Table of Contents

GB∕T 22239-2019 第三级安全要求速记版

2025-10-23
2025-10-24
16 min read
GB
djbh
Hits

  本文为《信息安全技术 网络安全等级保护基本要求》(GB∕T 22239-2019)中的第三级安全要求速记版,方便所有持旧证重考的同僚们(╯‵□′)╯︵┻━┻

安全通用要求(8)

安全物理环境(10)

  1. 物理位置选择
    1. 选择防震、防风和防雨建筑内
    2. 避免顶层或地下室,否则加强防水和防潮
  2. 物理访问控制:配置电子门禁,控制、鉴别和记录
  3. 防盗窃和防破坏
    1. 设备固定,设置不易去除标识
    2. 通信线缆隐蔽铺设
    3. 防盗报警系统或专人值守的视频监控
  4. 防雷击
    1. 接地
    2. 防感应雷
  5. 防火
    1. 自动消防系统,自动报警,自动灭火
    2. 采用耐火材料
    3. 机房区域划分,区域之间隔离防火
  6. 防水和防潮
    1. 防雨水渗透
    2. 防水蒸气结霜和地下积水转移与渗透
    3. 水敏感检测,防水监测和报警
  7. 防静电
    1. 防静电地板并接地防静电
    2. 静电消除器、防静电手环
  8. 温湿度控制:温湿度自动调节(20℃~25℃,40%~60%)
  9. 电力供应
    1. 配置稳压器和过电防护设备
    2. 提供短期备用电
    3. 冗余或并行电力电缆线路
  10. 电磁防护
    1. 电源和通信线缆隔离铺设
    2. 关键设备电磁屏蔽

安全通信网络(3)

  1. 网络架构
    1. 网络设备满足业务高峰期
    2. 带宽满足业务高峰期
    3. 划分网络区域并分配地址
    4. 避免重要网络区域部署在边界处,与其他区域隔离
    5. 通信线路、关键网络和计算设备硬件冗余
  2. 通信传输
    1. 校验或密码技术保证完整性
    2. 密码技术保证保密性
  3. 可信验证:基于可信根对系统引导程序、系统程序、重要配置参数和通信应用程序进行可信验证,应用程序关键执行环节进行动态可信验证,受破坏报警,验证结果送至安全管理中心

安全区域边界(6)

  1. 边界防护
    1. 跨边界数据流动通过边界设备受控接口
    2. 私自内联检查或限制
    3. 私自外联检查或限制
    4. 限制无线网,通过受控边界设备接入内部网络
  2. 访问控制
    1. 设置访问控制规则,默认拒绝
    2. 删除多余无效规则,保证数量最小化
    3. 检查五元组,以允许/拒绝数据包进出
    4. 根据会话状态为数据流提供明确允许/拒绝访问能力
    5. 基于应用协议和内容对数据流访问控制
  3. 入侵防范
    1. 检测、防止或限制外部攻击
    2. 检测、防止或限制内部攻击
    3. 对网络攻击特别是新型网络攻击行为分析
    4. 记录攻击源IP、类型、目标、时间,严重入侵事件报警
  4. 恶意代码和垃圾邮件防范
    1. 关键节点恶意代码检测和清除,防护机制维护升级和更新
    2. 关键节点垃圾邮件检测和防护,防护机制维护升级和更新
  5. 安全审计
    1. 审计覆盖每个用户,重要用户行为和安全事件审计
    2. 审计包括事件日期和时间、用户、事件类型、是否成功
    3. 保护审计记录,定期备份,避免未预期删除、修改或覆盖
    4. 对远程访问、访问互联网的用户行为单独审计
  6. 可信验证:基于可信根对系统引导程序、系统程序、重要配置参数和边界防护应用程序进行可信验证,应用程序关键执行环节进行动态可信验证,受破坏报警,验证结果送至安全管理中心

安全计算环境(11)

