GB/T 22239是等级保护中,包含技术防护和管理要求的基本要求标准。核心内容编排上按照1+5,即安全通用要求+5个新技术新领域的安全扩展要求组合而成。整个标准原文按照内容大类,可分为三大部分:引言及网络安全等级保护概述、第一级至第四级安全要求、附录表述。下面按照三部分进行解读。
前言及网络安全等级保护概述
在前言部分,概要介绍了等保2.0的GB/T 22239—2019与等保1.0的GB/T 22239—2008主要差异为三点:名称变化(信息系统变成网络)、分类调整(2.0虽然也是10个分类,但内容和名称都做了调整)、取消安全控制点的SAG标注(用附录A说明定级结果和安全防护要求的关系)。
在等保概述部分,介绍了等保对象主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。等保定级内容不变,依然按照等保对象被破坏后影响进行划分。即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度划分了5个等级。
GB/T 22239-2019第一级至第四级安全要求
分别从10个分类说明每个级别的安全控制项及下面的控制点。下面,只列举技术控制点的差异,具体内容如下:
表1
表2
表3
对比新增内容可知,二级要求相比一级而言,基础门槛已达到一定高度。而三级比二级则有进一步显著增强。对于拥有庞大基数的二级系统和三级系统,在有利于提高国内网络安全防护整体基准的同时,通过级别差异性增强关键设施的网络安全防护水平。
通过对比可以发现,等保2.0的技术要求与涉密领域分级保护的技术要求有一定相似的地方,如在“安全物理环境”中,相关条款要求与分保的机密级关于物理安全中要求大体一致,这有利于指导和开展机房等关键网络设备区域的工程建设,使得建成的机房符合双标准(等保和分保)。
由对比还可以看出的一个比较显著的变化是可信验证的强化。从一级到四级,“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制项和具体控制点。不过,可信验证的所有要求都是“可”,不是“应”,但在具体项目可酌情。
针对个性化防护需求,标准在安全扩展要求部分,针对云计算、移动互联、物联网、工业控制系统提出了具体的控制项和控制点。
附录表述
安全通用要求和安全扩展要求共同构成了对等级保护对象的安全要求。安全要求的选择见附录A,整体安全保护能力的要求见附录B和附录C。本标准针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求。云计算应用场景参见附录D,移动互联应用场景参见附录E,物联网应用场景参见附录F,工业控制系统应用场景参见附录G,大数据应用场景参见附录H。对于采用其他特殊技术或处于特殊应用场景的等级保护对象,应在安全风险评估的基础上,针对安全风险采取特殊的安全措施作为补充。
安全通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现,必须根据安全保护等级,通过对应级别的安全通用要求,加上针对个性化保护需求的安全扩展要求,结合使用的特定技术或特定的应用场景,实现对系统的等级保护。即等级保护对象的保护=安全通用要求+安全扩展要求。