1 范圍

      本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全等級(jí)保護(hù)的第一級(jí)到第四級(jí)等級(jí)保護(hù)對(duì)象的安全通用要求和安全擴(kuò)展要求。

      本標(biāo)準(zhǔn)適用于指導(dǎo)分等級(jí)的非涉密對(duì)象的安全建設(shè)和監(jiān)督管理。

      注：第五級(jí)等級(jí)保護(hù)對(duì)象是非常重要的監(jiān)督管理對(duì)象，對(duì)其有特殊的管理模式和安全要求，所以不在本標(biāo)準(zhǔn)中進(jìn)行描述。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB 17859 計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則

      GB/T 22240 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南

      GB/T 25069 信息安全技術(shù) 術(shù)語(yǔ)

      GB/T 31167-2014 信息安全技術(shù) 云計(jì)算服務(wù)安全指南

      GB/T 31168-2014 信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求

      GB/T 32919-2016 信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南

3 術(shù)語(yǔ)和定義

      GB 17859、GB/T 22240、GB/T 25069、GB/T 31167-2014、GB/T 31168-2014和GB/T 32919-2016界定的以及下列術(shù)語(yǔ)和定義適用于本文件。為了便于使用，以下重復(fù)列出了（GB/T 31167-2014、GB/T 31168-2014和GB/T 32919-2016中的一些術(shù)語(yǔ)和定義。

3.1

      網(wǎng)絡(luò)安全 cybersecurity

      通過(guò)采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。

3.2

      安全保護(hù)能力 security protection ability

      能夠抵御威脅、發(fā)現(xiàn)安全事件以及在遭到損害后能夠恢復(fù)先前狀態(tài)等的程度。

3.3

      云計(jì)算 cloud computing

      通過(guò)網(wǎng)絡(luò)訪問(wèn)可擴(kuò)展的、靈活的物理或虛擬共享資源池，并按需自助獲取和管理資源的模式。注：資源實(shí)例包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用和存儲(chǔ)設(shè)備等。

      [GB/T 31167-2014，定義3.1］

3.4

      云服務(wù)商 cloud service provider

      云計(jì)算服務(wù)的供應(yīng)方。

      注：云服務(wù)商管理、運(yùn)營(yíng)、支撐云計(jì)算的計(jì)算基礎(chǔ)設(shè)施及軟件，通過(guò)網(wǎng)絡(luò)交付云計(jì)算的資源。

      ［GB/T 31167-2014，定義3.3］

3.5

      云服務(wù)客戶 cloud service customer

      為使用云計(jì)算服務(wù)同云服務(wù)商建立業(yè)務(wù)關(guān)系的參與方。

      [GB/T 31168-2014，定義3.4］

3.6

      云計(jì)算平臺(tái)/系統(tǒng) cloud computing platform/system

      云服務(wù)商提供的云計(jì)算基礎(chǔ)設(shè)施及其上的服務(wù)軟件的集合。

3.7

      虛擬機(jī)監(jiān)視器 hypervisor

      運(yùn)行在基礎(chǔ)物理服務(wù)器和操作系統(tǒng)之間的中間軟件層，可允許多個(gè)操作系統(tǒng)和應(yīng)用共享硬件。

3.8

      宿主機(jī) host machine

      運(yùn)行虛擬機(jī)監(jiān)視器的物理服務(wù)器。

3.9

      移動(dòng)互聯(lián) mobile communication

      采用無(wú)線通信技術(shù)將移動(dòng)終端接入有線網(wǎng)絡(luò)的過(guò)程。

3.10

      移動(dòng)終端 mobile device

      在移動(dòng)業(yè)務(wù)中使用的終端設(shè)備，包括智能手機(jī)、平板電腦、個(gè)人電腦等通用終端和專用終端設(shè)備。

3.11

      無(wú)線接入設(shè)備 wireless access device

      采用無(wú)線通信技術(shù)將移動(dòng)終端接入有線網(wǎng)絡(luò)的通信設(shè)備。

3.12

      無(wú)線接入網(wǎng)關(guān) wireless access gateway

      部署在無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)之間，對(duì)有線網(wǎng)絡(luò)進(jìn)行安全防護(hù)的設(shè)備。

