網(wǎng)絡安全等級保護相關標準修訂解讀課件

1、網(wǎng)絡安全等級保護相關標準修訂解讀,智慧城市運營中心 周俊,1,學習交流PPT,原等級保護標準體系,2,學習交流PPT,現(xiàn)等級保護標準體系,GB 17859 計算機信息系統(tǒng)安全保護等級劃分準則,GB/T 25058,網(wǎng)絡安全等級保護實施指南,GB/T 22240,網(wǎng)絡安全等級保護定級指南,GB/T 22239,網(wǎng)絡安全等級保護基本要求,GB/T 25070,網(wǎng)絡安全等級保護安全技術設計要求,網(wǎng)絡安全等級保護安全管理中心技術要求,GB/T 28448,網(wǎng)絡安全等級保護測評要求,GB/T 28449,信息系統(tǒng)安全等級保護測評過程指南,網(wǎng)絡安全等級保護測試評估技術指南,（修訂）,（修訂）,（修訂）,（

2、修訂）,（新立）,（修訂）,（新立）,3,學習交流PPT,2014年，為了適應新技術新應用情況下的等級保護工作開展，決定對原標準進行擴展，形成5個分冊，以基本要求為例，分為： 網(wǎng)絡安全等級保護基本要求 第1部分：安全通用要求 第2部分：云計算安全擴展要求 第3部分：移動互聯(lián)安全擴展要求 第4部分：物聯(lián)網(wǎng)安全擴展要求 第5部分： 工業(yè)控制系統(tǒng)安全擴展要求 測評要求和設計要求也進行了相應的擴展，形成了15個標準小組，各小組經(jīng)過草案、征求意見階段，在2017年5月形成了標準送審稿。,標準修訂歷程,2013年，全國信息安全標準化技術委員會秘書處下達了對原國家標準信息系統(tǒng)安全等級保護基本要求、信息系統(tǒng)安

3、全等級保護測評要求、信息系統(tǒng)等級保護安全設計技術要求的修訂工作。,2017年8月，網(wǎng)信辦、公安部和信安標委達成一致意見，將基本要求、測評要求、設計要求三個標準體系的5個分冊標準進行了合并，形成網(wǎng)絡安全等級保護基本要求、網(wǎng)絡安全等級保護測評要求、網(wǎng)絡安全等級保護安全設計技術要求三個單一標準，形成最新版送審稿。,4,學習交流PPT,網(wǎng)絡安全等級保護基本要求主要修訂的內(nèi)容,5,學習交流PPT,原來：信息系統(tǒng)安全等級保護基本要求 改為：網(wǎng)絡安全等級保護基本要求 為適應中華人民共和國網(wǎng)絡安全法，配合落實“網(wǎng)絡安全等級保護制度”，變更等級保護相關標準的名稱。,1.標準名稱的變化,6,學習交流PPT,2.等

4、級保護對象的變化,原來：信息安全等級保護工作直接作用的具體信息和信息系統(tǒng) 改為：由計算機或者其他信息終端及相關設備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的系統(tǒng)，主要包括基礎信息網(wǎng)絡、信息系統(tǒng)、云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)等。 根據(jù)網(wǎng)絡安全法，擴展等級保護對象，并解決移動互聯(lián)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術、新應用領域的等級保護工作。,7,學習交流PPT,3.安全要求的變化,原來：安全要求 改為：安全通用要求和安全擴展要求 安全通用要求是不管等級保護對象形態(tài)如何必須滿足的要求，針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出了特殊要求，稱為安

5、全擴展要求。,8,學習交流PPT,4.章節(jié)結(jié)構(gòu)的變化（以第三級要求為例）,8 第三級安全要求 8.1安全通用要求 8.1.1 物理和環(huán)境安全 8.1.8 安全運維管理 8.2 云計算安全擴展要求 8.2.1 物理和環(huán)境安全 8.2.2 網(wǎng)絡和通信安全 8.3 移動互聯(lián)安全擴展要求 8.4 物聯(lián)網(wǎng)安全擴展要求 8.5 工業(yè)控制系統(tǒng)安全擴展要求,7 第三級基本要求 7.1 技術要求 7.1.1物理安全 7.1.2網(wǎng)絡安全 7.2 管理要求 7.2.1 安全管理制度 7.2.2 安全管理機構(gòu) ,9,學習交流PPT,5.控制措施分類結(jié)構(gòu)的變化,技術要求 原來：物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)

6、據(jù)安全 改為：物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全 管理要求 原來：安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理 改為：安全策略和管理制度、安全管理機構(gòu)與人員、安全建設管理、安全運維管理,10,學習交流PPT,6.通用要求控制點的變化物理和環(huán)境安全,11,學習交流PPT,6.通用要求控制點的變化網(wǎng)絡和通信安全,12,學習交流PPT,6.通用要求控制點的變化設備和計算安全,13,學習交流PPT,6.通用要求控制點的變化應用和數(shù)據(jù)安全,14,學習交流PPT,6.通用要求控制點的變化安全管理策略和管理制度,15,學習交流PPT,6.通用要求控制點的變

