工标网 回首页
标准分类  最新标准New!  标准公告 标准动态  标准论坛
 高级查询
帮助 | 登录 | 注册
查标准上工标网 免费查询标准最新替代作废信息
 您的位置:工标网 >> 标准动态 >> 标准新闻 >> 新闻内容

网络安全等级保护系列国家标准解读


        更新时间:2019-06-17       评论: 0

 背景情况
《信息系统安全等级保护基本要求》(GB/T 22239-2008)、《信息系统安全等级保护测评要求》(GB/T 22239-2008)、《信息系统安全等级保护设计技术要求》(GB/T 25070-2010)在我国推行信息安全等级保护制度的过程中起到了非常重要的作用,被广泛应用于各个行业或领域指导用户开展信息系统安全等级保护的建设整改、等级测评等工作。但是随着信息技术的发展,采用新技术、新应用构建的云计算平台、移动互联接入、物联网、工业控制系统和大数据应用等系统的大量出现,已有10年历史的这三项标准在时效性、易用性、可操作性上需要进一步修订完善。同时,2017年6月1日,《网络安全法》正式实施,进一步明确了网络安全等级保护制度的法律地位,网络安全等级保护对象、保护措施要求、范围等都发生了很大的变化,需要修订原来的标准,以适应网络安全等级保护制度要求。
目的意义
《网络安全法》明确了“国家实行网络安全等级保护制度”、“关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”等内容,为网络安全等级保护工作赋予了新的内涵。为配合《网络安全法》的实施和落地,指导网络运营者按照网络安全等级保护制度的要求,履行网络安全保护义务,重新调整和修订等级保护系列标准意义重大。尤其是等级保护对象已经从狭义的信息系统,扩展到网络基础设施、云计算平台、大数据平台、物联网、工业控制系统、采用移动互联技术的系统等,重新调整和修订等级保护系列标准,基于新技术和新要求提出新的技术防护体系和管理措施、安全建设设计实现方式以及等级测评方法等非常必要,可有效指导网络运营者、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,指导测评机构更加规范化和标准化的开展等级测评工作,进而全面提升网络运营者的网络安全防护能力。
主要内容
01、网络安全等级保护基本要求
标准GB/T 22239-2019体现了综合防御、纵深防御、主动防御思想,规定了第一级到第四级等级保护对象的安全保护的基本要求,每个级别的基本要求均由安全通用要求和安全扩展要求构成。例如GB/T 22239-2019提出的第三级安全要求基本结构为:
8 第三级安全要求
8.1 安全通用要求
8.2 云计算安全扩展要求
8.3 移动互联安全扩展要求
8.4 物联网安全扩展要求
8.5 工业控制系统安全扩展要求
安全要求细分为技术要求和管理要求。其中技术要求部分为“安全物理环境”“安全通信网络”“安全区域边界”“安全计算环境”“安全管理中心”;管理要求部分为“安全管理制度”“安全管理机构”“安全管理人员”“安全建设管理”“安全运维管理”,两者合计共分为10大类。
安全技术要求的分类体现了“从外部到内部”的纵深防御思想,对等级保护对象的安全防护应考虑从通信网络、区域边界和计算环境从外到内的整体防护,同时考虑其所处的物理环境的安全防护,对级别较高的还需要考虑对分布在整个系统中的安全功能或安全组件的集中技术管理手段。
安全管理要求的分类体现了“从要素到活动”的综合管理思想,安全管理需要的“机构”“制度”“人员”三要素缺一不可,同时应对系统的建设整改过程和运行维护过程中重要活动实施控制和管理,对级别较高的需要构建完备的安全管理体系。
02、网络安全等级保护测评要求
《网络安全等级保护测评要求》以GB/T 22239《网络安全等级保护基本要求》的要求项作为测评指标,规定了第一级到第四级等级保护对象的测评要求,用于规范和指导测评机构和测评人员的活动和行为。
标准文本分为12章,3个附录。其中第6、7、8、9、11和12章为重点章节,分别描述了第一、二、三、四级测评要求,每级分别遵从《基本要求》的框架描述如何实施测评工作。每个级别包括安全测评通用要求、云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展要求和工业控制系统安全测评扩展要求等5个部分内容。其中技术方面分别从安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面展开;而管理方面则分别从安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全系统运维管理等五个方面展开,与《基本要求》形成了一致对应的标准文本结构。第11章描述了系统整体测评方法,在单项测评的基础上,从系统整体的角度综合考虑如何进行系统性的测评。分别从安全控制点、安全控制点间及区域间测评三方面进行描述,分析了在进行系统整体测评时所需考虑的内容。第12章概要说明了测评结论的得出方法以及测评结论主要包括哪些方面的内容等。
03、网络安全等级保护安全设计技术要求
《网络安全等级保护安全设计技术要求》规定了第一级到第四级等级保护对象的安全设计技术要求,每个级别的安全设计技术要求均由安全通用设计技术要求和安全扩展设计技术要求构成。安全扩展设计技术要求包括了云计算、移动互联、物联网、工业控制系统等方面。第一级到第三级的安全设计技术要求均包含安全计算环境、安全区域边界、安全通信网络、安全管理中心等四个方面。在第四级的安全设计技术要求增加了系统安全保护环境结构化设计技术要求方面。
安全计算环境设计技术要求针对等级保护对象的信息进行存储、处理及实施安全策略的相关部件提出;安全区域边界设计技术要求针对安全计算环境边界及在安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件提出;安全通信网络设计技术要求针对安全计算环境之间进行信息传输及实施安全策略的相关部件提出;安全管理中心设计技术要求是针对等级保护对象的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施同一管理的平台提出。安全设计技术要求主要从用户身份鉴别、访问控制、安全审计、用户数据完整性和保密性保护、客体安全重用、可信验证、配置可信性检查、入侵检测和恶意代码防范等方面提出要求。在附录C中对大数据设计技术要求进行了规定。

