网络安全等级保护基本要求解读-163页

微信扫码，打开到小程序

网络安全等级保护基本要求解读 (GB/T 22239-2019) 公安部信息安全等级保护评估中心 马力 o 等级保护标准体系概述 o 基本要求的修订背景 o 标准总体结构的变化 o 描述模型和主要特点 o 安全通用要求的内容 o 安全扩展要求的内容 - 3 - 信息系统通用安全 技术要求 技术类 信息系统安全 管理要求 管理类 产品类 操作系统安全技术 要求 信息系统安全等级保护基本要求 信息系统安全等级保护定级指南 信息系统安全等级保护基本要求的行业细则 信息系统安全等级保 护测评过程指南 信息系统安全等级保 护测评要求 信息系统等级保护安全设计技术 要求 信息系统安全等级保护行业定级细则 安全等级 基线要求 状 况 分 析 方 法 指 导 信息系统安全等级保护实施指南 信息安全等级 保护安全建设 整改工作 o 信息安全等级保护管理办法（43号文件）（上位文件） o 计算机信息系统安全保护等级划分准则GB17859-1999（上位标准） o 信息系统安全等级保护实施指南GB/T25058-2008 o 信息系统安全保护等级定级指南GB/T22240-2008 o 信息系统安全等级保护基本要求GB/T22239-2008 o 信息系统等级保护安全设计要求GB/T25070-2010 o 信息系统安全等级保护测评要求GB/T28448-2012 o 信息系统安全等级保护测评过程指南GB/T28449-2012 o 国家实行网络安全等级保护制度。应当按照网 络安全等级保护制度的要求，履行安全保护义 务，保障网络免受干扰、破环或者未经授权的 访问，防止网络数据泄露或者被窃取、篡改。 （第21条） 6 o 国家对一旦遭到破坏、丧失功能或者数据 泄露，可能严重危害国家安全、国计民生 、公共利益的关键信息基础设施，在网络 安全等级保护制度的基础上，实行重点保 护。（第31条） 7 o 构建新的法律、政策体系 o 构建新的标准体系 o 构建新的技术支撑体系 o 构建新的人才队伍体系 o 构建新的教育训练体系 o 构建新的保障体系 8 o 网络安全等级保护条例（总要求/上位文件） o 计算机信息系统安全保护等级划分准则（GB 17859-1999）（上位标准） o 网络安全等级保护实施指南（GB/T25058）（正在修订） o 网络安全等级保护定级指南（GB/T22240）（正在修订） o 网络安全等级保护基本要求（GB/T22239-2019） o 网络安全等级保护设计技术要求（GB/T25070-2019） o 网络安全等级保护测评要求（GB/T28448-2019） o 网络安全等级保护测评过程指南（GB/T28449-2018） 9 o 等级保护标准体系概述 o 基本要求的修订背景 o 标准总体结构的变化 o 描述模型和主要特点 o 安全通用要求的内容 o 安全扩展要求的内容 o 为了配合网络安全法的实施，为了适应移动互联、云计 算、大数据、物联网和工业控制等新技术、新应用情况 下等级保护工作的开展 o 国际标准27000系列和美国联邦NIST 800-53系列 安全相关标准和规范在2013年和2014年发布了新的 版本，内容进行了调整。 o 有必要对GB/T 22239-2008进行修订，在适用性 、时效性、易用性、可操作性上进一步完善。 11 o 2014年，全国安标委秘书处下达了对原国家 标准《信息安全技术 信息系统安全等级保护基 本要求》GB/T 22239-2008进行修订的任 务书，标准修订主要承担单位（牵头单位）公 安部第三研究所（公安部信息安全等级保护评 估中心） 12 o 公安部第三研究所（公安部信息安全等级保护评估中心）、国家 能源局信息中心、阿里云计算有限公司、中科院信息工程研究所 、新华三技术有限公司、华为技术有限公司、启明星辰集团信息 技术有限公司、北京鼎普科技股份有限公司、工业控制系统信息 安全技术国家工程实验室、公安部第一研究所、国家信息中心、 中国科学院信息工程研究所、山东微分电子科技有限公司、中国 电子科技集团公司第十五研究所、工业和信息化部电信研究院、 浙江大学、浙江国利信安科技有限公司、机械工业仪器仪表综合 技术经济研究所、杭州科技职业技术学院、北京奇虎科技有限公 司等。 