Table of Contents

GB∕T 22239-2019 第三级安全扩展要求

2025-09-11
2025-09-15
9 min read
GB
djbh
Hits

  本文摘录了《信息安全技术 网络安全等级保护基本要求》(GB∕T 22239-2019)中的第三级安全扩展要求,方便所有持旧证重考的同僚们(╯‵□′)╯︵┻━┻

云计算安全扩展要求

安全物理环境

基础设施位置

  应保证云计算基础设施位于中国境内。

安全通信网络

网络架构

  1. 应保证云计算平台不承载高于其安全保护等级的业务应用系统;
  2. 应实现不同云服务客户虚拟网络之间的隔离;
  3. 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力;
  4. 应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略
  5. 应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务

安全区域边界

访问控制

  1. 应在虚拟化网络边界部署访问控制机制,并设置访问控制规则;
  2. 应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则。

入侵防范

  1. 应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
  2. 应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
  3. 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量;
  4. 应在检测到网络攻击行为、异常流量情况时进行告警

安全审计

  1. 应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启;
  2. 应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。

安全计算环境

身份鉴别

  当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制

访问控制

  1. 应保证当虚拟机迁移时,访问控制策略随其迁移;
  2. 应允许云服务客户设置不同虚拟机之间的访问控制策略。

入侵防范

  1. 应能检测虚拟机之间的资源隔离失效,并进行告警
  2. 应能检测非授权新建虚拟机或者重新启用虚拟机,并进行告警
  3. 应能够检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警

镜像和快照保护

  1. 应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务;
  2. 应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改;
  3. 应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问

数据完整性和保密性

  1. 应确保云服务客户数据、用户个人信息等存储于中国境内,如需出镜应遵循国家相关规定;
  2. 应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限;
  3. 使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施;
  4. 应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程

数据备份恢复

  1. 云服务客户应在本地保存其业务数据的备份;
  2. 应提供查询云服务客户数据及备份存储位置的能力;
  3. 云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本,各副本之间的内容应保持一致
  4. 应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段,并协助完成迁移过程

剩余信息保护

  1. 应保证虚拟机所使用的内存和存储空间回收时得到安全清除;
  2. 云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本清除。

安全管理中心

集中管控

  1. 应能对物力资源和虚拟资源按照策略做统一管理调度与分配
  2. 应保证云计算平台管理流量与云服务客户业务流量分离
  3. 应根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计
  4. 应根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测

安全建设管理

云服务商选择

  1. 应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力;
  2. 应在服务水平协议中规定云服务的各项服务内容和具体技术指标;
  3. 应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等;
  4. 应在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上清除;
  5. 应与选定的云服务商签署保密协议,要求其不得泄漏云服务客户数据

供应链管理

  1. 应确保供应商的选择符合国家有关规定;
  2. 应将供应链安全事件信息或安全威胁信息及时传达到云服务客户;
  3. 应将供应商的重要变更及时传达到云服务客户,并评估变更带来的安全风险,采取措施对风险进行控制

安全运维管理

云计算环境管理

  云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定。

移动互联安全扩展要求

安全物理环境

无线接入点的物理位置

  应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。

安全区域边界

边界防护

  应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。

访问控制

  无线接入设备应开启接入认证功能,并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证

入侵防范

  1. 应能够检测到非授权无线接入设备和非授权移动终端的接入行为;
  2. 应能够检测到针对无线接入设备的网络扫描、DDoS 攻击、密钥破解、中间人攻击和欺骗攻击等行为;
  3. 应能够检测到无线接入设备的 SSID 广播、WPS 等高风险功能的开启状态;
  4. 应禁用无线接入设备和无线接入网关存在风险的功能,如:SSID 广播、WEP 认证等;
  5. 应禁止多个 AP 使用同一个认证密钥;
  6. 应能够阻断非授权无线接入设备或非授权移动终端

安全计算环境

移动终端管控

  1. 应保证移动终端安装、注册并运行终端管理客户端软件
  2. 移动终端应接受移动终端服务端的设备生命周期管理、设备远程控制,如:远程锁定、远程擦除等

移动应用管控

  1. 应具有选择应用软件安装、运行的动能;
  2. 应只允许指定证书签名的应用软件安装和运行;
  3. 应具有软件白名单功能,应能根据白名单控制应用软件安装、运行

