《信息安全技術(shù)信息系統安全等級保護基本要求》（GB/T22239-2008）在我國推行(xíng)信息安全等級保護制(zhì)度的(de)過程中起到(dào)了非常重要的(de)作用(yòng)，被廣泛用(yòng)于各行(xíng)業(yè)或領域，指導用(yòng)戶開(kāi)展信息系統安全等級保護的(de)建設整改、等級測評等工(gōng)作。随著(zhe)信息技術(shù)的(de)發展，已有(yǒu)10年曆史的(de)《GB/T22239-2008》在時效性、易用(yòng)性、可(kě)操作性上(shàng)需要進一步完善。2017年《中華人(rén)民(mín)共和(hé)國網絡安全法》實施，爲了配合國家落實網絡安全等級保護制(zhì)度，也(yě)需要修訂《GB/T22239-2008》。

2014年，全國信息安全标準化技術(shù)委員會(huì)（以下簡稱安标委）下達了對《GB/T22239-2008》進行(xíng)修訂的(de)任務。标準修訂主要承擔單位爲公安部第三研究所 （公安部信息安全等級保護評估中心），20多家企事業(yè)單位派人(rén)員參與了标準的(de)修訂工(gōng)作。标準編制(zhì)組于2014年成立，先後調研了國際和(hé)國内雲計(jì)算平台、大(dà)數據應用(yòng)、移動互聯接入、物(wù)聯網和(hé)工(gōng)業(yè)控制(zhì)系統等新技術(shù)、新應用(yòng)的(de)使用(yòng)情況，分(fēn)析并總結了新技術(shù)和(hé)新應用(yòng)中的(de)安全關注點和(hé)安全控制(zhì)要素，完成了基本要求草(cǎo)案第一稿。

2015年2月(yuè)至2016年7月(yuè)，标準編制(zhì)組在草(cǎo)案第一稿的(de)基礎上(shàng)，廣泛征求行(xíng)業(yè)用(yòng)戶單位、安全服務機構和(hé)各行(xíng)業(yè)/領域專家的(de)意見，并按照(zhào)意見調整和(hé)完善标準草(cǎo)案，先後共形成7個(gè)版本的(de)标準草(cǎo)案。2016年9月(yuè)，标準編制(zhì)組參加了安标委WG5工(gōng)作組在研标 準推進會(huì)，按照(zhào)專家及成員單位提出的(de)修改建議，對草(cǎo)案進行(xíng)了修改，形成了标準征求意見稿。2017年4月(yuè)，标準編制(zhì)組再次參加了安标委WG5工(gōng)作組在研标準推進會(huì)，根據征求意見稿收集的(de)修改建議，對征求意見稿進行(xíng)了修改，形成了标準送審稿。2017年10月(yuè)，标準編制(zhì)組又(yòu)一次參加了安标委WG5工(gōng)作組在研标準推進會(huì)，在會(huì)上(shàng)介紹了送審稿内容，并征求成員單位意見，根據收集的(de)修改建議，對送審稿進行(xíng)了修改完善，形成了标準報批稿。

2019年《信息安全技術(shù)網絡安全等級保護基本要求》（GB/T 22239-2019）将正式實施。本文(wén)分(fēn)析《GB/T22239-2019》相(xiàng)較《GB/T22239-2008》發生的(de)主要變化，解讀(dú)其安全通用(yòng)要求和(hé)安全擴展要求的(de)主要内容，以便于讀(dú)者更好地(dì)了解和(hé)掌握《GB/T22239-2019》的(de)内容。

1總體結構的(de)變化

1.1主要變化内容

《GB/T22239-2019》相(xiàng)較于《GB/T22239-2008》，無論是在總體結構方面還是在細節内容方面均發生了變化。在總體結構方面的(de)主要變化爲：

1）爲适應網絡安全法，配合落實網絡安全等級保護制(zhì)度，标準的(de)名稱由原來的(de)《信息系統安全等級保護基本要求》改爲《網絡安全等級保護基本要求》。

