網絡安全等級保護相關標準修訂解讀

1、網絡安全等級保護相關標準修訂解讀智慧城市運營中心 周俊基礎/預備定級安全建設/整改測評整改重新定級計算機信息系統(tǒng)安全保護等級劃分準則信息系統(tǒng)安全等級保護實施指南 GB 17859-1999 GB/T 25058-2010信息系統(tǒng)安全保護等級定級指南 GB/T 22240-2008 GB/T 22239-2008 GB/T 25070-2010 GB/T 20271-2006 GB/T 20269-2006 信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)定級保護安全設計技術要求信息系統(tǒng)通用安全技術要求信息系統(tǒng)安全管理要求 GB/T 28448-2012 GB/T 28449-2012信息系統(tǒng)安全等級保護測

2、評要求信息系統(tǒng)安全等級保護測評過程指南原等級保護標準體系現(xiàn)等級保護標準體系GB 17859 計算機信息系統(tǒng)安全保護等級劃分準則GB/T 25058網絡安全等級保護實施指南GB/T 22240網絡安全等級保護定級指南GB/T 22239網絡安全等級保護基本要求GB/T 25070網絡安全等級保護安全技術設計要求網絡安全等級保護安全管理中心技術要求GB/T 28448網絡安全等級保護測評要求GB/T 28449信息系統(tǒng)安全等級保護測評過程指南網絡安全等級保護測試評估技術指南（修訂）（修訂）（修訂）（修訂）（新立）（修訂）（新立） 2014年，為了適應新技術新應用情況下的等級保護工作開展，決定對原標

3、準進行擴展，形成5個分冊，以基本要求為例，分為：網絡安全等級保護基本要求 第1部分：安全通用要求第2部分：云計算安全擴展要求第3部分：移動互聯(lián)安全擴展要求第4部分：物聯(lián)網安全擴展要求第5部分： 工業(yè)控制系統(tǒng)安全擴展要求 測評要求和設計要求也進行了相應的擴展，形成了15個標準小組，各小組經過草案、征求意見階段，在2017年5月形成了標準送審稿。標準修訂歷程2013年，全國信息安全標準化技術委員會秘書處下達了對原國家標準信息系統(tǒng)安全等級保護基本要求、信息系統(tǒng)安全等級保護測評要求、信息系統(tǒng)等級保護安全設計技術要求的修訂工作。2017年8月，網信辦、公安部和信安標委達成一致意見，將基本要求、測評要求、

4、設計要求三個標準體系的5個分冊標準進行了合并，形成網絡安全等級保護基本要求、網絡安全等級保護測評要求、網絡安全等級保護安全設計技術要求三個單一標準，形成最新版送審稿。網絡安全等級保護基本要求主要修訂的內容p 原來：信息系統(tǒng)安全等級保護基本要求p 改為：網絡安全等級保護基本要求p 為適應中華人民共和國網絡安全法，配合落實“網絡安全等級保護制度”，變更等級保護相關標準的名稱。1.標準名稱的變化2.等級保護對象的變化p 原來：信息安全等級保護工作直接作用的具體信息和信息系統(tǒng)p 改為：由計算機或者其他信息終端及相關設備組成的按照一定的規(guī)則和程序對信息進行收集、存儲、傳輸、交換、處理的系統(tǒng)，主要包括基礎

5、信息網絡、信息系統(tǒng)、云計算平臺、大數(shù)據平臺、物聯(lián)網系統(tǒng)、工業(yè)控制系統(tǒng)等。p 根據網絡安全法，擴展等級保護對象，并解決移動互聯(lián)、云計算、大數(shù)據、物聯(lián)網和工業(yè)控制等新技術、新應用領域的等級保護工作。3.安全要求的變化p 原來：安全要求p 改為：安全通用要求和安全擴展要求p 安全通用要求是不管等級保護對象形態(tài)如何必須滿足的要求，針對云計算、移動互聯(lián)、物聯(lián)網和工業(yè)控制系統(tǒng)提出了特殊要求，稱為安全擴展要求。4.章節(jié)結構的變化（以第三級要求為例）p 8 第三級安全要求p 8.1安全通用要求p 8.1.1 物理和環(huán)境安全p p 8.1.8 安全運維管理p 8.2 云計算安全擴展要求p 8.2.1 物理和環(huán)境

