前哨按语:2019年5月10日,国家标准《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)发布,将于2019年12月1日起实施。该标准贯彻了《网络安全法》关于网络安全等级保护制度的最新要求,替代了之前的《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)。以下是该标准起草人发表在《信息网络安全》2019年第2期的解读文章。

《网络安全等级保护基本要求》(GB/T 22239-2019)标准解读

马力 1, 祝国邦 2, 陆磊 2

(1.公安部信息安全等级保护评估中心,北京 100142;2. 公安部网络安全保卫局,北京 100741)

摘 要:《网络安全等级保护基本要求》(GB/T 22239-2019)即将正式实施。文章介绍了《GB/T 22239-2019》的修订背景和进程、与《GB/T 22239-2008》比较发生的主要变化、其安全通用要求和安全扩展要求的主要内容等,目的使用户更好地了解和掌握《GB/T 22239-2019》的内容。

关键词: 等级保护对象; 安全通用要求; 安全扩展要求

0 引言

《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)在我国推行信息安全等级保护制度的过程中起到了非常重要的作用, 被广泛用于各行业或领域, 指导用户开展信息系统安全等级保护的建设整改、等级测评等工作[1]。随着信息技术的发展, 已有10年历史的《GB/T 22239-2008》在时效性、易用性、可操作性上需要进一步完善。2017年《中华人民共和国网络安全法》[2]实施, 为了配合国家落实网络安全等级保护制度[3], 也需要修订《GB/T 22239-2008》。

2014年, 全国信息安全标准化技术委员会(以下简称安标委)下达了对《GB/T 22239-2008》进行修订的任务。标准修订主要承担单位为公安部第三研究所(公安部信息安全等级保护评估中心), 20多家企事业单位派人员参与了标准的修订工作。标准编制组于2014年成立, 先后调研了国际和国内云计算平台、大数据应用、移动互联接入、物联网和工业控制系统等新技术、新应用的使用情况, 分析并总结了新技术和新应用中的安全关注点和安全控制要素, 完成了基本要求草案第一稿。

2015年2月至2016年7月, 标准编制组在草案第一稿的基础上, 广泛征求行业用户单位、安全服务机构和各行业/领域专家的意见, 并按照意见调整和完善标准草案, 先后共形成7个版本的标准草案。2016年9月, 标准编制组参加了安标委WG5 工作组在研标准推进会, 按照专家及成员单位提出的修改建议, 对草案进行了修改, 形成了标准征求意见稿。2017年4月, 标准编制组再次参加了安标委WG5 工作组在研标准推进会, 根据征求意见稿收集的修改建议, 对征求意见稿进行了修改, 形成了标准送审稿。2017年10月, 标准编制组又一次参加了安标委WG5 工作组在研标准推进会, 在会上介绍了送审稿内容, 并征求成员单位意见, 根据收集的修改建议, 对送审稿进行了修改完善, 形成了标准报批稿。

2019年《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)将正式实施。本文分析《GB/T 22239-2019》相较《GB/T 22239-2008》发生的主要变化,解读其安全通用要求和安全扩展要求的主要内容,以便于读者更好地了解和掌握《GB/T 22239-2019》的内容。

1 总体结构的变化

1.1 主要变化内容

《GB/T 22239-2019》相较于《GB/T 22239-2008》, 无论是在总体结构方面还是在细节内容方面均发生了变化[4]。在总体结构方面的主要变化为:

1)为适应网络安全法, 配合落实网络安全等级保护制度, 标准的名称由原来的《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》。

2)等级保护对象由原来的信息系统调整为基础信息网络、信息系统(含采用移动互联技术的系统)、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。

3)将原来各个级别的安全要求分为安全通用要求和安全扩展要求, 安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。安全通用要求是不管等级保护对象形态如何必须满足的要求; 针对云计算、移动互联、物联网和工业控制系统提出的特殊要求称为安全扩展要求。

4)原来基本要求中各级技术要求的“ 物理安全” 、“ 网络安全” 、“ 主机安全” 、“ 应用安全” 和“ 数据安全和备份与恢复” 修订为“ 安全物理环境” 、“ 安全通信网络” 、“ 安全区域边界” 、“ 安全计算环境” 和“ 安全管理中心” ; 原各级管理要求的“ 安全管理制度” 、“ 安全管理机构” 、“ 人员安全管理” 、“ 系统建设管理” 和“ 系统运维管理” 修订为“ 安全管理制度” 、“ 安全管理机构” 、“ 安全管理人员” 、“ 安全建设管理” 和“ 安全运维管理” [5]。

