《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（以下簡(jiǎn)稱“基本要求”）于2019年5月13日發(fā)布，2019年12月1日起正式實(shí)施?；疽笾械燃?jí)保護(hù)對(duì)象在傳統(tǒng)信息系統(tǒng)的基礎(chǔ)上，綜合考慮了云計(jì)算、物聯(lián)網(wǎng)等新應(yīng)用、新技術(shù)，等級(jí)保護(hù)對(duì)象調(diào)整為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)（含采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)）、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等；

安全要求部分包括安全通用要求和安全擴(kuò)展要求, 安全擴(kuò)展要求包括云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求以及工業(yè)控制系統(tǒng)安全擴(kuò)展要求。其中，安全通用要求是不管等級(jí)保護(hù)對(duì)象形態(tài)如何必須滿足的要求，而針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和大數(shù)據(jù)提出的特殊要求稱為安全擴(kuò)展要求。

安全通用可分為技術(shù)類要求和管理類要求，其中技術(shù)要求包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心; 管理要求包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員 、安全建設(shè)管理和安全運(yùn)維管理。

在通用要求技術(shù)部分，關(guān)于網(wǎng)絡(luò)安全涉及安全通信網(wǎng)絡(luò)和安全區(qū)域邊界兩個(gè)安全類。安全通信網(wǎng)絡(luò)主要針對(duì)通信網(wǎng)絡(luò)（廣域網(wǎng)、城域網(wǎng)或局域網(wǎng)）提出安全要求，而安全區(qū)域邊界主要針對(duì)等級(jí)保護(hù)對(duì)象網(wǎng)絡(luò)邊界和區(qū)域邊界提出的安全要求。不同等級(jí)（第一級(jí)到第四級(jí)）的等級(jí)保護(hù)對(duì)象的安全要求存在一定的差異，安全通信網(wǎng)絡(luò)和安全區(qū)域邊界在不同等級(jí)的控制點(diǎn)和要求項(xiàng)條款數(shù)如下表，本文以第三級(jí)為例，對(duì)安全通用要求部分關(guān)于“網(wǎng)絡(luò)安全(安全通信網(wǎng)絡(luò)和安全區(qū)域邊界)”部分的要求項(xiàng)進(jìn)行簡(jiǎn)要介紹。

1

安全通信網(wǎng)絡(luò)

網(wǎng)絡(luò)架構(gòu)：

a) 應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要；

b) 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；

c) 應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址；

d) 應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段；

e) 應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的硬件冗余，保證系統(tǒng)的可用性。

條款a、b、e要求網(wǎng)絡(luò)架構(gòu)應(yīng)配置冗余策略，網(wǎng)絡(luò)冗余策略包括網(wǎng)絡(luò)線路冗余、網(wǎng)絡(luò)重要設(shè)備冗余及網(wǎng)絡(luò)重要系統(tǒng)和數(shù)據(jù)備份策略等。

為保證網(wǎng)絡(luò)冗余策略，應(yīng)保證：

◇采用不同運(yùn)營(yíng)商線路，相互備份且互不影響；

◇重要網(wǎng)絡(luò)設(shè)備熱冗余，如采用雙機(jī)熱備或服務(wù)器集群部署；

◇保證網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力具備冗余空間。

條款c要求劃分安全域、制定網(wǎng)絡(luò)IP地址分配策略，條款d要求為避免重要的安全域暴露在邊界處，在網(wǎng)絡(luò)邊界部署訪問控制類安全設(shè)備。

劃分網(wǎng)絡(luò)安全域是指按照不同區(qū)域的不同功能目的和安全要求，將網(wǎng)絡(luò)劃分為不同的安全域，以便實(shí)施不同的安全策略。制定網(wǎng)絡(luò)IP地址分配策略是指根據(jù)IP編址特點(diǎn)，為設(shè)計(jì)的網(wǎng)絡(luò)中的節(jié)點(diǎn)和設(shè)備分配合適的IP地址，網(wǎng)絡(luò)IP地址分配策略要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃和流量規(guī)劃等結(jié)合起來考慮。IP地址分配包括靜態(tài)分配地址、動(dòng)態(tài)分配地址以及網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Aclclress Translation，NAT）分配地址等方式。

通常情況網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)絡(luò)安全域、互聯(lián)網(wǎng)安全域和外部網(wǎng)絡(luò)安全域?；跇I(yè)務(wù)需求，可進(jìn)一步劃分，如核心業(yè)務(wù)安全域、數(shù)據(jù)安全域等。網(wǎng)絡(luò)安全域的劃分，應(yīng)遵循如下原則：

1)網(wǎng)絡(luò)整體的拓?fù)浣Y(jié)構(gòu)嚴(yán)格規(guī)劃、設(shè)計(jì)和管理；

2)按照網(wǎng)絡(luò)分層設(shè)計(jì)的原則進(jìn)行規(guī)劃，便于擴(kuò)充和管理，易于故障隔離和排除；

3)網(wǎng)絡(luò)按訪問控制策略劃分成不同的安全域，將有相同安全需求的網(wǎng)絡(luò)設(shè)備劃分到一 個(gè)安全域中，采取相同或類似的安全策略，對(duì)重要網(wǎng)段進(jìn)行重點(diǎn)保護(hù)；

4)使用防火墻等安全設(shè)備、VLAN或其他訪問控制方式與技術(shù)，將重要網(wǎng)段與其他網(wǎng)段隔離開，在不同安全域之間設(shè)置訪問控制措施。（條款d要求）

