信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第部分安全通用要求編制說明

1、信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第 1 部分：安全通用要求編制說明1 概述1.1 任務(wù)來源信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求于2012年成為國家標(biāo)準(zhǔn)，標(biāo)準(zhǔn)號為 GB/T28448-2012， 被廣泛應(yīng)用于各個行業(yè)的開展等級保護(hù)對象安全等級保護(hù)的檢測評估工作。但是隨著信息技術(shù)的發(fā)展，尤其云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和大數(shù)據(jù)等新技術(shù)的發(fā)展，該標(biāo)準(zhǔn)在時效性、易用性、可操作性上還需進(jìn)一步提高，2013 年公安部第三研究所聯(lián)合中國電子技術(shù)標(biāo)準(zhǔn)化研究院和北京神州綠盟科技有限公司向安標(biāo)委申請對GB/T 28448-2012 進(jìn)行修訂。根據(jù)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2013 年下達(dá)的國家標(biāo)準(zhǔn)制修訂計

2、劃，國家標(biāo)準(zhǔn)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求修訂任務(wù)由公安部第三研究所負(fù)責(zé)主辦，項(xiàng)目編號為2013bzxd-WG5-006。1.2 制定本標(biāo)準(zhǔn)的目的和意義信息安全等級保護(hù)管理辦法（公通字200743 號） 明確指出信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo)，而且等級測評的技術(shù)測評報告是其檢查內(nèi)容之一。這就要求等級測評過程規(guī)范、測評結(jié)論準(zhǔn)確、公正及可重現(xiàn)。信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求（ GB/T22239-2008） （簡稱基本要求 ）和信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求（ GB/T28448-2012） （簡稱測評要求）等標(biāo)準(zhǔn)對近

3、幾年來全國信息安全等級保護(hù)工作的推動起到了重要的作用。伴隨著 IT 技術(shù)的發(fā)展，基本要求中的一些內(nèi)容需要結(jié)合我國信息安全等級保護(hù)工作的特點(diǎn)，結(jié)合信息技術(shù)發(fā)展尤其是信息安全技術(shù)發(fā)展的特點(diǎn)，比如無線網(wǎng)絡(luò)的大量使用，數(shù)據(jù)大集中、云計算等應(yīng)用方式的普及等，需要針對各等級系統(tǒng)應(yīng)當(dāng)對抗的安全威脅和應(yīng)具有的恢復(fù)能力，提出新的各等級的安全保護(hù)目標(biāo)。作為基本要求的姊妹標(biāo)準(zhǔn)，測評要求需要同步修訂，依據(jù)基本要求的更新內(nèi)容對應(yīng)修訂相關(guān)的單元測評章節(jié)。此外， 測評要求還需要吸收近年來的測評實(shí)踐，更新整體測評方法和測評結(jié)論形 成方法。1.3 與其他標(biāo)準(zhǔn)的關(guān)系圖 1 等級保護(hù)標(biāo)準(zhǔn)相互關(guān)系從 上圖可以看出，在等級保護(hù)對象實(shí)施

4、安全保護(hù)過程中，首先利用 信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南（ GB/T 22240-2008） （簡稱“ 定級指南”）確定等級保護(hù)對象的安全保護(hù)等級，然后根據(jù)信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求系列標(biāo)準(zhǔn)選擇安全控制措施，隨后利用信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南（簡稱“ 實(shí)施指南”）或其他相關(guān)標(biāo)準(zhǔn)確定其特殊安全需求，進(jìn)行等級保護(hù)對象的安全規(guī)劃和建設(shè)工作，此后利用信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評過程指南（ GB/T28449-20XX） （簡稱“測評過程指南”）來規(guī)范測評過程和各項(xiàng)活動，利用信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求系列標(biāo)準(zhǔn)來判斷安全控制措施的有效性。同時，等級保護(hù)整個

