1、网络安全等级保护相关标准修订网络安全等级保护相关标准修订解读解读基础/预备定级安全建设/整改测评整改重新定级计算机信息系统安全保护等级划分准则信息系统安全等级保护实施指南 GB 17859-1999 GB/T 25058-2010信息系统安全保护等级定级指南 GB/T 22240-2008 GB/T 22239-2008 GB/T 25070-2010 GB/T 20271-2006 GB/T 20269-2006 信息系统安全等级保护基本要求信息系统定级保护安全设计技术要求信息系统通用安全技术要求信息系统安全管理要求 GB/T 28448-2012 GB/T 28449-2012信息系统安全
2、等级保护测评要求信息系统安全等级保护测评过程指南原等级保护标准体系现等级保护标准体系GB 17859 计算机信息系统安全保护等级划分准则GB/T 25058网络安全等级保护实施指南GB/T 22240网络安全等级保护定级指南GB/T 22239网络安全等级保护基本要求GB/T 25070网络安全等级保护安全技术设计要求网络安全等级保护安全管理中心技术要求GB/T 28448网络安全等级保护测评要求GB/T 28449信息系统安全等级保护测评过程指南网络安全等级保护测试评估技术指南(修订)(修订)(修订)(修订)(新立)(修订)(新立)2014年,为了适应新技术新应用情况下的等级保护工作开展,决
3、定对原标准进行扩展,形成5个分册,以基本要求为例,分为:网络安全等级保护基本要求 第1部分:安全通用要求第2部分:云计算安全扩展要求第3部分:移动互联安全扩展要求第4部分:物联网安全扩展要求第5部分:工业控制系统安全扩展要求 测评要求和设计要求也进行了相应的扩展,形成了15个标准小组,各小组经过草案、征求意见阶段,在2017年5月形成了标准送审稿。标准修订历程2013年,全国信息安全标准化技术委员会秘书处下达了对原国家标准信息系统安全等级保护基本要求、信息系统安全等级保护测评要求、信息系统等级保护安全设计技术要求的修订工作。2017年8月,网信办、公安部和信安标委达成一致意见,将基本要求、测评
4、要求、设计要求三个标准体系的5个分册标准进行了合并,形成网络安全等级保护基本要求、网络安全等级保护测评要求、网络安全等级保护安全设计技术要求三个单一标准,形成最新版送审稿。网络安全等级保护基本要求主要修订的内容p 原来:信息系统安全等级保护基本要求p 改为:网络安全等级保护基本要求p 为适应中华人民共和国网络安全法,配合落实“网络安全等级保护制度”,变更等级保护相关标准的名称。1.标准名称的变化2.等级保护对象的变化p 原来:信息安全等级保护工作直接作用的具体信息和信息系统p 改为:由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包
5、括基础信息网络、信息系统、云计算平台、大数据平台、物联网系统、工业控制系统等。p 根据网络安全法,扩展等级保护对象,并解决移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的等级保护工作。3.安全要求的变化p 原来:安全要求p 改为:安全通用要求和安全扩展要求p 安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。4.章节结构的变化(以第三级要求为例)p 8 第三级安全要求p 8.1安全通用要求p 8.1.1 物理和环境安全p p 8.1.8 安全运维管理p 8.2 云计算安全扩展要求p 8.2.1 物理
6、和环境安全p 8.2.2 网络和通信安全p p 8.3 移动互联安全扩展要求p 8.4 物联网安全扩展要求p 8.5 工业控制系统安全扩展要求p 7 第三级基本要求p 7.1 技术要求p 7.1.1物理安全p 7.1.2网络安全p p 7.2 管理要求p 7.2.1 安全管理制度p 7.2.2 安全管理机构p 5.控制措施分类结构的变化p 技术要求 原来:物理安全、网络安全、主机安全、应用安全、数据安全 改为:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全p 管理要求 原来:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理 改为:安全策略和管理制度、安全管理
7、机构与人员、安全建设管理、安全运维管理6.通用要求控制点的变化物理和环境安全序号原分类原有控制点新的分类新的控制点1物理安全物理位置的选择物理和环境安全物理位置的选择2物理访问控制物理访问控制3防盗窃和防破坏防盗窃和防破坏4防雷击防雷击5防火防火6防水和防潮防水和防潮7防静电防静电8温湿度控制温湿度控制9电力供应电力供应10电磁防护电磁防护6.通用要求控制点的变化网络和通信安全序号原分类原有控制点新的分类新的控制点1网络安全结构安全网络和通信安全网络架构2访问控制通信传输3安全审计边界防护4边界完整性检查访问控制5入侵防范入侵防范6恶意代码防范恶意代码防范7网络设备防护安全审计8集中管控6.通
