网络安全等级保护定级标准

核心提示等级保护标准体系No.1 等级保护1.0标准体系2007年,《信息安全等级保护管理办法》文件的正式发布,标志着等级保护1.0的正式启动。等级保护1.0规定了等级保护需要完成的“规定动作”,即定级备案、建设整改、等级测评和监督检查,为了指导用

等级保护标准体系

1级保护1.0标准系统

2007年,《信息安全等级保护管理办法》正式发布,标志着等级保护1.0正式上线。1.0级规定了等级保护需要完成的“规定动作”,即分级备案、施工整改、等级评定和监督检查。为了引导用户完成等级保护的“规定动作”,2008-2012年相继发布了一些等级保护的主要标准,形成了等级1.0的标准体系。

> > >等级保护1.0阶段的主要标准如下:

信息安全等级保护管理办法-计算机信息系统安全等级保护分级标准GB17859-1999信息系统安全等级保护实施指南GB/T25058-2008信息系统安全等级保护分级指南GB/ T 2240-2008信息系统安全等级保护基本要求GB/T 2239-2008信息系统安全设计要求GB/ T25070-2010信息系统安全等级保护评估要求GB/T28448-2012

2017年,《中华人民共和国网络安全法》正式实施,标志着等级保护2.0正式上线。《网络安全法》规定,“国家实行网络安全等级保护制度。”国家在网络安全等级保护制度的基础上,对一旦发生破坏、功能丧失或者数据泄露,可能严重危害国家安全、国计民生和公共利益的关键信息基础设施,给予重点保护。上述要求赋予了网络安全等级保护新的含义。重新调整修订等级保护1.0标准体系,配合网络安全法的贯彻实施,根据网络安全等级保护制度的新要求,引导用户履行网络安全保护义务,具有重要意义。

随着信息技术的发展,分级保护的对象已经从狭义的信息系统扩展到网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、使用移动互联网技术的系统等。基于新技术和新手段,分级保护2.0标准必须考虑新的分级技术保护机制和完善的管理手段。在网络安全等级保护体系的基础上,对关键信息基础设施进行保护。基于等级保护提出的分级保护机制和管理手段,提出加强关键信息基础设施保护的措施,确保等级保护标准与关键信息基础设施保护标准的顺利衔接。这也是等级保护2.0标准体系需要考虑的内容。

> > >等级保护2.0标准体系的主要标准如下:

《网络安全保护条例》、《计算机信息系统安全保护分级准则》、《网络安全保护实施导则》、《网络安全保护分级导则》、《网络安全保护设计基本要求》、《网络安全保护评估要求技术要求》、《网络安全保护评估流程导则》>《关键信息基础设施标准体系框架如下:

《关键信息基础设施保护条例》、《关键信息基础设施安全保护要求》、《关键信息基础设施安全控制要求》、《关键信息基础设施安全控制评估方法的特点和变化》

1号标准的主要特点

01

对象范围由原来的信息系统变为分级保护对象,包括网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联网技术的系统等。

02

在1.0标准的基础上进行优化,对云计算、移动互联网、物联网、工业控制系统、大数据等新技术、新应用领域提出了新要求,形成了由通用安全要求和新应用安全扩展要求组成的标准内容。

03

采用“一个中心,三重防护”的防护理念和分级结构,强化了建立纵深防御和精细防御体系的思想。

04

加强了密码技术和可信计算技术的使用,将可信验证纳入各个层面,分步提出了各个环节的主要可信验证要求,强调通过密码技术、可信验证、安全审计和态势感知建立主动防御体系的期望。

第二

标准的主要变化

01

名称由原来的《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》。等级保护对象由原来的信息系统调整为基础信息网络、信息系统、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统。

02

原有的各级安全需求分为一般安全需求和安全扩展需求,其中安全扩展需求包括安全扩展需求、云计算安全扩展需求、移动互联网安全扩展需求、物联网安全扩展需求和工业控制系统安全扩展需求。一般安全要求是指无论等级保护对象的形式如何,都必须满足的要求。

03

基本要求中的各级技术要求修改为“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”;各级管理要求修改为安全管理体系、安全管理机构、安全管理人员、安全施工管理、安全运维管理。

