信息安全技術信息系統(tǒng)安全等級保護基本要求(gbt22239—2008)

1、《信息系統(tǒng)安全等級保護基本要求》《信息系統(tǒng)安全等級保護基本要求》中華人民共和國國家標準GBT222392008引言依據《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院147號令）、《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）、《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）和《信息安全等級保護管理辦法》（公通字[2007]43號），制定本標準。本標準是信息安全等級保護相關系列標準

2、之一。與本標準相關的系列標準包括：——GBTAAAAAAAA信息安全技術信息系統(tǒng)安全等級保護定級指南；——GBTCCCCCCCC信息安全技術信息系統(tǒng)安全等級保護實施指南。本標準與GB178591999、GBT202692006、GBT202702006、GBT202712006等標準共同構成了信息系統(tǒng)安全等級保護的相關配套標準。其中GB178591999是基礎性標準，本標準、GBT202692006、GBT202702006、GBT20

3、2712006等是在GB178591999基礎上的進一步細化和擴展。本標準在GB178591999、GBT202692006、GBT202702006、GBT202712006等技術類標準的基礎上，根據現(xiàn)有技術的發(fā)展水平，提出和規(guī)定了不同安全保護等級信息系統(tǒng)的最低保護要求，即基本安全要求，基本安全要求包括基本技術要求和基本管理要求，本標準適用于指導不同安全保護等級信息系統(tǒng)的安全建設和監(jiān)督管理。在本標準文本中，黑體字表示較低等級中沒有出現(xiàn)

4、或增強的要求。信息系統(tǒng)安全等級保護基本要求1范圍本標準規(guī)定了不同安全保護等級信息系統(tǒng)的基本保護要求，包括基本技術要求和基本管理要求，適用于指導分等級的信息系統(tǒng)的安全建設和監(jiān)督管理。2規(guī)范性引用文件下列文件中的條款通過在本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵根據本標準達成協(xié)議的各方研究是否使用這些文件的最新版本。凡是不注明日期的引用文件，其最新版本適

5、用于本標準。GBT5271.8信息技術詞匯第8部分：安全GB178591999計算機信息系統(tǒng)安全保護等級劃分準則GBTAAAAAAAA信息安全技術信息系統(tǒng)安全等級保護定級指南3術語和定義GBT5271.8和GB178591999確立的以及下列術語和定義適用于本標準。3.1安全保護能力securityprotectionability系統(tǒng)能夠抵御威脅、發(fā)現(xiàn)安全事件以及在系統(tǒng)遭到損害后能夠恢復先前狀態(tài)等的程度。4信息系統(tǒng)安全等級保護概述4.

6、1信息系統(tǒng)安全保護等級5.1.1物理安全5.1.1.1物理訪問控制（G1）機房出入應安排專人負責，控制、鑒別和記錄進入的人員。5.1.1.2防盜竊和防破壞（G1）本項要求包括：a)應將主要設備放置在機房內；b)應將設備或主要部件進行固定，并設置明顯的不易除去的標記。5.1.1.3防雷擊（G1）機房建筑應設置避雷裝置。5.1.1.4防火（G1）機房應設置滅火設備。5.1.1.5防水和防潮（G1）本項要求包括：a)應對穿過機房墻壁和樓板的水

7、管增加必要的保護措施；b)應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透。5.1.1.6溫濕度控制（G1）機房應設置必要的溫、濕度控制設施，使機房溫、濕度的變化在設備運行所允許的范圍之內。5.1.1.7電力供應（A1）應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備。5.1.2網絡安全5.1.2.1結構安全（G1）本項要求包括：a)應保證關鍵網絡設備的業(yè)務處理能力滿足基本業(yè)務需要；b)應保證接入網絡和核心網絡的帶寬滿足基本業(yè)務需要；c)應繪

8、制與當前運行情況相符的網絡拓撲結構圖。5.1.2.2訪問控制（G1）本項要求包括：a)應在網絡邊界部署訪問控制設備，啟用訪問控制功能；b)應根據訪問控制列表對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許拒絕數據包出入；c)應通過訪問控制列表對系統(tǒng)資源實現(xiàn)允許或拒絕用戶訪問，控制粒度至少為用戶組。5.1.2.3網絡設備防護（G1）本項要求包括：a)應對登錄網絡設備的用戶進行身份鑒別；b)應具有登錄失敗處理功能，可采取結束會話