1 范圍

      本標準規(guī)定了網(wǎng)絡(luò)安全等級保護的第一級到第四級等級保護對象的安全通用要求和安全擴展要求。

      本標準適用于指導分等級的非涉密對象的安全建設(shè)和監(jiān)督管理。

      注：第五級等級保護對象是非常重要的監(jiān)督管理對象，對其有特殊的管理模式和安全要求，所以不在本標準中進行描述。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB 17859 計算機信息系統(tǒng) 安全保護等級劃分準則

      GB/T 22240 信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南

      GB/T 25069 信息安全技術(shù) 術(shù)語

      GB/T 31167-2014 信息安全技術(shù) 云計算服務(wù)安全指南

      GB/T 31168-2014 信息安全技術(shù) 云計算服務(wù)安全能力要求

      GB/T 32919-2016 信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南

3 術(shù)語和定義

      GB 17859、GB/T 22240、GB/T 25069、GB/T 31167-2014、GB/T 31168-2014和GB/T 32919-2016界定的以及下列術(shù)語和定義適用于本文件。為了便于使用，以下重復列出了（GB/T 31167-2014、GB/T 31168-2014和GB/T 32919-2016中的一些術(shù)語和定義。

3.1

      網(wǎng)絡(luò)安全 cybersecurity

      通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。

3.2

      安全保護能力 security protection ability

      能夠抵御威脅、發(fā)現(xiàn)安全事件以及在遭到損害后能夠恢復先前狀態(tài)等的程度。

3.3

      云計算 cloud computing

      通過網(wǎng)絡(luò)訪問可擴展的、靈活的物理或虛擬共享資源池，并按需自助獲取和管理資源的模式。注：資源實例包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用和存儲設(shè)備等。

      [GB/T 31167-2014，定義3.1］

3.4

      云服務(wù)商 cloud service provider

      云計算服務(wù)的供應(yīng)方。

      注：云服務(wù)商管理、運營、支撐云計算的計算基礎(chǔ)設(shè)施及軟件，通過網(wǎng)絡(luò)交付云計算的資源。

      ［GB/T 31167-2014，定義3.3］

3.5

      云服務(wù)客戶 cloud service customer

      為使用云計算服務(wù)同云服務(wù)商建立業(yè)務(wù)關(guān)系的參與方。

      [GB/T 31168-2014，定義3.4］

3.6

      云計算平臺/系統(tǒng) cloud computing platform/system

      云服務(wù)商提供的云計算基礎(chǔ)設(shè)施及其上的服務(wù)軟件的集合。

3.7

      虛擬機監(jiān)視器 hypervisor

      運行在基礎(chǔ)物理服務(wù)器和操作系統(tǒng)之間的中間軟件層，可允許多個操作系統(tǒng)和應(yīng)用共享硬件。

3.8

      宿主機 host machine

      運行虛擬機監(jiān)視器的物理服務(wù)器。

3.9

      移動互聯(lián) mobile communication

      采用無線通信技術(shù)將移動終端接入有線網(wǎng)絡(luò)的過程。

3.10

      移動終端 mobile device

      在移動業(yè)務(wù)中使用的終端設(shè)備，包括智能手機、平板電腦、個人電腦等通用終端和專用終端設(shè)備。

3.11

      無線接入設(shè)備 wireless access device

      采用無線通信技術(shù)將移動終端接入有線網(wǎng)絡(luò)的通信設(shè)備。

3.12

      無線接入網(wǎng)關(guān) wireless access gateway

      部署在無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)之間，對有線網(wǎng)絡(luò)進行安全防護的設(shè)備。

3.13

      移動應(yīng)用軟件 mobile application

      針對移動終端開發(fā)的應(yīng)用軟件。

3.14

      移動終端管理系統(tǒng) mobile device management system

      用于進行移動終端設(shè)備管理、應(yīng)用管理和內(nèi)容管理的專用軟件，包括客戶端軟件和服務(wù)端軟件。

3.15

      物聯(lián)網(wǎng) internet of things

      將感知節(jié)點設(shè)備通過互聯(lián)網(wǎng)等網(wǎng)絡(luò)連接起來構(gòu)成的系統(tǒng)。

3.16

      感知節(jié)點設(shè)備 sensor node

      對物或環(huán)境進行信息采集和/或執(zhí)行操作，并能聯(lián)網(wǎng)進行通信的裝置。

3.17

      感知網(wǎng)關(guān)節(jié)點設(shè)備 sensor layer gateway

      將感知節(jié)點所采集的數(shù)據(jù)進行匯總、適當處理或數(shù)據(jù)融合，并進行轉(zhuǎn)發(fā)的裝置。

3.18

      工業(yè)控制系統(tǒng) industrial control system

      工業(yè)控制系統(tǒng)（ICS）是一個通用術(shù)語，它包括多種工業(yè)生產(chǎn)中使用的控制系統(tǒng)，包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）和其他較小的控制系統(tǒng)，如可編程邏輯控制器（PLC），現(xiàn)已廣泛應(yīng)用在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中。