2）等級保護對象由原來的(de)信息系統調整爲基礎信息網絡、信息系統（含采用(yòng)移動互聯技術(shù)的(de)系統）、雲計(jì)算平台/系統、大(dà)數據應用(yòng)/平台/資源、物(wù)聯網和(hé)工(gōng)業(yè)控制(zhì)系統等。

3）将原來各個(gè)級别的(de)安全要求分(fēn)爲安全通用(yòng)要求和(hé)安全擴展要求，安全擴展要求包括雲計(jì)算安全擴展要求、移動互聯安全擴展要求、物(wù)聯網安全擴展要求以及工(gōng)業(yè)控制(zhì)系統安全擴展要求。安全通用(yòng)要求是不管等級保護對象形态如(rú)何必須滿足的(de)要求；針對雲計(jì)算、移動互聯、物(wù)聯網和(hé)工(gōng)業(yè)控制(zhì)系統提出的(de)特殊要求稱爲安全擴展要求。

4）原來基本要求中各級技術(shù)要求的(de)“物(wù)理(lǐ)安全”、“網絡安全”、“主機安全”、“應用(yòng)安全”和(hé)“數據安全和(hé)備份與恢複”修訂爲“安全物(wù)理(lǐ)環境”、“安全通信網絡”、“安全區域邊界”、“安全計(jì)算環境”和(hé)“安全管理(lǐ)中心”；原各級管理(lǐ)要求的(de)“安全管理(lǐ)制(zhì)度”、“安全管理(lǐ)機構”、“人(rén)員安全管理(lǐ)”、“系統建設管理(lǐ)”和(hé)“系統運維管理(lǐ)，修訂爲“安全管理(lǐ)制(zhì)度”、“安全管理(lǐ)機構”、“安全管理(lǐ)人(rén)員”、“安全建設管理(lǐ)”和(hé)“安全運維管理(lǐ)”。

5）雲計(jì)算安全擴展要求針對雲計(jì)算環境的(de)特點提出。主要内容包括“基礎設施的(de)位置”、“虛拟化安全保護”、“鏡像和(hé)快照(zhào)保護”、“雲計(jì)算環境管理(lǐ)”和(hé)“雲服務商選擇”等。

6）移動互聯安全擴展要求針對移動互聯的(de)特點提出。主要内容包括“無線接入點的(de)物(wù)理(lǐ)位置”、“移 動終端管控”、“移動應用(yòng)管控”、“移動應用(yòng)軟件(jiàn)采購(gòu)” 和(hé)“移動應用(yòng)軟件(jiàn)開(kāi)發”等。

7）物(wù)聯網安全擴展要求針對物(wù)聯網的(de)特點提出。主要内容包括“感知節點的(de)物(wù)理(lǐ)防護”、“感知節點設 備安全”、“網關節點設備安全”、“感知節點的(de)管理(lǐ)” 和(hé)“數據融合處理(lǐ)”等。

8）工(gōng)業(yè)控制(zhì)系統安全擴展要求針對工(gōng)業(yè)控制(zhì)系統的(de)特點提出。主要内容包括“室外控制(zhì)設備防護”、“工(gōng)業(yè)控制(zhì)系統網絡架構安全”、“撥号使用(yòng)控制(zhì)”、“無線使用(yòng)控制(zhì)”和(hé)“控制(zhì)設備安全”等。

9）取消了原來安全控制(zhì)點的(de)S、A、G标注，增加附錄A“關于安全通用(yòng)要求和(hé)安全擴展要求的(de)選擇 和(hé)使用(yòng)描述等級保護對象的(de)定級結果和(hé)安全要求之間的(de)關系，說明(míng)如(rú)何根據定級的(de)S、A結果選擇安全要求的(de)相(xiàng)關條款，簡化了标準正文(wén)部分(fēn)的(de)内容。

10）增加附錄C描述等級保護安全框架和(hé)關鍵技術(shù)、附錄D描述雲計(jì)算應用(yòng)場(chǎng)景、附錄E描述移動互聯應用(yòng)場(chǎng)景、附錄F描述物(wù)聯網應用(yòng)場(chǎng)景、附錄G描述工(gōng)業(yè)控制(zhì)系統應用(yòng)場(chǎng)景、附錄H描述大(dà)數據應用(yòng)場(chǎng)景。

