《信息安全技術信息系統安全等級保護基本要求》（GB/T22239-2008）在我國推行信息安全等級保護制度的(de)過程中起到了(le)非常重要的(de)作用(yòng)，被廣泛用(yòng)于各行業或領域，指導用(yòng)戶開展信息系統安全等級保護的(de)建設整改、等級測評等工作。随著(zhe)信息技術的(de)發展，已有10年曆史的(de)《GB/T22239-2008》在時(shí)效性、易用(yòng)性、可(kě)操作性上需要進一步完善。2017年《中華人(rén)民共和(hé)國網絡安全法》實施，爲了(le)配合國家落實網絡安全等級保護制度，也(yě)需要修訂《GB/T22239-2008》。

2014年，全國信息安全标準化(huà)技術委員(yuán)會（以下(xià)簡稱安标委）下(xià)達了(le)對(duì)《GB/T22239-2008》進行修訂的(de)任務。标準修訂主要承擔單位爲公安部第三研究所 （公安部信息安全等級保護評估中心），20多(duō)家企事業單位派人(rén)員(yuán)參與了(le)标準的(de)修訂工作。标準編制組于2014年成立，先後調研了(le)國際和(hé)國内雲計算(suàn)平台、大(dà)數據應用(yòng)、移動互聯接入、物(wù)聯網和(hé)工業控制系統等新技術、新應用(yòng)的(de)使用(yòng)情況，分(fēn)析并總結了(le)新技術和(hé)新應用(yòng)中的(de)安全關注點和(hé)安全控制要素，完成了(le)基本要求草(cǎo)案第一稿。

2015年2月(yuè)至2016年7月(yuè)，标準編制組在草(cǎo)案第一稿的(de)基礎上，廣泛征求行業用(yòng)戶單位、安全服務機構和(hé)各行業/領域專家的(de)意見，并按照(zhào)意見調整和(hé)完善标準草(cǎo)案，先後共形成7個(gè)版本的(de)标準草(cǎo)案。2016年9月(yuè)，标準編制組參加了(le)安标委WG5工作組在研标 準推進會，按照(zhào)專家及成員(yuán)單位提出的(de)修改建議(yì)，對(duì)草(cǎo)案進行了(le)修改，形成了(le)标準征求意見稿。2017年4月(yuè)，标準編制組再次參加了(le)安标委WG5工作組在研标準推進會，根據征求意見稿收集的(de)修改建議(yì)，對(duì)征求意見稿進行了(le)修改，形成了(le)标準送審稿。2017年10月(yuè)，标準編制組又一次參加了(le)安标委WG5工作組在研标準推進會，在會上介紹了(le)送審稿内容，并征求成員(yuán)單位意見，根據收集的(de)修改建議(yì)，對(duì)送審稿進行了(le)修改完善，形成了(le)标準報批稿。

2019年《信息安全技術網絡安全等級保護基本要求》（GB/T 22239-2019）将正式實施。本文分(fēn)析《GB/T22239-2019》相較《GB/T22239-2008》發生的(de)主要變化(huà)，解讀其安全通(tōng)用(yòng)要求和(hé)安全擴展要求的(de)主要内容，以便于讀者更好地了(le)解和(hé)掌握《GB/T22239-2019》的(de)内容。

1總體結構的(de)變化(huà)

1.1主要變化(huà)内容

《GB/T22239-2019》相較于《GB/T22239-2008》，無論是在總體結構方面還(hái)是在細節内容方面均發生了(le)變化(huà)。在總體結構方面的(de)主要變化(huà)爲：

1）爲适應網絡安全法，配合落實網絡安全等級保護制度，标準的(de)名稱由原來(lái)的(de)《信息系統安全等級保護基本要求》改爲《網絡安全等級保護基本要求》。

