等保2.0 |《網路安全等級保護基本要求》的變化
前言
2017年10月15-19日,全國信息安全標準化技術委員會2017年第二次會議周在廈門召開,16日上午WG5工作組191個成員單位中121家單位的231位專家參加了工作會議。公安部三所馬力老師對 《信息安全技術 網路安全等級保護基本要求》( GB/T 22239—XXXX 代替 GB/T 22239-2008)送審稿進行了解讀。
2017年8月,公安部評估中心根據網信辦和安標委的意見將等級保護在編的5個基本要求分冊標準進行了合併形成《網路安全等級保護基本要求》一個標準。下面給大家介紹一下最新的網路安全等保基本要求(定級、設計與測評方面的變化將在後續文章中介紹)與原標準相比發生了什麼變化。
標準修定過程回顧
2014年全國安標委祕書處下達對《信息安全技術 信息系統等級保護基本要求》( GB/T 22239—2008)進行修訂的任務,修訂工作由公安部第三研究所(公安部信息安全等保護評估中心)主要承擔。
2015年4月第一次專家評審會、2015年12月第二次專家評審會、2016年7月第三次專家評審會、2016年9月再次修訂形成標準徵求意見稿。先後徵求了網信辦、工信部、保密局、公安部、國家密碼管理局、國家認監委、信息安全測評中心的意見,共收到44條意見,採納36條。
2017年8月,根據網信辦和公安部的意見將5個分冊進行整合形成一冊送審稿,後收到10條修改意見並全部採納。
新舊標準變化
一、名稱的變化
將原來的信息系統安全等級保護相關標準名稱更改為信息安全等級保護,再更名為網路安全等級保護相關標準,與《中華人民共和國網路安全法》保持一致。
二、內容的變化
基本要求的內容由一個基本要求變更為安全通用要求和安全擴展要求(含雲計算、移動互聯、物聯網、工業控制)。在GB/T 22239 網路安全等級保護基本要求合併瞭如下5部分:
1)安全通用要求(公安部信息安全等級保護評估中心)
2)雲計算安全擴展要求(公安部信息安全等級保護評估中心)
3)移動互聯安全擴展要求(北京鼎普科技股份有限公司)
4)物聯網安全擴展要求(公安部第一研究所)
5)工業控制系統安全擴展要求(浙江大學)
同樣,針對設計要求(GB/T 25070)與測評要求(GB/T 28448)也由5個分冊分別整合成一冊。
三、標準章節的變化
拿基本要求的第8章節為列, 為第三級安全要求:
8.1 安全通用要求
8.2 雲計算安全擴展要求
8.3 移動互聯安全擴展要求
8.4 物聯網安全擴展要求
8.5 工業控制系統安全擴展要求
四、控制措施分類結構的變化
由原來的10個分類調整為8分,分別為技術部分(物理和環境安全、網路和通信安全、設備和計算安全、應用和數據安全)、管理部分(安全策略和管理制度、安全管理機構和人員、安全建設管量、安全運維管理)。
五、環境安全擴展了哪些要求
針對雲計算環境安全擴展要求主要增加的內容包括:「基礎設施的位置」、「虛擬化安全保護」、「鏡像和快照保護」、「雲服務商選擇」、「雲計算環境管理」等。
對移動互聯環境主要增加的內容包括:「無線接入點的物理位置」、「移動終端管控」、「移動應用管控」、「移動應用軟體採購」、「移動應用軟體開發」等。
對物聯網環境主要增加的內容包括:「感知節點的物理防護」、「感知節點設備安全」、「感知網關節點設備安全」、「感知節點的管理」、「數據融合處理」等。
對工業控制系統主要增加的內容包括:「室外控制設備防護」、「工業控制系統網路架構安全」、「拔號使用控制」、「無線使用控制」、「控制設備安全」。
六、增加了應用場景說明
增加了描述等級保護安全框架和關鍵技術、雲計算應用場景、移動互聯應用場景、物聯網應用場景、工業控制系統應用場景。
七、取消了安全控制點的標註
為適應定級方法的變化,取消對控制點的「S」、「A」、「G」標註的使用,調整原標準附錄B,增加安全控制措施選擇時,控制點的標註及使用說明。
保護數據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改的信息安全類要求(簡記為S);保護系統連續正常的運行,免受對系統的未授權修改、破壞而導致系統不可用的服務保證類要求(簡記為A);其他通用性安全保護類要求(簡記為G),所有管理安全要求均為通用性安全保護類要求。
八、標準控制點與要求項的變化
新標準在控制點要求項目並沒有明顯的增加,通過合併整合後反而減少了。各級的要求項明細如下表所示:
九、新標準面臨的問題
技術及業務模式的發展遠遠快於標準的制定,當網路安全等級保護2.0還未上路的時候,5G 、AI 、區塊鏈等等一系技術已經在路上了。
註:
明顯可以看出信息安全等級保護現在改名叫網路安全等級保護。
控制措施分類調整為8個分類,技術部分4個,管理部分4個,具體內容詳見上表。(anbaikj,zhaoyuanyuan19940425)
推薦閱讀:
