教育数字化知识图谱

信息安全技术 网络安全等级保护基本要求

GB22239-2019，全称为《网络安全等级保护基本要求》（GB/T 22239-2019），是中国国家标准之一，旨在规范和提高网络系统的安全性，有效防范网络威胁，确保信息的机密性、完整性和可用性。以下是该标准的主要内容包括：

1. **总体结构变化**：相较于旧版GB/T 22239-2008，新标准在总体结构和细节内容上都有所变化。名称由《信息系统安全等级保护基本要求》更改为《网络安全等级保护基本要求》，以适应网络安全法并配合落实网络安全等级保护制度。

2. **保护对象范围扩大**：等级保护对象由原来的信息系统扩展为基础信息网络、信息系统（含采用移动互联技术的系统）、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。

3. **安全要求分类**：将原来各个级别的安全要求分为安全通用要求和安全扩展要求。安全通用要求是所有等级保护对象必须满足的要求，而安全扩展要求则针对特定技术或应用场景提出的特殊要求。

4. **技术与管理要求修订**：技术要求中的“物理安全”、“网络安全”等修订为“安全物理环境”、“安全通信网络”等；管理要求中的“安全管理制度”、“安全管理机构”等修订为“安全管理制度”、“安全管理机构”等。

5. **安全扩展要求**：针对云计算、移动互联、物联网和工业控制系统的特点，提出了相应的安全扩展要求。例如，云计算安全扩展要求包括基础设施位置、虚拟化安全保护等内容；移动互联安全扩展要求包括无线接入点的物理位置、移动终端管控等内容。

6. **风险评估和监测预警**：新标准要求组织定期进行网络安全风险评估，及时发现和解决潜在的安全隐患，同时加强了对网络威胁的监测预警。

7. **实际应用**：组织应明确自身属于哪个保护等级，并根据等级确定相应的安全要求和措施。同时，应建立完善的网络安全管理体系，并采取多种技术手段来提升网络安全防护能力。

GB22239-2019标准的出台为组织提供了更加全面和具体的网络安全防护指导，以应对日益复杂的网络威胁。