2）等級保護對(duì)象由原來(lái)的(de)信息系統調整爲基礎信息網絡、信息系統（含采用(yòng)移動互聯技術的(de)系統）、雲計算(suàn)平台/系統、大(dà)數據應用(yòng)/平台/資源、物(wù)聯網和(hé)工業控制系統等。

3）将原來(lái)各個(gè)級别的(de)安全要求分(fēn)爲安全通(tōng)用(yòng)要求和(hé)安全擴展要求，安全擴展要求包括雲計算(suàn)安全擴展要求、移動互聯安全擴展要求、物(wù)聯網安全擴展要求以及工業控制系統安全擴展要求。安全通(tōng)用(yòng)要求是不管等級保護對(duì)象形态如何必須滿足的(de)要求；針對(duì)雲計算(suàn)、移動互聯、物(wù)聯網和(hé)工業控制系統提出的(de)特殊要求稱爲安全擴展要求。

4）原來(lái)基本要求中各級技術要求的(de)“物(wù)理(lǐ)安全”、“網絡安全”、“主機安全”、“應用(yòng)安全”和(hé)“數據安全和(hé)備份與恢複”修訂爲“安全物(wù)理(lǐ)環境”、“安全通(tōng)信網絡”、“安全區(qū)域邊界”、“安全計算(suàn)環境”和(hé)“安全管理(lǐ)中心”；原各級管理(lǐ)要求的(de)“安全管理(lǐ)制度”、“安全管理(lǐ)機構”、“人(rén)員(yuán)安全管理(lǐ)”、“系統建設管理(lǐ)”和(hé)“系統運維管理(lǐ)，修訂爲“安全管理(lǐ)制度”、“安全管理(lǐ)機構”、“安全管理(lǐ)人(rén)員(yuán)”、“安全建設管理(lǐ)”和(hé)“安全運維管理(lǐ)”。

5）雲計算(suàn)安全擴展要求針對(duì)雲計算(suàn)環境的(de)特點提出。主要内容包括“基礎設施的(de)位置”、“虛拟化(huà)安全保護”、“鏡像和(hé)快(kuài)照(zhào)保護”、“雲計算(suàn)環境管理(lǐ)”和(hé)“雲服務商選擇”等。

6）移動互聯安全擴展要求針對(duì)移動互聯的(de)特點提出。主要内容包括“無線接入點的(de)物(wù)理(lǐ)位置”、“移 動終端管控”、“移動應用(yòng)管控”、“移動應用(yòng)軟件采購(gòu)” 和(hé)“移動應用(yòng)軟件開發”等。

7）物(wù)聯網安全擴展要求針對(duì)物(wù)聯網的(de)特點提出。主要内容包括“感知節點的(de)物(wù)理(lǐ)防護”、“感知節點設 備安全”、“網關節點設備安全”、“感知節點的(de)管理(lǐ)” 和(hé)“數據融合處理(lǐ)”等。

8）工業控制系統安全擴展要求針對(duì)工業控制系統的(de)特點提出。主要内容包括“室外控制設備防護”、“工業控制系統網絡架構安全”、“撥号使用(yòng)控制”、“無線使用(yòng)控制”和(hé)“控制設備安全”等。

9）取消了(le)原來(lái)安全控制點的(de)S、A、G标注，增加附錄A“關于安全通(tōng)用(yòng)要求和(hé)安全擴展要求的(de)選擇 和(hé)使用(yòng)描述等級保護對(duì)象的(de)定級結果和(hé)安全要求之間的(de)關系，說明(míng)如何根據定級的(de)S、A結果選擇安全要求的(de)相關條款，簡化(huà)了(le)标準正文部分(fēn)的(de)内容。

10）增加附錄C描述等級保護安全框架和(hé)關鍵技術、附錄D描述雲計算(suàn)應用(yòng)場(chǎng)景、附錄E描述移動互聯應用(yòng)場(chǎng)景、附錄F描述物(wù)聯網應用(yòng)場(chǎng)景、附錄G描述工業控制系統應用(yòng)場(chǎng)景、附錄H描述大(dà)數據應用(yòng)場(chǎng)景。