13 14 • 无线网络、虚拟计算、云计算、大数据威胁和特 • 27000-2013版和800-53-2013版发生变化的 • 标准修订可能影响的范围-相关国家标准和行业标准 o 《等级保护基本要求标准修订研究报告》 n 一、 概述 n 1.1 研究背景 n 1.2 研究目标 n 二、 国内外信息安全发展状况分析 n 2.1 当前的信息安全形势 n 2.2 需要关注的几个问题 n 2.3 建议采取的对策 n 三、 新技术新应用使用状况分析 n 3.1 无线网络应用现状和安全关注点 n 3.2 虚拟技术应用现状和安全关注点 n 3.3 云计算技术应用现状和安全关注点 n 3.4 大数据应用现状和安全关注点 n 四、 基本要求使用中主要问题分析 n 4.1 技术方面 n 4.2 管理方面 n 五、 基本要求修订的主要思路和工作内容 n 5.1 修订的主要思路 n 5.2 修订的工作内容 n 六、 参考文献 15 16 17 o 2014年4月至6月标准编制组在前述工作成果《等级 保护基本要求修订研究报告》的基础上，对原国家标准 《信息安全技术 信息系统安全等级保护基本要求》（ GB/T 22239-2008）按照级别和层面进行了修订 项的梳理，形成了《基本要求草案修订汇总表》，修订 出标准草案第一稿 18 o 随后基本要求的修订思路进行了调整，标准变为系列标准 o 2014年7月至2015年3月各个标准编制组： n 第1部分 安全通用要求（公安部信息安全等级保护评估中心） n 第2部分 云计算安全扩展要求（公安部信息安全等级保护评估中心） n 第3部分 移动互联安全扩展要求（北京鼎普科技股份有限公司） n 第4部分 物联网安全扩展要求（公安部第一研究所） n 第5部分 工业控制安全扩展要求（浙江大学） n 第6部分 大数据安全扩展要求（公安部信息安全等级保护评估中心） o 2015年3月完成基本要求-安全通用要求草案第二稿。 19 o 2015年4月29日第一次专家评审会 n 十位专家，共收到意见45条，采纳意见40条，没有采纳5条 o 2015年12月8日第二次专家评审会 n 九位专家，共收到意见25条，采纳意见23条，没有采纳2条 o 2016年07月1日第三次专家评审会 n 九位专家，共收到意见33条，采纳意见30条，没有采纳3条 o 2016年9月参加安标委WG5 工作组在研标准推进会 ，对草案再次进行了修改，形成了标准征求意见稿。 20 o 2017年12月，安标委组织标准专家审查组对 标准送审稿进行了审查，编制组根据意见再次 修订标准，形成标准报批稿。（2017年体系 会宣贯，互联网企业安全专项检查《标准试用 稿》）（以下简称“标准试用稿” ） 21 o 2018年7月根据意见再次调整分类结构和强化 可信计算。 o 充分体现一个中心，三重防御的思想（和GB/T 25070保持一致） o 充分强化可信计算技术使用的要求 （和GB/T 25070保持一致） o （以下简称“标准正式稿” ） 22 o 标准的修订背景 o 标准总体结构的变化 o 描述模型和主要特点 o 安全通用要求的内容 o 安全扩展要求的内容 新标准将云计算、移动互联、物联网、工业控制系 统等列入标准范围，构成了“安全通用要求+新型应 用安全扩展要求”的要求内容 新标准“基本要求、设计要求和测评要求” 分类框架统一，形成了“安全通信网络”、 “安全区域边界”、“安全计算环境”和“ 安全管理中心” 支持下的三重防护体系架 构 新标准强化了可信计算技术使用的要求，把可 信验证列入各个级别并逐级提出各个环节的主 要可信验证要求 o 可基于可信根对设备的系统引导程序、系统程序 等进行可信验证，并在检测到其可信性受到破坏 后进行报警。 27 o 可基于可信根对设备的系统引导程序、系统程序、重要配置参 数和通信应用程序等进行可信验证，并在应用程序的所有执行 环节进行动态可信验证，在检测到其可信性受到破坏后进行报 警，并将验证结果形成审计记录送至安全管理中心，并进行动 态关联感知。 28 o 原来： o 《信息系统安全等级保护基本要求》 o 改为： o 《信息安全等级保护基本要求》 o 再改为：（与《网络安全法》保持一致） o 《网络安全等级保护基本要求》 29 o 原来：信息系统 o 改为：等级保护对象（网络和信息系统） o 安全等级保护的对象包括网络基础设施（广电 网、电信网、专用通信网络等）、云计算平台 /系统、大数据平台/系统、物联网、工业控制 系统、采用移动互联技术的系统等. 30 2、对象的变化 o 原来：安全要求 o 改为：安全通用要求和安全扩展要求 o 安全通用要求是不管等级保护对象形态如 何必须满足的要求，针对云计算、移动互 联、物联网和工业控制系统提出了特殊要 求，称为安全扩展要求. 