6、安全p 8.2.2 網絡和通信安全p p 8.3 移動互聯(lián)安全擴展要求p 8.4 物聯(lián)網安全擴展要求p 8.5 工業(yè)控制系統(tǒng)安全擴展要求p 7 第三級基本要求p 7.1 技術要求p 7.1.1物理安全p 7.1.2網絡安全p p 7.2 管理要求p 7.2.1 安全管理制度p 7.2.2 安全管理機構p 5.控制措施分類結構的變化p 技術要求 原來：物理安全、網絡安全、主機安全、應用安全、數(shù)據安全 改為：物理和環(huán)境安全、網絡和通信安全、設備和計算安全、應用和數(shù)據安全p 管理要求 原來：安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理 改為：安全策略和管理制度、安全管理機構與

7、人員、安全建設管理、安全運維管理6.通用要求控制點的變化物理和環(huán)境安全序號原分類原有控制點新的分類新的控制點1物理安全物理位置的選擇物理和環(huán)境安全物理位置的選擇2物理訪問控制物理訪問控制3防盜竊和防破壞防盜竊和防破壞4防雷擊防雷擊5防火防火6防水和防潮防水和防潮7防靜電防靜電8溫濕度控制溫濕度控制9電力供應電力供應10電磁防護電磁防護6.通用要求控制點的變化網絡和通信安全序號原分類原有控制點新的分類新的控制點1網絡安全結構安全網絡和通信安全網絡架構2訪問控制通信傳輸3安全審計邊界防護4邊界完整性檢查訪問控制5入侵防范入侵防范6惡意代碼防范惡意代碼防范7網絡設備防護安全審計8集中管控6.通用要求

8、控制點的變化設備和計算安全序號原分類原有控制點新的分類新的控制點1主機安全身份鑒別設備和計算安全身份鑒別2安全標記訪問控制3訪問控制安全審計4可信路徑入侵防范5安全審計惡意代碼防范6剩余信息保護資源控制7入侵防范8惡意代碼防范9資源控制6.通用要求控制點的變化應用和數(shù)據安全序號原分類原有控制點新的分類新的控制點1應用安全身份鑒別應用和數(shù)據安全身份鑒別2安全標記訪問控制3訪問控制安全審計4可信路徑軟件容錯5安全審計資源控制6剩余信息保護數(shù)據完整性7通信完整性數(shù)據保密性8通信保密性數(shù)據備份恢復9抗抵賴剩余信息保護10軟件容錯個人信息保護11資源控制1數(shù)據安全及備份恢復數(shù)據完整性2數(shù)據保密性3備份和

9、恢復6.通用要求控制點的變化安全管理策略和管理制度序號原分類原有控制點新的分類新的控制點1安全管理制度管理制度安全策略和管理制度安全策略2制定和發(fā)布管理制度3評審和修訂制定和發(fā)布4評審和修訂6.通用要求控制點的變化安全管理機構和人員序號原分類原有控制點新的分類新的控制點1安全管理機構崗位設置安全管理機構和人員崗位設置2人員配備人員配備3授權和審批授權和審批4溝通和合作溝通和合作5審核和檢查審核和檢查1人員安全管理人員錄用人員錄用2人員離崗人員離崗3人員考核安全意識教育和培訓4安全意識教育和培訓外部人員訪問管理5外部人員訪問管理6.通用要求控制點的變化安全建設管理序號原分類原有控制點新的分類新的

10、控制點1系統(tǒng)建設管理系統(tǒng)定級安全建設管理定級和備案2安全方案設計安全方案設計3產品采購和使用產品采購和使用4自行軟件開發(fā)自行軟件開發(fā)5外包軟件開發(fā)外包軟件開發(fā)6工程實施工程實施7測試驗收測試驗收8系統(tǒng)交付系統(tǒng)交付9系統(tǒng)備案等級測評10等級測評服務供應商選擇11安全服務商選擇6.通用要求控制點的變化安全運維管理序號原分類原有控制點新的分類新的控制點1系統(tǒng)運維管理環(huán)境管理安全運維管理環(huán)境管理2資產管理資產管理3介質管理介質管理4設備管理設備維護管理5監(jiān)控管理和安全管理中心漏洞和風險管理6網絡安全管理網絡和系統(tǒng)管理7系統(tǒng)安全管理惡意代碼防范管理8惡意代碼防范管理配置管理9密碼管理密碼管理10變更管理