1.2變化(huà)的(de)意義和(hé)作用(yòng)

《GB/T22239-2019》采用(yòng)安全通(tōng)用(yòng)要求和(hé)安全擴展要求的(de)劃分(fēn)使得(de)标準的(de)使用(yòng)更加具有靈活性和(hé)針對(duì)性。不同等級保護對(duì)象由于采用(yòng)的(de)信息技術不同，所采用(yòng)的(de)保護措施也(yě)會不同。例如，傳統的(de)信息系統和(hé)雲計算(suàn)平台的(de)保護措施有差異，雲計算(suàn)平台和(hé)工業控制系統的(de)保護措施也(yě)有差異。爲了(le)體現不同對(duì)象的(de)保護差異，《GB/T22239-2019》将安全要求劃分(fēn)爲安全通(tōng)用(yòng)要求和(hé)安全擴展要求。

安全通(tōng)用(yòng)要求針對(duì)共性化(huà)保護需求提出，無論等級保護對(duì)象以何種形式出現，需要根據安全保護等級實現相應級别的(de)安全通(tōng)用(yòng)要求。安全擴展要求針對(duì)個(gè)性化(huà)保護需求提出，等級保護對(duì)象需要根據安全保護等級、使用(yòng)的(de)特定技術或特定的(de)應用(yòng)場(chǎng)景實現安全擴展要求。等級保護對(duì)象的(de)安全保護措施需要同時(shí)實現安全通(tōng)用(yòng)要求和(hé)安全擴展要求，從而更加有效地保護等級保護對(duì)象。例如，傳統的(de)信息系統可(kě)能隻需要采用(yòng)安全通(tōng)用(yòng)要求提出的(de)保護措施即可(kě)，而雲計算(suàn)平台不僅需要采用(yòng)安全通(tōng)用(yòng)要求提出的(de)保護措施，還(hái)要針對(duì)雲計算(suàn)平台的(de)技術特點采用(yòng)雲計算(suàn)安全擴展要求提出的(de)保護措施； 工業控制系統不僅需要采用(yòng)安全通(tōng)用(yòng)要求提出的(de)保護措施，還(hái)要針對(duì)工業控制系統的(de)技術特點采用(yòng)工業 控制系統安全擴展要求提出的(de)保護措施。

2.安全通(tōng)用(yòng)要求的(de)内容

2.1安全通(tōng)用(yòng)要求基本分(fēn)類

《GB/T22239-2019》規定了(le)第一級到第四級等級保護對(duì)象的(de)安全要求，每個(gè)級别的(de)安全要求均由安全通(tōng)用(yòng)要求和(hé)安全擴展要求構成。例如，《GB/T22239-2019》提出的(de)第三級安全要求基本結構爲：

8 第三級安全要求

8.1 安全通(tōng)用(yòng)要求

8.2 雲計算(suàn)安全擴展要求

8.3 移動互聯安全擴展要求

8.4 物(wù)聯網安全擴展要求

8.5 工控制系統安全擴展要求

安全通(tōng)用(yòng)要求細分(fēn)爲技術要求和(hé)管理(lǐ)要求。其中技術要求包括“安全物(wù)理(lǐ)環境”、“安全通(tōng)信網絡”、“安全區(qū)域邊界”、“安全計算(suàn)環境”和(hé)“安全管理(lǐ)中心”；管理(lǐ)要求包括“安全管理(lǐ)制度”、“安全管理(lǐ)機構”、“安全管理(lǐ)人(rén)員(yuán)”、“安全建設管理(lǐ)”和(hé)“安全運維管理(lǐ)”。兩者合計10大(dà)類，如下(xià)圖所示。