7、化安全管理機構(gòu)和人員,16,學習交流PPT,6.通用要求控制點的變化安全建設管理,17,學習交流PPT,6.通用要求控制點的變化安全運維管理,18,學習交流PPT,6.通用要求標準控制點的變化,19,學習交流PPT,7.增加云計算安全擴展要求,云計算安全擴展要求章節(jié)針對云計算的特點提出特殊保護要求。由第2分冊（之前的云計算安全擴展要求分冊）合并為基本要求的X.2章節(jié)，合并后精煉保留針對云計算特點的特殊保護要求，增加包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務商選擇”和“云計算環(huán)境管理”等方面。,20,學習交流PPT,8.增加了移動互聯(lián)安全擴展要求,移動互聯(lián)安全擴展要

8、求章節(jié)針對移動互聯(lián)的特點提出特殊保護要求。由第3分冊（之前的移動互聯(lián)網(wǎng)安全擴展要求分冊）合并為基本要求的X.3章節(jié)，合并后精煉保留針對移動互聯(lián)網(wǎng)特點的特殊保護要求，增加包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件采購”和“移動應用軟件開發(fā)”等方面。,21,學習交流PPT,9.增加了物聯(lián)網(wǎng)安全擴展要求,物聯(lián)網(wǎng)安全擴展要求章節(jié)針對物聯(lián)網(wǎng)的特點提出特殊保護要求。由第4分冊（之前的物聯(lián)網(wǎng)安全擴展要求分冊）合并為基本要求的X.4章節(jié)，合并后精煉保留針對物聯(lián)網(wǎng)的感知網(wǎng)部分特殊保護要求，增加包括“感知節(jié)點的物理防護”、“感知節(jié)點設備安全”、“網(wǎng)關節(jié)點設備安全”、“感知節(jié)點

9、的管理”和“數(shù)據(jù)融合處理”等方面。,22,學習交流PPT,10.增加了工業(yè)控制系統(tǒng)安全擴展要求,工業(yè)控制系統(tǒng)安全擴展要求章節(jié)針對工業(yè)控制系統(tǒng)的特點提出特殊保護要求。對工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括“室外控制設備防護”、“工業(yè)控制系統(tǒng)網(wǎng)絡架構(gòu)安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”等方面，針對工業(yè)控制系統(tǒng)實時性要求高的特點調(diào)整了“漏洞和風險管理”和“惡意代碼防范管理”方面的要求。,23,學習交流PPT,11.標準控制項的變化通用要求,24,學習交流PPT,11.標準控制項的變化擴展要求,25,學習交流PPT,12.取消了安全控制點的標注,適應定級方法的變化，取消了原來安全控制

10、點的S、A、G標注，調(diào)整原來的附錄B“安全要求的選擇和使用“，描述等級保護對象的定級結(jié)果和安全要求之間的關系，增加安全控制措施選擇時，控制點的標注及使用說明。,26,學習交流PPT,13.增加了應用場景的說明,增加附錄C 描述等級保護安全框架和關鍵技術 ，增加附錄D描述云計算應用場景，附錄E描述移動互聯(lián)應用場景，附錄F描述物聯(lián)網(wǎng)應用場景，附錄G描述工業(yè)控制系統(tǒng)應用場景。,等級保護安全框架,27,學習交流PPT,圖D.1云計算服務模式與控制范圍的關系,13.增加了應用場景的說明,28,學習交流PPT,IaaS模式下云服務商與租戶的責任劃分,29,學習交流PPT,PaaS模式下云服務商與租戶的責任

11、劃分,30,學習交流PPT,SaaS模式下云服務商與租戶的責任劃分,31,學習交流PPT,圖E.1移動互聯(lián)應用架構(gòu),圖F.1物聯(lián)網(wǎng)系統(tǒng)構(gòu)成,13.增加了應用場景的說明,32,學習交流PPT,網(wǎng)絡安全等級保護測評要求主要修訂的內(nèi)容,33,學習交流PPT,主要修訂內(nèi)容,名稱的變化及等級保護測評對象的變化。（與基本要求一致） 每級分別遵從基本要求的框架描述如何實施測評工作，每個級別包括安全測評通用要求、云計算安全測評擴展要求、移動互聯(lián)安全測評擴展要求、物聯(lián)網(wǎng)安全測評擴展要求和工業(yè)控制系統(tǒng)安全測評擴展要求等5個部分內(nèi)容。測評項與基本要求一致。 為了更加易于使用測評要求，增加附錄B 測評單元編號說明和附