5、實(shí)施過程又是由實(shí)施指南來指導(dǎo)的。在等級保護(hù)的相關(guān)標(biāo)準(zhǔn)中，測評要求系列標(biāo)準(zhǔn)是基本要求系列標(biāo)準(zhǔn)的姊妹篇，測評要求針對 基本要求中各要求項(xiàng)，提供了具體測評方法、步驟和判斷依據(jù)等，是為了確認(rèn)等級保護(hù)對象是否按照基本要求中的不同等級的技術(shù)和管理要求實(shí)施的，而測評過程指南則是規(guī)定了開展這些測評活動的基本過程，包括過程、任務(wù)及產(chǎn)品等，以指導(dǎo)用戶對測評要求的正確使用。1.4 標(biāo)準(zhǔn)組成為了適應(yīng)移動互聯(lián)、虛擬計算、云計算、物聯(lián)網(wǎng)、工控系統(tǒng)和大數(shù)據(jù)等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級保護(hù)測評工作的開展，需對GB/T 28448-2012 進(jìn)行修訂，修訂的思路和方法是針對移動互聯(lián)、虛擬計算、云計算、物聯(lián)網(wǎng)、工控系統(tǒng)和大

6、數(shù)據(jù)等新技術(shù)、新應(yīng)用領(lǐng)域提出擴(kuò)展的測評要求。對 GB/T 28448-2012 的修訂完成后，測評要求標(biāo)準(zhǔn)成為由多個部分組成的系列標(biāo)準(zhǔn)，目前主要有六個部分： GB/T信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第1部分：安全通用要求； GB/T信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第2部分：云計算安全擴(kuò)展要求； GB/T信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第3部分：移動互聯(lián)安全擴(kuò)展要求； GB/T 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第 4 部分：物聯(lián)網(wǎng)安全擴(kuò)展要求； GB/T 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第5 部分：工控控制安全擴(kuò)展要求； GB/T 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第 6

7、部分： 大數(shù)據(jù)安全擴(kuò)展測評要求。2 編制過程1) 2013 年 12 月，公安部第三研究所、中國電子技術(shù)標(biāo)準(zhǔn)化研究院和北京神州綠盟科技有限公司成立了信息安全技術(shù)信息安全等級保護(hù)測評要求標(biāo)準(zhǔn)編制組。2) 2014 年 1 月至 5 月， 標(biāo)準(zhǔn)編制組按照計劃調(diào)研了國際和國內(nèi)無線接入、虛擬計算、云計算平臺、大數(shù)據(jù)應(yīng)用和工控系統(tǒng)應(yīng)用等新技術(shù)、新應(yīng)用的情況，分析并總結(jié)了新技術(shù)和新應(yīng)用中的安全關(guān)注點(diǎn)和要素；同時標(biāo)準(zhǔn)編制組調(diào)研了與信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求(GB/T 28448-2012)相關(guān)的其他國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，分析了 信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求(GB/T 22239-20

8、08) 的修訂可能對其產(chǎn)生的影響。3) 2014 年 5 月，為適應(yīng)無線移動接入、虛擬計算環(huán)境、云計算平臺應(yīng)用、大數(shù)據(jù)應(yīng)用和工控系統(tǒng)應(yīng)用等新技術(shù)、新應(yīng)用的情況下等級保護(hù)工作開展，公安部十一局牽頭會同有關(guān)部門組織2014 年新領(lǐng)域的國家標(biāo)準(zhǔn)立項(xiàng)，根據(jù)新標(biāo)準(zhǔn)立項(xiàng)結(jié)果確定基本要求修訂思路發(fā)生重大變化，為適應(yīng)基本要求修訂思路的變化在信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求( GB/T 28448-2012)的基礎(chǔ)上，針對無線移動接入、虛擬計算環(huán)境、云計算平臺應(yīng)用、大數(shù)據(jù)應(yīng)用和工控系統(tǒng)應(yīng)用等新領(lǐng)域形成“測評要求”的分冊，如信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第 2 部分： 云計算安全擴(kuò)展要求、信息安全技

9、術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第 3 部分：移動互聯(lián)安全擴(kuò)展要求、 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第 4 部分：物聯(lián)網(wǎng)安全擴(kuò)展要求、 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求第 5 部分：工控控制安全擴(kuò)展要求和信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求第 6 部分：大數(shù)據(jù)安全擴(kuò)展要求。構(gòu)成 GB/T 、GB/T、等測評要求系列標(biāo)準(zhǔn)，上述思路的變化直接影響了國家標(biāo)準(zhǔn) GB/T28448-2012 的修訂思路和內(nèi)容。5) 2014 年 7 月至 2015 年 5 月，標(biāo)準(zhǔn)編制組根據(jù)新修訂基本要求草案第一稿編制了信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第 1 部分：安全通用要求草案第一稿。6) 2015年