1.2變化的(de)意義和(hé)作用(yòng)

《GB/T22239-2019》采用(yòng)安全通用(yòng)要求和(hé)安全擴展要求的(de)劃分(fēn)使得标準的(de)使用(yòng)更加具有(yǒu)靈活性和(hé)針對性。不同等級保護對象由于采用(yòng)的(de)信息技術(shù)不同，所采用(yòng)的(de)保護措施也(yě)會(huì)不同。例如(rú)，傳統的(de)信息系統和(hé)雲計(jì)算平台的(de)保護措施有(yǒu)差異，雲計(jì)算平台和(hé)工(gōng)業(yè)控制(zhì)系統的(de)保護措施也(yě)有(yǒu)差異。爲了體現不同對象的(de)保護差異，《GB/T22239-2019》将安全要求劃分(fēn)爲安全通用(yòng)要求和(hé)安全擴展要求。

安全通用(yòng)要求針對共性化保護需求提出，無論等級保護對象以何種形式出現，需要根據安全保護等級實現相(xiàng)應級别的(de)安全通用(yòng)要求。安全擴展要求針對個(gè)性化保護需求提出，等級保護對象需要根據安全保護等級、使用(yòng)的(de)特定技術(shù)或特定的(de)應用(yòng)場(chǎng)景實現安全擴展要求。等級保護對象的(de)安全保護措施需要同時實現安全通用(yòng)要求和(hé)安全擴展要求，從而更加有(yǒu)效地(dì)保護等級保護對象。例如(rú)，傳統的(de)信息系統可(kě)能(néng)隻需要采用(yòng)安全通用(yòng)要求提出的(de)保護措施即可(kě)，而雲計(jì)算平台不僅需要采用(yòng)安全通用(yòng)要求提出的(de)保護措施，還要針對雲計(jì)算平台的(de)技術(shù)特點采用(yòng)雲計(jì)算安全擴展要求提出的(de)保護措施； 工(gōng)業(yè)控制(zhì)系統不僅需要采用(yòng)安全通用(yòng)要求提出的(de)保護措施，還要針對工(gōng)業(yè)控制(zhì)系統的(de)技術(shù)特點采用(yòng)工(gōng)業(yè) 控制(zhì)系統安全擴展要求提出的(de)保護措施。

2.安全通用(yòng)要求的(de)内容

2.1安全通用(yòng)要求基本分(fēn)類

《GB/T22239-2019》規定了第一級到(dào)第四級等級保護對象的(de)安全要求，每個(gè)級别的(de)安全要求均由安全通用(yòng)要求和(hé)安全擴展要求構成。例如(rú)，《GB/T22239-2019》提出的(de)第三級安全要求基本結構爲：

8 第三級安全要求

8.1 安全通用(yòng)要求

8.2 雲計(jì)算安全擴展要求

8.3 移動互聯安全擴展要求

8.4 物(wù)聯網安全擴展要求

8.5 工(gōng)控制(zhì)系統安全擴展要求

安全通用(yòng)要求細分(fēn)爲技術(shù)要求和(hé)管理(lǐ)要求。其中技術(shù)要求包括“安全物(wù)理(lǐ)環境”、“安全通信網絡”、“安全區域邊界”、“安全計(jì)算環境”和(hé)“安全管理(lǐ)中心”；管理(lǐ)要求包括“安全管理(lǐ)制(zhì)度”、“安全管理(lǐ)機構”、“安全管理(lǐ)人(rén)員”、“安全建設管理(lǐ)”和(hé)“安全運維管理(lǐ)”。兩者合計(jì)10大(dà)類，如(rú)下圖所示。