 

 【返回新闻首页】【关闭窗口】【发表评论(0条)
 
相关新闻
·我国首部《养老机构等级划分与评定》国家标准 ·世界环境日:打响室内空气保卫战 《室内环境
·《厦门特色食品土笋冻》团体标准出台 ·上海发布旅游产品退赔服务规范团体标准
·中小学智慧书法教育推出装备规范 ·全国首个公共场所用电设施安全标准发布
·网络安全等级保护系列国家标准解读 ·两部采矿废弃地生态修复国家技术标准在徐发布
·三项国家大气污染物排放标准首次发布,7月1 ·《金针菇工厂化生产技术规程》在京发布
发表评论
新用户注册>>
【管理员提示】
·在发布信息时,请您遵守中华人民共和国有关法律、法规,并尊重网上道德;
·因您的言论直接或间接的导致的民事或刑事法律责任由您个人承担;
·管理人员有权根据栏目需要对留言内容进行删改
推荐资讯
·中国工程建设标准化协会公告 第2110号 ·中国工程建设标准化协会公告 第2111号
·中国工程建设标准化协会公告 第2112号 ·中国工程建设标准化协会公告 第2114号
·中国工程建设标准化协会公告 第2113号 ·中国工程建设标准化协会公告 第2115号
·中国工程建设标准化协会公告 第2116号 ·中国工程建设标准化协会公告 第2117号
·中国工程建设标准化协会公告 第2118号 ·中国工程建设标准化协会公告 第2119号
热点新闻
2022年10月—2023年3月发布
《轨道车 重型轨道车》等7项铁路国家
中国工程建设标准化协会公告 第213
国家铁路局发布两批铁路行业技术标准
国家铁路局修订铁路无缝线路、工程测量
新修订三项家具国家标准正式发布
《特种设备重大事故隐患判定准则》强制
2024年7月至2024年9月发布公
中国证监会发布《上市公司行业统计分类
中国出入境检验检疫协会发布《玩具鉴别
图片新闻

生活家电全面升级 标准助力门槛提高

数码相机有效像素国家标准近期出台

慕思助《软体床》标准看齐世界水平

新《电梯技术条件》国家标准于3月1日
专题新闻
· 思念三鲜水饺惊现病原菌
· 2011世界标准日专题-国际标准树立
· 天宫一号倒计时将实现首次空间对接
· 依据四项指标 严打“地沟油”
· 月饼出现双向标准 深陷枧水之困
· 名牌运动服含毒 可致性早熟
· 血燕亚硝酸盐严重超标
· “化学酱油”专题 酱油再遭质疑门
· 肯德基醇豆浆遭质疑
· 染色馒头泛滥 食品标准空白多
· 雀巢等知名婴儿食品陷入安全门
· 节能灯不合格 标准门槛低
 
付款方式 - 关于我们 - 帮助中心 - 联系我们 - 诚聘英才 - 合作伙伴 - 使用条款
QQ:1197428036 992023608 有问题? 联系在线客服
Copyright © 工标网 2005-2023,All Right Reserved