GB/T 22239是等級保護中,，包含技術(shù)防護和管理要求的基本要求標準,。核心內(nèi)容編排上按照1+5，即安全通用要求+5個新技術(shù)新領(lǐng)域的安全擴展要求組合而成,。整個標準原文按照內(nèi)容大類,，可分為三大部分：引言及網(wǎng)絡(luò)安全等級保護概述、第一級至第四級安全要求,、附錄表述,。下面按照三部分進行解讀。

前言及網(wǎng)絡(luò)安全等級保護概述

在前言部分,，概要介紹了等保2.0的GB/T 22239—2019與等保1.0的GB/T 22239—2008主要差異為三點：名稱變化（信息系統(tǒng)變成網(wǎng)絡(luò)）,、分類調(diào)整（2.0雖然也是10個分類，但內(nèi)容和名稱都做了調(diào)整）,、取消安全控制點的SAG標注（用附錄A說明定級結(jié)果和安全防護要求的關(guān)系）,。

在等保概述部分，介紹了等保對象主要包括基礎(chǔ)信息網(wǎng)絡(luò),、云計算平臺/系統(tǒng),、大數(shù)據(jù)應用/平臺/資源,、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術(shù)的系統(tǒng)等,。等保定級內(nèi)容不變，依然按照等保對象被破壞后影響進行劃分,。即對國家安全,、社會秩序、公共利益以及公民,、法人和其他組織的合法權(quán)益的危害程度劃分了5個等級,。

GB/T 22239-2019第一級至第四級安全要求

分別從10個分類說明每個級別的安全控制項及下面的控制點。下面,，只列舉技術(shù)控制點的差異,，具體內(nèi)容如下：

 表1 

 表2 

 表3 

對比新增內(nèi)容可知，二級要求相比一級而言,，基礎(chǔ)門檻已達到一定高度,。而三級比二級則有進一步顯著增強。對于擁有龐大基數(shù)的二級系統(tǒng)和三級系統(tǒng),，在有利于提高國內(nèi)網(wǎng)絡(luò)安全防護整體基準的同時,，通過級別差異性增強關(guān)鍵設(shè)施的網(wǎng)絡(luò)安全防護水平。

通過對比可以發(fā)現(xiàn),，等保2.0的技術(shù)要求與涉密領(lǐng)域分級保護的技術(shù)要求有一定相似的地方,，如在“安全物理環(huán)境”中，相關(guān)條款要求與分保的機密級關(guān)于物理安全中要求大體一致,，這有利于指導和開展機房等關(guān)鍵網(wǎng)絡(luò)設(shè)備區(qū)域的工程建設(shè),，使得建成的機房符合雙標準（等保和分保）。

由對比還可以看出的一個比較顯著的變化是可信驗證的強化,。從一級到四級,，“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”和“安全計算環(huán)境”中增加了“可信驗證”控制項和具體控制點,。不過,，可信驗證的所有要求都是“可”，不是“應”,，但在具體項目可酌情,。

針對個性化防護需求，標準在安全擴展要求部分,，針對云計算,、移動互聯(lián)、物聯(lián)網(wǎng),、工業(yè)控制系統(tǒng)提出了具體的控制項和控制點,。

附 錄 表 述

安全通用要求和安全擴展要求共同構(gòu)成了對等級保護對象的安全要求,。安全要求的選擇見附錄A，整體安全保護能力的要求見附錄B和附錄C,。本標準針對云計算,、移動互聯(lián)、物聯(lián)網(wǎng),、工業(yè)控制系統(tǒng)提出了安全擴展要求,。云計算應用場景參見附錄D，移動互聯(lián)應用場景參見附錄E,，物聯(lián)網(wǎng)應用場景參見附錄F,，工業(yè)控制系統(tǒng)應用場景參見附錄G，大數(shù)據(jù)應用場景參見附錄H,。對于采用其他特殊技術(shù)或處于特殊應用場景的等級保護對象,，應在安全風險評估的基礎(chǔ)上，針對安全風險采取特殊的安全措施作為補充,。

安全通用要求針對共性化保護需求提出,，等級保護對象無論以何種形式出現(xiàn)，必須根據(jù)安全保護等級,，通過對應級別的安全通用要求,，加上針對個性化保護需求的安全擴展要求，結(jié)合使用的特定技術(shù)或特定的應用場景,，實現(xiàn)對系統(tǒng)的等級保護,。即等級保護對象的保護=安全通用要求+安全擴展要求。