虛擬局域網(wǎng)( Virtual Local Area Network，VLAN)是一種劃分互相隔離子網(wǎng)的技術(shù)。通過VLAN隔離技術(shù)，可以把一個(gè)網(wǎng)絡(luò)系統(tǒng)中眾多的網(wǎng)絡(luò)設(shè)備邏輯地分成若干個(gè)虛擬工作組，組和組之間的網(wǎng)絡(luò)設(shè)備在第二層網(wǎng)絡(luò)上相互隔離，形成不同的安全區(qū)域，同時(shí)將廣播流量限制在不同的廣播域。

通信傳輸

a) 應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性；

b) 應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性。

為避免數(shù)據(jù)在通信過程中被非法截獲、非法篡改等破壞數(shù)據(jù)可用性的風(fēng)險(xiǎn)，保證遠(yuǎn)程安全接入、保證通信過程中數(shù)據(jù)的安全，可部署IPSec、SSL VPN等通信設(shè)備，保證通信的安全性。VPN技術(shù)通過建立了一條安全隧道，既保證了通信完整性，也保證了通信保密性。

可信驗(yàn)證

可基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心，并進(jìn)行動(dòng)態(tài)關(guān)聯(lián)感知。

2

安全區(qū)域邊界

邊界防護(hù)

a) 應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信；

b) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制；

c) 應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制；

d) 應(yīng)限制無線網(wǎng)絡(luò)的使用，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。

邊界防護(hù)是構(gòu)建網(wǎng)絡(luò)安全縱生防御體系的重要一環(huán)，缺少邊界安全防護(hù)就無法實(shí)現(xiàn)網(wǎng)絡(luò)安全。邊界防護(hù)相關(guān)要求項(xiàng)針對(duì)邊界安全準(zhǔn)入、準(zhǔn)出的相關(guān)安全策略，條款a）要求邊界要有訪問控制設(shè)備，并明確邊界設(shè)備物理端口，跨越邊界的訪問和數(shù)據(jù)流僅能通過指定的設(shè)備端口進(jìn)行數(shù)據(jù)通信，條款b、c)要求通過技術(shù)手段和管理措施對(duì)“非法接入”、“非法外聯(lián)”行為進(jìn)行檢查、限制。

訪問控制

a) 應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信；

b) 應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；

c) 應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出；

d) 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；

e) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制。

訪問控制這一控制點(diǎn)相關(guān)要求是針對(duì)網(wǎng)絡(luò)安全策略中訪問控制策略提出的相關(guān)要求，不同安全級(jí)別的網(wǎng)絡(luò)相連，產(chǎn)生了網(wǎng)絡(luò)邊界。為防止來自網(wǎng)絡(luò)外界的入侵，應(yīng)在網(wǎng)絡(luò)邊界設(shè)置安全訪問控制措施。常見措施包括設(shè)計(jì)VLAN、劃分網(wǎng)段、部署防火墻、IP地址與MAC地址綁定等。關(guān)于訪問控制，應(yīng)保證：嚴(yán)格的安全防護(hù)機(jī)制，安全性較高的防火墻（支持會(huì)話層和應(yīng)用層訪問控制策略）。

入侵防范

a) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；

b) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；

c) 應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析；

d) 當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。

入侵防范控制點(diǎn)要求項(xiàng)主要針對(duì)流量安全檢測(cè)，網(wǎng)絡(luò)流量檢測(cè)措施包括部署入侵檢測(cè)系統(tǒng)／入侵防御系統(tǒng)、防病毒網(wǎng)關(guān)、抗拒絕服務(wù)攻擊系統(tǒng)以及漏洞掃描系統(tǒng)等。采用基于特征或基于行為的檢測(cè)方法對(duì)數(shù)據(jù)包的特征進(jìn)行深度分析，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為和異常訪問行為，并設(shè)置告警機(jī)制。

惡意代碼和垃圾郵件防范

a) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行檢測(cè)和清除，并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更新；

b) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)垃圾郵件進(jìn)行檢測(cè)和防護(hù)，并維護(hù)垃圾郵件防護(hù)機(jī)制的升級(jí)和更新。

惡意代碼是一種可執(zhí)行程序，惡意代碼以普通病毒、木馬、網(wǎng)絡(luò)蠕蟲、移動(dòng)代碼和復(fù)合型病毒等多種形態(tài)存在，惡意代碼具有非授權(quán)可執(zhí)行性、隱蔽性、傳染性、破壞性、潛伏性及變化快等多種特性，主要通過網(wǎng)頁、郵件等網(wǎng)絡(luò)載體進(jìn)行傳播。因此，在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處（網(wǎng)絡(luò)邊界和核心業(yè)務(wù)網(wǎng)）部署防病毒網(wǎng)關(guān)、UTM或其他惡意代碼防范產(chǎn)品，是最直接、高效的惡意代碼防范方法。

安全審計(jì)

a) 應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)；

b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；

c) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。

d) 應(yīng)能對(duì)遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析。

安全審計(jì)控制點(diǎn)針對(duì)網(wǎng)絡(luò)安全審計(jì)策略，網(wǎng)絡(luò)安全審計(jì)策略，可以加強(qiáng)網(wǎng)絡(luò)和系統(tǒng)的審計(jì)安全。常見措施包括部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、設(shè)置操作系統(tǒng)日志及其審計(jì)措施、設(shè)計(jì)應(yīng)用程序日志及其審計(jì)措施等。

網(wǎng)絡(luò)安全是動(dòng)態(tài)的可以部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，對(duì)網(wǎng)絡(luò)安全狀態(tài)進(jìn)行實(shí)時(shí)可視化審計(jì)， 并對(duì)審計(jì)記錄進(jìn)行定期的備份轉(zhuǎn)存，主要針對(duì)網(wǎng)絡(luò)行為和安全事件審計(jì)。

可信驗(yàn)證

可基于可信根對(duì)邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心，并進(jìn)行動(dòng)態(tài)關(guān)聯(lián)感知。