等保门户网: 专家专栏 > 专家专栏

网络安全等级保护系列标准框架介绍

来源:admin 发布日期:2017-09-13

网络安全等级保护系列标准框架介绍
公安部信息安全等级保护评估中心 马力
 
为推动我国网络安全等级保护工作的开展,自2007年起,公安部网络安全保卫局牵头组织国内有关专家学者、信息安全企业、科研院所、全国信息安全标准化技术委员会,研究制订了一系列网络安全等级保护国家标准,形成了比较完整的网络安全等级保护标准体系,为开展等级保护工作奠定了坚实基础。40多个重要行业部门,按照等级保护国家标准要求相继制定出台了120多个行业标准、规范,有力推动和支撑了重要行业网络安全工作的深入开展。
为贯彻落实中央关于完善网络安全等级保护制度的有关要求,配合《网络安全法》的出台和实施,满足重要行业部门、事业单位、中央企业、安全厂商开展云计算、大数据、物联网、移动互联、工业控制系统等新技术、新应用环境下的等级保护工作的需求,自2014年4月起,公安部网络安全保卫局组织各标准起草单位对云计算、大数据、物联网、移动互联、工业控制系统等新技术、新应用安全问题进行了深入、广泛的调研,对《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)、《信息安全技术信息系统等级保护安全设计技术要求》(GB/T 25070-2010)、《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012)进行修订,根据新技术、新应用的发展趋势和技术特点,将原有标准修订为安全通用要求,并在此基础上增加了云计算平台、大数据、物联网、移动互联、工业控制系统环境下的安全扩展要求,形成等级保护系列国家标准。
同时,为进一步规范、指导新技术条件下等级保护定级工作的开展,对2008年发布的《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)进行修订,增加了云计算平台、大数据、物联网、工业控制系统环境下信息系统定级对象、定级方法的描述,形成了《网络安全等级保护定级指南》。
目前,网络安全等级保护系列国家标准已形成标准送审稿,近期将正式颁布出台。