  1. 身份鉴别
    1. 身份标识和鉴别,标识唯一性,鉴别信息复杂度要求并定期更换
    2. 登陆失败处理功能,限制非法登陆次数和连接超时自动退出
    3. 远程管理防止鉴别信息传输被窃听
    4. 采用口令、密码、生物技术两种以上身份鉴别,其中一种至少是密码技术
  2. 访问控制
    1. 登陆用户分配账户权限
    2. 重命名默认账户及口令
    3. 删除多余过期账户,避免共享
    4. 管理用户最小权限,权限分离
    5. 授权主体配置访问控制策略,规定主体对客体的访问规则
    6. 主体粒度为用户或进程级,客体为文件、数据库表级
    7. 重要主体安全标记
  3. 安全审计
    1. 审计覆盖每个用户,重要用户行为和安全事件审计
    2. 审计包括事件日期和时间、用户、事件类型、是否成功
    3. 保护审计记录,定期备份,避免未预期删除、修改或覆盖
    4. 保护审计进程,防止未授权中断
  4. 入侵防范
    1. 最小安装原则
    2. 关闭不需要的系统服务、默认共享和高危端口
    3. 管理终端地址限制
    4. 提供数据有效性校验功能
    5. 发现并及时修补漏洞
    6. 重要节点检测入侵行为,严重入侵事件报警
  5. 恶意代码防范:采用免受恶意代码攻击的技术措施或主动免疫可信验证机制识别入侵和病毒,并阻断
  6. 可信验证:基于可信根对系统引导程序、系统程序、重要配置参数和应用程序进行可信验证,应用程序关键执行环节进行动态可信验证,受破坏报警,验证结果送至安全管理中心
  7. 数据完整性
    1. 校验或密码技术保证重要数据传输完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息
    2. 校验或密码技术保证重要数据存储完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息
  8. 数据保密性
    1. 密码技术保证重要数据传输保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息
    2. 密码技术保证重要数据存储保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息
  9. 数据备份恢复
    1. 重要数据本地备份与恢复
    2. 异地实时备份
    3. 重要系统热冗余,保证 HA
  10. 剩余信息保护
    1. 鉴别信息所在存储空间被释放或重分配前完全清除
    2. 敏感数据所在存储空间被释放或重分配前完全清除
  11. 个人信息保护
    1. 采集和保存业务必需个人信息
    2. 禁止未授权访问和非法使用个人信息

安全管理中心(4)

  1. 系统管理
    1. 管理员身份鉴别,只允许特定命令或操作界面管理,操作审计
    2. 系统管理员对系统进行配置、控制和管理,包括用户身份、系统资源配置、加载和启动、运行异常处理、数据和设备备份与恢复
  2. 审计管理
    1. 管理员身份鉴别,只允许特定命令或操作界面审计,操作审计
    2. 审计管理员对审计记录分析,处理,包括审计记录存储、管理和查询
  3. 安全管理
    1. 管理员身份鉴别,只允许特定命令或操作界面安全管理,操作审计
    2. 安全管理员配置安全策略,包括安全参数的设置、主体、客体进行统一安全标记,对主体进行授权、配置可信验证策略
  4. 集中管控
    1. 划分管理区域
    2. 建立安全传输路径
    3. 运行状况集中监测
    4. 审计数据集中分析
    5. 安全事项集中管理
    6. 安全事件识别、报警并分析

安全管理制度(4)

  1. 安全策略:总体方针和安全策略,阐明安全工作总体目标、范围、原则和安全框架
  2. 管理制度
    1. 建立管理制度
    2. 建立操作规程
    3. 形成由安全策略、管理制度、操作规程、记录表单构成的安全管理制度体系
  3. 制定和发布
    1. 指定或授权专人负责制度制定
    2. 通过正式有效的方式发布,版本控制
  4. 评审和修订:定期对合理性和适用性进行论证和审定并修订

安全管理机构(5)