安全通用(yòng)要求基本分(fēn)類

2.2技術(shù)要求

技術(shù)要求分(fēn)類體現了從外部到(dào)内部的(de)縱深防禦思想。對等級保護對象的(de)安全防護應考慮從通信網絡到(dào)區域邊界再到(dào)計(jì)算環境的(de)從外到(dào)内的(de)整體防護，同時考慮對其所處的(de)物(wù)理(lǐ)環境的(de)安全防護。對級别較高(gāo)的(de)等級保護對象還需要考慮對分(fēn)布在整個(gè)系統中的(de)安全功能(néng)或安全組件(jiàn)的(de)集中技術(shù)管理(lǐ)手段。

1）安全物(wù)理(lǐ)環境

安全通用(yòng)要求中的(de)安全物(wù)理(lǐ)環境部分(fēn)是針對物(wù)理(lǐ)機房提出的(de)安全控制(zhì)要求。主要對象爲物(wù)理(lǐ)環境、物(wù)理(lǐ)設備和(hé)物(wù)理(lǐ)設施等；涉及的(de)安全控制(zhì)點包括物(wù)理(lǐ)位置的(de)選擇、物(wù)理(lǐ)訪問控制(zhì)、防盜竊和(hé)防破壞、防雷擊、防火(huǒ)、防水(shuǐ)和(hé)防潮、防靜電、溫濕度控制(zhì)、電力供應和(hé)電磁防護。

*下圖中數字表示每個(gè)控制(zhì)點下各個(gè)級别的(de)要求項數量，級别越高(gāo)，要求項越多。後續表中的(de)數字均爲此含義。

表1安全物(wù)理(lǐ)環境控制(zhì)點/要求項的(de)逐級變化

承載高(gāo)級别系統的(de)機房相(xiàng)對承載低級别系統的(de)機房強化了物(wù)理(lǐ)訪問控制(zhì)、電力供應和(hé)電磁防護等方面的(de)要求。例如(rú)，四級相(xiàng)比三級增設了“重要區域應配置第二道電子門禁系統”、“應提供應急供電設施”、“應對關鍵區域實施電磁屏蔽”等要求。

2）安全通信網絡

安全通用(yòng)要求中的(de)安全通信網絡部分(fēn)是針對通信網絡提出的(de)安全控制(zhì)要求。主要對象爲廣域網、城域網和(hé)局域網等；涉及的(de)安全控制(zhì)點包括網絡架構、通信傳輸和(hé)可(kě)信驗證。

表2安全通信網絡控制(zhì)點/要求項的(de)逐級變化

高(gāo)級别系統的(de)通信網絡相(xiàng)對低級别系統的(de)通信網絡強化了優先帶寬分(fēn)配、設備接入認證、通信設備認證等方面的(de)要求。例如(rú)，四級相(xiàng)比三級增設了“應可(kě)按照(zhào)業(yè)務服務的(de)重要程度分(fēn)配帶寬，優先保障重要業(yè)務”，“應采用(yòng)可(kě)信驗證機制(zhì)對接入網絡中的(de)設備進行(xíng)可(kě)信驗證，保證接入網絡的(de)設備真實可(kě)信“應在通信前基于密碼技術(shù)對通信雙方進行(xíng)驗證或認證”等要求。

3）安全區域邊界

安全通用(yòng)要求中的(de)安全區域邊界部分(fēn)是針對網絡邊界提出的(de)安全控制(zhì)要求。主要對象爲系統邊界和(hé)區域邊界等；涉及的(de)安全控制(zhì)點包括邊界防護、訪問控制(zhì)、入侵防範、惡意代碼防範、安全審計(jì)和(hé)可(kě)信驗證。

表3安全區域邊界控制(zhì)點/要求項的(de)逐級變化

高(gāo)級别系統的(de)網絡邊界相(xiàng)對低級别系統的(de)網絡邊界強化了高(gāo)強度隔離(lí)和(hé)非法接入阻斷等方面的(de)要求。例如(rú)，四級相(xiàng)比三級增設了“應在網絡邊界通過通信協議轉換或通信協議隔離(lí)等方式進行(xíng)數據交換”，“應能(néng)夠在發現非授權設備私自聯到(dào)内部網絡的(de)行(xíng)爲或内部用(yòng)戶非授權聯到(dào)外部網絡的(de)行(xíng)爲時，對其進行(xíng)有(yǒu)效阻斷”等要求。