安全通(tōng)用(yòng)要求基本分(fēn)類

2.2技術要求

技術要求分(fēn)類體現了(le)從外部到内部的(de)縱深防禦思想。對(duì)等級保護對(duì)象的(de)安全防護應考慮從通(tōng)信網絡到區(qū)域邊界再到計算(suàn)環境的(de)從外到内的(de)整體防護，同時(shí)考慮對(duì)其所處的(de)物(wù)理(lǐ)環境的(de)安全防護。對(duì)級别較高(gāo)的(de)等級保護對(duì)象還(hái)需要考慮對(duì)分(fēn)布在整個(gè)系統中的(de)安全功能或安全組件的(de)集中技術管理(lǐ)手段。

1）安全物(wù)理(lǐ)環境

安全通(tōng)用(yòng)要求中的(de)安全物(wù)理(lǐ)環境部分(fēn)是針對(duì)物(wù)理(lǐ)機房(fáng)提出的(de)安全控制要求。主要對(duì)象爲物(wù)理(lǐ)環境、物(wù)理(lǐ)設備和(hé)物(wù)理(lǐ)設施等；涉及的(de)安全控制點包括物(wù)理(lǐ)位置的(de)選擇、物(wù)理(lǐ)訪問控制、防盜竊和(hé)防破壞、防雷擊、防火、防水(shuǐ)和(hé)防潮、防靜電、溫濕度控制、電力供應和(hé)電磁防護。

*下(xià)圖中數字表示每個(gè)控制點下(xià)各個(gè)級别的(de)要求項數量，級别越高(gāo)，要求項越多(duō)。後續表中的(de)數字均爲此含義。

表1安全物(wù)理(lǐ)環境控制點/要求項的(de)逐級變化(huà)

承載高(gāo)級别系統的(de)機房(fáng)相對(duì)承載低級别系統的(de)機房(fáng)強化(huà)了(le)物(wù)理(lǐ)訪問控制、電力供應和(hé)電磁防護等方面的(de)要求。例如，四級相比三級增設了(le)“重要區(qū)域應配置第二道電子門禁系統”、“應提供應急供電設施”、“應對(duì)關鍵區(qū)域實施電磁屏蔽”等要求。

2）安全通(tōng)信網絡

安全通(tōng)用(yòng)要求中的(de)安全通(tōng)信網絡部分(fēn)是針對(duì)通(tōng)信網絡提出的(de)安全控制要求。主要對(duì)象爲廣域網、城(chéng)域網和(hé)局域網等；涉及的(de)安全控制點包括網絡架構、通(tōng)信傳輸和(hé)可(kě)信驗證。

表2安全通(tōng)信網絡控制點/要求項的(de)逐級變化(huà)

高(gāo)級别系統的(de)通(tōng)信網絡相對(duì)低級别系統的(de)通(tōng)信網絡強化(huà)了(le)優先帶寬分(fēn)配、設備接入認證、通(tōng)信設備認證等方面的(de)要求。例如，四級相比三級增設了(le)“應可(kě)按照(zhào)業務服務的(de)重要程度分(fēn)配帶寬，優先保障重要業務”，“應采用(yòng)可(kě)信驗證機制對(duì)接入網絡中的(de)設備進行可(kě)信驗證，保證接入網絡的(de)設備真實可(kě)信“應在通(tōng)信前基于密碼技術對(duì)通(tōng)信雙方進行驗證或認證”等要求。

3）安全區(qū)域邊界

安全通(tōng)用(yòng)要求中的(de)安全區(qū)域邊界部分(fēn)是針對(duì)網絡邊界提出的(de)安全控制要求。主要對(duì)象爲系統邊界和(hé)區(qū)域邊界等；涉及的(de)安全控制點包括邊界防護、訪問控制、入侵防範、惡意代碼防範、安全審計和(hé)可(kě)信驗證。

表3安全區(qū)域邊界控制點/要求項的(de)逐級變化(huà)

