網(wǎng)絡(luò)安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)修訂解讀

網(wǎng)絡(luò)平安等級保護(hù)相關(guān)標(biāo)準(zhǔn)修訂解讀智慧城市運(yùn)營中心周俊基礎(chǔ)/預(yù)備定級安全建設(shè)/整改測評整改重新定級《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》GB17859-1999GB/T25058-2010《信息系統(tǒng)安全保護(hù)等級定級指南》GB/T22240-2008GB/T22239-2008GB/T25070-2010GB/T20271-2006GB/T20269-2006《信息系統(tǒng)安全等級保護(hù)基本要求》《信息系統(tǒng)定級保護(hù)安全設(shè)計技術(shù)要求》《信息系統(tǒng)通用安全技術(shù)要求》《信息系統(tǒng)安全管理要求》GB/T28448-2012GB/T28449-2012《信息系統(tǒng)安全等級保護(hù)測評要求》《信息系統(tǒng)安全等級保護(hù)測評過程指南》原等級保護(hù)標(biāo)準(zhǔn)體系現(xiàn)等級保護(hù)標(biāo)準(zhǔn)體系GB17859計算機(jī)信息系統(tǒng)平安保護(hù)等級劃分準(zhǔn)那么GB/T25058網(wǎng)絡(luò)平安等級保護(hù)實(shí)施指南GB/T22240網(wǎng)絡(luò)平安等級保護(hù)定級指南GB/T22239網(wǎng)絡(luò)平安等級保護(hù)根本要求GB/T25070GB/T28448網(wǎng)絡(luò)平安等級保護(hù)測評要求GB/T28449信息系統(tǒng)平安等級保護(hù)測評過程指南〔修訂〕〔修訂〕〔修訂〕〔修訂〕〔新立〕〔修訂〕〔新立〕標(biāo)準(zhǔn)修訂歷程?網(wǎng)絡(luò)平安等級保護(hù)根本要求?主要修訂的內(nèi)容1.標(biāo)準(zhǔn)名稱的變化2.等級保護(hù)對象的變化3.平安要求的變化原來：平安要求改為：平安通用要求和平安擴(kuò)展要求平安通用要求是不管等級保護(hù)對象形態(tài)如何必須滿足的要求，針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出了特殊要求，稱為平安擴(kuò)展要求。4.章節(jié)結(jié)構(gòu)的變化〔以第三級要求為例〕8第三級平安要求8.1平安通用要求8.1.1物理和環(huán)境平安…8.1.8平安運(yùn)維管理8.2云計算平安擴(kuò)展要求8.2.1物理和環(huán)境平安8.2.2網(wǎng)絡(luò)和通信平安…8.3移動互聯(lián)平安擴(kuò)展要求8.4物聯(lián)網(wǎng)平安擴(kuò)展要求8.5工業(yè)控制系統(tǒng)平安擴(kuò)展要求5.控制措施分類結(jié)構(gòu)的變化6.通用要求控制點(diǎn)的變化——物理和環(huán)境平安序號原分類原有控制點(diǎn)新的分類新的控制點(diǎn)1物理安全物理位置的選擇物理和環(huán)境安全物理位置的選擇2物理訪問控制物理訪問控制3防盜竊和防破壞防盜竊和防破壞4防雷擊防雷擊5防火防火6防水和防潮防水和防潮7防靜電防靜電8溫濕度控制溫濕度控制9電力供應(yīng)電力供應(yīng)10電磁防護(hù)電磁防護(hù)6.通用要求控制點(diǎn)的變化——網(wǎng)絡(luò)和通信平安序號原分類原有控制點(diǎn)新的分類新的控制點(diǎn)1網(wǎng)絡(luò)安全結(jié)構(gòu)安全網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)架構(gòu)2訪問控制通信傳輸3安全審計邊界防護(hù)4邊界完整性檢查訪問控制5入侵防范入侵防范6惡意代碼防范惡意代碼防范7網(wǎng)絡(luò)設(shè)備防護(hù)安全審計8集中管控6.通用要求控制點(diǎn)的變化——設(shè)備和計算平安序號原分類原有控制點(diǎn)新的分類新的控制點(diǎn)1主機(jī)安全身份鑒別設(shè)備和計算安全身份鑒別2安全標(biāo)記訪問控制3訪問控制安全審計4可信路徑入侵防范5安全審計惡意代碼防范6剩余信息保護(hù)資源控制7入侵防范8惡意代碼防范9資源控制6.