安基網 首頁 安全 法規標準 查看內容

網絡安全等級保護系列國家標準解讀

2019-6-13 09:35| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 背景情況《信息系統安全等級保護基本要求》(GB/T 22239-2008)、《信息系統安全等級保護測評要求》(GB/T 22239-2008)、《信息系統安全等級保護設計技術要求》(GB/T 25070-2010)在我國推行信息安全等級保護制度 ...

背景情況

《信息系統安全等級保護基本要求》(GB/T 22239-2008)、《信息系統安全等級保護測評要求》(GB/T 22239-2008)、《信息系統安全等級保護設計技術要求》(GB/T 25070-2010)在我國推行信息安全等級保護制度的過程中起到了非常重要的作用,被廣泛應用于各個行業或領域指導用戶開展信息系統安全等級保護的建設整改、等級測評等工作。但是隨著信息技術的發展,采用新技術、新應用構建的云計算平臺、移動互聯接入、物聯網、工業控制系統和大數據應用等系統的大量出現,已有10年歷史的這三項標準在時效性、易用性、可操作性上需要進一步修訂完善。同時,2017年6月1日,《網絡安全法》正式實施,進一步明確了網絡安全等級保護制度的法律地位,網絡安全等級保護對象、保護措施要求、范圍等都發生了很大的變化,需要修訂原來的標準,以適應網絡安全等級保護制度要求。

目的意義

《網絡安全法》明確了“國家實行網絡安全等級保護制度”、“關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護”等內容,為網絡安全等級保護工作賦予了新的內涵。為配合《網絡安全法》的實施和落地,指導網絡運營者按照網絡安全等級保護制度的要求,履行網絡安全保護義務,重新調整和修訂等級保護系列標準意義重大。尤其是等級保護對象已經從狹義的信息系統,擴展到網絡基礎設施、云計算平臺、大數據平臺、物聯網、工業控制系統、采用移動互聯技術的系統等,重新調整和修訂等級保護系列標準,基于新技術和新要求提出新的技術防護體系和管理措施、安全建設設計實現方式以及等級測評方法等非常必要,可有效指導網絡運營者、網絡安全企業、網絡安全服務機構開展網絡安全等級保護安全技術方案的設計和實施,指導測評機構更加規范化和標準化的開展等級測評工作,進而全面提升網絡運營者的網絡安全防護能力。

主要內容

01

網絡安全等級保護基本要求

新標準GB/T 22239-2019體現了綜合防御、縱深防御、主動防御思想,規定了第一級到第四級等級保護對象的安全保護的基本要求,每個級別的基本要求均由安全通用要求和安全擴展要求構成。例如GB/T 22239-2019提出的第三級安全要求基本結構為:

8 第三級安全要求

8.1 安全通用要求

8.2 云計算安全擴展要求

8.3 移動互聯安全擴展要求

8.4 物聯網安全擴展要求

8.5 工業控制系統安全擴展要求

安全要求細分為技術要求和管理要求。其中技術要求部分為“安全物理環境”“安全通信網絡”“安全區域邊界”“安全計算環境”“安全管理中心”;管理要求部分為“安全管理制度”“安全管理機構”“安全管理人員”“安全建設管理”“安全運維管理”,兩者合計共分為10大類。

安全技術要求的分類體現了“從外部到內部”的縱深防御思想,對等級保護對象的安全防護應考慮從通信網絡、區域邊界和計算環境從外到內的整體防護,同時考慮其所處的物理環境的安全防護,對級別較高的還需要考慮對分布在整個系統中的安全功能或安全組件的集中技術管理手段。

安全管理要求的分類體現了“從要素到活動”的綜合管理思想,安全管理需要的“機構”“制度”“人員”三要素缺一不可,同時應對系統的建設整改過程和運行維護過程中重要活動實施控制和管理,對級別較高的需要構建完備的安全管理體系。

02

網絡安全等級保護測評要求

《網絡安全等級保護測評要求》以GB/T 22239《網絡安全等級保護基本要求》的要求項作為測評指標,規定了第一級到第四級等級保護對象的測評要求,用于規范和指導測評機構和測評人員的活動和行為。

標準文本分為12章,3個附錄。其中第6、7、8、9、11和12章為重點章節,分別描述了第一、二、三、四級測評要求,每級分別遵從《基本要求》的框架描述如何實施測評工作。每個級別包括安全測評通用要求、云計算安全測評擴展要求、移動互聯安全測評擴展要求、物聯網安全測評擴展要求和工業控制系統安全測評擴展要求等5個部分內容。其中技術方面分別從安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心等五個方面展開;而管理方面則分別從安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全系統運維管理等五個方面展開,與《基本要求》形成了一致對應的標準文本結構。第11章描述了系統整體測評方法,在單項測評的基礎上,從系統整體的角度綜合考慮如何進行系統性的測評。分別從安全控制點、安全控制點間及區域間測評三方面進行描述,分析了在進行系統整體測評時所需考慮的內容。第12章概要說明了測評結論的得出方法以及測評結論主要包括哪些方面的內容等。

03

網絡安全等級保護安全設計技術要求

《網絡安全等級保護安全設計技術要求》規定了第一級到第四級等級保護對象的安全設計技術要求,每個級別的安全設計技術要求均由安全通用設計技術要求和安全擴展設計技術要求構成。安全擴展設計技術要求包括了云計算、移動互聯、物聯網、工業控制系統等方面。第一級到第三級的安全設計技術要求均包含安全計算環境、安全區域邊界、安全通信網絡、安全管理中心等四個方面。在第四級的安全設計技術要求增加了系統安全保護環境結構化設計技術要求方面。

安全計算環境設計技術要求針對等級保護對象的信息進行存儲、處理及實施安全策略的相關部件提出;安全區域邊界設計技術要求針對安全計算環境邊界及在安全計算環境與安全通信網絡之間實現連接并實施安全策略的相關部件提出;安全通信網絡設計技術要求針對安全計算環境之間進行信息傳輸及實施安全策略的相關部件提出;安全管理中心設計技術要求是針對等級保護對象的安全策略及安全計算環境、安全區域邊界和安全通信網絡上的安全機制實施同一管理的平臺提出。安全設計技術要求主要從用戶身份鑒別、訪問控制、安全審計、用戶數據完整性和保密性保護、客體安全重用、可信驗證、配置可信性檢查、入侵檢測和惡意代碼防范等方面提出要求。在附錄C中對大數據設計技術要求進行了規定。

來源 | 市場監管總局

長按二維碼,關注

“中國標準化”

「中國標準化」旗下刊物

《中國標準化》

《中國標準化》海外版

《標準科學》

《標準生活》

《產品安全與召回》



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6701583671838638600/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手
1

雷人

路過

雞蛋

剛表態過的朋友 (1 人)

相關閱讀

最新評論

 最新
返回頂部
云南快乐十分开奖结果前三