《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（以下簡稱“基本要求”）于2019年5月13日發(fā)布，2019年12月1日起正式實施?；疽笾械燃壉Ｗo對象在傳統(tǒng)信息系統(tǒng)的基礎(chǔ)上，綜合考慮了云計算、物聯(lián)網(wǎng)等新應(yīng)用、新技術(shù)，等級保護對象調(diào)整為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)（含采用移動互聯(lián)技術(shù)的系統(tǒng)）、云計算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等；

安全要求部分包括安全通用要求和安全擴展要求, 安全擴展要求包括云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求以及工業(yè)控制系統(tǒng)安全擴展要求。其中，安全通用要求是不管等級保護對象形態(tài)如何必須滿足的要求，而針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和大數(shù)據(jù)提出的特殊要求稱為安全擴展要求。

安全通用可分為技術(shù)類要求和管理類要求，其中技術(shù)要求包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心; 管理要求包括安全管理制度、安全管理機構(gòu)、安全管理人員 、安全建設(shè)管理和安全運維管理。

在通用要求技術(shù)部分，關(guān)于網(wǎng)絡(luò)安全涉及安全通信網(wǎng)絡(luò)和安全區(qū)域邊界兩個安全類。安全通信網(wǎng)絡(luò)主要針對通信網(wǎng)絡(luò)（廣域網(wǎng)、城域網(wǎng)或局域網(wǎng)）提出安全要求，而安全區(qū)域邊界主要針對等級保護對象網(wǎng)絡(luò)邊界和區(qū)域邊界提出的安全要求。不同等級（第一級到第四級）的等級保護對象的安全要求存在一定的差異，安全通信網(wǎng)絡(luò)和安全區(qū)域邊界在不同等級的控制點和要求項條款數(shù)如下表，本文以第三級為例，對安全通用要求部分關(guān)于“網(wǎng)絡(luò)安全(安全通信網(wǎng)絡(luò)和安全區(qū)域邊界)”部分的要求項進行簡要介紹。

1

安全通信網(wǎng)絡(luò)

網(wǎng)絡(luò)架構(gòu)：

a) 應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要；

b) 應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；

c) 應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址；

d) 應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段；

e) 應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計算設(shè)備的硬件冗余，保證系統(tǒng)的可用性。

條款a、b、e要求網(wǎng)絡(luò)架構(gòu)應(yīng)配置冗余策略，網(wǎng)絡(luò)冗余策略包括網(wǎng)絡(luò)線路冗余、網(wǎng)絡(luò)重要設(shè)備冗余及網(wǎng)絡(luò)重要系統(tǒng)和數(shù)據(jù)備份策略等。

為保證網(wǎng)絡(luò)冗余策略，應(yīng)保證：

◇采用不同運營商線路，相互備份且互不影響；

◇重要網(wǎng)絡(luò)設(shè)備熱冗余，如采用雙機熱備或服務(wù)器集群部署；

◇保證網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力具備冗余空間。

條款c要求劃分安全域、制定網(wǎng)絡(luò)IP地址分配策略，條款d要求為避免重要的安全域暴露在邊界處，在網(wǎng)絡(luò)邊界部署訪問控制類安全設(shè)備。

劃分網(wǎng)絡(luò)安全域是指按照不同區(qū)域的不同功能目的和安全要求，將網(wǎng)絡(luò)劃分為不同的安全域，以便實施不同的安全策略。制定網(wǎng)絡(luò)IP地址分配策略是指根據(jù)IP編址特點，為設(shè)計的網(wǎng)絡(luò)中的節(jié)點和設(shè)備分配合適的IP地址，網(wǎng)絡(luò)IP地址分配策略要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃和流量規(guī)劃等結(jié)合起來考慮。IP地址分配包括靜態(tài)分配地址、動態(tài)分配地址以及網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Aclclress Translation，NAT）分配地址等方式。

通常情況網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)絡(luò)安全域、互聯(lián)網(wǎng)安全域和外部網(wǎng)絡(luò)安全域?；跇I(yè)務(wù)需求，可進一步劃分，如核心業(yè)務(wù)安全域、數(shù)據(jù)安全域等。網(wǎng)絡(luò)安全域的劃分，應(yīng)遵循如下原則：

1)網(wǎng)絡(luò)整體的拓撲結(jié)構(gòu)嚴(yán)格規(guī)劃、設(shè)計和管理；

2)按照網(wǎng)絡(luò)分層設(shè)計的原則進行規(guī)劃，便于擴充和管理，易于故障隔離和排除；

3)網(wǎng)絡(luò)按訪問控制策略劃分成不同的安全域，將有相同安全需求的網(wǎng)絡(luò)設(shè)備劃分到一 個安全域中，采取相同或類似的安全策略，對重要網(wǎng)段進行重點保護；

4)使用防火墻等安全設(shè)備、VLAN或其他訪問控制方式與技術(shù)，將重要網(wǎng)段與其他網(wǎng)段隔離開，在不同安全域之間設(shè)置訪問控制措施。（條款d要求）

虛擬局域網(wǎng)( Virtual Local Area Network，VLAN)是一種劃分互相隔離子網(wǎng)的技術(shù)。通過VLAN隔離技術(shù)，可以把一個網(wǎng)絡(luò)系統(tǒng)中眾多的網(wǎng)絡(luò)設(shè)備邏輯地分成若干個虛擬工作組，組和組之間的網(wǎng)絡(luò)設(shè)備在第二層網(wǎng)絡(luò)上相互隔離，形成不同的安全區(qū)域，同時將廣播流量限制在不同的廣播域。

