等級保護标準體系
No.1 等級保護1.0标準體系
2007年,《資訊安全等級保護管理辦法》(公通字[2007]43号)檔案的正式釋出,标志着等級保護1.0的正式啟動。等級保護1.0規定了等級保護需要完成的“規定動作”,即定級備案、建設整改、等級測評和監督檢查,為了指導使用者完成等級保護的“規定動作”,在2008年至2012年期間陸續釋出了等級保護的一些主要标準,構成等級保護1.0的标準體系。
>>>等級保護1.0時期的主要标準如下:
資訊安全等級保護管理辦法(43号檔案)(上位檔案)
計算機資訊系統安全保護等級劃分準則 GB17859-1999(上位标準)
資訊系統安全等級保護實施指南 GB/T25058-2008
資訊系統安全保護等級定級指南 GB/T22240-2008
資訊系統安全等級保護基本要求 GB/T22239-2008
資訊系統等級保護安全設計要求 GB/T25070-2010
資訊系統安全等級保護測評要求 GB/T28448-2012
資訊系統安全等級保護測評過程指南 GB/T28449-2012
No.2 等級保護2.0标準體系
2017年,《中華人民共和國網絡安全法》的正式實施,标志着等級保護2.0的正式啟動。網絡安全法明确“國家實行網絡安全等級保護制度。”(第21條)、“國家對一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益的關鍵資訊基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。”(第31條)。上述要求為網絡安全等級保護賦予了新的含義,重新調整和修訂等級保護1.0标準體系,配合網絡安全法的實施和落地,指導使用者按照網絡安全等級保護制度的新要求,履行網絡安全保護義務的意義重大。
随着資訊技術的發展,等級保護對象已經從狹義的資訊系統,擴充到網絡基礎設施、雲計算平台/系統、大資料平台/系統、物聯網、工業控制系統、采用移動互聯技術的系統等,基于新技術和新手段提出新的分等級的技術防護機制和完善的管理手段是等級保護2.0标準必須考慮的内容。關鍵資訊基礎設施在網絡安全等級保護制度的基礎上,實行重點保護,基于等級保護提出的分等級的防護機制和管理手段提出關鍵資訊基礎設施的加強保護措施,確定等級保護标準和關鍵資訊基礎設施保護标準的順利銜接也是等級保護2.0标準體系需要考慮的内容。
>>>等級保護2.0标準體系主要标準如下:
網絡安全等級保護條例(總要求/上位檔案)
計算機資訊系統安全保護等級劃分準則(GB 17859-1999)(上位标準)
網絡安全等級保護實施指南(GB/T25058-2020)
網絡安全等級保護定級指南(GB/T22240-2020)
網絡安全等級保護基本要求(GB/T22239-2019)
網絡安全等級保護設計技術要求(GB/T25070-2019)
網絡安全等級保護測評要求(GB/T28448-2019)
網絡安全等級保護測評過程指南(GB/T28449-2018)
>>>關鍵資訊基礎設施标準體系架構如下:
關鍵資訊基礎設施保護條例(征求意見稿)(總要求/上位檔案)
關鍵資訊基礎設施安全保護要求(征求意見稿)
關鍵資訊基礎設施安全控制要求(征求意見稿)
關鍵資訊基礎設施安全控制評估方法(征求意見稿)
主要标準的特點和變化
No.1标準的主要特點
01 将對象範圍由原來的資訊系統改為等級保護對象(資訊系統、通信網絡設施和資料資源等),對象包括網絡基礎設施(廣電網、電信網、專用通信網絡 等)、雲計算平台/系統、大資料平台/系統、物聯網、工業控制 系統、采用移動互聯技術的系統等。
02 在1.0标準的基礎上進行了優化,同時針對雲計算、移動互聯、物聯網、工業控制系統及大資料等新技術和新應用領域提出新要求,形成了安全通用要求+新應用安全擴充要求構成的标準要求内容。
03 采用了“一個中心,三重防護”的防護理念和分類結構,強化了建立縱深防禦和精細防禦體系的思想。
04 強化了密碼技術和可信計算技術的使用,把可信驗證列入各個級别并逐級提出各個環節的主要可信驗證要求,強調通過密碼技術、可信驗證、安全審計和态勢感覺等建立主動防禦體系的期望。
No.2 标準的主要變化
01 名稱由原來的《資訊系統安全等級保護基本要求》改為《網絡安全等級保護基本要求》。等級保護對象由原來的資訊系統調整為基礎資訊網絡、資訊系統(含采用移動互聯技術的系統)、雲計算平台/系統、大資料應用/平台/資源、物聯網和工業控制系統等。
02 将原來各個級别的安全要求分為安全通用要求和安全擴充要求,其中安全擴充要求包括安全擴充要求雲計算安全擴充要求、移動互聯安全擴充要求、物聯網安全擴充要求以及工業控制系統安全擴充要求。安全通用要求是不管等級保護對象形态如何必須滿足的要求。
03 基本要求中各級技術要求修訂為“安全實體環境”、“安全通信網絡”、“安全區域邊界”、“安全計算環境”和“安全管理中心”;各級管理要求修訂為“安全管理制度”、“安全管理機構”、“安全管理人員”、“安全建設管理”和“安全運維管理”。
