一、背景情况
《信息系统安全等级保护基本要求》(GB/T 22239-2008)、《信息系统安全等级保护测评要求》(GB/T 22239-2008)、《信息系统安全等级保护设计技术要求》(GB/T 25070-2010)在我国推行信息安全等级保护制度的过程中起到了非常重要的作用,被广泛应用于各个行业或领域指导用户开展信息系统安全等级保护的建设整改、等级测评等工作。但是随着信息技术的发展,采用新技术、新应用构建的云计算平台、移动互联接入、物联网、工业控制系统和大数据应用等系统的大量出现,已有10年历史的这三项标准在时效性、易用性、可操作性上需要进一步修订完善。同时,2017年6月1日,《网络安全法》正式实施,进一步明确了网络安全等级保护制度的法律地位,网络安全等级保护对象、保护措施要求、范围等都发生了很大的变化,需要修订原来的标准,以适应网络安全等级保护制度要求。
二、目的意义
《网络安全法》明确了“国家实行网络安全等级保护制度”、“关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”等内容,为网络安全等级保护工作赋予了新的内涵。为配合《网络安全法》的实施和落地,指导网络运营者按照网络安全等级保护制度的要求,履行网络安全保护义务,重新调整和修订等级保护系列标准意义重大。尤其是等级保护对象已经从狭义的信息系统,扩展到网络基础设施、云计算平台、大数据平台、物联网、工业控制系统、采用移动互联技术的系统等,重新调整和修订等级保护系列标准,基于新技术和新要求提出新的技术防护体系和管理措施、安全建设设计实现方式以及等级测评方法等非常必要,可有效指导网络运营者、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,指导测评机构更加规范化和标准化的开展等级测评工作,进而全面提升网络运营者的网络安全防护能力。
三、五个级别
1、第一级(自主保护级)︰一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息系统。
2、第二级(指导保护级)︰一般适用于县级其些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
3、第三级(监督保护级)︰一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等
4、第四级(强制保护级)︰一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。
5、第五级(专控保护级)︰一般适用于国家重要领域、重要部门中的极端重要系统。
四、主要内容
网络安全等级保护基本要求
新标准GB/T 22239-2019体现了综合防御、纵深防御、主动防御思想,规定了第一级到第四级等级保护对象的安全保护的基本要求,每个级别的基本要求均由安全通用要求和安全扩展要求构成。例如GB/T 22239-2019提出的第三级安全要求基本结构为:
1.第三级安全要求;
安全通用要求
云计算安全扩展要求
移动互联安全扩展要求
物联网安全扩展要求
工业控制系统安全扩展要求
安全要求细分为技术要求和管理要求。其中技术要求部分为“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”;管理要求部分为“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”、“安全运维管理”,两者合计共分为10大类。
安全技术要求的分类体现了“从外部到内部”的纵深防御思想,对等级保护对象的安全防护应考虑从通信网络、区域边界和计算环境从外到内的整体防护,同时考虑其所处的物理环境的安全防护,对级别较高的还需要考虑对分布在整个系统中的安全功能或安全组件的集中技术管理手段。
安全管理要求的分类体现了“从要素到活动”的综合管理思想,安全管理需要的“机构”、“制度”和“人员”三要素缺一不可,同时应对系统的建设整改过程和运行维护过程中重要活动实施控制和管理,对级别较高的需要构建完备的安全管理体系。
2.网络安全等级保护测评要求
《网络安全等级保护测评要求》以GB/T 22239《网络安全等级保护基本要求》的要求项作为测评指标,规定了第一级到第四级等级保护对象的测评要求,用于规范和指导测评机构和测评人员的活动和行为。
标准文本分为12章,3个附录。其中第6、7、8、9、11和12章为重点章节,分别描述了第一、二、三、四级测评要求,每级分别遵从《基本要求》的框架描述如何实施测评工作。每个级别包括安全测评通用要求、云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展要求和工业控制系统安全测评扩展要求等5个部分内容。其中技术方面分别从安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面展开;而管理方面则分别从安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全系统运维管理等五个方面展开,与《基本要求》形成了一致对应的标准文本结构。第11章描述了系统整体测评方法,在单项测评的基础上,从系统整体的角度综合考虑如何进行系统性的测评。分别从安全控制点、安全控制点间及区域间测评三方面进行描述,分析了在进行系统整体测评时所需考虑的内容。第12章概要说明了测评结论的得出方法以及测评结论主要包括哪些方面的内容等。
3.网络安全等级保护安全设计技术要求
《网络安全等级保护安全设计技术要求》规定了第一级到第四级等级保护对象的安全设计技术要求,每个级别的安全设计技术要求均由安全通用设计技术要求和安全扩展设计技术要求构成,安全扩展设计技术要求包括了云计算、移动互联、物联网、工业控制系统等方面。第一级到第三级的安全设计技术要求均包含安全计算环境、安全区域边界、安全通信网络、安全管理中心等四个方面。在第四级的安全设计技术要求增加了系统安全保护环境结构化设计技术要求方面。
安全计算环境设计技术要求针对等级保护对象的信息进行存储、处理及实施安全策略的相关部件提出;安全区域边界设计技术要求针对安全计算环境边界及在安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件提出;安全通信网络设计技术要求针对安全计算环境之间进行信息传输及实施安全策略的相关部件提出;安全管理中心设计技术要求是针对等级保护对象的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施同一管理的平台提出。安全设计技术要求主要从用户身份鉴别、访问控制、安全审计、用户数据完整性和保密性保护、客体安全重用、可信验证、配置可信性检查、入侵检测和恶意代码防范等方面提出要求。在附录C中对大数据设计技术要求进行了规定。