  1. 岗位设置
    1. 成立网络安全工作委员会或领导小组,最高领导由单位主管担任或授权
    2. 建立网络安全管理工作职能部门,设立安全主管、各方面负责人
    3. 设立系统、审计和安全管理员
  2. 人员配备
    1. 配备一定数量的系统、审计和安全管理员
    2. 专职安全管理员,不可兼任
  3. 授权和审批
    1. 明确授权审批事项、部门和批准人
    2. 建立审批程序,重要活动逐级审批
    3. 定期审查审批事项,及时更新
  4. 沟通和合作
    1. 加强各类管理员、组织内部机构和网络安全管理部门之间的合作沟通,定期开会,协同处理
    2. 加强与网络安全职能部门、各类供应商、业界专家及安全组织合作沟通
    3. 建立外联单位联系表,包括单位名、合作内容、联系人和联系方式
  5. 审核和检查
    1. 定期常规安全检查,包括系统日常运行、漏洞和数据备份
    2. 定期全面安全检查,包括现有技术措施有效性、配置与策略一致性、制度执行情况
    3. 制定安全检查表,汇总数据,形成报告,结果通报

安全管理人员(4)

  1. 人员录用
    1. 指定专人负责人员录用
    2. 人员身份、安全背景、专业资格审查,技术技能考核
    3. 保密协议,关键岗位责任协议
  2. 人员离岗
    1. 终止离岗人员权限,取回证件、钥匙、徽章及软硬件设备
    2. 严格调离手续,承诺调离后保密义务
  3. 安全意识教育和培训
    1. 安全意识教育和岗位技能培训,告知相关责任和惩戒措施
    2. 不同岗位不同培训计划,培训基础知识、操作规程
    3. 定期技能考核
  4. 外部人员访问管理
    1. 物理访问受控区域前书面申请,专人全程陪同,登记备案
    2. 接入受控网络前书面申请,专人开设账户、分配权限,登记备案
    3. 外部人员离场后清除访问权限
    4. 保密协议,不得非授权操作,不得复制和泄漏敏感信息

安全建设管理(10)

  1. 定级和备案
    1. 书面说明等级和理由
    2. 专家评审
    3. 相关部门批准
    4. 报送公安机关
  2. 安全方案设计
    1. 选择基本安全措施
    2. 整体规划和方案设计,包含密码技术,形成配套文件
    3. 专家评审
  3. 产品采购和使用
    1. 网络安全产品采购和使用符合国家规定
    2. 密码产品采购和使用符合国家密码主管部门要求
    3. 选型测试,定期更新候选产品名单
  4. 自行软件开发
    1. 开发环境物理分开,测试受控
    2. 开发管理制度,说明行为准则
    3. 代码安全规范
    4. 设计文档和使用指南
    5. 开发中安全测试,安装前恶意代码检测
    6. 对程序资源库的修改、更新、发布进行授权审批,版本控制
    7. 专职开发人员,开发受到控制、监视和审查
  5. 外包软件开发
    1. 交付前恶意代码检测
    2. 开发单位提供设计文档和使用指南
    3. 提供软件源代码,审查后门和隐蔽信道
  6. 工程实施
    1. 指定专人负责工程实施过程管理
    2. 制定安全工程实施方案控制工程实施过程
    3. 第三方监理
  7. 测试验收
    1. 测试验收方案,测试验收报告
    2. 安全性测试,包含密评
  8. 系统交付
    1. 交付清单
    2. 技能培训
    3. 建设过程文档和运行维护文档
  9. 等级测评
    1. 定期测评,及时整改
    2. 发生重大变更时测评
    3. 测评机构的选择符合国家规定
  10. 服务供应商选择
    1. 服务供应商的选择符合国家规定
    2. 签订协议,履行义务
    3. 定期监督、评审和审核提供的服务

安全运维管理(14)