3.13

      移動(dòng)應(yīng)用軟件 mobile application

      針對(duì)移動(dòng)終端開發(fā)的應(yīng)用軟件。

3.14

      移動(dòng)終端管理系統(tǒng) mobile device management system

      用于進(jìn)行移動(dòng)終端設(shè)備管理、應(yīng)用管理和內(nèi)容管理的專用軟件，包括客戶端軟件和服務(wù)端軟件。

3.15

      物聯(lián)網(wǎng) internet of things

      將感知節(jié)點(diǎn)設(shè)備通過(guò)互聯(lián)網(wǎng)等網(wǎng)絡(luò)連接起來(lái)構(gòu)成的系統(tǒng)。

3.16

      感知節(jié)點(diǎn)設(shè)備 sensor node

      對(duì)物或環(huán)境進(jìn)行信息采集和/或執(zhí)行操作，并能聯(lián)網(wǎng)進(jìn)行通信的裝置。

3.17

      感知網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備 sensor layer gateway

      將感知節(jié)點(diǎn)所采集的數(shù)據(jù)進(jìn)行匯總、適當(dāng)處理或數(shù)據(jù)融合，并進(jìn)行轉(zhuǎn)發(fā)的裝置。

3.18

      工業(yè)控制系統(tǒng) industrial control system

      工業(yè)控制系統(tǒng)（ICS）是一個(gè)通用術(shù)語(yǔ)，它包括多種工業(yè)生產(chǎn)中使用的控制系統(tǒng)，包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）和其他較小的控制系統(tǒng)，如可編程邏輯控制器（PLC），現(xiàn)已廣泛應(yīng)用在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中。

      ［GB/T 32919-2016，定義3.1］

4 縮略語(yǔ)

      下列縮略語(yǔ)適用于本文件。

      AP：無(wú)線訪問(wèn)接入點(diǎn)（Wireless Access Point）

      DCS：集散控制系統(tǒng)（Distributed Control System）

      DDoS：拒絕服務(wù)（Distributed Denial of Service）

      ERP：企業(yè)資源計(jì)劃（Enterprise Resource Planning）

      FTP：文件傳輸協(xié)議（File Transfer Protocol）

      HMI：人機(jī)界面（Human Machine Interface）

      IaaS：基礎(chǔ)設(shè)施即服務(wù)（Infrastructure-as-a-Service）

      ICS：工業(yè)控制系統(tǒng)（Industrial Control System）

      IoT：物聯(lián)網(wǎng)（Internet of Things）

      IP：互聯(lián)網(wǎng)協(xié)議（Internet Protocol）

      IT：信息技術(shù)（Information Technology）

      MES：制造執(zhí)行系統(tǒng)（Manufacturing Execution System）

      PaaS：平臺(tái)即服務(wù)（Platform-as-a-Service）

      PLC：可編程邏輯控制器（Programmable Logic Controller）

      RFID：射頻識(shí)別（Radio Frequency Identification）

      SaaS：軟件即服務(wù)（Software-as-a-Service）

      SCADA：數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（Supervisory Control and Data Acquisition System）

      SSID：服務(wù)集標(biāo)識(shí)（Service Set Identifier）

      TCB：可信計(jì)算基（Trusted Computing Base）

      USB：通用串行總線（Universal Serial Bus）

      WEP：有線等效加密（Wired Equivalent Privacy）

      WPS：WiFi保護(hù)設(shè)置（WiFi Protected Setup）

5 網(wǎng)絡(luò)安全等級(jí)保護(hù)概述

5.1 等級(jí)保護(hù)對(duì)象

      等級(jí)保護(hù)對(duì)象是指網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中的對(duì)象，通常是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、物聯(lián)網(wǎng)（IoT）、工業(yè)控制系統(tǒng)和采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。等級(jí)保護(hù)對(duì)象根據(jù)其在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高被劃分為五個(gè)安全保護(hù)等級(jí)。