4) 安全計(jì)算環境

安全通用(yòng)要求中的(de)安全計(jì)算環境部分(fēn)是針對邊界内部提出的(de)安全控制(zhì)要求。主要對象爲邊界内部的(de)所有(yǒu)對象，包括網絡設備、安全設備、服務器(qì)設備、終端設備、應用(yòng)系統、數據對象和(hé)其他(tā)設備等；涉及的(de)安全控制(zhì)點包括身份鑒别、訪問控制(zhì)、安全審計(jì)、入侵防範、惡意代碼防範、可(kě)信驗證、數據完整性、數據保密性、數據備份與恢複、剩餘信息保護和(hé)個(gè)人(rén)信息保護。

表4安全計(jì)算環境控制(zhì)點/要求項的(de)逐級變化

高(gāo)級别系統的(de)計(jì)算環境相(xiàng)對低級别系統的(de)計(jì)算環境強化了身份鑒别、訪問控制(zhì)和(hé)程序完整性等方面的(de)要求。例如(rú)，四級相(xiàng)比三級增設了“應采用(yòng)口令、密碼技術(shù)、生物(wù)技術(shù)等兩種或兩種以上(shàng)組合的(de)鑒别技術(shù)用(yòng)戶進行(xíng)身份鑒别，且其中一種鑒别技術(shù)至少(shǎo)應使用(yòng)密碼技術(shù)來實現”，“應對主體、客體設置安全标記，并依據安全标記和(hé)強制(zhì)訪問控制(zhì)規則确定主體對客體的(de)訪問”，“應采用(yòng)主動免疫可(kě)信驗證機制(zhì)及時識别入侵和(hé)病毒行(xíng)爲，并将其有(yǒu)效阻斷”等要求。

5）安全管理(lǐ)中心

安全通用(yòng)要求中的(de)安全管理(lǐ)中心部分(fēn)是針對整個(gè)系統提出的(de)安全管理(lǐ)方面的(de)技術(shù)控制(zhì)要求，通過技術(shù)手段實現集中管理(lǐ)。涉及的(de)安全控制(zhì)點包括系統管理(lǐ)、審計(jì)管理(lǐ)、安全管理(lǐ)和(hé)集中管控。

高(gāo)級别系統的(de)安全管理(lǐ)相(xiàng)對低級别系統的(de)安全管理(lǐ)強化了采用(yòng)技術(shù)手段進行(xíng)集中管控等方面的(de)要求。

表5安全管理(lǐ)中心控制(zhì)點/要求項的(de)逐級變化

例如(rú)，三級相(xiàng)比二級增設了“應劃分(fēn)出特定的(de)管理(lǐ)區域，對分(fēn)布在網絡中的(de)安全設備或安全組件(jiàn)進行(xíng)管控”,“應對網絡鏈路(lù)、安全設備、網絡設備和(hé)服務器(qì)等的(de)運行(xíng)狀況進行(xíng)集中監測”，“應對分(fēn)散在各個(gè)設備上(shàng)的(de)審計(jì)數據進行(xíng)收集彙總和(hé)集中分(fēn)析，并保證審計(jì)記錄的(de)留存時間符合法律法規要求”，“應對安全策略、惡意代碼、補丁升級等安全相(xiàng)關事項進行(xíng)集中管理(lǐ)”等要求。

2.3管理(lǐ)要求

管理(lǐ)要求分(fēn)類體現了從要素到(dào)活動的(de)綜合管理(lǐ)思想。安全管理(lǐ)需要的(de)“機構”、“制(zhì)度”和(hé)“人(rén)員”三要素缺一不可(kě)，同時還應對系統建設整改過程中和(hé)運行(xíng)維護過程中的(de)重要活動實施控制(zhì)和(hé)管理(lǐ)。對級别較高(gāo)的(de)等級保護對象需要構建完備的(de)安全管理(lǐ)體系。