通用要求控制點(diǎn)的變化——應(yīng)用和數(shù)據(jù)平安序號原分類原有控制點(diǎn)新的分類新的控制點(diǎn)1應(yīng)用安全身份鑒別應(yīng)用和數(shù)據(jù)安全身份鑒別2安全標(biāo)記訪問控制3訪問控制安全審計4可信路徑軟件容錯5安全審計資源控制6剩余信息保護(hù)數(shù)據(jù)完整性7通信完整性數(shù)據(jù)保密性8通信保密性數(shù)據(jù)備份恢復(fù)9抗抵賴剩余信息保護(hù)10軟件容錯個人信息保護(hù)11資源控制1數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性2數(shù)據(jù)保密性3備份和恢復(fù)6.通用要求控制點(diǎn)的變化——平安管理策略和管理制度序號原分類原有控制點(diǎn)新的分類新的控制點(diǎn)1安全管理制度管理制度安全策略和管理制度安全策略2制定和發(fā)布管理制度3評審和修訂制定和發(fā)布4評審和修訂6.通用要求控制點(diǎn)的變化——平安管理機(jī)構(gòu)和人員序號原分類原有控制點(diǎn)新的分類新的控制點(diǎn)1安全管理機(jī)構(gòu)崗位設(shè)置安全管理機(jī)構(gòu)和人員崗位設(shè)置2人員配備人員配備3授權(quán)和審批授權(quán)和審批4溝通和合作溝通和合作5審核和檢查審核和檢查1人員安全管理人員錄用人員錄用2人員離崗人員離崗3人員考核安全意識教育和培訓(xùn)4安全意識教育和培訓(xùn)外部人員訪問管理5外部人員訪問管理6.通用要求控制點(diǎn)的變化——平安建設(shè)管理序號原分類原有控制點(diǎn)新的分類新的控制點(diǎn)1系統(tǒng)建設(shè)管理系統(tǒng)定級安全建設(shè)管理定級和備案2安全方案設(shè)計安全方案設(shè)計3產(chǎn)品采購和使用產(chǎn)品采購和使用4自行軟件開發(fā)自行軟件開發(fā)5外包軟件開發(fā)外包軟件開發(fā)6工程實(shí)施工程實(shí)施7測試驗(yàn)收測試驗(yàn)收8系統(tǒng)交付系統(tǒng)交付9系統(tǒng)備案等級測評10等級測評服務(wù)供應(yīng)商選擇11安全服務(wù)商選擇6.通用要求控制點(diǎn)的變化——平安運(yùn)維管理序號原分類原有控制點(diǎn)新的分類新的控制點(diǎn)1系統(tǒng)運(yùn)維管理環(huán)境管理安全運(yùn)維管理環(huán)境管理2資產(chǎn)管理資產(chǎn)管理3介質(zhì)管理介質(zhì)管理4設(shè)備管理設(shè)備維護(hù)管理5監(jiān)控管理和安全管理中心漏洞和風(fēng)險管理6網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)和系統(tǒng)管理7系統(tǒng)安全管理惡意代碼防范管理8惡意代碼防范管理配置管理9密碼管理密碼管理10變更管理變更管理11備份與恢復(fù)管理備份與恢復(fù)管理12安全事件處置安全事件處置13應(yīng)急預(yù)案管理應(yīng)急預(yù)案管理14外包運(yùn)維管理6.通用要求標(biāo)準(zhǔn)控制點(diǎn)的變化安全要求類層面一級二級三級四級技術(shù)要求物理和環(huán)境安全7101010網(wǎng)絡(luò)和通信安全4688設(shè)備和計算安全4666應(yīng)用和數(shù)據(jù)安全591010管理要求安全策略和管理制度1444安全管理機(jī)構(gòu)和人員7999安全建設(shè)管理7101010安全運(yùn)維管理8141414合計（新標(biāo)準(zhǔn)）43687171合計（舊標(biāo)準(zhǔn)）486673777.增加云計算平安擴(kuò)展要求云計算平安擴(kuò)展要求章節(jié)針對云計算的特點(diǎn)提出特殊保護(hù)要求。由第2分冊〔之前的云計算平安擴(kuò)展要求分冊〕合并為根本要求的X.2章節(jié)，合并后精煉保存針對云計算特點(diǎn)的特殊保護(hù)要求，增加包括“根底設(shè)施的位置〞、“虛擬化平安保護(hù)〞、“鏡像和快照保護(hù)〞、“云效勞商選擇〞和“云計算環(huán)境管理〞等方面。8.增加了移動互聯(lián)平安擴(kuò)展要求移動互聯(lián)平安擴(kuò)展要求章節(jié)針對移動互聯(lián)的特點(diǎn)提出特殊保護(hù)要求。