网络安全等级保护相关标准修订解读.pptx

网络安全等级保护相关标准修订解读,智慧城市运营中心 周俊,原等级保护标准体系,现等级保护标准体系,GB 17859 计算机信息系统安全保护等级划分准则,GB/T 25058,网络安全等级保护实施指南,GB/T 22240,网络安全等级保护定级指南,GB/T 22239,网络安全等级保护基本要求,GB/T 25070,网络安全等级保护安全技术设计要求,网络安全等级保护安全管理中心技术要求,GB/T 28448,网络安全等级保护测评要求,GB/T 28449,信息系统安全等级保护测评过程指南,网络安全等级保护测试评估技术指南,（修订）,（修订）,（修订）,（修订）,（新立）,（修订）,（新立）,2014年，为了适应新技术新应用情况下的等级保护工作开展，决定对原标准进行扩展，形成5个分册，以基本要求为例，分为： 网络安全等级保护基本要求 第1部分：安全通用要求 第2部分：云计算安全扩展要求 第3部分：移动互联安全扩展要求 第4部分：物联网安全扩展要求 第5部分： 工业控制系统安全扩展要求 测评要求和设计要求也进行了相应的扩展，形成了15个标准小组，各小组经过草案、征求意见阶段，在2017年5月形成了标准送审稿。,标准修订历程,2013年，全国信息安全标准化技术委员会秘书处下达了对原国家标准信息系统安全等级保护基本要求、信息系统安全等级保护测评要求、信息系统等级保护安全设计技术要求的修订工作。,2017年8月，网信办、公安部和信安标委达成一致意见，将基本要求、测评要求、设计要求三个标准体系的5个分册标准进行了合并，形成网络安全等级保护基本要求、网络安全等级保护测评要求、网络安全等级保护安全设计技术要求三个单一标准，形成最新版送审稿。,网络安全等级保护基本要求主要修订的内容,原来：信息系统安全等级保护基本要求 改为：网络安全等级保护基本要求 为适应中华人民共和国网络安全法，配合落实“网络安全等级保护制度”，变更等级保护相关标准的名称。,1.标准名称的变化,2.等级保护对象的变化,原来：信息安全等级保护工作直接作用的具体信息和信息系统 改为：由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，主要包括基础信息网络、信息系统、云计算平台、大数据平台、物联网系统、工业控制系统等。 根据网络安全法，扩展等级保护对象，并解决移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的等级保护工作。,3.安全要求的变化,原来：安全要求 改为：安全通用要求和安全扩展要求 安全通用要求是不管等级保护对象形态如何必须满足的要求，针对云计算、移动互联、物联网和工业控制系统提出了特殊要求，称为安全扩展要求。,4.章节结构的变化（以第三级要求为例）,8 第三级安全要求 8.1安全通用要求 8.1.1 物理和环境安全 8.1.8 安全运维管理 8.2 云计算安全扩展要求 8.2.1 物理和环境安全 8.2.2 网络和通信安全 8.3 移动互联安全扩展要求 8.4 物联网安全扩展要求 8.5 工业控制系统安全扩展要求,7 第三级基本要求 7.1 技术要求 7.1.1物理安全 7.1.2网络安全 7.2 管理要求 7.2.1 安全管理制度 7.2.2 安全管理机构 ,5.控制措施分类结构的变化,技术要求 原来：物理安全、网络安全、主机安全、应用安全、数据安全 改为：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全 管理要求 原来：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理 改为：安全策略和管理制度、安全管理机构与人员、安全建设管理、安全运维管理,6.通用要求控制点的变化物理和环境安全,6.通用要求控制点的变化网络和通信安全,6.通用要求控制点的变化设备和计算安全,6.通用要求控制点的变化应用和数据安全,6.通用要求控制点的变化安全管理策略和管理制度,6.通用要求控制点的变化安全管理机构和人员,6.通用要求控制点的变化安全建设管理,6.通用要求控制点的变化安全运维管理,6.通用要求标准控制点的变化,7.增加云计算安全扩展要求,云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。由第2分册（之前的云计算安全扩展要求分册）合并为基本要求的X.2章节，合并后精炼保留针对云计算特点的特殊保护要求，增加包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。,8.增加了移动互联安全扩展要求,移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。由第3分册（之前的移动互联网安全扩展要求分册）合并为基本要求的X.3章节，合并后精炼保留针对移动互联网特点的特殊保护要求，增加包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。,9.增加了物联网安全扩展要求,物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。由第4分册（之前的物联网安全扩展要求分册）合并为基本要求的X.4章节，合并后精炼保留针对物联网的感知网部分特殊保护要求，增加包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。,10.