      保護(hù)對(duì)象的安全保護(hù)等級(jí)確定方法見GB/T 22240。

5.2 不同級(jí)別的安全保護(hù)能力

      不同級(jí)別的等級(jí)保護(hù)對(duì)象應(yīng)具備的基本安全保護(hù)能力如下：

      第一級(jí)安全保護(hù)能力：應(yīng)能夠防護(hù)免受來(lái)自個(gè)人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難，以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，在自身遭到損害后，能夠恢復(fù)部分功能。

      第二級(jí)安全保護(hù)能力：應(yīng)能夠防護(hù)免受來(lái)自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難，以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和處置安全事件，在自身遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。

      第三級(jí)安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來(lái)自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難，以及其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠及時(shí)發(fā)現(xiàn)、監(jiān)測(cè)攻擊行為和處置安全事件，在自身遭到損害后，能夠較快恢復(fù)絕大部分功能。

      第四級(jí)安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來(lái)自國(guó)家級(jí)別的、敵對(duì)組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難，以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠及時(shí)發(fā)現(xiàn)、監(jiān)測(cè)發(fā)現(xiàn)攻擊行為和安全事件，在自身遭到損害后，能夠迅速恢復(fù)所有功能。

      第五級(jí)安全保護(hù)能力：略。

5.3 安全通用要求和安全擴(kuò)展要求

      由于業(yè)務(wù)目標(biāo)的不同、使用技術(shù)的不同、應(yīng)用場(chǎng)景的不同等因素，不同的等級(jí)保護(hù)對(duì)象會(huì)以不同的形態(tài)出現(xiàn)，表現(xiàn)形式可能稱之為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)（包含采用移動(dòng)互聯(lián)等技術(shù)的系統(tǒng)）、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)平臺(tái)/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等。形態(tài)不同的等級(jí)保護(hù)對(duì)象面臨的威脅有所不同，安全保護(hù)需求也會(huì)有所差異。為了便于實(shí)現(xiàn)對(duì)不同級(jí)別的和不同形態(tài)的等級(jí)保護(hù)對(duì)象的共性化和個(gè)性化保護(hù)，等級(jí)保護(hù)要求分為安全通用要求和安全擴(kuò)展要求。

      安全通用要求針對(duì)共性化保護(hù)需求提出，等級(jí)保護(hù)對(duì)象無(wú)論以何種形式出現(xiàn)，應(yīng)根據(jù)安全保護(hù)等級(jí)實(shí)現(xiàn)相應(yīng)級(jí)別的安全通用要求；安全擴(kuò)展要求針對(duì)個(gè)性化保護(hù)需求提出，需要根據(jù)安全保護(hù)等級(jí)和使用的特定技術(shù)或特定的應(yīng)用場(chǎng)景選擇性實(shí)現(xiàn)安全擴(kuò)展要求。安全通用要求和安全擴(kuò)展要求共同構(gòu)成了對(duì)等級(jí)保護(hù)對(duì)象的安全要求。安全要求的選擇見附錄A，整體安全保護(hù)能力的要求見附錄B和附錄C。

      本標(biāo)準(zhǔn)針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)提出了安全擴(kuò)展要求。云計(jì)算應(yīng)用場(chǎng)景參見附錄D，移動(dòng)互聯(lián)應(yīng)用場(chǎng)景參見附錄E，物聯(lián)網(wǎng)應(yīng)用場(chǎng)景參見附錄F，工業(yè)控制系統(tǒng)應(yīng)用場(chǎng)景參見附錄G，大數(shù)據(jù)應(yīng)用場(chǎng)景參見附錄H。對(duì)于采用其他特殊技術(shù)或處于特殊應(yīng)用場(chǎng)景的等級(jí)保護(hù)對(duì)象，應(yīng)在安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，針對(duì)安全風(fēng)險(xiǎn)采取特殊的安全措施作為補(bǔ)充。

6 第一級(jí)安全要求

6.1 安全通用要求

6.1.1 安全物理環(huán)境

6.1.1.1 物理訪問(wèn)控制

      機(jī)房出入口應(yīng)安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買標(biāo)準(zhǔn)正版。