由第3分冊〔之前的移動互聯(lián)網(wǎng)平安擴(kuò)展要求分冊〕合并為根本要求的X.3章節(jié)，合并后精煉保存針對移動互聯(lián)網(wǎng)特點(diǎn)的特殊保護(hù)要求，增加包括“無線接入點(diǎn)的物理位置〞、“移動終端管控〞、“移動應(yīng)用管控〞、“移動應(yīng)用軟件采購〞和“移動應(yīng)用軟件開發(fā)〞等方面。9.增加了物聯(lián)網(wǎng)平安擴(kuò)展要求物聯(lián)網(wǎng)平安擴(kuò)展要求章節(jié)針對物聯(lián)網(wǎng)的特點(diǎn)提出特殊保護(hù)要求。由第4分冊〔之前的物聯(lián)網(wǎng)平安擴(kuò)展要求分冊〕合并為根本要求的X.4章節(jié)，合并后精煉保存針對物聯(lián)網(wǎng)的感知網(wǎng)局部特殊保護(hù)要求，增加包括“感知節(jié)點(diǎn)的物理防護(hù)〞、“感知節(jié)點(diǎn)設(shè)備平安〞、“網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備平安〞、“感知節(jié)點(diǎn)的管理〞和“數(shù)據(jù)融合處理〞等方面。10.增加了工業(yè)控制系統(tǒng)平安擴(kuò)展要求工業(yè)控制系統(tǒng)平安擴(kuò)展要求章節(jié)針對工業(yè)控制系統(tǒng)的特點(diǎn)提出特殊保護(hù)要求。對工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括“室外控制設(shè)備防護(hù)〞、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)平安〞、“撥號使用控制〞、“無線使用控制〞和“控制設(shè)備平安〞等方面，針對工業(yè)控制系統(tǒng)實(shí)時性要求高的特點(diǎn)調(diào)整了“漏洞和風(fēng)險管理〞和“惡意代碼防范管理〞方面的要求。安全要求類層面一級二級三級四級技術(shù)要求物理和環(huán)境安全7152223網(wǎng)絡(luò)和通信安全7153333設(shè)備和計算安全7172626應(yīng)用和數(shù)據(jù)安全8223437管理要求安全策略和管理制度1677安全管理機(jī)構(gòu)和人員7162629安全建設(shè)管理9233435安全運(yùn)維管理13314951合計（新標(biāo)準(zhǔn)）59145231241合計（舊標(biāo)準(zhǔn)）8517529031811.標(biāo)準(zhǔn)控制項(xiàng)的變化——通用要求11.標(biāo)準(zhǔn)控制項(xiàng)的變化——擴(kuò)展要求安全要求項(xiàng)一級二級三級四級安全通用要求（X.1）59145231241云計算安全擴(kuò)展要求（X.2）12376061移動互聯(lián)安全擴(kuò)展要求（X.3）5192324物聯(lián)網(wǎng)安全擴(kuò)展要求（X.4）792324工業(yè)控制系統(tǒng)安全擴(kuò)展要求（X.5）1018262712.取消了平安控制點(diǎn)的標(biāo)注適應(yīng)定級方法的變化，取消了原來平安控制點(diǎn)的S、A、G標(biāo)注，調(diào)整原來的附錄B“平安要求的選擇和使用“，描述等級保護(hù)對象的定級結(jié)果和平安要求之間的關(guān)系，增加平安控制措施選擇時，控制點(diǎn)的標(biāo)注及使用說明。13.增加了應(yīng)用場景的說明等級保護(hù)平安框架圖D.1云計算效勞模式與控制范圍的關(guān)系13.增加了應(yīng)用場景的說明層面安全要求安全組件責(zé)任主體物理和環(huán)境安全物理位置選擇數(shù)據(jù)中心及物理設(shè)施云服務(wù)商網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)結(jié)構(gòu)、訪問控制、入侵防范、安全審計物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺云服務(wù)商云服務(wù)客戶虛擬網(wǎng)絡(luò)安全域云服務(wù)客戶設(shè)備和計算安全身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制、鏡像和快照保護(hù)物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺、物理宿主機(jī)及附屬設(shè)備、虛擬機