11、變更管理11備份與恢復管理備份與恢復管理12安全事件處置安全事件處置13應急預案管理應急預案管理14外包運維管理6.通用要求標準控制點的變化安全要求類層面一級二級三級四級技術要求物理和環(huán)境安全7101010網絡和通信安全4688設備和計算安全4666應用和數(shù)據安全591010管理要求安全策略和管理制度1444安全管理機構和人員7999安全建設管理7101010安全運維管理8141414合計（新標準）43687171合計（舊標準）486673777.增加云計算安全擴展要求p 云計算安全擴展要求章節(jié)針對云計算的特點提出特殊保護要求。由第2分冊（之前的云計算安全擴展要求分冊）合并為基本要求的X.2章

12、節(jié)，合并后精煉保留針對云計算特點的特殊保護要求，增加包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務商選擇”和“云計算環(huán)境管理”等方面。8.增加了移動互聯(lián)安全擴展要求p 移動互聯(lián)安全擴展要求章節(jié)針對移動互聯(lián)的特點提出特殊保護要求。由第3分冊（之前的移動互聯(lián)網安全擴展要求分冊）合并為基本要求的X.3章節(jié)，合并后精煉保留針對移動互聯(lián)網特點的特殊保護要求，增加包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件采購”和“移動應用軟件開發(fā)”等方面。9.增加了物聯(lián)網安全擴展要求p 物聯(lián)網安全擴展要求章節(jié)針對物聯(lián)網的特點提出特殊保護要求。由第4分冊（之前

13、的物聯(lián)網安全擴展要求分冊）合并為基本要求的X.4章節(jié)，合并后精煉保留針對物聯(lián)網的感知網部分特殊保護要求，增加包括“感知節(jié)點的物理防護”、“感知節(jié)點設備安全”、“網關節(jié)點設備安全”、“感知節(jié)點的管理”和“數(shù)據融合處理”等方面。10.增加了工業(yè)控制系統(tǒng)安全擴展要求p 工業(yè)控制系統(tǒng)安全擴展要求章節(jié)針對工業(yè)控制系統(tǒng)的特點提出特殊保護要求。對工業(yè)控制系統(tǒng)主要增加的內容包括“室外控制設備防護”、“工業(yè)控制系統(tǒng)網絡架構安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”等方面，針對工業(yè)控制系統(tǒng)實時性要求高的特點調整了“漏洞和風險管理”和“惡意代碼防范管理”方面的要求。安全要求類層面一級二級三級四級技

14、術要求物理和環(huán)境安全7152223網絡和通信安全7153333設備和計算安全7172626應用和數(shù)據安全8223437管理要求安全策略和管理制度1677安全管理機構和人員7162629安全建設管理9233435安全運維管理13314951合計（新標準）59145231241合計（舊標準）8517529031811.標準控制項的變化通用要求11.標準控制項的變化擴展要求安全要求項一級二級三級四級安全通用要求（X.1）59145231241云計算安全擴展要求（X.2）12376061移動互聯(lián)安全擴展要求（X.3）5192324物聯(lián)網安全擴展要求（X.4）792324工業(yè)控制系統(tǒng)安全擴展要求（X.5

15、）1018262712.取消了安全控制點的標注p 適應定級方法的變化，取消了原來安全控制點的S、A、G標注，調整原來的附錄B“安全要求的選擇和使用“，描述等級保護對象的定級結果和安全要求之間的關系，增加安全控制措施選擇時，控制點的標注及使用說明。13.增加了應用場景的說明p 增加附錄C 描述等級保護安全框架和關鍵技術 ，增加附錄D描述云計算應用場景，附錄E描述移動互聯(lián)應用場景，附錄F描述物聯(lián)網應用場景，附錄G描述工業(yè)控制系統(tǒng)應用場景。等級保護安全框架圖D.1云計算服務模式與控制范圍的關系13.增加了應用場景的說明層面安全要求安全組件責任主體物理和環(huán)境安全物理位置選擇數(shù)據中心及物理設施云服務商網

16、絡和通信安全網絡結構、訪問控制、入侵防范、安全審計物理網絡及附屬設備、虛擬網絡管理平臺云服務商云服務客戶虛擬網絡安全域云服務客戶設備和計算安全身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制、鏡像和快照保護物理網絡及附屬設備、虛擬網絡管理平臺、物理宿主機及附屬設備、虛擬機管理平臺、鏡像等云服務商云服務客戶虛擬網絡設備、虛擬安全設備、虛擬機等云服務客戶應用和數(shù)據安全安全審計、資源控制、接口安全、數(shù)據完整性、數(shù)據保密性、數(shù)據備份恢復云管理平臺（含運維和運營）、鏡像、快照等云服務商云服務客戶應用系統(tǒng)及相關軟件組件、云服務客戶應用系統(tǒng)配置、云服務客戶業(yè)務相關數(shù)據等云服務客戶安全管理機構和