增加了工业控制系统安全扩展要求,工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面，针对工业控制系统实时性要求高的特点调整了“漏洞和风险管理”和“恶意代码防范管理”方面的要求。,11.标准控制项的变化通用要求,11.标准控制项的变化扩展要求,12.取消了安全控制点的标注,适应定级方法的变化，取消了原来安全控制点的S、A、G标注，调整原来的附录B“安全要求的选择和使用“，描述等级保护对象的定级结果和安全要求之间的关系，增加安全控制措施选择时，控制点的标注及使用说明。,13.增加了应用场景的说明,增加附录C 描述等级保护安全框架和关键技术 ，增加附录D描述云计算应用场景，附录E描述移动互联应用场景，附录F描述物联网应用场景，附录G描述工业控制系统应用场景。,等级保护安全框架,图D.1 云计算服务模式与控制范围的关系,13.增加了应用场景的说明,IaaS模式下云服务商与租户的责任划分,PaaS模式下云服务商与租户的责任划分,SaaS模式下云服务商与租户的责任划分,图E.1 移动互联应用架构,图F.1 物联网系统构成,13.增加了应用场景的说明,网络安全等级保护测评要求主要修订的内容,主要修订内容,名称的变化及等级保护测评对象的变化。（与基本要求一致） 每级分别遵从基本要求的框架描述如何实施测评工作，每个级别包括安全测评通用要求、云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展要求和工业控制系统安全测评扩展要求等5个部分内容。测评项与基本要求一致。 为了更加易于使用测评要求，增加附录B 测评单元编号说明和附录D 基本要求和测评要求对应表。,等级测评描述框架,等级测评分为单项测评和整体测评。 单项测评是针对各安全要求项的测评，支持测评结果的可重复性和可再现性。本标准中单项测评由测评指标、测评对象、测评实施和单元判定结果构成。 整体测评是在单项测评基础上，对等级保护对象整体安全保护能力的判断。整体安全保护能力从纵深防护和措施互补二个角度评判。,测评流程方法的变化,在级差上的变化,测试方法：第一级主要以访谈位置，第二级核查为主，第三级和第四级在核查的基础上进行测试验证。 测评对象范围：第一级和第二级为关键设备，第三级主要设备，第四级所有设备 测评实施：第一级和第二级以核查安全机制为主，第三级和第四级先核查安全机制，再检查策略有效性。 测评方法使用：安全技术方面的测评方法以配置核查和测试验证为主，几乎没有访谈。安全管理方面可以使用访谈方式进行测评,网络安全等级保护安全设计技术要求主要修订的内容,名称的变化及等级化保护对象的变化。（与基本要求一致） 沿用“一个中心三重防护“的防护理念，在通用的等级保护安全设计框架下，针对云计算、移动互联、物理网、工业控制系统提出了新的安全设计框架。 在每一级的“安全计算环境设计技术要求“、”安全区域边界技术设计技术要求”、“安全通信网络设计技术要求”中，除了通用设计外，增加了针对云计算、移动互联、物联网、工业控制系统的设计要求。,主要修订内容,网络安全等级保护安全技术设计框架,云计算安全防护技术框架,移动互联系统安全防护技术框架,物联网安全防护技术框架,工业控制系统安全防护技术框架,现等级保护标准体系,GB 17859 计算机信息系统安全保护等级划分准则,GB/T 25058,网络安全等级保护实施指南,GB/T 22240,网络安全等级保护定级指南,GB/T 22239,网络安全等级保护基本要求,GB/T 25070,网络安全等级保护安全技术设计要求,网络安全等级保护安全管理中心技术要求,GB/T 28448,网络安全等级保护测评要求,GB/T 28449,信息系统安全等级保护测评过程指南,网络安全等级保护测试评估技术指南,（修订）,（修订）,（修订）,（修订）,（新立）,（修订）,（新立）,网络安全等级保护定级指南主要修订的内容（草案阶段）,原来：信息安全等级保护工作直接作用的具体信息和信息系统 改为：网络安全等级保护的作用对象，主要包括基础信息网络、工业控制系统、云计算平台、大数据平台、物联网、使用移动互联技术的网络系统以及其他网络系统。（目前文字描述上与基本要求不一致，但意思相同，后期应该会统一） 根据网络安全法，扩展等级保护对象，并解决移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的等级保护工作。,1.等级保护对象的修订,2.新增相关标准术语,基础信息网络：为信息流通、网络系统运行等起基础支撑作用的信息网络，包括电信网、广播电视传输网、互联网、业务专网等网络设备设施。 关键信息基础设施：公共通信和信息服务、能源、金融、交通、水利、公共服务和电子政务等重要行业和领域以及其他一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生和公共利益的网络系统。 大数据平台：采用分布式存储和计算技术，提供大数据的访问、处理和存储，支撑大数据应用安全高效运行的软硬件集合。,3.第三级定义的修订,原来：信息系统受到破坏后，会对社会秩序和公共利益造成严重损坏，或者对国家安全造成损害。 改为：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。,定级要素与安全保护等级的关系,4.明确了定级工作的流程,5.定级对象的确定,作为定级对象的网络系统应具有如下基本特征： 具有确定的主要安全责任主体。包含但不限于企业、机关和事业单位等法人，以及不具备法人资格的社会团体等其他组织。 承载相