通信傳輸

a) 應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性；

b) 應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性。

為避免數(shù)據(jù)在通信過程中被非法截獲、非法篡改等破壞數(shù)據(jù)可用性的風(fēng)險，保證遠程安全接入、保證通信過程中數(shù)據(jù)的安全，可部署IPSec、SSL VPN等通信設(shè)備，保證通信的安全性。VPN技術(shù)通過建立了一條安全隧道，既保證了通信完整性，也保證了通信保密性。

可信驗證

可基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進行可信驗證，并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果形成審計記錄送至安全管理中心，并進行動態(tài)關(guān)聯(lián)感知。

2

安全區(qū)域邊界

邊界防護

a) 應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信；

b) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查或限制；

c) 應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查或限制；

d) 應(yīng)限制無線網(wǎng)絡(luò)的使用，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。

邊界防護是構(gòu)建網(wǎng)絡(luò)安全縱生防御體系的重要一環(huán)，缺少邊界安全防護就無法實現(xiàn)網(wǎng)絡(luò)安全。邊界防護相關(guān)要求項針對邊界安全準(zhǔn)入、準(zhǔn)出的相關(guān)安全策略，條款a）要求邊界要有訪問控制設(shè)備，并明確邊界設(shè)備物理端口，跨越邊界的訪問和數(shù)據(jù)流僅能通過指定的設(shè)備端口進行數(shù)據(jù)通信，條款b、c)要求通過技術(shù)手段和管理措施對“非法接入”、“非法外聯(lián)”行為進行檢查、限制。

訪問控制

a) 應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信；

b) 應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；

c) 應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)包進出；

d) 應(yīng)能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；

e) 應(yīng)對進出網(wǎng)絡(luò)的數(shù)據(jù)流實現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制。

訪問控制這一控制點相關(guān)要求是針對網(wǎng)絡(luò)安全策略中訪問控制策略提出的相關(guān)要求，不同安全級別的網(wǎng)絡(luò)相連，產(chǎn)生了網(wǎng)絡(luò)邊界。為防止來自網(wǎng)絡(luò)外界的入侵，應(yīng)在網(wǎng)絡(luò)邊界設(shè)置安全訪問控制措施。常見措施包括設(shè)計VLAN、劃分網(wǎng)段、部署防火墻、IP地址與MAC地址綁定等。關(guān)于訪問控制，應(yīng)保證：嚴(yán)格的安全防護機制，安全性較高的防火墻（支持會話層和應(yīng)用層訪問控制策略）。

入侵防范

a) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；

b) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；

c) 應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析；

d) 當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警。

入侵防范控制點要求項主要針對流量安全檢測，網(wǎng)絡(luò)流量檢測措施包括部署入侵檢測系統(tǒng)／入侵防御系統(tǒng)、防病毒網(wǎng)關(guān)、抗拒絕服務(wù)攻擊系統(tǒng)以及漏洞掃描系統(tǒng)等。采用基于特征或基于行為的檢測方法對數(shù)據(jù)包的特征進行深度分析，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為和異常訪問行為，并設(shè)置告警機制。

惡意代碼和垃圾郵件防范

a) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新；

b) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新。

惡意代碼是一種可執(zhí)行程序，惡意代碼以普通病毒、木馬、網(wǎng)絡(luò)蠕蟲、移動代碼和復(fù)合型病毒等多種形態(tài)存在，惡意代碼具有非授權(quán)可執(zhí)行性、隱蔽性、傳染性、破壞性、潛伏性及變化快等多種特性，主要通過網(wǎng)頁、郵件等網(wǎng)絡(luò)載體進行傳播。因此，在關(guān)鍵網(wǎng)絡(luò)節(jié)點處（網(wǎng)絡(luò)邊界和核心業(yè)務(wù)網(wǎng)）部署防病毒網(wǎng)關(guān)、UTM或其他惡意代碼防范產(chǎn)品，是最直接、高效的惡意代碼防范方法。

安全審計

a) 應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；

b) 審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；

c) 應(yīng)對審計記錄進行保護，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。

d) 應(yīng)能對遠程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨進行行為審計和數(shù)據(jù)分析。

安全審計控制點針對網(wǎng)絡(luò)安全審計策略，網(wǎng)絡(luò)安全審計策略，可以加強網(wǎng)絡(luò)和系統(tǒng)的審計安全。常見措施包括部署網(wǎng)絡(luò)安全審計系統(tǒng)、設(shè)置操作系統(tǒng)日志及其審計措施、設(shè)計應(yīng)用程序日志及其審計措施等。

網(wǎng)絡(luò)安全是動態(tài)的可以部署網(wǎng)絡(luò)安全審計系統(tǒng)，對網(wǎng)絡(luò)安全狀態(tài)進行實時可視化審計， 并對審計記錄進行定期的備份轉(zhuǎn)存，主要針對網(wǎng)絡(luò)行為和安全事件審計。

可信驗證

可基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應(yīng)用程序等進行可信驗證，并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果形成審計記錄送至安全管理中心，并進行動態(tài)關(guān)聯(lián)感知。