31 o 8 第三级安全要求 o 8.1 安全通用要求 o 8.2 云计算安全扩展要求 o 8.3 移动互联安全扩展要求 o 8.4 物联网安全扩展要求 o 8.5 工业控制系统安全扩展要求 32 o 结构和分类调整为： n 技术部分： o 物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全； n 管理部分： o 安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管 理 33 n 技术部分： o 安全物理环境、安全通信网络、安全区域边界、 安全计算环境、安全管理中心 n 管理部分： o 安全管理制度、安全管理机构、安全管理人员、 安全建设管理、安全运维管理 34 o 云计算安全扩展要求章节针对云计算的特点提出特殊保 护要求。对云计算环境主要增加的内容包括“基础设施 的位置”、“虚拟化安全保护”、“镜像和快照保护” 、“云服务商选择”和“云计算环境管理”等方面。 35 o 移动互联安全扩展要求章节针对移动互联的特点提出特 殊保护要求。对移动互联环境主要增加的内容包括“无 线接入点的物理位置”、“移动终端管控”、“移动应 用管控”、“移动应用软件采购”和“移动应用软件开 发”等方面。 36 o 物联网安全扩展要求章节针对物联网的特点提出特殊保 护要求。对物联网环境主要增加的内容包括“感知节点 的物理防护”、“感知节点设备安全”、“感知网关节 点设备安全”、“感知节点的管理”和“数据融合处理 ”等方面。 37 o 工业控制系统安全扩展要求章节针对工业控制系统的特 点提出特殊保护要求。对工业控制系统主要增加的内容 包括“室外控制设备防护”、“工业控制系统网络架构 安全”、“拨号使用控制”、“无线使用控制”和“控 制设备安全”等方面。 38 o 增加附录C 描述等级保护安全框架和关键技术 ，增加附录D描述 云计算应用场景，附录E描述移动互联应用场景，附录F描述物联 网应用场景，附录G描述工业控制系统应用场景。 o 附录H描述大数据应用场景（安全扩展要 求）。 39 o 标准的修订背景 o 总体结构的变化 o 描述模型和主要特点 o 安全通用要求的内容 o 安全扩展要求的内容 41 基本原理 42 应具有能够对抗来自个人的、拥有很少资源（如 利用公开可获取的工具等）的威胁源发起的恶意 攻击、一般的自然灾难（灾难发生的强度弱、持 续时间很短、系统局部范围等）、以及其他相当 危害程度的威胁所造成的关键资源损害，并在威 胁发生后，能够恢复部分功能。 43 应具有能够对抗来自小型组织的（如自发的三两人组成 的黑客组织）、拥有少量资源（如个别人员能力、公开 可获或特定开发的工具等）的威胁源发起的恶意攻击、 一般的自然灾难（灾难发生的强度一般、持续时间短、 覆盖范围小（局部性）等）、以及其他相当危害程度（ 无意失误、设备故障等）的威胁所造成的重要资源损害 ，能够发现重要的安全漏洞和安全事件，在系统遭到损 害后，能够在一段时间内恢复部分功能。 应具有能够对抗来自大型的、有组织的团体（如一个商 业情报组织或犯罪组织等），拥有较为丰富资源（包括 人员能力、计算能力等）的威胁源发起的恶意攻击、较 为严重的自然灾难（灾难发生的强度较大、持续时间较 长、覆盖范围较广（地区性）等）以及其他相当危害程 度（内部人员的恶意威胁、设备的较严重故障等）威胁 的能力，并在威胁发生后，能够较快恢复绝大部分功能。 44 应具有能够对抗来自国家级别的、敌对组织的、 拥有丰富资源的威胁源发起的恶意攻击、严重 的自然灾难（灾难发生的强度大、持续时间长、 覆盖范围广（多地区性）等）以及其他相当危 害程度（内部人员的恶意威胁、设备的严重故 障等）威胁的能力 并在威胁发生后 能够迅 45 46 一级系统 二级系统 三级系统 防护 防护/检测 策略/防护/检测/恢复 策略/防护/检测/恢复/响应 四级系统 技术要求特点 描述模型（PDRR） 47 一级系统 二级系统 三级系统 四级系统 管理要求特点 一般执行（部分活动建制度） 计划实施（主要过程建制度） 统一策略（管理制度体系化） 持续改进（管理制度体系化/验证/改进） 描述模型（CMM） o 网络安全等级保护定级指南（GB/T22240） （正在修订） o 网络安全等级保护基本要求 （GB/T22239-2019） 48 o 第一级, 系统受到破坏后，会对公民、法人和其他组织的合法权益造成损 害，但不损害国家安全、社会秩序和公共利益。 