8、用要求控制点的变化设备和计算安全序号原分类原有控制点新的分类新的控制点1主机安全身份鉴别设备和计算安全身份鉴别2安全标记访问控制3访问控制安全审计4可信路径入侵防范5安全审计恶意代码防范6剩余信息保护资源控制7入侵防范8恶意代码防范9资源控制6.通用要求控制点的变化应用和数据安全序号原分类原有控制点新的分类新的控制点1应用安全身份鉴别应用和数据安全身份鉴别2安全标记访问控制3访问控制安全审计4可信路径软件容错5安全审计资源控制6剩余信息保护数据完整性7通信完整性数据保密性8通信保密性数据备份恢复9抗抵赖剩余信息保护10软件容错个人信息保护11资源控制1数据安全及备份恢复数据完整性2数据保密性3
9、备份和恢复6.通用要求控制点的变化安全管理策略和管理制度序号原分类原有控制点新的分类新的控制点1安全管理制度管理制度安全策略和管理制度安全策略2制定和发布管理制度3评审和修订制定和发布4评审和修订6.通用要求控制点的变化安全管理机构和人员序号原分类原有控制点新的分类新的控制点1安全管理机构岗位设置安全管理机构和人员岗位设置2人员配备人员配备3授权和审批授权和审批4沟通和合作沟通和合作5审核和检查审核和检查1人员安全管理人员录用人员录用2人员离岗人员离岗3人员考核安全意识教育和培训4安全意识教育和培训外部人员访问管理5外部人员访问管理6.通用要求控制点的变化安全建设管理序号原分类原有控制点新的分
10、类新的控制点1系统建设管理系统定级安全建设管理定级和备案2安全方案设计安全方案设计3产品采购和使用产品采购和使用4自行软件开发自行软件开发5外包软件开发外包软件开发6工程实施工程实施7测试验收测试验收8系统交付系统交付9系统备案等级测评10等级测评服务供应商选择11安全服务商选择6.通用要求控制点的变化安全运维管理序号原分类原有控制点新的分类新的控制点1系统运维管理环境管理安全运维管理环境管理2资产管理资产管理3介质管理介质管理4设备管理设备维护管理5监控管理和安全管理中心漏洞和风险管理6网络安全管理网络和系统管理7系统安全管理恶意代码防范管理8恶意代码防范管理配置管理9密码管理密码管理10变
11、更管理变更管理11备份与恢复管理备份与恢复管理12安全事件处置安全事件处置13应急预案管理应急预案管理14外包运维管理6.通用要求标准控制点的变化安全要求类层面一级二级三级四级技术要求物理和环境安全7101010网络和通信安全4688设备和计算安全4666应用和数据安全591010管理要求安全策略和管理制度1444安全管理机构和人员7999安全建设管理7101010安全运维管理8141414合计(新标准)43687171合计(旧标准)486673777.增加云计算安全扩展要求p 云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。由第2分册(之前的云计算安全扩展要求分册)合并为基本要求的X
12、.2章节,合并后精炼保留针对云计算特点的特殊保护要求,增加包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。8.增加了移动互联安全扩展要求p 移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。由第3分册(之前的移动互联网安全扩展要求分册)合并为基本要求的X.3章节,合并后精炼保留针对移动互联网特点的特殊保护要求,增加包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。9.增加了物联网安全扩展要求p 物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。由第4分册
13、(之前的物联网安全扩展要求分册)合并为基本要求的X.4章节,合并后精炼保留针对物联网的感知网部分特殊保护要求,增加包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。10.增加了工业控制系统安全扩展要求p 工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面,针对工业控制系统实时性要求高的特点调整了“漏洞和风险管理”和“恶意代码防范管理”方面的要求。安全要求类层面一级二级三级