      ［GB/T 32919-2016，定義3.1］

4 縮略語

      下列縮略語適用于本文件。

      AP：無線訪問接入點（Wireless Access Point）

      DCS：集散控制系統(tǒng)（Distributed Control System）

      DDoS：拒絕服務(wù)（Distributed Denial of Service）

      ERP：企業(yè)資源計劃（Enterprise Resource Planning）

      FTP：文件傳輸協(xié)議（File Transfer Protocol）

      HMI：人機界面（Human Machine Interface）

      IaaS：基礎(chǔ)設(shè)施即服務(wù)（Infrastructure-as-a-Service）

      ICS：工業(yè)控制系統(tǒng)（Industrial Control System）

      IoT：物聯(lián)網(wǎng)（Internet of Things）

      IP：互聯(lián)網(wǎng)協(xié)議（Internet Protocol）

      IT：信息技術(shù)（Information Technology）

      MES：制造執(zhí)行系統(tǒng)（Manufacturing Execution System）

      PaaS：平臺即服務(wù)（Platform-as-a-Service）

      PLC：可編程邏輯控制器（Programmable Logic Controller）

      RFID：射頻識別（Radio Frequency Identification）

      SaaS：軟件即服務(wù)（Software-as-a-Service）

      SCADA：數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（Supervisory Control and Data Acquisition System）

      SSID：服務(wù)集標識（Service Set Identifier）

      TCB：可信計算基（Trusted Computing Base）

      USB：通用串行總線（Universal Serial Bus）

      WEP：有線等效加密（Wired Equivalent Privacy）

      WPS：WiFi保護設(shè)置（WiFi Protected Setup）

5 網(wǎng)絡(luò)安全等級保護概述

5.1 等級保護對象

      等級保護對象是指網(wǎng)絡(luò)安全等級保護工作中的對象，通常是指由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的系統(tǒng)，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)（IoT）、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術(shù)的系統(tǒng)等。等級保護對象根據(jù)其在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高被劃分為五個安全保護等級。

      保護對象的安全保護等級確定方法見GB/T 22240。

5.2 不同級別的安全保護能力

      不同級別的等級保護對象應(yīng)具備的基本安全保護能力如下：

      第一級安全保護能力：應(yīng)能夠防護免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災難，以及其他相當危害程度的威脅所造成的關(guān)鍵資源損害，在自身遭到損害后，能夠恢復部分功能。

      第二級安全保護能力：應(yīng)能夠防護免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災難，以及其他相當危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和處置安全事件，在自身遭到損害后，能夠在一段時間內(nèi)恢復部分功能。

      第三級安全保護能力：應(yīng)能夠在統(tǒng)一安全策略下防護免受來自外部有組織的團體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難，以及其他相當危害程度的威脅所造成的主要資源損害，能夠及時發(fā)現(xiàn)、監(jiān)測攻擊行為和處置安全事件，在自身遭到損害后，能夠較快恢復絕大部分功能。

      第四級安全保護能力：應(yīng)能夠在統(tǒng)一安全策略下防護免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴重的自然災難，以及其他相當危害程度的威脅所造成的資源損害，能夠及時發(fā)現(xiàn)、監(jiān)測發(fā)現(xiàn)攻擊行為和安全事件，在自身遭到損害后，能夠迅速恢復所有功能。

      第五級安全保護能力：略。

5.3 安全通用要求和安全擴展要求

      由于業(yè)務(wù)目標的不同、使用技術(shù)的不同、應(yīng)用場景的不同等因素，不同的等級保護對象會以不同的形態(tài)出現(xiàn)，表現(xiàn)形式可能稱之為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)（包含采用移動互聯(lián)等技術(shù)的系統(tǒng)）、云計算平臺/系統(tǒng)、大數(shù)據(jù)平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等。形態(tài)不同的等級保護對象面臨的威脅有所不同，安全保護需求也會有所差異。為了便于實現(xiàn)對不同級別的和不同形態(tài)的等級保護對象的共性化和個性化保護，等級保護要求分為安全通用要求和安全擴展要求。

      安全通用要求針對共性化保護需求提出，等級保護對象無論以何種形式出現(xiàn)，應(yīng)根據(jù)安全保護等級實現(xiàn)相應(yīng)級別的安全通用要求；安全擴展要求針對個性化保護需求提出，需要根據(jù)安全保護等級和使用的特定技術(shù)或特定的應(yīng)用場景選擇性實現(xiàn)安全擴展要求。安全通用要求和安全擴展要求共同構(gòu)成了對等級保護對象的安全要求。安全要求的選擇見附錄A，整體安全保護能力的要求見附錄B和附錄C。

      本標準針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)提出了安全擴展要求。云計算應(yīng)用場景參見附錄D，移動互聯(lián)應(yīng)用場景參見附錄E，物聯(lián)網(wǎng)應(yīng)用場景參見附錄F，工業(yè)控制系統(tǒng)應(yīng)用場景參見附錄G，大數(shù)據(jù)應(yīng)用場景參見附錄H。對于采用其他特殊技術(shù)或處于特殊應(yīng)用場景的等級保護對象，應(yīng)在安全風險評估的基礎(chǔ)上，針對安全風險采取特殊的安全措施作為補充。

6 第一級安全要求

6.1 安全通用要求

6.1.1 安全物理環(huán)境

6.1.1.1 物理訪問控制

      機房出入口應(yīng)安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。

以上為標準部分內(nèi)容，如需看標準全文，請到相關(guān)授權(quán)網(wǎng)站購買標準正版。