网络安全等级保护相关标准修订解读

网络平安等级保护相关标准修订解读智慧城市运营中心周俊基础/预备定级安全建设/整改测评整改重新定级《计算机信息系统安全保护等级划分准则》《信息系统安全等级保护实施指南》GB17859-1999GB/T25058-2010《信息系统安全保护等级定级指南》GB/T22240-2008GB/T22239-2008GB/T25070-2010GB/T20271-2006GB/T20269-2006《信息系统安全等级保护基本要求》《信息系统定级保护安全设计技术要求》《信息系统通用安全技术要求》《信息系统安全管理要求》GB/T28448-2012GB/T28449-2012《信息系统安全等级保护测评要求》《信息系统安全等级保护测评过程指南》原等级保护标准体系现等级保护标准体系GB17859计算机信息系统平安保护等级划分准那么GB/T25058网络平安等级保护实施指南GB/T22240网络平安等级保护定级指南GB/T22239网络平安等级保护根本要求GB/T25070GB/T28448网络平安等级保护测评要求GB/T28449信息系统平安等级保护测评过程指南〔修订〕〔修订〕〔修订〕〔修订〕〔新立〕〔修订〕〔新立〕标准修订历程?网络平安等级保护根本要求?主要修订的内容1.标准名称的变化2.等级保护对象的变化3.平安要求的变化原来：平安要求改为：平安通用要求和平安扩展要求平安通用要求是不管等级保护对象形态如何必须满足的要求，针对云计算、移动互联、物联网和工业控制系统提出了特殊要求，称为平安扩展要求。4.章节结构的变化〔以第三级要求为例〕8第三级平安要求8.1平安通用要求8.1.1物理和环境平安…8.1.8平安运维管理8.2云计算平安扩展要求8.2.1物理和环境平安8.2.2网络和通信平安…8.3移动互联平安扩展要求8.4物联网平安扩展要求8.5工业控制系统平安扩展要求5.控制措施分类结构的变化6.通用要求控制点的变化——物理和环境平安序号原分类原有控制点新的分类新的控制点1物理安全物理位置的选择物理和环境安全物理位置的选择2物理访问控制物理访问控制3防盗窃和防破坏防盗窃和防破坏4防雷击防雷击5防火防火6防水和防潮防水和防潮7防静电防静电8温湿度控制温湿度控制9电力供应电力供应10电磁防护电磁防护6.通用要求控制点的变化——网络和通信平安序号原分类原有控制点新的分类新的控制点1网络安全结构安全网络和通信安全网络架构2访问控制通信传输3安全审计边界防护4边界完整性检查访问控制5入侵防范入侵防范6恶意代码防范恶意代码防范7网络设备防护安全审计8集中管控6.通用要求控制点的变化——设备和计算平安序号原分类原有控制点新的分类新的控制点1主机安全身份鉴别设备和计算安全身份鉴别2安全标记访问控制3访问控制安全审计4可信路径入侵防范5安全审计恶意代码防范6剩余信息保护资源控制7入侵防范8恶意代码防范9资源控制6.通用要求控制点的变化——应用和数据平安序号原分类原有控制点新的分类新的控制点1应用安全身份鉴别应用和数据安全身份鉴别2安全标记访问控制3访问控制安全审计4可信路径软件容错5安全审计资源控制6剩余信息保护数据完整性7通信完整性数据保密性8通信保密性数据备份恢复9抗抵赖剩余信息保护10软件容错个人信息保护11资源控制1数据安全及备份恢复数据完整性2数据保密性3备份和恢复6.通用要求控制点的变化——平安管理策略和管理制度序号原分类原有控制点新的分类新的控制点1安全管理制度管理制度安全策略和管理制度安全策略2制定和发布管理制度3评审和修订制定和发布4评审和修订6.通用要求控制点的变化——平安管理机构和人员序号原分类原有控制点新的分类新的控制点1安全管理机构岗位设置安全管理机构和人员岗位设置2人员配备人员配备3授权和审批授权和审批4沟通和合作沟通和合作5审核和检查审核和检查1人员安全管理人员录用人员录用2人员离岗人员离岗3人员考核安全意识教育和培训4安全意识教育和培训外部人员访问管理5外部人员访问管理6.通用要求控制点的变化——平安建设管理序号原分类原有控制点新的分类新的控制点1系统建设管理系统定级安全建设管理定级和备案2安全方案设计安全方案设计3产品采购和使用产品采购和使用4自行软件开发自行软件开发5外包软件开发外包软件开发6工程实施工程实施7测试验收测试验收8系统交付系统交付9系统备案等级测评10等级测评服务供应商选择11安全服务商选择6.