10、5月至 2015年 12月，標(biāo)準(zhǔn)編制組根據(jù)新修訂基本要求草案第三稿編制了信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第 1 部分：安全通用要求草案第二稿。7) 2016 年 5 月至 2016 年 6 月，標(biāo)準(zhǔn)編制組根據(jù)新修訂基本要求草案第五稿編制了信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第 1 部分：安全通用要求草案第三稿。8) 2016 年 5 月 23 日， 在評估中心針對信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第 1 部分：安全通用要求草案第三稿進(jìn)行行業(yè)內(nèi)專家評審會。9) 2016年 7月， 標(biāo)準(zhǔn)編制組根據(jù)新修訂基本要求草案第六稿和第七稿編制了信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第 1 部分：安全通用

11、要求草案第四稿。10) 2016 年 7 月 -8 月，將信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第 1 部分：安全通用要求草案第四稿發(fā)送11家等級測評機(jī)構(gòu)和WG5：作組成員單位征求意見。11) 2016年8月12日，在北京瑞安賓館第五會議室召開 WG5：作組部分專家評審會，針對信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第 1 部分：安全通用要求草案第四稿征求意見。12) 2016年8月25日，在北京瑞安賓館第二會議室參加 WG5：作組在研標(biāo)準(zhǔn)推進(jìn)會， 在會上征求所有WG5：作組成員單位意見。12)根據(jù)專家意見已經(jīng)修訂完成，形成信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求第 1 部分：安全通用要求草案第五稿。1

12、3)根據(jù)測評機(jī)構(gòu)反饋意見修訂完成，形成信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求 第 1 部分：安全通用要求草案第六稿。14)前正在推進(jìn)測評要求后續(xù)專標(biāo)準(zhǔn)修訂工作。3 標(biāo)準(zhǔn)編制的技術(shù)路線 安全等級保護(hù)測評(以下簡稱等級測評)的概念性描述框架由兩部分構(gòu)成：單項(xiàng)測評和整體測評，圖1 給出了等級測評框架。圖 1 等級測評描述框架針對基本要求各安全要求項(xiàng)的測評稱為單項(xiàng)測評，單項(xiàng)測評是等級測評工作的基本活動，支持測評結(jié)果的可重復(fù)性和可再現(xiàn)性。單項(xiàng)測評是由測評指標(biāo)、測評對象、測評實(shí)施和單元判定構(gòu)成。本部分的測評指標(biāo)包括信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第 1 部分：安全通用要求第四級目錄下的要求項(xiàng)。測評對象是

13、指測評實(shí)施的對象，即測評過程中涉及到的制度文檔、各類設(shè)備及其安全配置和相關(guān)人員等。對于框架來說，每一個被測安全要求項(xiàng)（不同級別）均有一組與之相關(guān)的預(yù)先定義的測評對象（如制度文檔、各類設(shè)備設(shè)施及相關(guān)人員等）。制度文檔是指針對等級保護(hù)對象所制定的相關(guān)聯(lián)的文件（如：政策、程序、計劃、系統(tǒng)安全需求、功能規(guī)格及建筑設(shè)計）。各類設(shè)備是指安裝在等級保護(hù)對象之內(nèi)或邊界，能起到特定保護(hù)作用的相關(guān)部件（如： 硬件、 軟件、 固件或物理設(shè)施）。 相關(guān)人員或部門，是指應(yīng)用上述制度、設(shè)備及安全配置的人。測評實(shí)施是一組針對特定測評對象，采用相關(guān)測評方法，遵從一定的測評規(guī)程所形成的，用于測評人員使用的確定該要求項(xiàng)有效性的程

14、序化陳述。測評實(shí)施主要由測評方法和測評規(guī)程構(gòu)成。其中測評方法包括：訪談、檢查和測試（說明見術(shù)語），測評人員通過這些方法試圖獲取證據(jù)。上述的評估方法都由一組相關(guān)屬性來規(guī)范測評方法的測評力度。這些屬性是：廣度（覆蓋面）和深度。對于每一種測評方法都標(biāo)識（ 定義）了唯一屬性，深度特性適用于訪談和檢查，而覆蓋面特性則適用于全部三種測評方法。上述三種測評方法（訪談、檢查和測評）的測評結(jié)果都用以對安全控制的有效性進(jìn)行評估。測評規(guī)程是各類測評方法操作使用的過程、步驟，測評規(guī)程實(shí)施完成后，可以獲得相應(yīng)的證據(jù)。結(jié)果判定描述測評人員執(zhí)行測評實(shí)施并產(chǎn)生各種測評輸出數(shù)據(jù)后，如何依據(jù)這些測評輸出數(shù)據(jù)來判定被測系統(tǒng)是否滿足