1）安全管理(lǐ)制(zhì)度

安全通用(yòng)要求中的(de)安全管理(lǐ)制(zhì)度部分(fēn)是針對整個(gè)管理(lǐ)制(zhì)度體系提出的(de)安全控制(zhì)要求，涉及的(de)安全控制(zhì)點包括安全策略、管理(lǐ)制(zhì)度、制(zhì)定和(hé)發布以及評審和(hé)修訂。

表6安全管理(lǐ)制(zhì)度控制(zhì)點/要求項的(de)逐級變化

2）安全管理(lǐ)機構

安全通用(yòng)要求中的(de)安全管理(lǐ)機構部分(fēn)是針對整個(gè)管理(lǐ)組織架構提出的(de)安全控制(zhì)要求，涉及的(de)安全控制(zhì)點包括崗位設置、人(rén)員配備、授權和(hé)審批、溝通和(hé)合作以及審核和(hé)檢查。

表7安全管理(lǐ)機構控制(zhì)點/要求項的(de)逐級變化

3）安全管理(lǐ)人(rén)員

安全通用(yòng)要求中的(de)安全管理(lǐ)人(rén)員部分(fēn)是針對人(rén)員管理(lǐ)模式提出的(de)安全控制(zhì)要求，涉及的(de)安全控制(zhì)點包括人(rén)員錄用(yòng)、人(rén)員離(lí)崗、安全意識教育和(hé)培訓以及外部人(rén)員訪問管理(lǐ)。

表8安全管理(lǐ)人(rén)員控制(zhì)點/要求項的(de)逐級變化

4）安全建設管理(lǐ)

安全通用(yòng)要求中的(de)安全建設管理(lǐ)部分(fēn)是針對安全建設過程提出的(de)安全控制(zhì)要求，涉及的(de)安全控制(zhì)點包括定級和(hé)備案、安全方案設計(jì)、安全産品采購(gòu)和(hé)使用(yòng)、自行(xíng)軟件(jiàn)開(kāi)發、外包軟件(jiàn)開(kāi)發、工(gōng)程實施、測試驗收、系統交付、等級測評和(hé)服務供應商管理(lǐ)。

表9安全建設管理(lǐ)控制(zhì)點/要求項的(de)逐級變化

5）安全運維管理(lǐ)

安全通用(yòng)要求中的(de)安全運維管理(lǐ)部分(fēn)是針對安全運維過程括環境管理(lǐ)、資産管理(lǐ)、介質管理(lǐ)、設備維護管理(lǐ)、漏洞和(hé)風險管理(lǐ)、網絡和(hé)系統安全管理(lǐ)、惡意代碼防範管理(lǐ)、配置管理(lǐ)、密碼管理(lǐ)、變更管理(lǐ)、備份與恢複管理(lǐ)、安全事件(jiàn)處置、應急預案管理(lǐ)和(hé)外包運維管理(lǐ)。

表10安全運維管理(lǐ)控制(zhì)點/要求項的(de)逐級變化

3.安全擴展要求的(de)内容

安全擴展要求是采用(yòng)特定技術(shù)或特定應用(yòng)場(chǎng)景下的(de)等級保護對象需要增加實現的(de)安全要求。《GB/T22239-2019》提出的(de)安全擴展要求包括雲計(jì)算安全擴展要求、移動互聯安全擴展要求、物(wù)聯網安全擴展要求和(hé)工(gōng)業(yè)控制(zhì)系統安全擴展要求。

3.1雲計(jì)算安全擴展要求

采用(yòng)了雲計(jì)算技術(shù)的(de)信息系統通常稱爲雲計(jì)算平台。雲計(jì)算平台由設施、硬件(jiàn)、資源抽象控制(zhì)層、虛拟化計(jì)算資源、軟件(jiàn)平台和(hé)應用(yòng)軟件(jiàn)等組成。雲計(jì)算平台中通常有(yǒu)雲服務商和(hé)雲服務客戶/雲租戶兩種角色。根據雲服務商所提供服務的(de)類型，雲計(jì)算平台有(yǒu)軟件(jiàn)即服務（SaaS）、平台即服務（PaaS）、基礎設施即服務（IaaS）3種基本的(de)雲計(jì)算服務模式。在不同的(de)服務模式中，雲服務商和(hé)雲服務客戶對資源擁有(yǒu)不同的(de)控制(zhì)範圍，控制(zhì)範圍決定了安全責任的(de)邊界。

