|
前言 2017年10月15-19日,,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2017年第二次會(huì)議周在廈門召開,,16日上午WG5工作組191個(gè)成員單位中121家單位的231位專家參加了工作會(huì)議,。公安部三所馬力老師對(duì) 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》( GB/T 22239—XXXX 代替 GB/T 22239-2008)送審稿進(jìn)行了解讀。 2017年8月,,公安部評(píng)估中心根據(jù)網(wǎng)信辦和安標(biāo)委的意見將等級(jí)保護(hù)在編的5個(gè)基本要求分冊(cè)標(biāo)準(zhǔn)進(jìn)行了合并形成《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》一個(gè)標(biāo)準(zhǔn),。下面小編將給大家介紹一下最新的網(wǎng)絡(luò)安全等保基本要求(定級(jí),、設(shè)計(jì)與測(cè)評(píng)方面的變化將在后續(xù)文章中介紹)與原標(biāo)準(zhǔn)相比發(fā)生了什么變化,。 一、標(biāo)準(zhǔn)修訂過程回顧 2014年全國(guó)安標(biāo)委秘書處下達(dá)對(duì)《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)基本要求》( GB/T 22239—2008)進(jìn)行修訂的任務(wù),,修訂工作由公安部第三研究所(公安部信息安全等保護(hù)評(píng)估中心)主要承擔(dān),。 2015年4月第一次專家評(píng)審會(huì)、2015年12月第二次專家評(píng)審會(huì),、2016年7月第三次專家評(píng)審會(huì),、2016年9月再次修訂形成標(biāo)準(zhǔn)征求意見稿。先后征求了網(wǎng)信辦,、工信部,、保密局,、公安部,、國(guó)家密碼管理局、國(guó)家認(rèn)監(jiān)委,、信息安全測(cè)評(píng)中心的意見,,共收到44條意見,采納36條,。 2017年8月,,根據(jù)網(wǎng)信辦和公安部的意見將5個(gè)分冊(cè)進(jìn)行整合形成一冊(cè)送審稿,后收到10條修改意見并全部采納,。 二,、新舊標(biāo)準(zhǔn)變化內(nèi)容 將原來的信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)名稱更改為信息安全等級(jí)保護(hù),再更名為網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn),,與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》保持一致,。 2.內(nèi)容的變化 基本要求的內(nèi)容由一個(gè)基本要求變更為安全通用要求和安全擴(kuò)展要求(含云計(jì)算、移動(dòng)互聯(lián),、物聯(lián)網(wǎng),、工業(yè)控制)。在GB/T 22239 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求合并了如下5部分: 同樣,,針對(duì)設(shè)計(jì)要求(GB/T 25070)與測(cè)評(píng)要求(GB/T 28448)也由5個(gè)分冊(cè)分別整合成一冊(cè),。 3.標(biāo)準(zhǔn)章節(jié)的變化 拿基本要求的第8章節(jié)為列, 為第三級(jí)安全要求: 4.控制措施分類結(jié)構(gòu)的變化 由原來的10個(gè)分類調(diào)整為8分,,分別為技術(shù)部分(物理和環(huán)境安全,、網(wǎng)絡(luò)和通信安全,、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全),、管理部分(安全策略和管理制度,、安全管理機(jī)構(gòu)和人員、安全建設(shè)管量,、安全運(yùn)維管理),。 5.環(huán)境安全擴(kuò)展了哪些要求 針對(duì)云計(jì)算環(huán)境安全擴(kuò)展要求主要增加的內(nèi)容包括:“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護(hù)”,、“鏡像和快照保護(hù)”,、“云服務(wù)商選擇”、“云計(jì)算環(huán)境管理”等,。 對(duì)移動(dòng)互聯(lián)環(huán)境主要增加的內(nèi)容包括:“無線接入點(diǎn)的物理位置”,、“移動(dòng)終端管控”、“移動(dòng)應(yīng)用管控”,、“移動(dòng)應(yīng)用軟件采購(gòu)”,、“移動(dòng)應(yīng)用軟件開發(fā)”等。 對(duì)物聯(lián)網(wǎng)環(huán)境主要增加的內(nèi)容包括:“感知節(jié)點(diǎn)的物理防護(hù)”,、“感知節(jié)點(diǎn)設(shè)備安全”,、“感知網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全”、“感知節(jié)點(diǎn)的管理”,、“數(shù)據(jù)融合處理”等,。 對(duì)工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括:“室外控制設(shè)備防護(hù)”、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”,、“拔號(hào)使用控制”,、“無線使用控制”、“控制設(shè)備安全”,。 6.增加了應(yīng)用場(chǎng)景說明 增加了描述等級(jí)保護(hù)安全框架和關(guān)鍵技術(shù),、云計(jì)算應(yīng)用場(chǎng)景、移動(dòng)互聯(lián)應(yīng)用場(chǎng)景,、物聯(lián)網(wǎng)應(yīng)用場(chǎng)景,、工業(yè)控制系統(tǒng)應(yīng)用場(chǎng)景。 7.取消了安全控制點(diǎn)的標(biāo)注 為適應(yīng)定級(jí)方法的變化,,取消對(duì)控制點(diǎn)的“S”,、“A”、“G”標(biāo)注的使用,,調(diào)整原標(biāo)準(zhǔn)附錄B,,增加安全控制措施選擇時(shí),控制點(diǎn)的標(biāo)注及使用說明,。 保護(hù)數(shù)據(jù)在存儲(chǔ),、傳輸,、處理過程中不被泄漏、破壞和免受未授權(quán)的修改的信息安全類要求(簡(jiǎn)記為S),;保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行,,免受對(duì)系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求(簡(jiǎn)記為A),;其他通用性安全保護(hù)類要求(簡(jiǎn)記為G),,所有管理安全要求均為通用性安全保護(hù)類要求。 8.標(biāo)準(zhǔn)控制點(diǎn)與要求項(xiàng)的變化 新標(biāo)準(zhǔn)在控制點(diǎn)要求項(xiàng)目并沒有明顯的增加,,通過合并整合后反而減少了,。各級(jí)的要求項(xiàng)明細(xì)如下表所示:
不得不等:劃重點(diǎn):1、以前的信息安全等級(jí)保護(hù)現(xiàn)在改名叫網(wǎng)絡(luò)安全等級(jí)保護(hù),,也就是網(wǎng)絡(luò)安全法里面說的網(wǎng)絡(luò)安全等級(jí)保護(hù),。 2、將等級(jí)保護(hù)之前在編的5個(gè)基本要求分冊(cè)標(biāo)準(zhǔn)(安全通用要求,、 云計(jì)算安全擴(kuò)展要求,、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求,、工業(yè)控制系統(tǒng)安全擴(kuò)展要求)進(jìn)行了合并形成《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》一個(gè)標(biāo)準(zhǔn),。 3、控制措施分類由原先的10個(gè)分類調(diào)整為8個(gè)分類,,分別為技術(shù)部分(物理和環(huán)境安全,、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全,、應(yīng)用和數(shù)據(jù)安全)、管理部分(安全策略和管理制度,、安全管理機(jī)構(gòu)和人員,、安全建設(shè)管量、安全運(yùn)維管理),。 4,、新標(biāo)準(zhǔn)里面2級(jí)和3級(jí)對(duì)應(yīng)的要求項(xiàng)總數(shù)分別為145項(xiàng)和231項(xiàng),相對(duì)以前變少了,。 |
|
|