5)云计算安全扩展要求针对云计算环境的特点提出。主要内容包括“ 基础设施的位置” 、“ 虚拟化安全保护” 、“ 镜像和快照保护” 、“ 云计算环境管理” 和“ 云服务商选择” 等。

6)移动互联安全扩展要求针对移动互联的特点提出。主要内容包括“ 无线接入点的物理位置” 、“ 移动终端管控” 、“ 移动应用管控” 、“ 移动应用软件采购” 和“ 移动应用软件开发” 等。

7)物联网安全扩展要求针对物联网的特点提出。主要内容包括“ 感知节点的物理防护” 、“ 感知节点设备安全” 、“ 网关节点设备安全” 、“ 感知节点的管理” 和“ 数据融合处理” 等。

8)工业控制系统安全扩展要求针对工业控制系统的特点提出。主要内容包括“ 室外控制设备防护” 、“ 工业控制系统网络架构安全” 、“ 拨号使用控制” 、“ 无线使用控制” 和“ 控制设备安全” 等。

9)取消了原来安全控制点的S、A、G标注, 增加附录A“ 关于安全通用要求和安全扩展要求的选择和使用” , 描述等级保护对象的定级结果和安全要求之间的关系, 说明如何根据定级的S、A结果选择安全要求的相关条款, 简化了标准正文部分的内容。

10)增加附录C描述等级保护安全框架和关键技术、附录D描述云计算应用场景、附录E描述移动互联应用场景、附录F描述物联网应用场景、附录G描述工业控制系统应用场景、附录H描述大数据应用场景[6, 7]。

1.2 变化的意义和作用

《GB/T 22239-2019》采用安全通用要求和安全扩展要求的划分使得标准的使用更加具有灵活性和针对性。不同等级保护对象由于采用的信息技术不同, 所采用的保护措施也会不同。例如, 传统的信息系统和云计算平台的保护措施有差异, 云计算平台和工业控制系统的保护措施也有差异。为了体现不同对象的保护差异, 《GB/T 22239-2019》将安全要求划分为安全通用要求和安全扩展要求。

安全通用要求针对共性化保护需求提出, 无论等级保护对象以何种形式出现, 需要根据安全保护等级实现相应级别的安全通用要求。安全扩展要求针对个性化保护需求提出, 等级保护对象需要根据安全保护等级、使用的特定技术或特定的应用场景实现安全扩展要求。等级保护对象的安全保护措施需要同时实现安全通用要求和安全扩展要求, 从而更加有效地保护等级保护对象。例如, 传统的信息系统可能只需要采用安全通用要求提出的保护措施即可, 而云计算平台不仅需要采用安全通用要求提出的保护措施, 还要针对云计算平台的技术特点采用云计算安全扩展要求提出的保护措施; 工业控制系统不仅需要采用安全通用要求提出的保护措施, 还要针对工业控制系统的技术特点采用工业控制系统安全扩展要求提出的保护措施。

2 安全通用要求的内容

2.1 安全通用要求基本分类

《GB/T 22239-2019》规定了第一级到第四级等级保护对象的安全要求, 每个级别的安全要求均由安全通用要求和安全扩展要求构成。例如, 《GB/T 22239-2019》提出的第三级安全要求基本结构为:

8 第三级安全要求

8.1 安全通用要求

8.2 云计算安全扩展要求

8.3 移动互联安全扩展要求

8.4 物联网安全扩展要求

8.5 工业控制系统安全扩展要求

安全通用要求细分为技术要求和管理要求。其中技术要求包括“ 安全物理环境” 、“ 安全通信网络” 、“ 安全区域边界” 、“ 安全计算环境” 和“ 安全管理中心” ; 管理要求包括“ 安全管理制度” 、“ 安全管理机构” 、“ 安全管理人员” 、“ 安全建设管理” 和“ 安全运维管理” 。两者合计10大类, 如图1所示。

2.2 技术要求

技术要求分类体现了从外部到内部的纵深防御思想。对等级保护对象的安全防护应考虑从通信网络到区域边界再到计算环境的从外到内的整体防护, 同时考虑对其所处的物理环境的安全防护。对级别较高的等级保护对象还需要考虑对分布在整个系统中的安全功能或安全组件的集中技术管理手段。

声明:本文来自网络法前哨,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。