安全建设管理

移动应用软件采购

  1. 应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名;
  2. 应保证移动终端安装、运行的应用软件由指定的开发者开发。

移动应用软件开发

  1. 应对移动业务应用软件开发者进行资格审查;
  2. 应保证开发移动业务应用软件的签名证书合法性。

安全运维管理

配置管理

  应建立合法无线接入设备和合法移动终端配置库,用于对非法无线接入设备和非法移动终端的识别

物联网安全扩展要求

安全物理环境

感知节点设备物理防护

  1. 感知节点设备所处的物理环境应不对感知节点设备造成物理破坏,如挤压、强振动;
  2. 感知节点设备在工作状态所处物理环境应能正确反映环境状态(如温湿度传感器不能安装在阳光直射区域);
  3. 感知节点设备在工作状态所处物理环境应不对感知节点设备的正常工作造成影响,如强干扰、阻挡屏蔽等
  4. 关键感知节点设备应具有可供长时间工作的电力供应(关键网关节点设备应具有持久稳定的电力供应能力)

安全区域边界

接入控制

  应保证只有授权的感知节点可以接入。

入侵防范

  1. 应能够限制与感知节点通信的目标地址,以避免对陌生地址的攻击行为;
  2. 应能够限制与网关节点通信的目标地址,以避免对陌生地址的攻击行为。

安全计算环境

感知节点设备安全

  1. 应保证只有授权的用户可以对感知节点设备上的软件应用进行配置或变更
  2. 应具有对其连接的网关节点设备(包括读卡器)进行身份标识和鉴别的能力
  3. 应具有对其连接的其他感知节点设备(包括路由节点)进行身份标识和鉴别的能力

网关节点设备安全

  1. 应具备对合法连接设备(包括终端节点、路由节点、数据处理中心)进行标识和鉴别的能力
  2. 应具备过滤非法节点和伪造节点所发送的数据的能力
  3. 授权用户应能够在设备使用过程中对关键密钥进行在线更新
  4. 授权用户应能够在设备使用过程中对关键配置参数进行在线更新

抗数据重放

  1. 应能够鉴别数据的新鲜性,避免历史数据的重放攻击
  2. 应能够鉴别历史数据的非法修改,避免数据的修改重放攻击

数据融合处理

  应对来自传感网的数据进行数据融合处理,使不同种类的数据可以在同一个平台被使用

安全运维管理

感知节点管理

  1. 应指定人员定期巡视感知节点设备、网关节点设备的部署环境,对可能影响感知节点设备、网关节点设备正常工作的环境异常进行记录和维护;
  2. 应对感知节点设备、网关节点设备入库、存储、部署、携带、维修、丢失和报废等过程作出明确规定,并进行全程管理;
  3. 应加强对感知节点设备、网关节点设备部署环境的保密性管理,包括负责检查和维护的人员调离工作岗位应立即交还相关检查工具和检查维护记录等

工业控制系统安全扩展要求

安全物理环境

室外控制设备物理防护

  1. 室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等;
  2. 室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急处置及检修,保证设备正常运行。

安全通信网络

网络架构

  1. 工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段
  2. 工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段;
  3. 涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离。

通信传输

  在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。

安全区域边界

访问控制

  1. 应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的 E-Mail、Web、Telnet、Rlogin、FTP 等通用网络服务;
  2. 应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警。

拨号使用控制

  1. 工业控制系统确需使用拨号访问服务的,应限制具有拨号访问权限的用户数量,并采取用户身份鉴别和访问控制等措施;
  2. 拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、传输加密和访问控制等措施

无线使用控制

  1. 应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别;
  2. 应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制;
  3. 应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护
  4. 对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备,报告未经授权试图接入或干扰控制系统的行为

安全计算环境

控制设备安全

  1. 控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求,如受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制;
  2. 应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作;
  3. 应关闭或拆除控制设备的软盘驱动、光盘驱动、USB 接口、串行接口或多余网口等,缺需保留的应通过相关的技术措施实施严格的监控管理
  4. 应使用专用设备和专用软件对控制设备进行更新
  5. 应保证控制设备在上线前经过安全性检测,避免控制设备固件中存在恶意代码程序

安全建设管理

产品采购和使用

  工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用。

外包软件开发

  应在外包开发合同中规定针对开发单位 、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容。

Avatar

Safé.Café - 安全咖

❤ Cyber Security | Safety is a priority.
Next GB∕T 22239-2019 第三级安全通用要求