2017年11月02日
前言
2017年10月15-19日,全國信息安全標準化技術(shù)委員會2017年第二次會議周在廈門召開,16日上午WG5工作組191個成員單位中121家單位的231位專家參加了工作會議。
公安部三所馬力老師對 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》( GB/T 22239—XXXX 代替 GB/T 22239-2008)送審稿進行了解讀。
2017年8月,公安部評估中心根據(jù)網(wǎng)信辦和安標委的意見將等級保護在編的5個基本要求分冊標準進行了合并形成《網(wǎng)絡(luò)安全等級保護基本要求》一個標準。下面將給大家介紹一下最新的網(wǎng)絡(luò)安全等保基本要求(定級、設(shè)計與測評方面的變化將在后續(xù)文章中介紹)與原標準相比發(fā)生了什么變化。
一、標準修訂過程回顧
2014年全國安標委秘書處下達對《信息安全技術(shù) 信息系統(tǒng)等級保護基本要求》( GB/T 22239—2008)進行修訂的任務(wù),修訂工作由公安部第三研究所(公安部信息安全等保護評估中心)主要承擔(dān)。
2015年4月第一次專家評審會、2015年12月第二次專家評審會、2016年7月第三次專家評審會、2016年9月再次修訂形成標準征求意見稿。先后征求了網(wǎng)信辦、工信部、保密局、公安部、國家密碼管理局、國家認監(jiān)委、信息安全測評中心的意見,共收到44條意見,采納36條。
2017年8月,根據(jù)網(wǎng)信辦和公安部的意見將5個分冊進行整合形成一冊送審稿,后收到10條修改意見并全部采納。
二、新舊標準變化內(nèi)容
1.名稱的變化
將原來的信息系統(tǒng)安全等級保護相關(guān)標準名稱更改為信息安全等級保護,再更名為網(wǎng)絡(luò)安全等級保護相關(guān)標準,與《中華人民共和國網(wǎng)絡(luò)安全法》保持一致。
2.內(nèi)容的變化
基本要求的內(nèi)容由一個基本要求變更為安全通用要求和安全擴展要求(含云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制)。在GB/T 22239 網(wǎng)絡(luò)安全等級保護基本要求合并了如下5部分:
1)安全通用要求(公安部信息安全等級保護評估中心)
2)云計算安全擴展要求(公安部信息安全等級保護評估中心)
3)移動互聯(lián)安全擴展要求(北京鼎普科技股份有限公司)
4)物聯(lián)網(wǎng)安全擴展要求(公安部第一研究所)
5)工業(yè)控制系統(tǒng)安全擴展要求(浙江大學(xué))
同樣,針對設(shè)計要求(GB/T 25070)與測評要求(GB/T 28448)也由5個分冊分別整合成一冊。
3.標準章節(jié)的變化
拿基本要求的第8章節(jié)為例,為第三級安全要求:
8.1 安全通用要求
8.2 云計算安全擴展要求
8.3 移動互聯(lián)安全擴展要求
8.4 物聯(lián)網(wǎng)安全擴展要求
8.5 工業(yè)控制系統(tǒng)安全擴展要求
4.控制措施分類結(jié)構(gòu)的變化
由原來的10個分類調(diào)整為8分,分別為技術(shù)部分(物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全)、管理部分(安全策略和管理制度、安全管理機構(gòu)和人員、安全建設(shè)管量、安全運維管理)。
5.環(huán)境安全擴展了哪些要求
針對云計算環(huán)境安全擴展要求主要增加的內(nèi)容包括:“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務(wù)商選擇”、“云計算環(huán)境管理”等。
對移動互聯(lián)環(huán)境主要增加的內(nèi)容包括:“無線接入點的物理位置”、“移動終端管控”、“移動應(yīng)用管控”、“移動應(yīng)用軟件采購”、“移動應(yīng)用軟件開發(fā)”等。
對物聯(lián)網(wǎng)環(huán)境主要增加的內(nèi)容包括:“感知節(jié)點的物理防護”、“感知節(jié)點設(shè)備安全”、“感知網(wǎng)關(guān)節(jié)點設(shè)備安全”、“感知節(jié)點的管理”、“數(shù)據(jù)融合處理”等。
對工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括:“室外控制設(shè)備防護”、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”、“拔號使用控制”、“無線使用控制”、“控制設(shè)備安全”。
6.增加了應(yīng)用場景說明
增加了描述等級保護安全框架和關(guān)鍵技術(shù)、云計算應(yīng)用場景、移動互聯(lián)應(yīng)用場景、物聯(lián)網(wǎng)應(yīng)用場景、工業(yè)控制系統(tǒng)應(yīng)用場景。
7.取消了安全控制點的標注
為適應(yīng)定級方法的變化,取消對控制點的“S”、“A”、“G”標注的使用,調(diào)整原標準附錄B,增加安全控制措施選擇時,控制點的標注及使用說明。
保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改的信息安全類要求(簡記為S);保護系統(tǒng)連續(xù)正常的運行,免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求(簡記為A);其他通用性安全保護類要求(簡記為G),所有管理安全要求均為通用性安全保護類要求。
8.標準控制點與要求項的變化
新標準在控制點要求項目并沒有明顯的增加,通過合并整合后反而減少了。各級的要求項明細如下表所示:
9.新標準面臨的問題
技術(shù)及業(yè)務(wù)模式的發(fā)展遠遠快于標準的制定,當網(wǎng)絡(luò)安全等級保護2.0還未上路的時候,5G 、AI 、區(qū)塊鏈等等一系技術(shù)已經(jīng)在路上了。
【本文轉(zhuǎn)載自:中國網(wǎng)絡(luò)安全等級保護網(wǎng)】
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商!