义3.4］

3.6

      云计算平台/系统 cloud computing platform/system

      云服务商提供的云计算基础设施及其上的服务软件的集合。

3.7

      虚拟机监视器 hypervisor

      运行在基础物理服务器和操作系统之间的中间软件层，可允许多个操作系统和应用共享硬件。

3.8

      宿主机 host machine

      运行虚拟机监视器的物理服务器。

3.9

      移动互联 mobile communication

      采用无线通信技术将移动终端接入有线网络的过程。

3.10

      移动终端 mobile device

      在移动业务中使用的终端设备，包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。

3.11

      无线接入设备 wireless access device

      采用无线通信技术将移动终端接入有线网络的通信设备。

3.12

      无线接入网关 wireless access gateway

      部署在无线网络与有线网络之间，对有线网络进行安全防护的设备。

3.13

      移动应用软件 mobile application

      针对移动终端开发的应用软件。

3.14

      移动终端管理系统 mobile device management system

      用于进行移动终端设备管理、应用管理和内容管理的专用软件，包括客户端软件和服务端软件。

3.15

      物联网 internet of things

      将感知节点设备通过互联网等网络连接起来构成的系统。

3.16

      感知节点设备 sensor node

      对物或环境进行信息采集和/或执行操作，并能联网进行通信的装置。

3.17

      感知网关节点设备 sensor layer gateway

      将感知节点所采集的数据进行汇总、适当处理或数据融合，并进行转发的装置。

3.18

      工业控制系统 industrial control system

      工业控制系统（ICS）是一个通用术语，它包括多种工业生产中使用的控制系统，包括监控和数据采集系统（SCADA）、分布式控制系统（DCS）和其他较小的控制系统，如可编程逻辑控制器（PLC），现已广泛应用在工业部门和关键基础设施中。

      ［GB/T 32919-2016，定义3.1］

4 缩略语

      下列缩略语适用于本文件。

      AP：无线访问接入点（Wireless Access Point）

      DCS：集散控制系统（Distributed Control System）

      DDoS：拒绝服务（Distributed Denial of Service）

      ERP：企业资源计划（Enterprise Resource Planning）

      FTP：文件传输协议（File Transfer Protocol）

      HMI：人机界面（Human Machine Interface）

      IaaS：基础设施即服务（Infrastructure-as-a-Service）

      ICS：工业控制系统（Industrial Control System）

      IoT：物联网（Internet of Things）

      IP：互联网协议（Internet Protocol）

      IT：信息技术（Information Technology）

      MES：制造执行系统（Manufacturing Execution System）

      PaaS：平台即服务（Platform-as-a-Service）

      PLC：可编程逻辑控制器（Programmable Logic Controller）

      RFID：射频识别（Radio Frequency Identification）

      SaaS：软件即服务（Software-as-a-Service）

      SCADA：数据采集与监视控制系统（Supervisory Control and Data Acquisition System）

      SSID：服务集标识（Service Set Identifier）

      TCB：可信计算基（Trusted Computing Base）

      USB：通用串行总线（Universal Serial Bus）

      WEP：有线等效加密（Wired Equivalent Privacy）

      WPS：WiFi保护设置（WiFi Protected Setup）

5 网络安全等级保护概述

5.1 等级保护对象

      等级保护对象是指网络安全等级保护工作中的对象，通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网（IoT）、工业控制系统和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高被划分为五个安全保护等级。

      保护对象的安全保护等级确定方法见GB/T 22240。

5.2 不同级别的安全保护能力

      不同级别的等级保护对象应具备的基本安全保护能力如下：

      第一级安全保护能力：应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能。

      第二级安全保护能力：应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和处置安全事件，在自身遭到损害后，能够在一段时间内恢复部分功能。

      第三级安全保护能力：应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当危害程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。

      第四级安全保护能力：应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难，以及其他相当危害程度的威胁所造成的资源损害，能够及时发现、监测发现攻击行为和安全事件，在自身遭到损害后，能够迅速恢复所有功能。

      第五级安全保护能力：略。

5.3 安全通用要求和安全扩展要求

      由于业务目标的不同、使用技术的不同、应用场景的不同等因素，不同的等级保护对象会以不同的形态出现，表现形式可能称之为基础信息网络、信息系统（包含采用移动互联等技术的系统）、云计算平台/系统、大数据平台/系统、物联网、工业控制系统等。形态不同的等级保护对象面临的威胁有所不同，安全保护需求也会有所差异。为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护，等级保护要求分为安全通用要求和安全扩展要求。

      安全通用要求针对共性化保护需求提出，等级保护对象无论以何种形式出现，应根据安全保护等级实现相应级别的安全通用要求；安全扩展要求针对个性化保护需求提出，需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现安全扩展要求。安全通用要求和安全扩展要求共同构成了对等级保护对象的安全要求。安全要求的选择见附录A，整体安全保护能力的要求见附录B和附录C。

      本标准针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求。云计算应用场景参见附录D，移动互联应用场景参见附录E，物联网应用场景参见附录F，工业控制系统应用场景参见附录G，大数据应用场景参见附录H。对于采用其他特殊技术或处于特殊应用场景的等级保护对象，应在安全风险评估的基础上，针对安全风险采取特殊的安全措施作为补充。

6 第一级安全要求

6.1 安全通用要求

6.1.1 安全物理环境

6.1.1.1 物理访问控制

      机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员。

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》