《網絡安全等級保護基本要求

　　第一部分：安全通用要求》修訂解讀

　　——————————————————

　　2008年正式發布的國家標準《信息系統安全等級保護基本要求》GB/T 22239-2008在我國推行信息安全等級保護制度的過程中起到了非常重要的作用，被廣泛應用于各個行業和各個領域，網絡安全監督管理部門、信息系統運營使用單位、網絡安全集成服務企業、安全測評機構等均以該標準為指導開展信息安全等級保護的建設整改、等級測評和監督檢查等工作，因此，該標準在等級技術體系中具有核心地位。

　　隨著信息技術的發展，已有近10年歷史的GB/T 22239-2008在時效性、易用性、可操作性上需要進一步擴充和完善，根據全國信息安全標準化技術委員會2013年下達的國家標準制修訂計劃，從2014年起公安部第三研究所(公安部信息安全等級保護評估中心)牽頭組織了對GB/T 22239-2008的修訂工作。

　　對GB/T 22239的修訂經歷了調查研究、草案形成、征求意見稿、送審稿等過程，也接受到了各行業用戶及專家提出的寶貴意見，正是他們的建議使得標準不斷趨于完善。作為標準的主要組織起草單位之一，在這里提前向大家介紹一下對原國家標準GB/T 22239-2008修訂的一些主要內容，以便大家可以更好地理解和使用新標準。

　　1

　　標準名稱的變化

　　《中華人民共和國網絡安全法》(以下簡稱“網絡安全法”)于2017年6月1日起實施。網絡安全法第21條明確“國家實行網絡安全等級保護制度”，第31條明確“國家對關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護”。為了與網絡安全法提出的“網絡安全等級保護制度”保持一致，作為支撐性的主要技術標準，GB/T 22239的名稱由原來的“信息系統安全等級保護基本要求”改為“網絡安全等級保護基本要求”。

　　2

　　標準構成的變化

　　當今技術上較大的變化是無線移動接入、虛擬計算技術、云計算應用、大數據應用等新技術、新應用的出現和使用，為了適應無線移動接入、虛擬計算環境、云計算、大數據等新技術、新應用情況下網絡安全等級保護工作的開展，對GB/T 22239-2008進行修訂的思路和方法是針對無線移動接入、云計算、大數據、物聯網和工業控制系統等新技術、新應用領域形成基本要求的多個部分。

　　基本要求標準由原來的一個標準變更為由多個部分組成的標準，分別為：

　　——GB/T 22239.1-XXXX 信息安全技術 網絡安全等級保護基本要求

　　第1部分：安全通用要求;

　　——GB/T 22239.2-XXXX 信息安全技術 網絡安全等級保護基本要求

　　第2部分：云計算安全擴展要求;

　　——GB/T 22239.3-XXXX 信息安全技術 網絡安全等級保護基本要求

　　第3部分：移動互聯安全擴展要求;

　　——GB/T 22239.4-XXXX 信息安全技術 網絡安全等級保護基本要求

　　第4部分：物聯網安全擴展要求;

　　——GB/T 22239.5-XXXX 信息安全技術 網絡安全等級保護基本要求

　　第5部分：工業控制系統安全擴展要求;

　　——GB/T 22239.6-XXXX 信息安全技術 網絡安全等級保護基本要求

　　第6部分：大數據安全擴展要求(待立項)。

　　其中“GB/T 22239.1-XXXX 信息安全技術 網絡安全等級保護基本要求 第1部分：安全通用要求”(以下簡稱“安全通用要求”) 將替代原來的GB/T22239-2008《信息安全技術 信息系統安全等級保護基本要求》。

　　系列標準中“安全通用要求”是基礎性標準，無論被保護對象以何種形態出現，必須實現“安全通用要求”中提出的安全控制措施。例如：某單位確定了定級對象，并完成了定級工作，由于定級對象采用了云計算技術，同時具有移動互聯接入的應用需求，在安全建設時，首先應使用GB/T 22239.1，落實“安全通用要求”提出的各項安全控制措施，同時由于使用了云計算技術和移動互聯技術，因此還需使用GB/T 22239.2和GB/T 22239.3，落實云計算安全擴展要求和移動互聯安全擴展要求提出的安全控制措施。

　　3

　　標準內容的變化

　　“安全通用要求”沿用正在修訂中的《網絡安全等級保護定級指南》GB/T 22240(以下簡稱“定級指南”)提出的“等級保護對象”概念，針對等級保護對象提出完整的安全技術要求和安全管理要求，第三級以上保護對象要求形成較為完備的安全技術體系和安全管理體系。

　　各級技術要求的分類將GB/T22239-2008 的“物理安全”、“網絡安全”、“主機安全”、“應用安全”和“數據安全和備份與恢復”修訂為“物理和環境安全”、“網絡和通信安全”、“設備和計算安全”、“應用和數據安全”;各級管理要求的分類將GB/T22239-2008 的“安全管理制度”、“安全管理機構”、“人員安全管理”、“系統建設管理”和“系統運維管理”修訂為“安全策略和管理制度”、“安全管理機構和人員”、“安全建設管理”、“安全運維管理”。

　　技術要求“從面到點”提出安全要求，“物理和環境安全”主要對機房設施提出要求，“網絡和通信安全”主要對通信網絡提出要求，“設備和計算安全”主要對構成節點提出要求，“應用和數據安全”主要對業務應用提出要求。管理要求“從元素到活動”提出安全要求，“安全策略和管理制度”及“安全管理機構和人員”主要提出了管理不可缺少的制度、機構和人員三要素，“安全建設管理”及“安全運維管理”主要提出了建設過程和運維過程的安全活動要求。

　　“安全通用要求”在“網絡和通信安全”中進一步強調了網絡整體的保護，確定了新的控制點為“網絡架構”、“通信傳輸”、“邊界防護”、“訪問控制”、“入侵防范”、“惡意代碼防范”、“安全審計”，第三級以上等級保護對象強化了“集中管控”的要求。在“設備和計算安全”中考慮到構成節點的復雜性，節點可能是網絡設備、安全設備、服務器、終端等，甚至可能是移動平板、手機等，因此新的控制點確定為“身份鑒別”、“訪問控制”、“安全審計”、“入侵防范”和“惡意代碼防范”，第三級以上等級保護對象強化了“雙因素鑒別”和“基于標記訪問控制”的要求。在“應用和數據安全”中進一步強調數據的安全性，新的控制點包括“數據完整性”、“數據保密性”、“數據備份和恢復”，另外在數據保護方面強化了“剩余信息保護”和“個人信息保護”。

　　“安全通用要求”取消了原來安全控制點的S(業務信息安全措施)、A(系統服務安全措施)、G(通用安全措施)標注，但是為了和修訂中的“定級指南”配合使用，增加了一個附錄B “安全要求的選擇和使用” 描述等級保護對象的定級結果和安全要求之間的關系，說明如何根據定級的S、A結果選擇安全要求的相關條款，簡化了標準正文部分的內容。

　　綜上，“安全通用要求”是一個普適性標準，其提出的安全要求具有通用性，適用于各種類型的等級保護對象;對于網絡基礎設施、傳統信息系統、云計算平臺、大數據、物聯網和工業控制系統等特定等級保護對象，還應在滿足“安全通用要求”的基礎上，落實對應領域的安全擴展要求;對于采用特殊技術或處于特殊環境的等級保護對象，應在安全風險評估的基礎上，針對安全風險采取特殊的安全措施或擴展的安全措施作為補充。

　　以上內容轉自公眾號：安全測評聯盟