  1. 环境管理
    1. 指定专人负责机房安全,出入管理,定期对供配电、空调、温湿度、消防维护管理
    2. 机房安全管理制度,对物理访问、物品带进出和环境安全规定
    3. 不在重要区域接待,不随意放置敏感信息的纸档文件和移动介质
  2. 资产管理
    1. 资产清单,包括资产责任部门、重要程度和所处位置
    2. 按重要程度标识管理,按资产价值选择管理措施
    3. 信息分类标识,使用、传输和存储管理
  3. 介质管理
    1. 介质存放安全,专人管理,目录清单定期盘点
    2. 物理传输人员选择、打包、交付控制,归档和查询登记记录
  4. 设备维护管理
    1. 专人定期维护
    2. 管理制度,明确维护人员责任、维修和服务审批、维修过程监督控制
    3. 设备经过审批带离,重要数据加密
    4. 报废或重用前完全清除或安全覆盖
  5. 漏洞和风险管理
    1. 识别漏洞和隐患,及时修补
    2. 定期测评,测评报告,采取措施应对问题
  6. 网络和系统安全管理
    1. 划分不同管理员角色,明确责任和权限
    2. 专人进行账户管理,申请、建立、删除账户控制
    3. 网络和系统安全管理制度,安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期
    4. 重要设备配置和操作手册
    5. 运维操作日志,包括日常巡检工作、运行维护记录、参数设置和修改
    6. 专人对日志、监测和报警数据分析、统计
    7. 变更控制,审批后变更,保留日志,结束后同步更新配置库
    8. 运维工具控制,审批后操作,保留日志,结束后删除敏感数据
    9. 远程运维控制,审批后开通,保留日志,结束后关闭接口或通道
    10. 外联批准,定期检查违规无线
  7. 恶意代码防范管理
    1. 提高意识,接入前恶意代码检查
    2. 定期验证有效性
  8. 配置管理
    1. 记录保存基本配置信息,包括拓扑、软件组件、版本和补丁、配置参数
    2. 基本配置信息纳入变更管理,及时更新
  9. 密码管理
    1. 遵循密码国标和行标
    2. 使用国家密码管理主管部门认证核准的技术和产品
  10. 变更管理
    1. 明确需求,变更方案,经过评审,审批后实施
    2. 变更申报审批控制程序
    3. 变更恢复程序,必要时演练
  11. 备份与恢复管理
    1. 识别需要定期备份的重要业务信息、系统数据及软件系统
    2. 规定备份方式、备份额度、存储介质、保存期
    3. 备份和恢复策略、备份和恢复程序
  12. 安全事件处置
    1. 及时向安全管理部门报告
    2. 安全事件报告和处置管理制度
    3. 分析事件成因,收集证据,记录过程,总结经验教训
    4. 造成系统中断或信息泄露的重大安全事件采用不同的处理和报告程序
  13. 应急预案管理
    1. 应急预案框架,包括启动条件、组织构成、资源保障、事后教育和培训
    2. 应急预案,包括处理流程、系统恢复程序
    3. 定期培训,应急演练
    4. 定期修订
  14. 外包运维管理
    1. 外包运维服务商的选择符合国家规定
    2. 签订协议,明确外包运维范围和工作内容
    3. 保证外包服务商有按等保开展运维工作的能力,在协议中明确
    4. 协议中明确安全要求,如敏感信息访问、处理、存储要求,服务中断应急保障

云计算安全扩展要求(7)

安全物理环境(1)

  基础设施位置:应保证云计算基础设施位于中国境内。

安全通信网络(1)

  网络架构

  1. 不承载高于其等级的业务应用系统
  2. 不同云服务客户虚拟网络之间隔离
  3. 提供通信传输、边界防护、入侵防范等安全机制
  4. 提供自主设置安全策略,包括定义访问路径、选择安全组件、配置安全策略
  5. 提供开放接口或开放性安全服务,允许第三方产品或服务

安全区域边界(3)

  1. 访问控制
    1. 虚拟化网络边界部署访问控制机制,设置访问控制规则
    2. 不同等级网络区域边界部署访问控制机制,设置访问控制规则
  2. 入侵防范
    1. 能检测云服务客户发起的网络攻击行为,记录攻击类型、时间和流量
    2. 能检测对虚拟网络节点的网络攻击行为,记录攻击类型、时间和流量
    3. 能检测虚拟机与宿主机或虚拟机之间的异常流量
    4. 检测到网络攻击行为或异常流量情况告警
  3. 安全审计
    1. 远程管理执行特权命令审计,至少包括虚拟机删除或重启
    2. 保证云服务商操作可被云服务客户审计

