前言
2017年10月15-19日,全国信息安全标准化技术委员会2017年第二次会议周在厦门召开,16日上午WG5工作组191个成员单位中121家单位的231位专家参加了工作会议。公安部三所马力老师对 《信息安全技术 网络安全等级保护基本要求》( GB/T 22239—XXXX 代替 GB/T 22239-2008)送审稿进行了解读。
2017年8月,公安部评估中心根据网信办和安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《网络安全等级保护基本要求》一个标准。下面小编将给大家介绍一下最新的网络安全等保基本要求(定级、设计与测评方面的变化将在后续文章中介绍)与原标准相比发生了什么变化。
一、标准修订过程回顾
2014年全国安标委秘书处下达对《信息安全技术 信息系统等级保护基本要求》( GB/T 22239—2008)进行修订的任务,修订工作由公安部第三研究所(公安部信息安全等保护评估中心)主要承担。
2015年4月第一次专家评审会、2015年12月第二次专家评审会、2016年7月第三次专家评审会、2016年9月再次修订形成标准征求意见稿。先后征求了网信办、工信部、保密局、公安部、国家密码管理局、国家认监委、信息安全测评中心的意见,共收到44条意见,采纳36条。
2017年8月,根据网信办和公安部的意见将5个分册进行整合形成一册送审稿,后收到10条修改意见并全部采纳。
二、新旧标准变化内容
将原来的信息系统安全等级保护相关标准名称更改为信息安全等级保护,再更名为网络安全等级保护相关标准,与《中华人民共和国网络安全法》保持一致。
2.内容的变化
基本要求的内容由一个基本要求变更为安全通用要求和安全扩展要求(含云计算、移动互联、物联网、工业控制)。在GB/T 22239 网络安全等级保护基本要求合并了如下5部分:
1)安全通用要求(公安部信息安全等级保护评估中心)
2)云计算安全扩展要求(公安部信息安全等级保护评估中心)
3)移动互联安全扩展要求(北京鼎普科技股份有限公司)
4)物联网安全扩展要求(公安部第一研究所)
5)工业控制系统安全扩展要求(浙江大学)
同样,针对设计要求(GB/T 25070)与测评要求(GB/T 28448)也由5个分册分别整合成一册。
3.标准章节的变化
拿基本要求的第8章节为列, 为第三级安全要求:
8.1 安全通用要求
8.2 云计算安全扩展要求
8.3 移动互联安全扩展要求
8.4 物联网安全扩展要求
8.5 工业控制系统安全扩展要求
4.控制措施分类结构的变化
由原来的10个分类调整为8分,分别为技术部分(物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全)、管理部分(安全策略和管理制度、安全管理机构和人员、安全建设管量、安全运维管理)。
5.环境安全扩展了哪些要求
针对云计算环境安全扩展要求主要增加的内容包括:“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”、“云计算环境管理”等。
对移动互联环境主要增加的内容包括:“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”、“移动应用软件开发”等。
对物联网环境主要增加的内容包括:“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”、“数据融合处理”等。
对工业控制系统主要增加的内容包括:“室外控制设备防护”、“工业控制系统网络架构安全”、“拔号使用控制”、“无线使用控制”、“控制设备安全”。
6.增加了应用场景说明
增加了描述等级保护安全框架和关键技术、云计算应用场景、移动互联应用场景、物联网应用场景、工业控制系统应用场景。
7.取消了安全控制点的标注
为适应定级方法的变化,取消对控制点的“S”、“A”、“G”标注的使用,调整原标准附录B,增加安全控制措施选择时,控制点的标注及使用说明。
保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);其他通用性安全保护类要求(简记为G),所有管理安全要求均为通用性安全保护类要求。
8.标准控制点与要求项的变化
新标准在控制点要求项目并没有明显的增加,通过合并整合后反而减少了。各级的要求项明细如下表所示:
安全要求类 | 层面 | 二级 | 三级 | 四级 | |
技术要求 | 物理和环境安全 | 7 | 10 | 10 | 10 |
网络和通信安全 | 4 | 6 | 8 | 8 | |
设备和计算安全 | 4 | 6 | 6 | 6 | |
应用和数据安全 | 5 | 9 | 10 | 10 | |
管理要求 | 安全策略和管理制度 | 1 | 4 | 4 | 4 |
安全管理机构和人员 | 7 | 9 | 9 | 9 | |
安全建设管理 | 7 | 10 | 10 | 10 | |
安全运维管理 | 8 | 14 | 14 | 14 | |
新标准控制点 | / | 43 | 68 | 71 | 71 |
旧标准控制点 | / | 48 | 66 | 73 | 77 |
新标准要求项 | / | 59 | 145 | 231 | 241 |
旧标准要求项 | / | 85 | 175 | 290 | 318 |
不得不等:划重点:1、以前的信息安全等级保护现在改名叫网络安全等级保护,也就是网络安全法里面说的网络安全等级保护。
2、将等级保护之前在编的5个基本要求分册标准(安全通用要求、 云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求)进行了合并形成《网络安全等级保护基本要求》一个标准。
3、控制措施分类由原先的10个分类调整为8个分类,分别为技术部分(物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全)、管理部分(安全策略和管理制度、安全管理机构和人员、安全建设管量、安全运维管理)。
4、新标准里面2级和3级对应的要求项总数分别为145项和231项,相对以前变少了。