17、人員授權和審批授權和審批流程、文檔等云服務商安全建設管理安全方案設計、測試驗收、云服務商選擇、供應鏈管理云計算平臺接口、安全措施、供應鏈管理流程、安全事件和重要變更信息云服務商云服務商選擇及管理流程云服務客戶安全運維管理監(jiān)控和審計管理監(jiān)控和審計管理的相關流程、策略和數(shù)據云服務商、云服務客戶IaaS模式下云服務商與租戶的責任劃分層面安全要求安全組件責任主體物理和環(huán)境安全物理位置選擇數(shù)據中心及物理設施云服務商網絡和通信安全網絡結構、訪問控制、遠程訪問、入侵防范、安全審計物理網絡及附屬設備、虛擬網絡管理平臺、虛擬網絡安全域云服務商設備和計算安全身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資

18、源控制、鏡像和快照保護物理網絡及附屬設備、虛擬網絡管理平臺、物理宿主機及附屬設備、虛擬機管理平臺、鏡像、虛擬機、虛擬網絡設備、虛擬安全設備等云服務商應用和數(shù)據安全安全審計、資源控制、接口安全、數(shù)據完整性、數(shù)據保密性、數(shù)據備份恢復云管理平臺（含運維和運營）、鏡像、快照等云服務商云服務客戶應用系統(tǒng)及相關軟件組件、云服務客戶應用系統(tǒng)配置、云服務客戶業(yè)務相關數(shù)據等云 服 務 客戶安全管理機構和人員授權和審批授權和審批流程、文檔等云服務商安全建設管理安全方案設計、測試驗收、云服務商選擇、供應鏈管理云計算平臺接口、安全措施、供應鏈管理流程、安全事件和重要變更信息云服務商云服務商選擇及管理流程云 服 務 客

19、戶安全運維管理監(jiān)控和審計管理監(jiān)控和審計管理的相關流程、策略和數(shù)據云服務商PaaS模式下云服務商與租戶的責任劃分SaaS模式下云服務商與租戶的責任劃分層面安全要求安全組件責任主體物理和環(huán)境安全物理位置選擇數(shù)據中心及物理設施云服務商網絡和通信安全網絡結構、訪問控制、遠程訪問、入侵防范、安全審計物理網絡及附屬設備、虛擬網絡管理平臺、虛擬網絡安全域云服務商設備和計算安全身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制、鏡像和快照保護物理網絡及附屬設備、虛擬網絡管理平臺、物理宿主機及附屬設備、虛擬機管理平臺、鏡像、虛擬機、虛擬網絡設備、虛擬安全設備等云服務商應用和數(shù)據安全安全審計、資源控制

20、、接口安全、數(shù)據完整性、數(shù)據保密性、數(shù)據備份恢復云管理平臺（含運維和運營）、鏡像、快照等、應用系統(tǒng)及相關軟件組件云服務商云服務客戶應用系統(tǒng)配置、云服務客戶業(yè)務相關數(shù)據等云服務客戶安全管理機構和人員授權和審批授權和審批流程、文檔等云服務商安全建設管理安全方案設計、測試驗收、云服務商選擇、供應鏈管理云計算平臺接口、安全措施、供應鏈管理流程、安全事件和重要變更信息云服務商云服務商選擇及管理流程云服務客戶安全運維管理監(jiān)控和審計管理監(jiān)控和審計管理的相關流程、策略和數(shù)據云服務商圖E.1移動互聯(lián)應用架構圖F.1物聯(lián)網系統(tǒng)構成13.增加了應用場景的說明網絡安全等級保護測評要求主要修訂的內容主要修訂內容1. 名