15、測評指標(biāo)要求的原則和方法。通過測評實(shí)施所獲得的所有證據(jù)都滿足要求則為符合，不全滿足要求則該單項(xiàng)要求不符合。整體測評是在單項(xiàng)測評基礎(chǔ)上，分別從安全控制點(diǎn)測評，安全控制點(diǎn)間和層面間三個角度分別進(jìn)行測評。4 標(biāo)準(zhǔn)總體框架本標(biāo)準(zhǔn)共分為11 章， 4 個附錄，每章內(nèi)容如下：第 1、 2、 3 章，為標(biāo)準(zhǔn)的常規(guī)性描述，包括范圍、規(guī)范性引用文件、術(shù)語和定義；第 4 章，概要描述了安全等級保護(hù)測評方法及單項(xiàng)測評和整體測評組成；第 5、 6、 7、 8 章，分別描述了第一、二、三、四級測評要求，每級分別遵從基本要求的框架從安全技術(shù)和安全管理兩大方面描述如何實(shí)施測評工作，其中技術(shù)方面分別從物理和環(huán)境安全、網(wǎng)絡(luò)和通

16、信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全四個層面展開；而管理方面則分別從安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理和安全系統(tǒng)運(yùn)維管理四個方面展開，與基本要求形成了相互對照、和諧統(tǒng)一的標(biāo)準(zhǔn)體系。第 9 章，略掉第五級的測評要求。第 10 章，描述了系統(tǒng)整體測評方法。在單項(xiàng)測評的基礎(chǔ)上，從系統(tǒng)整體的角度綜合考慮如何進(jìn)行系統(tǒng)性的測評。分別從安全控制點(diǎn)、安全控制點(diǎn)間及層面間測評三方面進(jìn)行描述，分析了在進(jìn)行系統(tǒng)測評時所需考慮的方向和指導(dǎo)思想。第 11 章，概要說明了給出測評結(jié)論的方法，測評結(jié)論主要應(yīng)該包括哪些方面的內(nèi)容等。附錄A， 描述了各種測評方法的測評強(qiáng)度，并具體描述針對不同等級保護(hù)對象的測

17、評強(qiáng)度。附錄B,描述了測評指標(biāo)編碼規(guī)則及專用縮略語。附錄C,描述了設(shè)計要求測評驗(yàn)證內(nèi)容。附錄D,為基本要求的要求項(xiàng)和測評要求的測評單元索引表。5 主要章節(jié)的編寫方法第 5、 6、 7、 8 章分別描述了第一級、第二級、 第三級和第四級所有測評要求的內(nèi)容，在章節(jié)上分別對應(yīng)國標(biāo)GB/T 的第 5 章到第 8 章。在國標(biāo)GB/T 第 5章到第8章中，各章的二級目錄都分為安全技術(shù)和安全管理兩部分，三級目錄從安全層面（如物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全等）進(jìn)行劃分和描述，四級目錄按照安全控制點(diǎn)進(jìn)行劃分和描述（如設(shè)備和計算安全層面下分為身份鑒別、訪問控制、安全審計等），第五級目錄是每一個安全控制點(diǎn)下面包括的具體安全要求項(xiàng)。具體編制案例如下。案例：7 第三級測評要求安全技術(shù)單項(xiàng)測評物理和環(huán)境安全物理位置的選擇測評單元（L3-PES1-01）a) 測評指標(biāo)機(jī)房場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；（本條款引用自） ）b) 測評對象記錄類文檔、機(jī)房。c) 測評實(shí)施1) 應(yīng)核查所在建筑物是否具有建筑物抗震設(shè)防審批文檔；2) 應(yīng)核查機(jī)房是否不存在雨水滲漏；3) 應(yīng)核查門窗是否不存在因風(fēng)導(dǎo)致的塵土嚴(yán)重；4) 應(yīng)核查屋頂、墻體、門窗和地面等是否不存在破損開裂。d) 單元判定如果 1) -4)均為肯定，