高(gāo)級别系統的(de)網絡邊界相對(duì)低級别系統的(de)網絡邊界強化(huà)了(le)高(gāo)強度隔離和(hé)非法接入阻斷等方面的(de)要求。例如，四級相比三級增設了(le)“應在網絡邊界通(tōng)過通(tōng)信協議(yì)轉換或通(tōng)信協議(yì)隔離等方式進行數據交換”，“應能夠在發現非授權設備私自聯到内部網絡的(de)行爲或内部用(yòng)戶非授權聯到外部網絡的(de)行爲時(shí)，對(duì)其進行有效阻斷”等要求。

4) 安全計算(suàn)環境

安全通(tōng)用(yòng)要求中的(de)安全計算(suàn)環境部分(fēn)是針對(duì)邊界内部提出的(de)安全控制要求。主要對(duì)象爲邊界内部的(de)所有對(duì)象，包括網絡設備、安全設備、服務器設備、終端設備、應用(yòng)系統、數據對(duì)象和(hé)其他(tā)設備等；涉及的(de)安全控制點包括身份鑒别、訪問控制、安全審計、入侵防範、惡意代碼防範、可(kě)信驗證、數據完整性、數據保密性、數據備份與恢複、剩餘信息保護和(hé)個(gè)人(rén)信息保護。

表4安全計算(suàn)環境控制點/要求項的(de)逐級變化(huà)

高(gāo)級别系統的(de)計算(suàn)環境相對(duì)低級别系統的(de)計算(suàn)環境強化(huà)了(le)身份鑒别、訪問控制和(hé)程序完整性等方面的(de)要求。例如，四級相比三級增設了(le)“應采用(yòng)口令、密碼技術、生物(wù)技術等兩種或兩種以上組合的(de)鑒别技術用(yòng)戶進行身份鑒别，且其中一種鑒别技術至少應使用(yòng)密碼技術來(lái)實現”，“應對(duì)主體、客體設置安全标記，并依據安全标記和(hé)強制訪問控制規則确定主體對(duì)客體的(de)訪問”，“應采用(yòng)主動免疫可(kě)信驗證機制及時(shí)識别入侵和(hé)病毒行爲，并将其有效阻斷”等要求。

5）安全管理(lǐ)中心

安全通(tōng)用(yòng)要求中的(de)安全管理(lǐ)中心部分(fēn)是針對(duì)整個(gè)系統提出的(de)安全管理(lǐ)方面的(de)技術控制要求，通(tōng)過技術手段實現集中管理(lǐ)。涉及的(de)安全控制點包括系統管理(lǐ)、審計管理(lǐ)、安全管理(lǐ)和(hé)集中管控。

高(gāo)級别系統的(de)安全管理(lǐ)相對(duì)低級别系統的(de)安全管理(lǐ)強化(huà)了(le)采用(yòng)技術手段進行集中管控等方面的(de)要求。

表5安全管理(lǐ)中心控制點/要求項的(de)逐級變化(huà)

例如，三級相比二級增設了(le)“應劃分(fēn)出特定的(de)管理(lǐ)區(qū)域，對(duì)分(fēn)布在網絡中的(de)安全設備或安全組件進行管控”,“應對(duì)網絡鏈路、安全設備、網絡設備和(hé)服務器等的(de)運行狀況進行集中監測”，“應對(duì)分(fēn)散在各個(gè)設備上的(de)審計數據進行收集彙總和(hé)集中分(fēn)析，并保證審計記錄的(de)留存時(shí)間符合法律法規要求”，“應對(duì)安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理(lǐ)”等要求。

2.3管理(lǐ)要求

管理(lǐ)要求分(fēn)類體現了(le)從要素到活動的(de)綜合管理(lǐ)思想。安全管理(lǐ)需要的(de)“機構”、“制度”和(hé)“人(rén)員(yuán)”三要素缺一不可(kě)，同時(shí)還(hái)應對(duì)系統建設整改過程中和(hé)運行維護過程中的(de)重要活動實施控制和(hé)管理(lǐ)。對(duì)級别較高(gāo)的(de)等級保護對(duì)象需要構建完備的(de)安全管理(lǐ)體系。