o 第二级，系统受到破坏后，会对公民、法人和其他组织的合法权益产生 严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 o 第三级，系统受到破坏后，会对公民、法人和其他组织的合法权益产生 特别严重损害，会对社会秩序和公共利益造成严重损害，或者对国家安 全造成损害。 o 第四级，系统受到破坏后，会对社会秩序和公共利益造成特别严重损害 ，或者对国家安全造成严重损害。 o 第五级，系统受到破坏后，会对国家安全造成特别严重损害。 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权 益 第一级 第二级 第三级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 信息系统安全包括业务信息安全和系统服务安全 S：业务信息安全 A：系统服务安全 3、综合评定对客体的侵害程度 2、确定业务信息安全受到破坏时所侵害 的客体 6、综合评定对客体的侵害程度 5、确定系统服务安全受到破坏时所侵害 的客体 7、系统服务安全等级 4、业务信息安全等级 8、定级对象的安全保护等级 1、确定定级对象 o 第一级 S1A1 o 第二级 S1A2，S2A2，S2A1 o 第三级 S1A3，S2A3，S3A3，S3A2，S3A1 o 第四级 S1A4，S2A4，S3A4，S4A4，S4A3，S4A2， S4A1 - 53 - 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 - 54 - 物理和环境安全 技术要求 管理要求 基本要求 网络和通信安全 设备和计算安全 应用和数据安全 安全策略和管理制度 安全管理机构和人员 安全建设管理 安全运维管理 - 55 - 安全物理环境 技术要求 管理要求 基本要求 安全通信网络 安全区域边界 安全计算环境 安全管理机构 安全管理人员 安全建设管理 安全运维管理 安全管理中心 安全管理制度 56 某级系统 类 技术要求 管理要求 基本要求 类 控制点 要求项 控制点 要求项 …… …… …… …… …… …… 7.1 第三级安全通用要求 7.1.1 安全物理环境 7.1.1.1 物理位置的选择 本项要求包括 a) 机房和办公场地应选择在具有防震、防 风和防雨等能力的建 筑内 b) 机房场地应避免设在建筑物的高层或地下室，否则应加强防水 防潮措施； 。。。。。。 57 类 要求项 控制点 o 保障业务信息安全的相关要求（标记为S） o 保障系统服务安全的相关要求（标记为A） o 其他安全保护要求（标记为G） o 技术类要求（3种标注） o 管理类要求（统属G） o 附录A “关于安全通用要求和安全扩展要求的选择 和使用”给出了所有控制点的标记 58 o 业务信息安全相关要求（S） n 电磁防护 n 身份鉴别 n 访问控制 n 数据完整性 n 数据保密性 o 系统服务保证相关要求（A） n 电力供应 n 备份与恢复 59 o 控制点增加 o 要求项增加 o 要求项增强 大类 小类 一级 二级 三级 四级 技术要求 安全物理环境 7 10 10 10 安全通信网络 2 3 3 3 安全区域边界 3 6 6 6 安全计算环境 7 10 11 11 安全管理中心 0 2 4 4 管理要求 安全管理制度 1 4 4 4 安全管理机构 3 5 5 5 安全管理人员 4 4 4 4 安全建设管理 7 10 10 10 安全运维管理 42 14 14 14 合计 / 48 68 71 71 级差 / / 20 3 0 大类 小类 一级 二级 三级 四级 技术要求 安全物理环境 7 15 22 24 安全通信网络 2 4 8 11 安全区域边界 5 11 20 21 安全计算环境 11 23 34 36 安全管理中心 0 4 12 13 管理要求 安全管理制度 1 6 7 7 安全管理机构 3 9 14 15 安全管理人员 4 7 12 14 安全建设管理 9 25 34 35 安全运维管理 13 31 48 52 合计 / 55 135 212 228 级差 / / 80 77 16 o 标准的修订背景 o 总体结构的变化 o 描述模型和主要特点 o 安全通用要求的内容 o 安全扩展要求的内容 o 1 范围 o 2 规范性引用文件 o 3 术语和定义 o 4 缩略语 o 5 网络安全等级保护概述 o 5.1 等级保护对象 o 5.2 不同级别的安全保护能力 o 5.3 安全通用要求和安全扩展要求 64 o 8 第三级安全要求 o 8.1 安全通用要求 o 8.2 云计算安全扩展要求 o 8.3 移动互联安全扩展要求 o 8.4 物