背景情況
《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2008)��、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GB/T 22239-2008)����、《信息系統(tǒng)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求》(GB/T 25070-2010)在我國(guó)推行信息安全等級(jí)保護(hù)制度的過(guò)程中起到了非常重要的作用,被廣泛應(yīng)用于各個(gè)行業(yè)或領(lǐng)域指導(dǎo)用戶開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)的建設(shè)整改�、等級(jí)測(cè)評(píng)等工作。但是隨著信息技術(shù)的發(fā)展���,采用新技術(shù)��、新應(yīng)用構(gòu)建的云計(jì)算平臺(tái)���、移動(dòng)互聯(lián)接入、物聯(lián)網(wǎng)�、工業(yè)控制系統(tǒng)和大數(shù)據(jù)應(yīng)用等系統(tǒng)的大量出現(xiàn),已有10年歷史的這三項(xiàng)標(biāo)準(zhǔn)在時(shí)效性����、易用性�、可操作性上需要進(jìn)一步修訂完善����。同時(shí),2017年6月1日���,《網(wǎng)絡(luò)安全法》正式實(shí)施��,進(jìn)一步明確了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的法律地位����,網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)象���、保護(hù)措施要求�����、范圍等都發(fā)生了很大的變化�,需要修訂原來(lái)的標(biāo)準(zhǔn)����,以適應(yīng)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求。
目的意義
《網(wǎng)絡(luò)安全法》明確了“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”����、“關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上����,實(shí)行重點(diǎn)保護(hù)”等內(nèi)容,為網(wǎng)絡(luò)安全等級(jí)保護(hù)工作賦予了新的內(nèi)涵���。為配合《網(wǎng)絡(luò)安全法》的實(shí)施和落地����,指導(dǎo)網(wǎng)絡(luò)運(yùn)營(yíng)者按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求�,履行網(wǎng)絡(luò)安全保護(hù)義務(wù),重新調(diào)整和修訂等級(jí)保護(hù)系列標(biāo)準(zhǔn)意義重大����。尤其是等級(jí)保護(hù)對(duì)象已經(jīng)從狹義的信息系統(tǒng),擴(kuò)展到網(wǎng)絡(luò)基礎(chǔ)設(shè)施��、云計(jì)算平臺(tái)�、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)����、工業(yè)控制系統(tǒng)����、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等�����,重新調(diào)整和修訂等級(jí)保護(hù)系列標(biāo)準(zhǔn)����,基于新技術(shù)和新要求提出新的技術(shù)防護(hù)體系和管理措施、安全建設(shè)設(shè)計(jì)實(shí)現(xiàn)方式以及等級(jí)測(cè)評(píng)方法等非常必要���,可有效指導(dǎo)網(wǎng)絡(luò)運(yùn)營(yíng)者��、網(wǎng)絡(luò)安全企業(yè)�����、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)安全技術(shù)方案的設(shè)計(jì)和實(shí)施��,指導(dǎo)測(cè)評(píng)機(jī)構(gòu)更加規(guī)范化和標(biāo)準(zhǔn)化的開(kāi)展等級(jí)測(cè)評(píng)工作�����,進(jìn)而全面提升網(wǎng)絡(luò)運(yùn)營(yíng)者的網(wǎng)絡(luò)安全防護(hù)能力����。
主要內(nèi)容
01�、網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求
新標(biāo)準(zhǔn)GB/T 22239-2019體現(xiàn)了綜合防御、縱深防御����、主動(dòng)防御思想,規(guī)定了第一級(jí)到第四級(jí)等級(jí)保護(hù)對(duì)象的安全保護(hù)的基本要求����,每個(gè)級(jí)別的基本要求均由安全通用要求和安全擴(kuò)展要求構(gòu)成。例如GB/T 22239-2019提出的第三級(jí)安全要求基本結(jié)構(gòu)為:
8 第三級(jí)安全要求
8.1 安全通用要求
8.2 云計(jì)算安全擴(kuò)展要求
8.3 移動(dòng)互聯(lián)安全擴(kuò)展要求
8.4 物聯(lián)網(wǎng)安全擴(kuò)展要求
8.5 工業(yè)控制系統(tǒng)安全擴(kuò)展要求
安全要求細(xì)分為技術(shù)要求和管理要求��。其中技術(shù)要求部分為“安全物理環(huán)境”“安全通信網(wǎng)絡(luò)”“安全區(qū)域邊界”“安全計(jì)算環(huán)境”“安全管理中心”�����;管理要求部分為“安全管理制度”“安全管理機(jī)構(gòu)”“安全管理人員”“安全建設(shè)管理”“安全運(yùn)維管理”�,兩者合計(jì)共分為10大類。
安全技術(shù)要求的分類體現(xiàn)了“從外部到內(nèi)部”的縱深防御思想���,對(duì)等級(jí)保護(hù)對(duì)象的安全防護(hù)應(yīng)考慮從通信網(wǎng)絡(luò)����、區(qū)域邊界和計(jì)算環(huán)境從外到內(nèi)的整體防護(hù),同時(shí)考慮其所處的物理環(huán)境的安全防護(hù)��,對(duì)級(jí)別較高的還需要考慮對(duì)分布在整個(gè)系統(tǒng)中的安全功能或安全組件的集中技術(shù)管理手段����。
