帶你三分鐘了解最新《網(wǎng)絡安全等級保護基本要求》的變化
2017年11月02日
前言
2017年10月15-19日�����,全國信息安全標準化技術委員會2017年第二次會議周在廈門召開��,16日上午WG5工作組191個成員單位中121家單位的231位專家參加了工作會議���。
公安部三所馬力老師對 《信息安全技術 網(wǎng)絡安全等級保護基本要求》( GB/T 22239—XXXX 代替 GB/T 22239-2008)送審稿進行了解讀。
2017年8月��,公安部評估中心根據(jù)網(wǎng)信辦和安標委的意見將等級保護在編的5個基本要求分冊標準進行了合并形成《網(wǎng)絡安全等級保護基本要求》一個標準����。下面將給大家介紹一下最新的網(wǎng)絡安全等保基本要求(定級���、設計與測評方面的變化將在后續(xù)文章中介紹)與原標準相比發(fā)生了什么變化��。
一�����、標準修訂過程回顧
2014年全國安標委秘書處下達對《信息安全技術 信息系統(tǒng)等級保護基本要求》( GB/T 22239—2008)進行修訂的任務����,修訂工作由公安部第三研究所(公安部信息安全等保護評估中心)主要承擔。
2015年4月第一次專家評審會�����、2015年12月第二次專家評審會����、2016年7月第三次專家評審會、2016年9月再次修訂形成標準征求意見稿���。先后征求了網(wǎng)信辦��、工信部����、保密局���、公安部��、國家密碼管理局�����、國家認監(jiān)委�、信息安全測評中心的意見,共收到44條意見�����,采納36條�����。
2017年8月����,根據(jù)網(wǎng)信辦和公安部的意見將5個分冊進行整合形成一冊送審稿�����,后收到10條修改意見并全部采納���。
二���、新舊標準變化內容
1.名稱的變化
將原來的信息系統(tǒng)安全等級保護相關標準名稱更改為信息安全等級保護���,再更名為網(wǎng)絡安全等級保護相關標準,與《中華人民共和國網(wǎng)絡安全法》保持一致�。
2.內容的變化
基本要求的內容由一個基本要求變更為安全通用要求和安全擴展要求(含云計算、移動互聯(lián)�、物聯(lián)網(wǎng)、工業(yè)控制)���。在GB/T 22239 網(wǎng)絡安全等級保護基本要求合并了如下5部分:
1)安全通用要求(公安部信息安全等級保護評估中心)
2)云計算安全擴展要求(公安部信息安全等級保護評估中心)
3)移動互聯(lián)安全擴展要求(北京鼎普科技股份有限公司)
4)物聯(lián)網(wǎng)安全擴展要求(公安部第一研究所)
5)工業(yè)控制系統(tǒng)安全擴展要求(浙江大學)
同樣�����,針對設計要求(GB/T 25070)與測評要求(GB/T 28448)也由5個分冊分別整合成一冊���。
3.標準章節(jié)的變化
拿基本要求的第8章節(jié)為例,為第三級安全要求:
8.1 安全通用要求
8.2 云計算安全擴展要求
8.3 移動互聯(lián)安全擴展要求
8.4 物聯(lián)網(wǎng)安全擴展要求
8.5 工業(yè)控制系統(tǒng)安全擴展要求
4.控制措施分類結構的變化
由原來的10個分類調整為8分�����,分別為技術部分(物理和環(huán)境安全��、網(wǎng)絡和通信安全��、設備和計算安全����、應用和數(shù)據(jù)安全)�、管理部分(安全策略和管理制度���、安全管理機構和人員���、安全建設管量、安全運維管理)�����。
5.環(huán)境安全擴展了哪些要求
針對云計算環(huán)境安全擴展要求主要增加的內容包括:“基礎設施的位置”���、“虛擬化安全保護”、“鏡像和快照保護”���、“云服務商選擇”��、“云計算環(huán)境管理”等��。
對移動互聯(lián)環(huán)境主要增加的內容包括:“無線接入點的物理位置”�、“移動終端管控”�����、“移動應用管控”、“移動應用軟件采購”�����、“移動應用軟件開發(fā)”等�。
對物聯(lián)網(wǎng)環(huán)境主要增加的內容包括:“感知節(jié)點的物理防護”、“感知節(jié)點設備安全”�����、“感知網(wǎng)關節(jié)點設備安全”��、“感知節(jié)點的管理”�����、“數(shù)據(jù)融合處理”等�����。
對工業(yè)控制系統(tǒng)主要增加的內容包括:“室外控制設備防護”���、“工業(yè)控制系統(tǒng)網(wǎng)絡架構安全”���、“拔號使用控制”����、“無線使用控制”�����、“控制設備安全”���。
6.增加了應用場景說明
增加了描述等級保護安全框架和關鍵技術���、云計算應用場景、移動互聯(lián)應用場景��、物聯(lián)網(wǎng)應用場景��、工業(yè)控制系統(tǒng)應用場景����。
7.取消了安全控制點的標注
為適應定級方法的變化�,取消對控制點的“S”、“A”�、“G”標注的使用��,調整原標準附錄B��,增加安全控制措施選擇時����,控制點的標注及使用說明�����。
保護數(shù)據(jù)在存儲��、傳輸���、處理過程中不被泄漏����、破壞和免受未授權的修改的信息安全類要求(簡記為S)��;保護系統(tǒng)連續(xù)正常的運行�,免受對系統(tǒng)的未授權修改、破壞而導致系統(tǒng)不可用的服務保證類要求(簡記為A)����;其他通用性安全保護類要求(簡記為G)�,所有管理安全要求均為通用性安全保護類要求�。
8.標準控制點與要求項的變化
新標準在控制點要求項目并沒有明顯的增加,通過合并整合后反而減少了����。各級的要求項明細如下表所示:
9.新標準面臨的問題
技術及業(yè)務模式的發(fā)展遠遠快于標準的制定,當網(wǎng)絡安全等級保護2.0還未上路的時候����,5G 、AI �、區(qū)塊鏈等等一系技術已經在路上了。
【本文轉載自:中國網(wǎng)絡安全等級保護網(wǎng)】
江蘇國駿信息科技有限公司——全面可信的信息安全服務商���!