通用要求控制点的变化——平安运维管理序号原分类原有控制点新的分类新的控制点1系统运维管理环境管理安全运维管理环境管理2资产管理资产管理3介质管理介质管理4设备管理设备维护管理5监控管理和安全管理中心漏洞和风险管理6网络安全管理网络和系统管理7系统安全管理恶意代码防范管理8恶意代码防范管理配置管理9密码管理密码管理10变更管理变更管理11备份与恢复管理备份与恢复管理12安全事件处置安全事件处置13应急预案管理应急预案管理14外包运维管理6.通用要求标准控制点的变化安全要求类层面一级二级三级四级技术要求物理和环境安全7101010网络和通信安全4688设备和计算安全4666应用和数据安全591010管理要求安全策略和管理制度1444安全管理机构和人员7999安全建设管理7101010安全运维管理8141414合计（新标准）43687171合计（旧标准）486673777.增加云计算平安扩展要求云计算平安扩展要求章节针对云计算的特点提出特殊保护要求。由第2分册〔之前的云计算平安扩展要求分册〕合并为根本要求的X.2章节，合并后精炼保存针对云计算特点的特殊保护要求，增加包括“根底设施的位置〞、“虚拟化平安保护〞、“镜像和快照保护〞、“云效劳商选择〞和“云计算环境管理〞等方面。8.增加了移动互联平安扩展要求移动互联平安扩展要求章节针对移动互联的特点提出特殊保护要求。由第3分册〔之前的移动互联网平安扩展要求分册〕合并为根本要求的X.3章节，合并后精炼保存针对移动互联网特点的特殊保护要求，增加包括“无线接入点的物理位置〞、“移动终端管控〞、“移动应用管控〞、“移动应用软件采购〞和“移动应用软件开发〞等方面。9.增加了物联网平安扩展要求物联网平安扩展要求章节针对物联网的特点提出特殊保护要求。由第4分册〔之前的物联网平安扩展要求分册〕合并为根本要求的X.4章节，合并后精炼保存针对物联网的感知网局部特殊保护要求，增加包括“感知节点的物理防护〞、“感知节点设备平安〞、“网关节点设备平安〞、“感知节点的管理〞和“数据融合处理〞等方面。10.增加了工业控制系统平安扩展要求工业控制系统平安扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护〞、“工业控制系统网络架构平安〞、“拨号使用控制〞、“无线使用控制〞和“控制设备平安〞等方面，针对工业控制系统实时性要求高的特点调整了“漏洞和风险管理〞和“恶意代码防范管理〞方面的要求。安全要求类层面一级二级三级四级技术要求物理和环境安全7152223网络和通信安全7153333设备和计算安全7172626应用和数据安全8223437管理要求安全策略和管理制度1677安全管理机构和人员7162629安全建设管理9233435安全运维管理13314951合计（新标准）59145231241合计（旧标准）8517529031811.标准控制项的变化——通用要求11.标准控制项的变化——扩展要求安全要求项一级二级三级四级安全通用要求（X.1）59145231241云计算安全扩展要求（X.2）12376061移动互联安全扩展要求（X.3）5192324物联网安全扩展要求（X.4）792324工业控制系统安全扩展要求（X.5）1018262712.取消了平安控制点的标注适应定级方法的变化，取消了原来平安控制点的S、A、G标注，调整原来的附录B“平安要求的选择和使用“，描述等级保护对象的定级结果和平安要求之间的关系，增加平安控制措施选择时，控制点的标注及使用说明。13.增加了应用场景的说明等级保护平安框架图D.1云计算效劳模式与控制范围的关系13.增加了应用场景的说明层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中心及物理设施云服务商网络和通信安全网络结构、访问控制、入侵防范、安全审计物理网络及附属设备、虚拟网络管理平台云服务商云服务客户虚拟网络安全域云服务客户设备和计算安全身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像等云服务商云服务客户虚拟网络设备、虚拟安全设备、虚拟机等云服务客户应用和数据安全安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复云管理平台（含运维和运营）、镜像、快照等云服务商云服务客户应用系统及相关软件组件、云服务客户应用系统配置、云服务客户业务相关数据等云服务客户安全管理机构和人员授权和审批授权和审批流程、文档等云服务商安全建设管理安全方案设计、测试验收、云服务商选择、供应链管理云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息云服务商云服务商选择及管理流程云服务客户安全运维管理监控和审计管理监控和审计管理的相关流程、策略和数