14、四级技术要求物理和环境安全7152223网络和通信安全7153333设备和计算安全7172626应用和数据安全8223437管理要求安全策略和管理制度1677安全管理机构和人员7162629安全建设管理9233435安全运维管理13314951合计(新标准)59145231241合计(旧标准)8517529031811.标准控制项的变化通用要求11.标准控制项的变化扩展要求安全要求项一级二级三级四级安全通用要求(X.1)59145231241云计算安全扩展要求(X.2)12376061移动互联安全扩展要求(X.3)5192324物联网安全扩展要求(X.4)792324工业控制系统安全扩展要求(
15、X.5)1018262712.取消了安全控制点的标注p 适应定级方法的变化,取消了原来安全控制点的S、A、G标注,调整原来的附录B“安全要求的选择和使用“,描述等级保护对象的定级结果和安全要求之间的关系,增加安全控制措施选择时,控制点的标注及使用说明。13.增加了应用场景的说明p 增加附录C 描述等级保护安全框架和关键技术,增加附录D描述云计算应用场景,附录E描述移动互联应用场景,附录F描述物联网应用场景,附录G描述工业控制系统应用场景。等级保护安全框架图D.1云计算服务模式与控制范围的关系13.增加了应用场景的说明层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中心及物理设施云服务
16、商网络和通信安全网络结构、访问控制、入侵防范、安全审计物理网络及附属设备、虚拟网络管理平台云服务商云服务客户虚拟网络安全域云服务客户设备和计算安全身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像等云服务商云服务客户虚拟网络设备、虚拟安全设备、虚拟机等云服务客户应用和数据安全安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复云管理平台(含运维和运营)、镜像、快照等云服务商云服务客户应用系统及相关软件组件、云服务客户应用系统配置、云服务客户业务相关数据等云服务客户安全管理机
17、构和人员授权和审批授权和审批流程、文档等云服务商安全建设管理安全方案设计、测试验收、云服务商选择、供应链管理云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息云服务商云服务商选择及管理流程云服务客户安全运维管理监控和审计管理监控和审计管理的相关流程、策略和数据云服务商、云服务客户IaaS模式下云服务商与租户的责任划分层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中心及物理设施云服务商网络和通信安全网络结构、访问控制、远程访问、入侵防范、安全审计物理网络及附属设备、虚拟网络管理平台、虚拟网络安全域云服务商设备和计算安全身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范
18、、资源控制、镜像和快照保护物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像、虚拟机、虚拟网络设备、虚拟安全设备等云服务商应用和数据安全安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复云管理平台(含运维和运营)、镜像、快照等云服务商云服务客户应用系统及相关软件组件、云服务客户应用系统配置、云服务客户业务相关数据等云 服 务 客户安全管理机构和人员授权和审批授权和审批流程、文档等云服务商安全建设管理安全方案设计、测试验收、云服务商选择、供应链管理云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息云服务商云服务商选择及管理流程云 服 务
19、 客户安全运维管理监控和审计管理监控和审计管理的相关流程、策略和数据云服务商PaaS模式下云服务商与租户的责任划分SaaS模式下云服务商与租户的责任划分层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中心及物理设施云服务商网络和通信安全网络结构、访问控制、远程访问、入侵防范、安全审计物理网络及附属设备、虚拟网络管理平台、虚拟网络安全域云服务商设备和计算安全身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像、虚拟机、虚拟网络设备、虚拟安全设备等云服务商应用和数据安全安全审计、资源
20、控制、接口安全、数据完整性、数据保密性、数据备份恢复云管理平台(含运维和运营)、镜像、快照等、应用系统及相关软件组件云服务商云服务客户应用系统配置、云服务客户业务相关数据等云服务客户安全管理机构和人员授权和审批授权和审批流程、文档等云服务商安全建设管理安全方案设计、测试验收、云服务商选择、供应链管理云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息云服务商云服务商选择及管理流程云服务客户安全运维管理监控和审计管理监控和审计管理的相关流程、策略和数据云服务商图E.1移动互联应用架构图F.1物联网系统构成13.增加了应用场景的说明网络安全等级保护测评要求主要修订的内容主要修订内容名称
21、的变化及等级保护测评对象的变化。(与基本要求一致)每级分别遵从基本要求的框架描述如何实施测评工作,每个级别包括安全测评通用要求、云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展要求和工业控制系统安全测评扩展要求等5个部分内容。测评项与基本要求一致。为了更加易于使用测评要求,增加附录B 测评单元编号说明和附录D 基本要求和测评要求对应表。等级测评描述框架 等级测评分为单项测评和整体测评。单项测评是针对各安全要求项的测评,支持测评结果的可重复性和可再现性。本标准中单项测评由测评指标、测评对象、测评实施和单元判定结果构成。整体测评是在单项测评基础上,对等级保护对象整体安全保护能力
22、的判断。整体安全保护能力从纵深防护和措施互补二个角度评判。测评流程方法的变化在级差上的变化测试方法:第一级主要以访谈位置,第二级核查为主,第三级和第四级在核查的基础上进行测试验证。测评对象范围:第一级和第二级为关键设备,第三级主要设备,第四级所有设备测评实施:第一级和第二级以核查安全机制为主,第三级和第四级先核查安全机制,再检查策略有效性。测评方法使用:安全技术方面的测评方法以配置核查和测试验证为主,几乎没有访谈。安全管理方面可以使用访谈方式进行测评网络安全等级保护安全设计技术要求主要修订的内容名称的变化及等级化保护对象的变化。(与基本要求一致)沿用“一个中心三重防护“的防护理念,在通用的等级
23、保护安全设计框架下,针对云计算、移动互联、物理网、工业控制系统提出了新的安全设计框架。在每一级的“安全计算环境设计技术要求“、”安全区域边界技术设计技术要求”、“安全通信网络设计技术要求”中,除了通用设计外,增加了针对云计算、移动互联、物联网、工业控制系统的设计要求。主要修订内容网络安全等级保护安全技术设计框架云计算安全防护技术框架移动互联系统安全防护技术框架物联网安全防护技术框架工业控制系统安全防护技术框架现等级保护标准体系GB 17859 计算机信息系统安全保护等级划分准则GB/T 25058网络安全等级保护实施指南GB/T 22240网络安全等级保护定级指南GB/T 22239网络安全等
24、级保护基本要求GB/T 25070网络安全等级保护安全技术设计要求网络安全等级保护安全管理中心技术要求GB/T 28448网络安全等级保护测评要求GB/T 28449信息系统安全等级保护测评过程指南网络安全等级保护测试评估技术指南(修订)(修订)(修订)(修订)(新立)(修订)(新立)网络安全等级保护定级指南主要修订的内容(草案阶段)p 原来:信息安全等级保护工作直接作用的具体信息和信息系统p 改为:网络安全等级保护的作用对象,主要包括基础信息网络、工业控制系统、云计算平台、大数据平台、物联网、使用移动互联技术的网络系统以及其他网络系统。(目前文字描述上与基本要求不一致,但意思相同,后期应该会
25、统一)p 根据网络安全法,扩展等级保护对象,并解决移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的等级保护工作。1.等级保护对象的修订2.新增相关标准术语p 基础信息网络:为信息流通、网络系统运行等起基础支撑作用的信息网络,包括电信网、广播电视传输网、互联网、业务专网等网络设备设施。p 关键信息基础设施:公共通信和信息服务、能源、金融、交通、水利、公共服务和电子政务等重要行业和领域以及其他一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生和公共利益的网络系统。p 大数据平台:采用分布式存储和计算技术,提供大数据的访问、处理和存储,支撑大数据应用安全高效运行的软硬件
26、集合。3.第三级定义的修订p 原来:信息系统受到破坏后,会对社会秩序和公共利益造成严重损坏,或者对国家安全造成损害。p 改为:等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级定级要素与安全保护等级的关系4.明确了定级工作的流程5.定级对象的确定p 作为定级对象的网络系统应具有如下基本特征:具有确定的主要安全责任主体。包含但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。承载相对独立的业务应用。包含相互关联的多个资源。如由服务器、终端、网络互联设备和安全设备组成的办公自动化系统,单一设备不单独定级。5.定级对象的确定5.定级对象的确定