安全管理要求的分類體現(xiàn)了“從要素到活動(dòng)”的綜合管理思想,安全管理需要的“機(jī)構(gòu)”“制度”“人員”三要素缺一不可��,同時(shí)應(yīng)對(duì)系統(tǒng)的建設(shè)整改過(guò)程和運(yùn)行維護(hù)過(guò)程中重要活動(dòng)實(shí)施控制和管理�,對(duì)級(jí)別較高的需要構(gòu)建完備的安全管理體系。
02�����、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求
《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》以GB/T 22239《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的要求項(xiàng)作為測(cè)評(píng)指標(biāo)����,規(guī)定了第一級(jí)到第四級(jí)等級(jí)保護(hù)對(duì)象的測(cè)評(píng)要求,用于規(guī)范和指導(dǎo)測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員的活動(dòng)和行為���。
標(biāo)準(zhǔn)文本分為12章����,3個(gè)附錄。其中第6�、7、8����、9�、11和12章為重點(diǎn)章節(jié),分別描述了第一��、二����、三、四級(jí)測(cè)評(píng)要求���,每級(jí)分別遵從《基本要求》的框架描述如何實(shí)施測(cè)評(píng)工作�。每個(gè)級(jí)別包括安全測(cè)評(píng)通用要求�、云計(jì)算安全測(cè)評(píng)擴(kuò)展要求、移動(dòng)互聯(lián)安全測(cè)評(píng)擴(kuò)展要求�����、物聯(lián)網(wǎng)安全測(cè)評(píng)擴(kuò)展要求和工業(yè)控制系統(tǒng)安全測(cè)評(píng)擴(kuò)展要求等5個(gè)部分內(nèi)容。其中技術(shù)方面分別從安全物理環(huán)境�����、安全通信網(wǎng)絡(luò)���、安全區(qū)域邊界��、安全計(jì)算環(huán)境和安全管理中心等五個(gè)方面展開(kāi)���;而管理方面則分別從安全管理制度、安全管理機(jī)構(gòu)���、安全管理人員����、安全建設(shè)管理和安全系統(tǒng)運(yùn)維管理等五個(gè)方面展開(kāi)����,與《基本要求》形成了一致對(duì)應(yīng)的標(biāo)準(zhǔn)文本結(jié)構(gòu)。第11章描述了系統(tǒng)整體測(cè)評(píng)方法�,在單項(xiàng)測(cè)評(píng)的基礎(chǔ)上,從系統(tǒng)整體的角度綜合考慮如何進(jìn)行系統(tǒng)性的測(cè)評(píng)�。分別從安全控制點(diǎn)����、安全控制點(diǎn)間及區(qū)域間測(cè)評(píng)三方面進(jìn)行描述��,分析了在進(jìn)行系統(tǒng)整體測(cè)評(píng)時(shí)所需考慮的內(nèi)容���。第12章概要說(shuō)明了測(cè)評(píng)結(jié)論的得出方法以及測(cè)評(píng)結(jié)論主要包括哪些方面的內(nèi)容等���。
03、網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求
《網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》規(guī)定了第一級(jí)到第四級(jí)等級(jí)保護(hù)對(duì)象的安全設(shè)計(jì)技術(shù)要求�,每個(gè)級(jí)別的安全設(shè)計(jì)技術(shù)要求均由安全通用設(shè)計(jì)技術(shù)要求和安全擴(kuò)展設(shè)計(jì)技術(shù)要求構(gòu)成��。安全擴(kuò)展設(shè)計(jì)技術(shù)要求包括了云計(jì)算����、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)��、工業(yè)控制系統(tǒng)等方面��。第一級(jí)到第三級(jí)的安全設(shè)計(jì)技術(shù)要求均包含安全計(jì)算環(huán)境�、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)��、安全管理中心等四個(gè)方面。在第四級(jí)的安全設(shè)計(jì)技術(shù)要求增加了系統(tǒng)安全保護(hù)環(huán)境結(jié)構(gòu)化設(shè)計(jì)技術(shù)要求方面���。
安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求針對(duì)等級(jí)保護(hù)對(duì)象的信息進(jìn)行存儲(chǔ)�����、處理及實(shí)施安全策略的相關(guān)部件提出��;安全區(qū)域邊界設(shè)計(jì)技術(shù)要求針對(duì)安全計(jì)算環(huán)境邊界及在安全計(jì)算環(huán)境與安全通信網(wǎng)絡(luò)之間實(shí)現(xiàn)連接并實(shí)施安全策略的相關(guān)部件提出��;安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求針對(duì)安全計(jì)算環(huán)境之間進(jìn)行信息傳輸及實(shí)施安全策略的相關(guān)部件提出�����;安全管理中心設(shè)計(jì)技術(shù)要求是針對(duì)等級(jí)保護(hù)對(duì)象的安全策略及安全計(jì)算環(huán)境����、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機(jī)制實(shí)施同一管理的平臺(tái)提出�����。安全設(shè)計(jì)技術(shù)要求主要從用戶身份鑒別����、訪問(wèn)控制����、安全審計(jì)��、用戶數(shù)據(jù)完整性和保密性保護(hù)����、客體安全重用、可信驗(yàn)證���、配置可信性檢查��、入侵檢測(cè)和惡意代碼防范等方面提出要求�。在附錄C中對(duì)大數(shù)據(jù)設(shè)計(jì)技術(shù)要求進(jìn)行了規(guī)定�����。