1）安全管理(lǐ)制度

安全通(tōng)用(yòng)要求中的(de)安全管理(lǐ)制度部分(fēn)是針對(duì)整個(gè)管理(lǐ)制度體系提出的(de)安全控制要求，涉及的(de)安全控制點包括安全策略、管理(lǐ)制度、制定和(hé)發布以及評審和(hé)修訂。

表6安全管理(lǐ)制度控制點/要求項的(de)逐級變化(huà)

2）安全管理(lǐ)機構

安全通(tōng)用(yòng)要求中的(de)安全管理(lǐ)機構部分(fēn)是針對(duì)整個(gè)管理(lǐ)組織架構提出的(de)安全控制要求，涉及的(de)安全控制點包括崗位設置、人(rén)員(yuán)配備、授權和(hé)審批、溝通(tōng)和(hé)合作以及審核和(hé)檢查。

表7安全管理(lǐ)機構控制點/要求項的(de)逐級變化(huà)

3）安全管理(lǐ)人(rén)員(yuán)

安全通(tōng)用(yòng)要求中的(de)安全管理(lǐ)人(rén)員(yuán)部分(fēn)是針對(duì)人(rén)員(yuán)管理(lǐ)模式提出的(de)安全控制要求，涉及的(de)安全控制點包括人(rén)員(yuán)錄用(yòng)、人(rén)員(yuán)離崗、安全意識教育和(hé)培訓以及外部人(rén)員(yuán)訪問管理(lǐ)。

表8安全管理(lǐ)人(rén)員(yuán)控制點/要求項的(de)逐級變化(huà)

4）安全建設管理(lǐ)

安全通(tōng)用(yòng)要求中的(de)安全建設管理(lǐ)部分(fēn)是針對(duì)安全建設過程提出的(de)安全控制要求，涉及的(de)安全控制點包括定級和(hé)備案、安全方案設計、安全産品采購(gòu)和(hé)使用(yòng)、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、等級測評和(hé)服務供應商管理(lǐ)。

表9安全建設管理(lǐ)控制點/要求項的(de)逐級變化(huà)

5）安全運維管理(lǐ)

安全通(tōng)用(yòng)要求中的(de)安全運維管理(lǐ)部分(fēn)是針對(duì)安全運維過程括環境管理(lǐ)、資産管理(lǐ)、介質管理(lǐ)、設備維護管理(lǐ)、漏洞和(hé)風險管理(lǐ)、網絡和(hé)系統安全管理(lǐ)、惡意代碼防範管理(lǐ)、配置管理(lǐ)、密碼管理(lǐ)、變更管理(lǐ)、備份與恢複管理(lǐ)、安全事件處置、應急預案管理(lǐ)和(hé)外包運維管理(lǐ)。

表10安全運維管理(lǐ)控制點/要求項的(de)逐級變化(huà)

3.安全擴展要求的(de)内容

安全擴展要求是采用(yòng)特定技術或特定應用(yòng)場(chǎng)景下(xià)的(de)等級保護對(duì)象需要增加實現的(de)安全要求。《GB/T22239-2019》提出的(de)安全擴展要求包括雲計算(suàn)安全擴展要求、移動互聯安全擴展要求、物(wù)聯網安全擴展要求和(hé)工業控制系統安全擴展要求。