安全计算环境(7)

  1. 身份鉴别:当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制
  2. 访问控制
    1. 虚拟机迁移,访问控制策略随其迁移
    2. 允许云服务客户设置不同虚拟机之间的访问控制策略
  3. 入侵防范
    1. 检测虚拟机之间的资源隔离失效,告警
    2. 检测非授权新建或重启虚拟机,告警
    3. 检测恶意代码感染及蔓延,告警
  4. 镜像和快照保护
    1. 提供加固的操作系统镜像或安全加固服务
    2. 提供虚拟机镜像和快照完整性校验功能,防篡改
    3. 密码技术或其他手段防止敏感资源被非法使用
  5. 数据完整性和保密性
    1. 数据和个人信息存储于中国境内,出境需遵循国家相关规定
    2. 确保云服务客户授权后才能管理数据
    3. 校验或密码技术确保迁移中重要数据完整性,受到破坏恢复
    4. 支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现加解密过程
  6. 数据备份恢复
    1. 云服务客户本地业务数据备份
    2. 能提供查询云服务客户数据及备份存储位置
    3. 云存储服务保证云服务客户数据存在若干个可用副本,各副本之间内容一致
    4. 为云服务客户迁移提供技术手段,并协助完成迁移
  7. 剩余信息保护
    1. 虚拟机所用内存和存储空间回收时安全清除
    2. 删除业务应用数据时,所有副本清除

安全管理中心(1)

  集中管控

  1. 物理和虚拟资源统一管理调度与分配
  2. 管理与业务流量分离
  3. 云服务商和客户职责划分,收集各自审计数据并集中审计
  4. 云服务商和客户职责划分,实现各自控制,包括虚拟化网络、虚拟机、虚拟化安全设备运行状况集中监测

安全建设管理(2)

  1. 云服务商选择
    1. 选择合规云服务商,提供相应等级安全保护能力
    2. 服务水平协议规定各项服务内容和具体技术指标
    3. 服务水平协议规定权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则和违约责任
    4. 服务到期完整提供云服务客户数据,并承诺清除
    5. 保密协议,不得泄漏数据
  2. 供应链管理
    1. 供应商的选择符合国家规定
    2. 安全事件或威胁信息及时传达
    3. 供应商重要变更及时传达,评估风险,采取措施

安全运维管理(1)

  云计算环境管理:云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定。

移动互联安全扩展要求(5)

安全物理环境(1)

  无线接入点的物理位置:应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。

安全区域边界(3)

  1. 边界防护:应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。
  2. 访问控制:无线接入设备应开启接入认证功能,并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证
  3. 入侵防范
    1. 检测到非授权无线接入设备和终端
    2. 检测到对无线接入设备的网络扫描、DDoS 攻击、密钥破解和中间人和欺骗攻击
    3. 检测到无线接入设备的 SSID 广播、WPS 高风险功能开启状态
    4. 禁用无线接入设备和网关风险功能,如 SSID 广播和 WEP 认证
    5. 禁止多个 AP 使用同一认证密钥
    6. 阻断非授权无线接入设备或终端

安全计算环境(2)

  1. 移动终端管控
    1. 保证移动终端安装、注册并运行终端管理客户端软件
    2. 移动终端接受服务端设备生命周期管理和设备远程控制,如远程锁定和擦除
  2. 移动应用管控
    1. 具有选择软件安装和运行的功能
    2. 只允许指定证书签名的应用软件安装和运行
    3. 具有软件白名单功能

安全建设管理(2)

  1. 移动应用软件采购
    1. 来自可靠分发渠道或使用可靠证书签名
    2. 指定的开发者开发
  2. 移动应用软件开发
    1. 软件开发者资格审查
    2. 保证应用软件签名证书合法性

安全运维管理(1)

  配置管理:应建立合法无线接入设备和合法移动终端配置库,用于对非法无线接入设备和非法移动终端的识别

物联网安全扩展要求(4)