雲計(jì)算安全擴展要求是針對雲計(jì)算平台提出的(de)安全通用(yòng)要求之外額外需要實現的(de)安全要求。雲計(jì)算安全擴展要求涉及的(de)控制(zhì)點包括基礎設施位置、網絡架構、網絡邊界的(de)訪問控制(zhì)、網絡邊界的(de)入侵防範、網絡邊界的(de)安全審計(jì)、集中管控、計(jì)算環境的(de)身份鑒别、計(jì)算環境的(de)訪問控制(zhì)、計(jì)算環境的(de)入侵防範、鏡像和(hé)快照(zhào)保護、數據安全性、數據備份恢複、剩餘信息保護、雲服務商選擇、供應鏈管理(lǐ)和(hé)雲計(jì)算環境管理(lǐ)。

表11雲計(jì)算安全擴展要求控制(zhì)點/要求項的(de)逐級變化

3.2移動互聯安全擴展要求

采用(yòng)移動互聯技術(shù)的(de)等級保護對象，其移動互聯部分(fēn)通常由移動終端、移動應用(yòng)和(hé)無線網絡3部分(fēn)組成。移動終端通過無線通道連接無線接入設備接入有(yǒu)線網絡；無線接入網關通過訪問控制(zhì)策略限制(zhì)移動終端的(de)訪問行(xíng)爲；後台的(de)移動終端管理(lǐ)系統（如(rú)果配置）負責對移動終端的(de)管理(lǐ)，包括向客戶端軟件(jiàn)發送移動設備管理(lǐ)、移動應用(yòng)管理(lǐ)和(hé)移動内容管理(lǐ)策略等。

移動互聯安全擴展要求是針對移動終端、移動應用(yòng)和(hé)無線網絡提出的(de)特殊安全要求，它們與安全通用(yòng)要求一起構成針對采用(yòng)移動互聯技術(shù)的(de)等級保護對象的(de)完整安全要求。移動互聯安全擴展要求涉及的(de)控制(zhì)點包括無線接入點的(de)物(wù)理(lǐ)位置、無線和(hé)有(yǒu)線網絡之間的(de)邊界防護、無線和(hé)有(yǒu)線網絡之間的(de)訪問控制(zhì)、無線和(hé)有(yǒu)線網絡之間的(de)入侵防範，移動終端管控、移動應用(yòng)管控、移動應用(yòng)軟件(jiàn)采購(gòu)、移動應用(yòng)軟件(jiàn)開(kāi)發和(hé)配置管理(lǐ)。

表12移動互聯安全擴展要求控制(zhì)點/要求項的(de)逐級變化

3.3物(wù)聯網安全擴展要求

物(wù)聯網從架構上(shàng)通常可(kě)分(fēn)爲3個(gè)邏輯層，即感知層、網絡傳輸層和(hé)處理(lǐ)應用(yòng)層。其中感知層包括傳感器(qì)節點和(hé)傳感網網關節點或RFID标簽和(hé)RFID讀(dú)寫器(qì)，也(yě)包括感知設備與傳感網網關之間、RFID标簽與RFID讀(dú)寫器(qì)之間的(de)短距離(lí)通信（通常爲無線）部分(fēn)；網絡傳輸層包括将感知數據遠距離(lí)傳輸到(dào)處理(lǐ)中心的(de)網絡，如(rú)互聯網、移動網或幾種不同網絡的(de)融合；處理(lǐ)應用(yòng)層包括對感知數據進行(xíng)存儲與智能(néng)處理(lǐ)的(de)平台，并對業(yè)務應用(yòng)終端提供服務。對大(dà)型物(wù)聯網來說，處理(lǐ)應用(yòng)層一般由雲計(jì)算平台和(hé)業(yè)務應用(yòng)終端構成。

