2017年11月02日
前言
2017年10月15-19日,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2017年第二次會(huì)議周在廈門(mén)召開(kāi),16日上午WG5工作組191個(gè)成員單位中121家單位的231位專(zhuān)家參加了工作會(huì)議。
公安部三所馬力老師對(duì) 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》( GB/T 22239—XXXX 代替 GB/T 22239-2008)送審稿進(jìn)行了解讀。
2017年8月,公安部評(píng)估中心根據(jù)網(wǎng)信辦和安標(biāo)委的意見(jiàn)將等級(jí)保護(hù)在編的5個(gè)基本要求分冊(cè)標(biāo)準(zhǔn)進(jìn)行了合并形成《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》一個(gè)標(biāo)準(zhǔn)。下面將給大家介紹一下最新的網(wǎng)絡(luò)安全等?;疽螅ǘ?jí)、設(shè)計(jì)與測(cè)評(píng)方面的變化將在后續(xù)文章中介紹)與原標(biāo)準(zhǔn)相比發(fā)生了什么變化。
一、標(biāo)準(zhǔn)修訂過(guò)程回顧
2014年全國(guó)安標(biāo)委秘書(shū)處下達(dá)對(duì)《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)基本要求》( GB/T 22239—2008)進(jìn)行修訂的任務(wù),修訂工作由公安部第三研究所(公安部信息安全等保護(hù)評(píng)估中心)主要承擔(dān)。
2015年4月第一次專(zhuān)家評(píng)審會(huì)、2015年12月第二次專(zhuān)家評(píng)審會(huì)、2016年7月第三次專(zhuān)家評(píng)審會(huì)、2016年9月再次修訂形成標(biāo)準(zhǔn)征求意見(jiàn)稿。先后征求了網(wǎng)信辦、工信部、保密局、公安部、國(guó)家密碼管理局、國(guó)家認(rèn)監(jiān)委、信息安全測(cè)評(píng)中心的意見(jiàn),共收到44條意見(jiàn),采納36條。
2017年8月,根據(jù)網(wǎng)信辦和公安部的意見(jiàn)將5個(gè)分冊(cè)進(jìn)行整合形成一冊(cè)送審稿,后收到10條修改意見(jiàn)并全部采納。
二、新舊標(biāo)準(zhǔn)變化內(nèi)容
1.名稱(chēng)的變化
將原來(lái)的信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)名稱(chēng)更改為信息安全等級(jí)保護(hù),再更名為網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn),與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》保持一致。
2.內(nèi)容的變化
基本要求的內(nèi)容由一個(gè)基本要求變更為安全通用要求和安全擴(kuò)展要求(含云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制)。在GB/T 22239 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求合并了如下5部分:
1)安全通用要求(公安部信息安全等級(jí)保護(hù)評(píng)估中心)
2)云計(jì)算安全擴(kuò)展要求(公安部信息安全等級(jí)保護(hù)評(píng)估中心)
3)移動(dòng)互聯(lián)安全擴(kuò)展要求(北京鼎普科技股份有限公司)
4)物聯(lián)網(wǎng)安全擴(kuò)展要求(公安部第一研究所)
5)工業(yè)控制系統(tǒng)安全擴(kuò)展要求(浙江大學(xué))
同樣,針對(duì)設(shè)計(jì)要求(GB/T 25070)與測(cè)評(píng)要求(GB/T 28448)也由5個(gè)分冊(cè)分別整合成一冊(cè)。
3.標(biāo)準(zhǔn)章節(jié)的變化
拿基本要求的第8章節(jié)為例,為第三級(jí)安全要求:
8.1 安全通用要求
8.2 云計(jì)算安全擴(kuò)展要求
8.3 移動(dòng)互聯(lián)安全擴(kuò)展要求
8.4 物聯(lián)網(wǎng)安全擴(kuò)展要求
8.5 工業(yè)控制系統(tǒng)安全擴(kuò)展要求
4.控制措施分類(lèi)結(jié)構(gòu)的變化
由原來(lái)的10個(gè)分類(lèi)調(diào)整為8分,分別為技術(shù)部分(物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全)、管理部分(安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管量、安全運(yùn)維管理)。
5.環(huán)境安全擴(kuò)展了哪些要求
針對(duì)云計(jì)算環(huán)境安全擴(kuò)展要求主要增加的內(nèi)容包括:“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護(hù)”、“鏡像和快照保護(hù)”、“云服務(wù)商選擇”、“云計(jì)算環(huán)境管理”等。
對(duì)移動(dòng)互聯(lián)環(huán)境主要增加的內(nèi)容包括:“無(wú)線(xiàn)接入點(diǎn)的物理位置”、“移動(dòng)終端管控”、“移動(dòng)應(yīng)用管控”、“移動(dòng)應(yīng)用軟件采購(gòu)”、“移動(dòng)應(yīng)用軟件開(kāi)發(fā)”等。
對(duì)物聯(lián)網(wǎng)環(huán)境主要增加的內(nèi)容包括:“感知節(jié)點(diǎn)的物理防護(hù)”、“感知節(jié)點(diǎn)設(shè)備安全”、“感知網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全”、“感知節(jié)點(diǎn)的管理”、“數(shù)據(jù)融合處理”等。
對(duì)工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括:“室外控制設(shè)備防護(hù)”、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”、“拔號(hào)使用控制”、“無(wú)線(xiàn)使用控制”、“控制設(shè)備安全”。
6.增加了應(yīng)用場(chǎng)景說(shuō)明
增加了描述等級(jí)保護(hù)安全框架和關(guān)鍵技術(shù)、云計(jì)算應(yīng)用場(chǎng)景、移動(dòng)互聯(lián)應(yīng)用場(chǎng)景、物聯(lián)網(wǎng)應(yīng)用場(chǎng)景、工業(yè)控制系統(tǒng)應(yīng)用場(chǎng)景。
7.取消了安全控制點(diǎn)的標(biāo)注
為適應(yīng)定級(jí)方法的變化,取消對(duì)控制點(diǎn)的“S”、“A”、“G”標(biāo)注的使用,調(diào)整原標(biāo)準(zhǔn)附錄B,增加安全控制措施選擇時(shí),控制點(diǎn)的標(biāo)注及使用說(shuō)明。
保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過(guò)程中不被泄漏、破壞和免受未授權(quán)的修改的信息安全類(lèi)要求(簡(jiǎn)記為S);保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行,免受對(duì)系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類(lèi)要求(簡(jiǎn)記為A);其他通用性安全保護(hù)類(lèi)要求(簡(jiǎn)記為G),所有管理安全要求均為通用性安全保護(hù)類(lèi)要求。
8.標(biāo)準(zhǔn)控制點(diǎn)與要求項(xiàng)的變化
新標(biāo)準(zhǔn)在控制點(diǎn)要求項(xiàng)目并沒(méi)有明顯的增加,通過(guò)合并整合后反而減少了。各級(jí)的要求項(xiàng)明細(xì)如下表所示:
9.新標(biāo)準(zhǔn)面臨的問(wèn)題
技術(shù)及業(yè)務(wù)模式的發(fā)展遠(yuǎn)遠(yuǎn)快于標(biāo)準(zhǔn)的制定,當(dāng)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0還未上路的時(shí)候,5G 、AI 、區(qū)塊鏈等等一系技術(shù)已經(jīng)在路上了。
【本文轉(zhuǎn)載自:中國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)網(wǎng)】
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商!