2017年10月15-19日,全国信息安全标准化技术委员会2017年第二次会议周在厦门召开,16日上午WG5工作组191个成员单位中121家单位的231位专家参加了工作会议。公安部三所马力老师对 《信息安全技术 网络安全等级保护基本要求》( GB/T 22239—XXXX 代替 GB/T 22239-2008)送审稿进行了解读。
2017年8月,公安部评估中心根据网信办和安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《网络安全等级保护基本要求》一个标准。下面小编将给大家介绍一下最新的网络安全等保基本要求(定级、设计与测评方面的变化将在后续文章中介绍)与原标准相比发生了什么变化。
二、新旧标准变化内容
1.名称的变化
将原来的信息系统安全等级保护相关标准名称更改为信息安全等级保护,再更名为网络安全等级保护相关标准,与《中华人民共和国网络安全法》保持一致。
2.内容的变化
基本要求的内容由一个基本要求变更为安全通用要求和安全扩展要求(含云计算、移动互联、物联网、工业控制)。在GB/T 22239 网络安全等级保护基本要求合并了如下5部分:
1)安全通用要求(公安部信息安全等级保护评估中心)
2)云计算安全扩展要求(公安部信息安全等级保护评估中心)
3)移动互联安全扩展要求(北京鼎普科技股份有限公司)
4)物联网安全扩展要求(公安部第一研究所)
5)工业控制系统安全扩展要求(浙江大学)
同样,针对设计要求(GB/T 25070)与测评要求(GB/T 28448)也由5个分册分别整合成一册。
3.标准章节的变化
拿基本要求的第8章节为列, 为第三级安全要求:
8.1 安全通用要求
8.2 云计算安全扩展要求
8.3 移动互联安全扩展要求
8.4 物联网安全扩展要求
8.5 工业控制系统安全扩展要求
4.控制措施分类结构的变化
由原来的10个分类调整为8分,分别为技术部分(物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全)、管理部分(安全策略和管理制度、安全管理机构和人员、安全建设管量、安全运维管理)。
5.环境安全扩展了哪些要求
针对云计算环境安全扩展要求主要增加的内容包括:“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”、“云计算环境管理”等。
对移动互联环境主要增加的内容包括:“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”、“移动应用软件开发”等。
对物联网环境主要增加的内容包括:“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”、“数据融合处理”等。
对工业控制系统主要增加的内容包括:“室外控制设备防护”、“工业控制系统网络架构安全”、“拔号使用控制”、“无线使用控制”、“控制设备安全”。
6.增加了应用场景说明
增加了描述等级保护安全框架和关键技术、云计算应用场景、移动互联应用场景、物联网应用场景、工业控制系统应用场景。
7.取消了安全控制点的标注
为适应定级方法的变化,取消对控制点的“S”、“A”、“G”标注的使用,调整原标准附录B,增加安全控制措施选择时,控制点的标注及使用说明。
保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);其他通用性安全保护类要求(简记为G),所有管理安全要求均为通用性安全保护类要求。
8.标准控制点与要求项的变化
新标准在控制点要求项目并没有明显的增加,通过合并整合后反而减少了。各级的要求项明细如下表所示:
| 安全要求类 | 层面 | 一级 | 二级 | 三级 | 四级 |
| 技术要求 | 物理和环境安全 | 7 | 10 | 10 | 10 |
| 网络和通信安全 | 4 | 6 | 8 | 8 | |
| 设备和计算安全 | 4 | 6 | 6 | 6 | |
| 应用和数据安全 | 5 | 9 | 10 | 10 | |
| 管理要求 | 安全策略和管理制度 | 1 | 4 | 4 | 4 |
| 安全管理机构和人员 | 7 | 9 | 9 | 9 | |
| 安全建设管理 | 7 | 10 | 10 | 10 | |
| 安全运维管理 | 8 | 14 | 14 | 14 | |
| 新标准控制点 | / | 43 | 68 | 71 | 71 |
| 旧标准控制点 | / | 48 | 66 | 73 | 77 |
| 新标准要求项 | / | 59 | 145 | 231 | 241 |
| 旧标准要求项 | / | 85 | 175 | 290 | 318 |
划重点:
1、以前的信息安全等级保护现在改名叫网络安全等级保护,也就是网络安全法里面说的网络安全等级保护。
2、将等级保护之前在编的5个基本要求分册标准(安全通用要求、 云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求)进行了合并形成《网络安全等级保护基本要求》一个标准。
3、控制措施分类由原先的10个分类调整为8个分类,分别为技术部分(物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全)、管理部分(安全策略和管理制度、安全管理机构和人员、安全建设管量、安全运维管理)。
4、新标准里面2级和3级对应的要求项总数分别为145项和231项,相对以前变少了。
深圳市网域数据安全股份有限公司成立于2004年,是一家集网络信息安全产品研发、生产、销售为一体的设备供应商。目前拥有员工100余人,从事研发和技术支持的人员占60%、其中30%为博士、硕士学历,研发核心团队由多位来自清华、北大、华为的精英组成。公司总部坐落在深圳市高新技术产业园,在北京、上海、广州、长沙、成都、南京、沈阳、武汉、济南等地都设有办事处。
公司自主研发的产品有IT运维安全审计系统(堡垒机)、数据库审计系统、医院防统方系统、上网行为管理产品、第二代防火墙产品等,全面满足等级保护要求,为用户提供信息系统安全解决方案及安全服务,一如既往地致力于信息安全领域的核心技术研发,为增强我国在信息时代的综合国力做出贡献。