安全物理环境(1)

  感知节点设备物理防护

  1. 物理环境不对感知节点设备造成物理破坏,如挤压或强振动
  2. 正确反映环境状态(如温湿度传感器不安装在阳光直射区)
  3. 不对感知节点设备正常工作造成影响,如强干扰或阻挡屏蔽
  4. 可供长时间工作的电力供应(持久稳定的电力供应)

安全区域边界(2)

  1. 接入控制:应保证只有授权的感知节点可以接入。
  2. 入侵防范
    1. 能限制与感知节点通信的目标地址
    2. 能限制与网关节点通信的目标地址

安全计算环境(4)

  1. 感知节点设备安全
    1. 保证授权用户可对感知节点设备上的应用软件配置或变更
    2. 对网关节点设备(包括读卡器)身份标识和鉴别
    3. 对其他感知节点设备(包括路由节点)身份标识和鉴别
  2. 网关节点设备安全
    1. 对合法连接设备(包括终端节点、路由节点、数据处理中心)标识和鉴别
    2. 过滤非法和伪造节点发送的数据
    3. 授权用户对关键密钥在线更新
    4. 授权用户对关键配置参数在线更新
  3. 抗数据重放
    1. 鉴别数据新鲜性,避免重放攻击
    2. 鉴别历史数据非法修改,避免重放攻击
  4. 数据融合处理:应建立合法无线接入设备和合法移动终端配置库,用于对非法无线接入设备和非法移动终端的识别

安全运维管理(1)

  感知节点管理

  1. 指定人员定期巡视感知和网关节点设备部署环境,环境异常记录和维护
  2. 对感知和网关节点设备入库、存储、部署、携带、维修、丢失和报废过程作出规定,全程管理
  3. 加强感知和网关节点设备部署环境保密性管理,包括人员调离交还检查工具和维护记录

工业控制系统安全扩展要求(5)

安全物理环境(1)

  室外控制设备物理防护

  1. 放置于采用铁板或其他防火材料制作的箱体或装置中并紧固,具有透风、散热、防盗、防雨和防火能力
  2. 远离电磁干扰或强热源等环境,无法避免做好应急及检修,保证正常运行

安全通信网络(2)

  1. 网络架构
    1. 工控和其他系统分两个区,单项技术隔离手段
    2. 工控系统内部划分不同安全域,区域间采用技术隔离手段
    3. 实时控制和数据传输工控系统,独立组网,物理隔离
  2. 通信传输:在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。

安全区域边界(3)

  1. 访问控制
    1. 工控和其他系统间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的 E-Mail、Web、Telent、Rlogin、FTP 通用网络服务
    2. 工控系统内各安全域之间防护机制失效及时报警
  2. 拨号使用控制
    1. 限制拨号访问权限用户数量,身份鉴别和访问控制
    2. 拨号服务器和客户端使用安全加固操作系统,数字证书认证、传输加密和访问控制
  3. 无线使用控制
    1. 所有用户(人员、软件进程或设备)唯一标识和鉴别
    2. 所有用户(人员、软件进程或设备)进行授权以及执行使用进行限制
    3. 无线通信传输加密,传输报文机密性保护
    4. 识别物理环境中发射的未授权无线设备,报告试图接入或干扰控制的行为

安全计算环境(1)

  控制设备安全

  1. 自身实现通用要求的身份鉴别、访问控制和安全审计,如无法实现,由上位控制或管理设备实现或管理手段控制
  2. 充分测试评估,不影响运行情况下更新补丁和固件
  3. 关闭或拆除软盘、光盘驱动、USB、串行接口或多余网口,确需保留严格监控管理
  4. 使用专用设备和软件对控制设备进行更新
  5. 上线前安全性检测,避免恶意代码程序

安全建设管理(2)

  1. 产品采购和使用:工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用。
  2. 外包软件开发:应在外包开发合同中规定针对开发单位 、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容。
Avatar

Safé.Café - 安全咖

❤ Cyber Security | Safety is a priority.
Next GB∕T 22239-2019 第三级安全要求标题版