3.1雲計算(suàn)安全擴展要求

采用(yòng)了(le)雲計算(suàn)技術的(de)信息系統通(tōng)常稱爲雲計算(suàn)平台。雲計算(suàn)平台由設施、硬件、資源抽象控制層、虛拟化(huà)計算(suàn)資源、軟件平台和(hé)應用(yòng)軟件等組成。雲計算(suàn)平台中通(tōng)常有雲服務商和(hé)雲服務客戶/雲租戶兩種角色。根據雲服務商所提供服務的(de)類型，雲計算(suàn)平台有軟件即服務（SaaS）、平台即服務（PaaS）、基礎設施即服務（IaaS）3種基本的(de)雲計算(suàn)服務模式。在不同的(de)服務模式中，雲服務商和(hé)雲服務客戶對(duì)資源擁有不同的(de)控制範圍，控制範圍決定了(le)安全責任的(de)邊界。

雲計算(suàn)安全擴展要求是針對(duì)雲計算(suàn)平台提出的(de)安全通(tōng)用(yòng)要求之外額外需要實現的(de)安全要求。雲計算(suàn)安全擴展要求涉及的(de)控制點包括基礎設施位置、網絡架構、網絡邊界的(de)訪問控制、網絡邊界的(de)入侵防範、網絡邊界的(de)安全審計、集中管控、計算(suàn)環境的(de)身份鑒别、計算(suàn)環境的(de)訪問控制、計算(suàn)環境的(de)入侵防範、鏡像和(hé)快(kuài)照(zhào)保護、數據安全性、數據備份恢複、剩餘信息保護、雲服務商選擇、供應鏈管理(lǐ)和(hé)雲計算(suàn)環境管理(lǐ)。

表11雲計算(suàn)安全擴展要求控制點/要求項的(de)逐級變化(huà)

3.2移動互聯安全擴展要求

采用(yòng)移動互聯技術的(de)等級保護對(duì)象，其移動互聯部分(fēn)通(tōng)常由移動終端、移動應用(yòng)和(hé)無線網絡3部分(fēn)組成。移動終端通(tōng)過無線通(tōng)道連接無線接入設備接入有線網絡；無線接入網關通(tōng)過訪問控制策略限制移動終端的(de)訪問行爲；後台的(de)移動終端管理(lǐ)系統（如果配置）負責對(duì)移動終端的(de)管理(lǐ)，包括向客戶端軟件發送移動設備管理(lǐ)、移動應用(yòng)管理(lǐ)和(hé)移動内容管理(lǐ)策略等。

移動互聯安全擴展要求是針對(duì)移動終端、移動應用(yòng)和(hé)無線網絡提出的(de)特殊安全要求，它們與安全通(tōng)用(yòng)要求一起構成針對(duì)采用(yòng)移動互聯技術的(de)等級保護對(duì)象的(de)完整安全要求。移動互聯安全擴展要求涉及的(de)控制點包括無線接入點的(de)物(wù)理(lǐ)位置、無線和(hé)有線網絡之間的(de)邊界防護、無線和(hé)有線網絡之間的(de)訪問控制、無線和(hé)有線網絡之間的(de)入侵防範，移動終端管控、移動應用(yòng)管控、移動應用(yòng)軟件采購(gòu)、移動應用(yòng)軟件開發和(hé)配置管理(lǐ)。

表12移動互聯安全擴展要求控制點/要求項的(de)逐級變化(huà)

3.3物(wù)聯網安全擴展要求

物(wù)聯網從架構上通(tōng)常可(kě)分(fēn)爲3個(gè)邏輯層，即感知層、網絡傳輸層和(hé)處理(lǐ)應用(yòng)層。其中感知層包括傳感器節點和(hé)傳感網網關節點或RFID标簽和(hé)RFID讀寫器，也(yě)包括感知設備與傳感網網關之間、RFID标簽與RFID讀寫器之間的(de)短距離通(tōng)信（通(tōng)常爲無線）部分(fēn)；網絡傳輸層包括将感知數據遠(yuǎn)距離傳輸到處理(lǐ)中心的(de)網絡，如互聯網、移動網或幾種不同網絡的(de)融合；處理(lǐ)應用(yòng)層包括對(duì)感知數據進行存儲與智能處理(lǐ)的(de)平台，并對(duì)業務應用(yòng)終端提供服務。對(duì)大(dà)型物(wù)聯網來(lái)說，處理(lǐ)應用(yòng)層一般由雲計算(suàn)平台和(hé)業務應用(yòng)終端構成。