(jī)管理平臺、鏡像等云服務(wù)商云服務(wù)客戶虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備、虛擬機(jī)等云服務(wù)客戶應(yīng)用和數(shù)據(jù)安全安全審計、資源控制、接口安全、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)云管理平臺（含運(yùn)維和運(yùn)營）、鏡像、快照等云服務(wù)商云服務(wù)客戶應(yīng)用系統(tǒng)及相關(guān)軟件組件、云服務(wù)客戶應(yīng)用系統(tǒng)配置、云服務(wù)客戶業(yè)務(wù)相關(guān)數(shù)據(jù)等云服務(wù)客戶安全管理機(jī)構(gòu)和人員授權(quán)和審批授權(quán)和審批流程、文檔等云服務(wù)商安全建設(shè)管理安全方案設(shè)計、測試驗(yàn)收、云服務(wù)商選擇、供應(yīng)鏈管理云計算平臺接口、安全措施、供應(yīng)鏈管理流程、安全事件和重要變更信息云服務(wù)商云服務(wù)商選擇及管理流程云服務(wù)客戶安全運(yùn)維管理監(jiān)控和審計管理監(jiān)控和審計管理的相關(guān)流程、策略和數(shù)據(jù)云服務(wù)商、云服務(wù)客戶IaaS模式下云效勞商與租戶的責(zé)任劃分層面安全要求安全組件責(zé)任主體物理和環(huán)境安全物理位置選擇數(shù)據(jù)中心及物理設(shè)施云服務(wù)商網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)結(jié)構(gòu)、訪問控制、遠(yuǎn)程訪問、入侵防范、安全審計物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺、虛擬網(wǎng)絡(luò)安全域云服務(wù)商設(shè)備和計算安全身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制、鏡像和快照保護(hù)物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺、物理宿主機(jī)及附屬設(shè)備、虛擬機(jī)管理平臺、鏡像、虛擬機(jī)、虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備等云服務(wù)商應(yīng)用和數(shù)據(jù)安全安全審計、資源控制、接口安全、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)云管理平臺（含運(yùn)維和運(yùn)營）、鏡像、快照等云服務(wù)商云服務(wù)客戶應(yīng)用系統(tǒng)及相關(guān)軟件組件、云服務(wù)客戶應(yīng)用系統(tǒng)配置、云服務(wù)客戶業(yè)務(wù)相關(guān)數(shù)據(jù)等云服務(wù)客戶安全管理機(jī)構(gòu)和人員授權(quán)和審批授權(quán)和審批流程、文檔等云服務(wù)商安全建設(shè)管理安全方案設(shè)計、測試驗(yàn)收、云服務(wù)商選擇、供應(yīng)鏈管理云計算平臺接口、安全措施、供應(yīng)鏈管理流程、安全事件和重要變更信息云服務(wù)商云服務(wù)商選擇及管理流程云服務(wù)客戶安全運(yùn)維管理監(jiān)控和審計管理監(jiān)控和審計管理的相關(guān)流程、策略和數(shù)據(jù)云服務(wù)商PaaS模式下云效勞商與租戶的責(zé)任劃分SaaS模式下云效勞商與租戶的責(zé)任劃分層面安全要求安全組件責(zé)任主體物理和環(huán)境安全物理位置選擇數(shù)據(jù)中心及物理設(shè)施云服務(wù)商網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)結(jié)構(gòu)、訪問控制、遠(yuǎn)程訪問、入侵防范、安全審計物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺、虛擬網(wǎng)絡(luò)安全域云服務(wù)商設(shè)備和計算安全身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制、鏡像和快照保護(hù)物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺、物理宿主機(jī)及附屬設(shè)備、虛擬機(jī)管理平臺、鏡像、虛擬機(jī)、虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備等云服務(wù)商應(yīng)用和數(shù)據(jù)安全安全審計、資源控制、接口安全、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)云管理平臺（含運(yùn)維和運(yùn)營）、鏡像、快照等、應(yīng)用系統(tǒng)及相關(guān)軟件組件云服務(wù)商云服務(wù)客戶應(yīng)用系統(tǒng)配置、云服務(wù)客戶業(yè)務(wù)相關(guān)數(shù)據(jù)等云服務(wù)客戶安全管理機(jī)構(gòu)和人員授權(quán)和審批授權(quán)和審批流程、文檔等云服務(wù)商安全建設(shè)管理安全方案設(shè)計、測試驗(yàn)收、云服務(wù)商選擇、供應(yīng)鏈管理云計算平臺接口、安全措施、供應(yīng)鏈管理流程、安全事件和重要變更信息云服務(wù)商云服務(wù)商選擇及管理流程云服務(wù)客戶安全運(yùn)維管理監(jiān)控和審計管理監(jiān)控和審計管理的相關(guān)流程、策略和數(shù)據(jù)云服務(wù)商圖E.1移動互聯(lián)應(yīng)用架構(gòu)圖F.1物聯(lián)網(wǎng)系統(tǒng)構(gòu)成13.增加了應(yīng)用場景的說明?網(wǎng)絡(luò)平安等級保護(hù)測評要求?主要修訂的內(nèi)容主要修訂內(nèi)容名稱的變化及等級保護(hù)測評對象的變化。〔與根本要求一致〕每級分別遵從?根本要求?的框架描述如何實(shí)施測評工作，每個級別包括平安測評通用要求、云計算平安測評擴(kuò)展要求、移動互聯(lián)平安測評擴(kuò)展要求、物聯(lián)網(wǎng)平安測評擴(kuò)展要求和工業(yè)控制系統(tǒng)平安測評擴(kuò)展要求等5個局部內(nèi)容。測評項(xiàng)與根本要求一致。為了更加易于使用測評要求，增加?附錄B測評單元編號說明?和?附錄D根本要求和測評要求對應(yīng)表?。等級測評描述框架等級測評分為單項(xiàng)測評和整體測評。單項(xiàng)測評是針對各平安要求項(xiàng)的測評，支持測評結(jié)果的可重復(fù)性和可再現(xiàn)性。本標(biāo)準(zhǔn)中單項(xiàng)測評由測評指標(biāo)、測評對象、測評實(shí)施和單元判定結(jié)果構(gòu)成。整體測評是在單項(xiàng)測評根底上，對等級保護(hù)對象整體平安保護(hù)能力的判斷。整體平安保護(hù)能力從縱深防護(hù)和措施互補(bǔ)二個角度評判。測評流程方法的變化在級差上的變化主要修訂內(nèi)容現(xiàn)等級保護(hù)標(biāo)準(zhǔn)體系GB17859計算機(jī)信息系統(tǒng)平安保護(hù)等級劃分準(zhǔn)那么GB/T25058網(wǎng)絡(luò)平安等級保護(hù)實(shí)施指南GB/T22240網(wǎng)絡(luò)平安等級保護(hù)定級指南GB/T22239網(wǎng)絡(luò)平安等級保護(hù)根本要求GB/T25070GB/T28448網(wǎng)絡(luò)平安等級保護(hù)測評要求GB/T28449信息系統(tǒng)平安等級保護(hù)測評過程指南〔修訂〕〔修訂〕〔修訂〕〔修訂〕〔新立〕〔修訂〕〔新立〕?網(wǎng)絡(luò)平安等級保護(hù)定級指南?主要修訂的內(nèi)容〔草案階段〕1.等級保護(hù)對象的修訂3.第三級定義的修訂受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第三級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級定級要素與平安保護(hù)等級的關(guān)系4.明確了定級工作的流程確定定級對象初步確定等級專家評審主管部門審核公安機(jī)關(guān)備案審查5.定級對象確實(shí)定作為定級對象的網(wǎng)絡(luò)系統(tǒng)應(yīng)具有如下根本特征：具有確定的主要平安責(zé)任主體?！幌抻谄髽I(yè)、機(jī)關(guān)和事業(yè)單位等法人，以及不具備法人資格的社會團(tuán)體等其他組織。承載相對獨(dú)立的業(yè)務(wù)應(yīng)用。包含相互關(guān)聯(lián)的多個資源?！?/p>