04

取消了安全控制点原有的S、A、G标签,增加了附录A《一般安全要求和扩展安全要求的选择和使用》,描述了等级保护对象分级结果与安全要求的关系,说明了如何根据分级S、A结果选择安全要求的相关条款,简化了标准文本的内容。增加附录C描述分级保护的安全框架和关键技术,附录D描述云计算应用场景,附录E描述移动互联网应用场景,附录F描述物联网应用场景,附录G描述工控系统应用场景,附录H描述大数据应用场景。

标准的主要框架和内容

1号标准框架结构

GB/T 22239-2019、GB/T 25070-2019和GB/T28448-2019采用统一的框架。

例如,GB/T 22239-2019中采用的帧结构如图1所示。

图1 安全通用要求框架结构

一般安全要求细分为技术要求和管理要求。技术需求包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心。管理要求包括安全管理体系、安全管理机构、安全管理人员、安全施工管理和安全运维管理。

第2号安全的一般要求

提出了一般安全要求,以满足一般防护要求。无论等级保护对象以何种形式出现,都需要根据安全保护的等级实现相应等级的通用安全要求。安全扩展需求是针对个性化保护需求提出的,分级保护对象需要根据安全保护级别、使用的具体技术或具体应用场景实现安全扩展需求。等级保护对象的安全保护需要同时实施一般安全要求和扩展安全要求提出的措施。

1安全的物理环境

物理机房的安全控制要求。主要对象是物理环境、物理设备和物理设施等。涉及的安全控制点包括物理位置的选择、物理门禁、防盗防破坏、防雷、防火、防水防潮、防静电、温湿度控制、电源、电磁防护等。

2安全通信网络

通信网络安全控制要求。主要对象是广域网、城域网和局域网。涉及的安全控制点包括网络架构、通信传输和信任验证。

3安全区域边界

网络边界的安全控制要求。主要对象是系统边界和区域边界;涉及的安全控制点包括边界保护、访问控制、入侵防御、恶意代码防范、安全审计和信任验证。

4安全计算环境

边界内部的安全控制要求。对象是边界内的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备。涉及的安全控制点包括身份认证、访问控制、安全审计、入侵防御、恶意代码防范、信任验证、数据完整性、数据机密性、数据备份与恢复、残留信息保护和个人信息保护。

5安全管理中心

根据全系统提出的安全管理技术控制要求,通过技术手段实现集中管理;涉及的安全控制点包括系统管理、审计管理、安全管理和集中控制。

6安全管理体系

根据整个管理体系的安全控制要求,涉及的安全控制点包括安全策略、管理体系、制定和发布、评审和修订。

7安全管理组织

对整个管理组织架构提出的安全控制要求包括岗位设置、人员配备、授权与批准、沟通与合作、审核与检查。

8名安全管理人员

人员管理的安全控制要求包括人员招聘、人员离职、安全意识教育和培训、外部人员准入管理。

9安全施工管理

根据安全建设过程中提出的安全控制要求,涉及的安全控制点包括分级与备案、安全方案设计、安全产品采购与使用、自研软件开发、外包软件开发、项目实施、测试与验收、系统交付、等级评估、服务商管理。

10安全运维管理

安全运维流程的安全控制需求包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安全事件处理、应急预案管理和外包运维管理。

3号安全扩展要求

扩展的安全需求是在特定的应用场景下,通过采用特定的技术或级别,为保护对象而需要增加的安全需求。包括以下四个方面:

1.云计算安全扩展需求是除了为云计算平台提出的一般安全需求之外需要实现的附加安全需求。主要包括基础设施的选址、虚拟化安全保护、映像和快照保护、云计算环境管理和云服务提供商选择。

2.移动互联网的扩展安全需求是对移动终端、移动应用和无线网络的安全需求,与一般安全需求一起构成了对使用移动互联网技术的分级保护对象的完整安全需求。主要包括无线接入点的物理位置、移动终端管理和控制、移动应用管理和控制、移动应用软件采购和移动应用软件开发等。

3.物联网的安全扩展需求是对感知层的特殊安全需求,它与一般安全需求一起构成了物联网的完整安全需求。主要内容包括传感节点物理保护、传感节点设备安全、网关节点设备安全、传感节点管理和数据融合处理。

4.工业控制系统的安全扩展要求主要是指现场控制层和现场设备层的特殊安全要求,与一般安全要求一起构成了完整的工业控制系统安全要求。主要内容包括室外控制设备保护、工业控制系统网络架构安全、拨号接入控制、无线接入控制和控制设备安全。

来源:公安部网络安全保卫局

 
友情链接
鄂ICP备19019357号-22