据云服务商、云服务客户IaaS模式下云效劳商与租户的责任划分层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中心及物理设施云服务商网络和通信安全网络结构、访问控制、远程访问、入侵防范、安全审计物理网络及附属设备、虚拟网络管理平台、虚拟网络安全域云服务商设备和计算安全身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像、虚拟机、虚拟网络设备、虚拟安全设备等云服务商应用和数据安全安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复云管理平台（含运维和运营）、镜像、快照等云服务商云服务客户应用系统及相关软件组件、云服务客户应用系统配置、云服务客户业务相关数据等云服务客户安全管理机构和人员授权和审批授权和审批流程、文档等云服务商安全建设管理安全方案设计、测试验收、云服务商选择、供应链管理云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息云服务商云服务商选择及管理流程云服务客户安全运维管理监控和审计管理监控和审计管理的相关流程、策略和数据云服务商PaaS模式下云效劳商与租户的责任划分SaaS模式下云效劳商与租户的责任划分层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中心及物理设施云服务商网络和通信安全网络结构、访问控制、远程访问、入侵防范、安全审计物理网络及附属设备、虚拟网络管理平台、虚拟网络安全域云服务商设备和计算安全身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像、虚拟机、虚拟网络设备、虚拟安全设备等云服务商应用和数据安全安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复云管理平台（含运维和运营）、镜像、快照等、应用系统及相关软件组件云服务商云服务客户应用系统配置、云服务客户业务相关数据等云服务客户安全管理机构和人员授权和审批授权和审批流程、文档等云服务商安全建设管理安全方案设计、测试验收、云服务商选择、供应链管理云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息云服务商云服务商选择及管理流程云服务客户安全运维管理监控和审计管理监控和审计管理的相关流程、策略和数据云服务商图E.1移动互联应用架构图F.1物联网系统构成13.增加了应用场景的说明?网络平安等级保护测评要求?主要修订的内容主要修订内容名称的变化及等级保护测评对象的变化。〔与根本要求一致〕每级分别遵从?根本要求?的框架描述如何实施测评工作，每个级别包括平安测评通用要求、云计算平安测评扩展要求、移动互联平安测评扩展要求、物联网平安测评扩展要求和工业控制系统平安测评扩展要求等5个局部内容。测评项与根本要求一致。为了更加易于使用测评要求，增加?附录B测评单元编号说明?和?附录D根本要求和测评要求对应表?。等级测评描述框架等级测评分为单项测评和整体测评。单项测评是针对各平安要求项的测评，支持测评结果的可重复性和可再现性。本标准中单项测评由测评指标、测评对象、测评实施和单元判定结果构成。整体测评是在单项测评根底上，对等级保护对象整体平安保护能力的判断。整体平安保护能力从纵深防护和措施互补二个角度评判。测评流程方法的变化在级差上的变化主要修订内容现等级保护标准体系GB17859计算机信息系统平安保护等级划分准那么GB/T25058网络平安等级保护实施指南GB/T22240网络平安等级保护定级指南GB/T22239网络平安等级保护根本要求GB/T25070GB/T28448网络平安等级保护测评要求GB/T28449信息系统平安等级保护测评过程指南〔修订〕〔修订〕〔修订〕〔修订〕〔新立〕〔修订〕〔新立〕?网络平安等级保护定级指南?主要修订的内容〔草案阶段〕1.等级保护对象的修订3.第三级定义的修订受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级定级要素与平安保护等级的关系4.明确了定级工作的流程确定定级对象初步确定等级专家评审主管部门审核公安机关备案审查5.定级对象确实定作为定级对象的网络系统应具有如下根本特征：具有确定的主要平安责任主体。——包含但不限于企业、机关和事业单位等法人，以及不具备法人资格的社会团体等其他组织。承载相对独立的业务应用。包含相互关联的多个资源。——