對物(wù)聯網的(de)安全防護應包括感知層、網絡傳輸層和(hé)處理(lǐ)應用(yòng)層。由于網絡傳輸層和(hé)處理(lǐ)應用(yòng)層通常由計(jì)算機設備構成，因此這兩部分(fēn)按照(zhào)安全通用(yòng)要求提出的(de)要求進行(xíng)保護。物(wù)聯網安全擴展要求是針對感知層提出的(de)特殊安全要求，它們與安全通用(yòng)要求一起構成針對物(wù)聯網的(de)完整安全要求。

物(wù)聯網安全擴展要求涉及的(de)控制(zhì)點包括感知節點的(de)物(wù)理(lǐ)防護、感知網的(de)入侵防範、感知網的(de)接入控制(zhì)、感知節點設備安全、網關節點設備安全、抗數據重放(fàng)、數據融合處理(lǐ)和(hé)感知節點的(de)管理(lǐ)。

表13物(wù)聯網安全擴展要求控制(zhì)點/要求項的(de)逐級變化

3.4工(gōng)業(yè)控制(zhì)系統安全擴展要求

工(gōng)業(yè)控制(zhì)系統通常是可(kě)用(yòng)性要求較高(gāo)的(de)等級保護對象。工(gōng)業(yè)控制(zhì)系統是各種控制(zhì)系統的(de)總稱，典型的(de) 如(rú)數據采集與監視控制(zhì)系統（SCADA）、集散控制(zhì)系統（DCS）等。工(gōng)業(yè)控制(zhì)系統通常用(yòng)于電力，水(shuǐ)和(hé)污水(shuǐ)處理(lǐ)，石油和(hé)天然氣，化工(gōng)，交通運輸，制(zhì)藥，紙(zhǐ)漿和(hé)造紙(zhǐ)，食品和(hé)飲料以及離(lí)散制(zhì)造（如(rú)汽車(chē)、航空航天和(hé)耐用(yòng)品）等行(xíng)業(yè)。

工(gōng)業(yè)控制(zhì)系統從上(shàng)到(dào)下一般分(fēn)爲5個(gè)層級，依次爲企業(yè)資源層，生産管理(lǐ)層、過程監控層、現場(chǎng)控制(zhì)層和(hé)現場(chǎng)設備層，不同層級的(de)實時性要求有(yǒu)所不同，工(gōng)業(yè)控制(zhì)系統的(de)安全防護應包括各個(gè)層級。由于企業(yè)資源層、生産管理(lǐ)層和(hé)過程監控層通常由計(jì)算機設備構成，因此這些層級按照(zhào)安全通用(yòng)要求提出的(de)要求進行(xíng)保護。

工(gōng)業(yè)控制(zhì)系統安全擴展要求是針對現場(chǎng)控制(zhì)層和(hé)現場(chǎng)設備層提出的(de)特殊安全要求，它們與安全通用(yòng)要求一起構成針對工(gōng)業(yè)控制(zhì)系統的(de)完整安全要求。工(gōng)業(yè)控制(zhì)系統安全擴展要求涉及的(de)控制(zhì)點包括室外控制(zhì)設備防護、網絡架構、通信傳輸、訪問控制(zhì)、撥号使用(yòng)控制(zhì)、無線使用(yòng)控制(zhì)、控制(zhì)設備安全、産品采購(gòu)和(hé)使用(yòng)以及外包軟件(jiàn)開(kāi)發。

表14工(gōng)業(yè)控制(zhì)系統安全擴展要求控制(zhì)點/要求項的(de)逐級變化

4.結束語

《GB/T22239-2019》在結構上(shàng)和(hé)内容上(shàng)相(xiàng)較于《GB/T22239-2008》均發生了較大(dà)變化，這些變化給網絡安全等級保護的(de)建設整改、等級測評等工(gōng)作均帶來了一定的(de)影響。如(rú)何基于新标準形成安全解決方案，如(rú)何基于新标準開(kāi)展等級保護測評等，都(dōu)需要仔細研讀(dú)新标準，基于新标準找到(dào)開(kāi)展網絡安全等級保護工(gōng)作的(de)新思路(lù)和(hé)新方法。