21、稱的變化及等級保護測評對象的變化。（與基本要求一致）2. 每級分別遵從基本要求的框架描述如何實施測評工作，每個級別包括安全測評通用要求、云計算安全測評擴展要求、移動互聯(lián)安全測評擴展要求、物聯(lián)網安全測評擴展要求和工業(yè)控制系統(tǒng)安全測評擴展要求等5個部分內容。測評項與基本要求一致。3. 為了更加易于使用測評要求，增加附錄B 測評單元編號說明和附錄D 基本要求和測評要求對應表。等級測評描述框架 等級測評分為單項測評和整體測評。 單項測評是針對各安全要求項的測評，支持測評結果的可重復性和可再現(xiàn)性。本標準中單項測評由測評指標、測評對象、測評實施和單元判定結果構成。 整體測評是在單項測評基礎上，對等級保護對

22、象整體安全保護能力的判斷。整體安全保護能力從縱深防護和措施互補二個角度評判。測評流程方法的變化在級差上的變化1. 測試方法：第一級主要以訪談位置，第二級核查為主，第三級和第四級在核查的基礎上進行測試驗證。2. 測評對象范圍：第一級和第二級為關鍵設備，第三級主要設備，第四級所有設備3. 測評實施：第一級和第二級以核查安全機制為主，第三級和第四級先核查安全機制，再檢查策略有效性。4. 測評方法使用：安全技術方面的測評方法以配置核查和測試驗證為主，幾乎沒有訪談。安全管理方面可以使用訪談方式進行測評網絡安全等級保護安全設計技術要求主要修訂的內容1. 名稱的變化及等級化保護對象的變化。（與基本要求一致）

23、2. 沿用“一個中心三重防護“的防護理念，在通用的等級保護安全設計框架下，針對云計算、移動互聯(lián)、物理網、工業(yè)控制系統(tǒng)提出了新的安全設計框架。3. 在每一級的“安全計算環(huán)境設計技術要求“、”安全區(qū)域邊界技術設計技術要求”、“安全通信網絡設計技術要求”中，除了通用設計外，增加了針對云計算、移動互聯(lián)、物聯(lián)網、工業(yè)控制系統(tǒng)的設計要求。主要修訂內容網絡安全等級保護安全技術設計框架云計算安全防護技術框架移動互聯(lián)系統(tǒng)安全防護技術框架物聯(lián)網安全防護技術框架工業(yè)控制系統(tǒng)安全防護技術框架現(xiàn)等級保護標準體系GB 17859 計算機信息系統(tǒng)安全保護等級劃分準則GB/T 25058網絡安全等級保護實施指南GB/T 22

24、240網絡安全等級保護定級指南GB/T 22239網絡安全等級保護基本要求GB/T 25070網絡安全等級保護安全技術設計要求網絡安全等級保護安全管理中心技術要求GB/T 28448網絡安全等級保護測評要求GB/T 28449信息系統(tǒng)安全等級保護測評過程指南網絡安全等級保護測試評估技術指南（修訂）（修訂）（修訂）（修訂）（新立）（修訂）（新立）網絡安全等級保護定級指南主要修訂的內容（草案階段）p 原來：信息安全等級保護工作直接作用的具體信息和信息系統(tǒng)p 改為：網絡安全等級保護的作用對象，主要包括基礎信息網絡、工業(yè)控制系統(tǒng)、云計算平臺、大數(shù)據平臺、物聯(lián)網、使用移動互聯(lián)技術的網絡系統(tǒng)以及其他網絡系

25、統(tǒng)。（目前文字描述上與基本要求不一致，但意思相同，后期應該會統(tǒng)一）p 根據網絡安全法，擴展等級保護對象，并解決移動互聯(lián)、云計算、大數(shù)據、物聯(lián)網和工業(yè)控制等新技術、新應用領域的等級保護工作。1.等級保護對象的修訂2.新增相關標準術語p 基礎信息網絡：為信息流通、網絡系統(tǒng)運行等起基礎支撐作用的信息網絡，包括電信網、廣播電視傳輸網、互聯(lián)網、業(yè)務專網等網絡設備設施。p 關鍵信息基礎設施：公共通信和信息服務、能源、金融、交通、水利、公共服務和電子政務等重要行業(yè)和領域以及其他一旦遭到破壞、喪失功能或數(shù)據泄露，可能嚴重危害國家安全、國計民生和公共利益的網絡系統(tǒng)。p 大數(shù)據平臺：采用分布式存儲和計算技術，提供大數(shù)據的訪問、處理和存儲，支撐大數(shù)據應用安全高效運行的軟硬件集合。3.第三級定義的修訂p 原來：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損壞，或者對國家安全造成損害。p 改為：等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第三級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級定級要素與安全保護等