12、錄D 基本要求和測評要求對應表。,34,學習交流PPT,等級測評描述框架,等級測評分為單項測評和整體測評。 單項測評是針對各安全要求項的測評，支持測評結(jié)果的可重復性和可再現(xiàn)性。本標準中單項測評由測評指標、測評對象、測評實施和單元判定結(jié)果構(gòu)成。 整體測評是在單項測評基礎上，對等級保護對象整體安全保護能力的判斷。整體安全保護能力從縱深防護和措施互補二個角度評判。,測評流程方法的變化,35,學習交流PPT,在級差上的變化,測試方法：第一級主要以訪談位置，第二級核查為主，第三級和第四級在核查的基礎上進行測試驗證。 測評對象范圍：第一級和第二級為關鍵設備，第三級主要設備，第四級所有設備 測評實施：第一級

13、和第二級以核查安全機制為主，第三級和第四級先核查安全機制，再檢查策略有效性。 測評方法使用：安全技術方面的測評方法以配置核查和測試驗證為主，幾乎沒有訪談。安全管理方面可以使用訪談方式進行測評,36,學習交流PPT,網(wǎng)絡安全等級保護安全設計技術要求主要修訂的內(nèi)容,37,學習交流PPT,名稱的變化及等級化保護對象的變化。（與基本要求一致） 沿用“一個中心三重防護“的防護理念，在通用的等級保護安全設計框架下，針對云計算、移動互聯(lián)、物理網(wǎng)、工業(yè)控制系統(tǒng)提出了新的安全設計框架。 在每一級的“安全計算環(huán)境設計技術要求“、”安全區(qū)域邊界技術設計技術要求”、“安全通信網(wǎng)絡設計技術要求”中，除了通用設計外，增加

14、了針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)的設計要求。,主要修訂內(nèi)容,38,學習交流PPT,網(wǎng)絡安全等級保護安全技術設計框架,39,學習交流PPT,云計算安全防護技術框架,40,學習交流PPT,移動互聯(lián)系統(tǒng)安全防護技術框架,41,學習交流PPT,物聯(lián)網(wǎng)安全防護技術框架,42,學習交流PPT,工業(yè)控制系統(tǒng)安全防護技術框架,43,學習交流PPT,現(xiàn)等級保護標準體系,GB 17859 計算機信息系統(tǒng)安全保護等級劃分準則,GB/T 25058,網(wǎng)絡安全等級保護實施指南,GB/T 22240,網(wǎng)絡安全等級保護定級指南,GB/T 22239,網(wǎng)絡安全等級保護基本要求,GB/T 25070,網(wǎng)絡安全等級保

15、護安全技術設計要求,網(wǎng)絡安全等級保護安全管理中心技術要求,GB/T 28448,網(wǎng)絡安全等級保護測評要求,GB/T 28449,信息系統(tǒng)安全等級保護測評過程指南,網(wǎng)絡安全等級保護測試評估技術指南,（修訂）,（修訂）,（修訂）,（修訂）,（新立）,（修訂）,（新立）,44,學習交流PPT,網(wǎng)絡安全等級保護定級指南主要修訂的內(nèi)容（草案階段）,45,學習交流PPT,原來：信息安全等級保護工作直接作用的具體信息和信息系統(tǒng) 改為：網(wǎng)絡安全等級保護的作用對象，主要包括基礎信息網(wǎng)絡、工業(yè)控制系統(tǒng)、云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術的網(wǎng)絡系統(tǒng)以及其他網(wǎng)絡系統(tǒng)。（目前文字描述上與基本要求不一致，但

16、意思相同，后期應該會統(tǒng)一） 根據(jù)網(wǎng)絡安全法，擴展等級保護對象，并解決移動互聯(lián)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術、新應用領域的等級保護工作。,1.等級保護對象的修訂,46,學習交流PPT,2.新增相關標準術語,基礎信息網(wǎng)絡：為信息流通、網(wǎng)絡系統(tǒng)運行等起基礎支撐作用的信息網(wǎng)絡，包括電信網(wǎng)、廣播電視傳輸網(wǎng)、互聯(lián)網(wǎng)、業(yè)務專網(wǎng)等網(wǎng)絡設備設施。 關鍵信息基礎設施：公共通信和信息服務、能源、金融、交通、水利、公共服務和電子政務等重要行業(yè)和領域以及其他一旦遭到破壞、喪失功能或數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生和公共利益的網(wǎng)絡系統(tǒng)。 大數(shù)據(jù)平臺：采用分布式存儲和計算技術，提供大數(shù)據(jù)的訪問、處理和存儲，支撐大數(shù)據(jù)應用安全高效運行的軟硬件集合。,47,學習交流PPT,3.第三級定義的修訂,原來：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損壞，或者對國家安全造成損害。 改為：等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。,定級要素與安全保護等級的關系,48,學習交流PPT,4.明確了定級工作的流程,49,學習交流PPT,5.定級對象的確定,作為定級對象的網(wǎng)絡系統(tǒng)應具有如下基本特征： 具有確定的主要安全責任主體。包含但不限于企業(yè)、機關