 
《网络安全等级保护基本要求第一部分:安全通用要求》修订解读
 
2008年正式发布的国家标准《信息系统安全等级保护基本要求》GB/T 22239-2008在我国推行信息安全等级保护制度的过程中起到了非常重要的作用,被广泛应用于各个行业和各个领域,网络安全监督管理部门、信息系统运营使用单位、网络安全集成服务企业、安全测评机构等均以该标准为指导开展信息安全等级保护的建设整改、等级测评和监督检查等工作,因此,该标准在等级技术体系中具有核心地位。
随着信息技术的发展,已有近10年历史的GB/T 22239-2008在时效性、易用性、可操作性上需要进一步扩充和完善,根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,从2014年起公安部第三研究所(公安部信息安全等级保护评估中心)牵头组织了对GB/T 22239-2008的修订工作。
对GB/T 22239的修订经历了调查研究、草案形成、征求意见稿、送审稿等过程,也接受到了各行业用户及专家提出的宝贵意见,正是他们的建议使得标准不断趋于完善。作为标准的主要组织起草单位之一,在这里提前向大家介绍一下对原国家标准GB/T 22239-2008修订的一些主要内容,以便大家可以更好地理解和使用新标准。
一、 标准名称的变化
《中华人民共和国网络安全法》(以下简称“网络安全法”)于2017年6月1日起实施。网络安全法第21条明确“国家实行网络安全等级保护制度”,第31条明确“国家对关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。为了与网络安全法提出的“网络安全等级保护制度”保持一致,作为支撑性的主要技术标准,GB/T 22239的名称由原来的“信息系统安全等级保护基本要求”改为“网络安全等级保护基本要求”。
二、 标准构成的变化
当今技术上较大的变化是无线移动接入、虚拟计算技术、云计算应用、大数据应用等新技术、新应用的出现和使用,为了适应无线移动接入、虚拟计算环境、云计算、大数据等新技术、新应用情况下网络安全等级保护工作的开展,对GB/T 22239-2008进行修订的思路和方法是针对无线移动接入、云计算、大数据、物联网和工业控制系统等新技术、新应用领域形成基本要求的多个部分。
基本要求标准由原来的一个标准变更为由多个部分组成的标准,分别为:
——GB/T 22239.1-XXXX 信息安全技术 网络安全等级保护基本要求 
第1部分:安全通用要求;
——GB/T 22239.2-XXXX 信息安全技术 网络安全等级保护基本要求 
第2部分:云计算安全扩展要求;
——GB/T 22239.3-XXXX 信息安全技术 网络安全等级保护基本要求 
第3部分:移动互联安全扩展要求;
——GB/T 22239.4-XXXX 信息安全技术 网络安全等级保护基本要求 
第4部分:物联网安全扩展要求;
——GB/T 22239.5-XXXX 信息安全技术 网络安全等级保护基本要求 
第5部分:工业控制系统安全扩展要求。
其中“GB/T 22239.1-XXXX 信息安全技术 网络安全等级保护基本要求 第1部分:安全通用要求”(以下简称“安全通用要求”)将替代原来的GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》。
系列标准中“安全通用要求”是基础性标准,无论被保护对象以何种形态出现,必须实现“安全通用要求”中提出的安全控制措施。例如:某单位确定了定级对象,并完成了定级工作,由于定级对象采用了云计算技术,同时具有移动互联接入的应用需求,在安全建设时,首先应使用GB/T 22239.1,落实“安全通用要求”提出的各项安全控制措施,同时由于使用了云计算技术和移动互联技术,因此还需使用GB/T 22239.2和GB/T 22239.3,落实云计算安全扩展要求和移动互联安全扩展要求提出的安全控制措施。
三、 标准内容的变化
“安全通用要求”沿用正在修订中的《网络安全等级保护定级指南》GB/T 22240(以下简称“定级指南”)提出的“等级保护对象”概念,针对等级保护对象提出完整的安全技术要求和安全管理要求,第三级以上保护对象要求形成较为完备的安全技术体系和安全管理体系。
各级技术要求的分类将GB/T22239-2008 的“物理安全”、“网络安全”、“主机安全”、“应用安全”和“数据安全和备份与恢复”修订为“物理和环境安全”、“网络和通信安全”、“设备和计算安全”、“应用和数据安全”;各级管理要求的分类将GB/T22239-2008 的“安全管理制度”、“安全管理机构”、“人员安全管理”、“系统建设管理”和“系统运维管理”修订为“安全策略和管理制度”、“安全管理机构和人员”、“安全建设管理”、“安全运维管理”。
技术要求“从面到点”提出安全要求,“物理和环境安全”主要对机房设施提出要求,“网络和通信安全”主要对通信网络提出要求,“设备和计算安全”主要对构成节点提出要求,“应用和数据安全”主要对业务应用提出要求。管理要求“从元素到活动”提出安全要求,“安全策略和管理制度”及“安全管理机构和人员”主要提出了管理不可缺少的制度、机构和人员三要素,“安全建设管理”及“安全运维管理”主要提出了建设过程和运维过程的安全活动要求。
“安全通用要求”在“网络和通信安全”中进一步强调了网络整体的保护,确定了新的控制点为“网络架构”、“通信传输”、“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范”、“安全审计”,第三级以上等级保护对象强化了“集中管控”的要求。在“设备和计算安全”中考虑到构成节点的复杂性,节点可能是网络设备、安全设备、服务器、终端等,甚至可能是移动平板、手机等,因此新的控制点确定为“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”和“恶意代码防范”,第三级以上等级保护对象强化了“双因素鉴别”和“基于标记访问控制”的要求。在“应用和数据安全”中进一步强调数据的安全性,新的控制点包括“数据完整性”、“数据保密性”、“数据备份和恢复”,另外在数据保护方面强化了“剩余信息保护”和“个人信息保护”。
“安全通用要求”取消了原来安全控制点的S(业务信息安全措施)、A(系统服务安全措施)、G(通用安全措施)标注,但是为了和修订中的“定级指南”配合使用,增加了一个附录B “安全要求的选择和使用” 描述等级保护对象的定级结果和安全要求之间的关系,说明如何根据定级的S、A结果选择安全要求的相关条款,简化了标准正文部分的内容。
总之,“安全通用要求”是一个普适性标准,其提出的安全要求具有通用性,适用于各种类型的等级保护对象,包括网络基础设施、传统信息系统、云计算平台、大数据平台,物联网、工业控制系统等,对于采用特殊技术或处于特殊环境的等级保护对象,应在安全风险评估的基础上,针对安全风险采取特殊的安全措施或扩展的安全措施作为补充。

【关闭】 【打印】

您是第 37468739 位访问者
沪ICP备 12039260号 京公网安备 11010802025578号