04 取消了原來安全控制點的S、A、G标注,增加一個附錄A“關于安全通用要求和安全擴充要求的選擇和使用”,描述等級保護對象的定級結果和安全要求之間的關系,說明如何根據定級的S、A結果選擇安全要求的相關條款,簡化了标準正文部分的内容。增加附錄C描述等級保護安全架構和關鍵技術、增加附錄D描述雲計算應用場景、附錄E描述移動互聯應用場景、附錄F描述物聯網應用場景、附錄G描述工業控制系統應用場景、附錄H描述大資料應用場景。
主要标準的架構和内容
No.1 标準的架構結構
《GB/T 22239-2019》、《GB/T 25070-2019》和《GB/T28448-2019》三個标準采取了統一的架構結構。
例如,《GB/T 22239-2019》采用的架構結構如圖1所示。
圖1 安全通用要求架構結構
安全通用要求細分為技術要求和管理要求。其中技術要求包括“安全實體環境”、“安全通信網絡”、“安全區域邊界”、“安全計算環境”和“安全管理中心”;管理要求包括“安全管理制度”、“安全管理機構”、“安全管理人員”、“安全建設管理”和“安全運維管理”。
No.2 安全通用要求
安全通用要求針對共性化保護需求提出,無論等級保護對象以何種形式出現,需要根據安全保護等級實作相應級别的安全通用要求。安全擴充要求針對個性化保護需求提出,等級保護對象需要根據安全保護等級、使用的特定技術或特定的應用場景實作安全擴充要求。等級保護對象的安全保護需要同時落實安全通用要求和安全擴充要求提出的措施。
1 安全實體環境
針對實體機房提出的安全控制要求。主要對象為實體環境、實體裝置和實體設施等;涉及的安全控制點包括實體位置的選擇、實體通路控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護。
2 安全通信網絡
針對通信網絡提出的安全控制要求。主要對象為廣域網、城域網和區域網路等;涉及的安全控制點包括網絡架構、通信傳輸和可信驗證。
3 安全區域邊界
針對網絡邊界提出的安全控制要求。主要對象為系統邊界和區域邊界等;涉及的安全控制點包括邊界防護、通路控制、入侵防範、惡意代碼防範、安全審計和可信驗證。
4 安全計算環境
針對邊界内部提出的安全控制要求。主要對象為邊界内部的所有對象,包括網絡裝置、安全裝置、伺服器裝置、終端裝置、應用系統、資料對象和其他裝置等;涉及的安全控制點包括身份鑒别、通路控制、安全審計、入侵防範、惡意代碼防範、可信驗證、資料完整性、資料保密性、資料備份與恢複、剩餘資訊保護和個人資訊保護。
5 安全管理中心
針對整個系統提出的安全管理方面的技術控制要求,通過技術手段實作集中管理;涉及的安全控制點包括系統管理、審計管理、安全管理和集中管控。
6 安全管理制度
針對整個管理制度體系提出的安全控制要求,涉及的安全控制點包括安全政策、管理制度、制定和釋出以及評審和修訂。
7 安全管理機構
針對整個管理組織架構提出的安全控制要求,涉及的安全控制點包括崗位設定、人員配備、授權和審批、溝通和合作以及稽核和檢查。
8 安全管理人員
針對人員管理提出的安全控制要求,涉及的安全控制點包括人員錄用、人員離崗、安全意識教育和教育訓練以及外部人員通路管理。
9 安全建設管理
針對安全建設過程提出的安全控制要求,涉及的安全控制點包括定級和備案、安全方案設計、安全産品采購和使用、自行軟體開發、外包軟體開發、工程實施、測試驗收、系統傳遞、等級測評和服務供應商管理。
10 安全運維管理
針對安全運維過程提出的安全控制要求,涉及的安全控制點包括環境管理、資産管理、媒體管理、裝置維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防範管理、配置管理、密碼管理、變更管理、備份與恢複管理、安全事件處置、應急預案管理和外包運維管理。
No.3 安全擴充要求
安全擴充要求是采用特定技術或特定應用場景下的等級保護對象需要增加實作的安全要求。包括以下四方面:
1.雲計算安全擴充要求是針對雲計算平台提出的安全通用要求之外額外需要實作的安全要求。主要内容包括“基礎設施的位置”、“虛拟化安全保護”、“鏡像和快照保護”、“雲計算環境管理”和“雲服務商選擇”等。
2.移動互聯安全擴充要求是針對移動終端、移動應用和無線網絡提出的安全要求,與安全通用要求一起構成針對采用移動互聯技術的等級保護對象的完整安全要求。主要内容包括“無線接入點的實體位置”、“移動終端管控”、“移動應用管控”、“移動應用軟體采購”和“移動應用軟體開發”等。
3.物聯網安全擴充要求是針對感覺層提出的特殊安全要求,與安全通用要求一起構成針對物聯網的完整安全要求。主要内容包括“感覺節點的實體防護”、“感覺節點裝置安全”、“網關節點裝置安全”、“感覺節點的管理”和“資料融合處理”等。
4.工業控制系統安全擴充要求主要是針對現場控制層和現場裝置層提出的特殊安全要求,它們與安全通用要求一起構成針對工業控制系統的完整安全要求。主要内容包括“室外控制裝置防護”、“工業控制系統網絡架構安全”、“撥号使用控制”、“無線使用控制”和“控制裝置安全”等。