對(duì)物(wù)聯網的(de)安全防護應包括感知層、網絡傳輸層和(hé)處理(lǐ)應用(yòng)層。由于網絡傳輸層和(hé)處理(lǐ)應用(yòng)層通(tōng)常由計算(suàn)機設備構成，因此這(zhè)兩部分(fēn)按照(zhào)安全通(tōng)用(yòng)要求提出的(de)要求進行保護。物(wù)聯網安全擴展要求是針對(duì)感知層提出的(de)特殊安全要求，它們與安全通(tōng)用(yòng)要求一起構成針對(duì)物(wù)聯網的(de)完整安全要求。

物(wù)聯網安全擴展要求涉及的(de)控制點包括感知節點的(de)物(wù)理(lǐ)防護、感知網的(de)入侵防範、感知網的(de)接入控制、感知節點設備安全、網關節點設備安全、抗數據重放、數據融合處理(lǐ)和(hé)感知節點的(de)管理(lǐ)。

表13物(wù)聯網安全擴展要求控制點/要求項的(de)逐級變化(huà)

3.4工業控制系統安全擴展要求

工業控制系統通(tōng)常是可(kě)用(yòng)性要求較高(gāo)的(de)等級保護對(duì)象。工業控制系統是各種控制系統的(de)總稱，典型的(de) 如數據采集與監視控制系統（SCADA）、集散控制系統（DCS）等。工業控制系統通(tōng)常用(yòng)于電力，水(shuǐ)和(hé)污水(shuǐ)處理(lǐ)，石油和(hé)天然氣，化(huà)工，交通(tōng)運輸，制藥，紙漿和(hé)造紙，食品和(hé)飲料以及離散制造（如汽車、航空航天和(hé)耐用(yòng)品）等行業。

工業控制系統從上到下(xià)一般分(fēn)爲5個(gè)層級，依次爲企業資源層，生産管理(lǐ)層、過程監控層、現場(chǎng)控制層和(hé)現場(chǎng)設備層，不同層級的(de)實時(shí)性要求有所不同，工業控制系統的(de)安全防護應包括各個(gè)層級。由于企業資源層、生産管理(lǐ)層和(hé)過程監控層通(tōng)常由計算(suàn)機設備構成，因此這(zhè)些層級按照(zhào)安全通(tōng)用(yòng)要求提出的(de)要求進行保護。

工業控制系統安全擴展要求是針對(duì)現場(chǎng)控制層和(hé)現場(chǎng)設備層提出的(de)特殊安全要求，它們與安全通(tōng)用(yòng)要求一起構成針對(duì)工業控制系統的(de)完整安全要求。工業控制系統安全擴展要求涉及的(de)控制點包括室外控制設備防護、網絡架構、通(tōng)信傳輸、訪問控制、撥号使用(yòng)控制、無線使用(yòng)控制、控制設備安全、産品采購(gòu)和(hé)使用(yòng)以及外包軟件開發。

表14工業控制系統安全擴展要求控制點/要求項的(de)逐級變化(huà)

4.結束語

《GB/T22239-2019》在結構上和(hé)内容上相較于《GB/T22239-2008》均發生了(le)較大(dà)變化(huà)，這(zhè)些變化(huà)給網絡安全等級保護的(de)建設整改、等級測評等工作均帶來(lái)了(le)一定的(de)影(yǐng)響。如何基于新标準形成安全解決方案，如何基于新标準開展等級保護測評等，都需要仔細研讀新标準，基于新标準找到開展網絡安全等級保護工作的(de)新思路和(hé)新方法。