《信息安全技術 信息系統(tǒng)安全等級保護基本要求》(GB/T 22239-2008)在我國推行信息安全等級保護制度的過程中起到了非常重要的作用, 被廣泛用于各行業(yè)或領域, 指導用戶開展信息系統(tǒng)安全等級保護的建設整改�、等級測評等工作。隨著信息技術的發(fā)展, 已有10年歷史的《GB/T 22239-2008》在時效性�、易用性、可操作性上需要進一步完善����。2017年《中華人民共和國網(wǎng)絡安全法》實施, 為了配合國家落實網(wǎng)絡安全等級保護制度, 也需要修訂《GB/T 22239-2008》。
2014年, 全國信息安全標準化技術委員會(以下簡稱安標委)下達了對《GB/T 22239-2008》進行修訂的任務�。標準修訂主要承擔單位為公安部第三研究所(公安部信息安全等級保護評估中心), 20多家企事業(yè)單位派人員參與了標準的修訂工作。標準編制組于2014年成立, 先后調(diào)研了國際和國內(nèi)云計算平臺����、大數(shù)據(jù)應用、移動互聯(lián)接入�、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等新技術、新應用的使用情況, 分析并總結了新技術和新應用中的安全關注點和安全控制要素, 完成了基本要求草案第一稿����。
2015年2月至2016年7月, 標準編制組在草案第一稿的基礎上, 廣泛征求行業(yè)用戶單位��、安全服務機構和各行業(yè)/領域專家的意見, 并按照意見調(diào)整和完善標準草案, 先后共形成7個版本的標準草案����。2016年9月, 標準編制組參加了安標委WG5 工作組在研標準推進會, 按照專家及成員單位提出的修改建議, 對草案進行了修改, 形成了標準征求意見稿�����。2017年4月, 標準編制組再次參加了安標委WG5 工作組在研標準推進會, 根據(jù)征求意見稿收集的修改建議, 對征求意見稿進行了修改, 形成了標準送審稿���。2017年10月, 標準編制組又一次參加了安標委WG5 工作組在研標準推進會, 在會上介紹了送審稿內(nèi)容, 并征求成員單位意見, 根據(jù)收集的修改建議, 對送審稿進行了修改完善, 形成了標準報批稿���。
2019年《信息安全技術 網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)將正式實施。本文分析《GB/T 22239-2019》相較《GB/T 22239-2008》發(fā)生的主要變化, 解讀其安全通用要求和安全擴展要求的主要內(nèi)容, 以便于讀者更好地了解和掌握《GB/T 22239-2019》的內(nèi)容�����。更多關于信息安全技術網(wǎng)絡安全等級保護的相關問題�,可咨詢山東世通國際認證有限公司,專業(yè)等級保護測評��,電話:400-675-8617
1 總體結構的變化
1.1 主要變化內(nèi)容
《GB/T 22239-2019》相較于《GB/T 22239-2008》, 無論是在總體結構方面還是在細節(jié)內(nèi)容方面均發(fā)生了變化[4]。在總體結構方面的主要變化為:
1)為適應網(wǎng)絡安全法, 配合落實網(wǎng)絡安全等級保護制度, 標準的名稱由原來的《信息系統(tǒng)安全等級保護基本要求》改為《網(wǎng)絡安全等級保護基本要求》��。
2)等級保護對象由原來的信息系統(tǒng)調(diào)整為基礎信息網(wǎng)絡��、信息系統(tǒng)(含采用移動互聯(lián)技術的系統(tǒng))�、云計算平臺/系統(tǒng)、大數(shù)據(jù)應用/平臺/資源�����、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等����。
3)將原來各個級別的安全要求分為安全通用要求和安全擴展要求, 安全擴展要求包括云計算安全擴展要求���、移動互聯(lián)安全擴展要求���、物聯(lián)網(wǎng)安全擴展要求以及工業(yè)控制系統(tǒng)安全擴展要求。安全通用要求是不管等級保護對象形態(tài)如何必須滿足的要求; 針對云計算��、移動互聯(lián)�、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出的特殊要求稱為安全擴展要求。
4)原來基本要求中各級技術要求的“ 物理安全” ��、“ 網(wǎng)絡安全” 、“ 主機安全” ���、“ 應用安全” 和“ 數(shù)據(jù)安全和備份與恢復” 修訂為“ 安全物理環(huán)境” ��、“ 安全通信網(wǎng)絡” �、“ 安全區(qū)域邊界” ����、“ 安全計算環(huán)境” 和“ 安全管理中心” ; 原各級管理要求的“ 安全管理制度” 、“ 安全管理機構” ���、“ 人員安全管理” �、“ 系統(tǒng)建設管理” 和“ 系統(tǒng)運維管理” 修訂為“ 安全管理制度” �����、“ 安全管理機構” �、“ 安全管理人員” 、“ 安全建設管理” 和“ 安全運維管理” [5]����。
5)云計算安全擴展要求針對云計算環(huán)境的特點提出。主要內(nèi)容包括“ 基礎設施的位置” �����、“ 虛擬化安全保護” 、“ 鏡像和快照保護” �、“ 云計算環(huán)境管理” 和“ 云服務商選擇” 等。
6)移動互聯(lián)安全擴展要求針對移動互聯(lián)的特點提出��。主要內(nèi)容包括“ 無線接入點的物理位置” ����、“ 移動終端管控” 、“ 移動應用管控” ����、“ 移動應用軟件采購” 和“ 移動應用軟件開發(fā)” 等��。
7)物聯(lián)網(wǎng)安全擴展要求針對物聯(lián)網(wǎng)的特點提出���。主要內(nèi)容包括“ 感知節(jié)點的物理防護” �����、“ 感知節(jié)點設備安全” �����、“ 網(wǎng)關節(jié)點設備安全” ��、“ 感知節(jié)點的管理” 和“ 數(shù)據(jù)融合處理” 等���。
8)工業(yè)控制系統(tǒng)安全擴展要求針對工業(yè)控制系統(tǒng)的特點提出��。主要內(nèi)容包括“ 室外控制設備防護” ���、“ 工業(yè)控制系統(tǒng)網(wǎng)絡架構安全” 、“ 撥號使用控制” ��、“ 無線使用控制” 和“ 控制設備安全” 等����。
9)取消了原來安全控制點的S、A����、G標注, 增加附錄A“ 關于安全通用要求和安全擴展要求的選擇和使用” , 描述等級保護對象的定級結果和安全要求之間的關系, 說明如何根據(jù)定級的S、A結果選擇安全要求的相關條款, 簡化了標準正文部分的內(nèi)容�����。
10)增加附錄C描述等級保護安全框架和關鍵技術�����、附錄D描述云計算應用場景、附錄E描述移動互聯(lián)應用場景�����、附錄F描述物聯(lián)網(wǎng)應用場景�����、附錄G描述工業(yè)控制系統(tǒng)應用場景����、附錄H描述大數(shù)據(jù)應用場景[6, 7]。
1.2 變化的意義和作用
《GB/T 22239-2019》采用安全通用要求和安全擴展要求的劃分使得標準的使用更加具有靈活性和針對性����。不同等級保護對象由于采用的信息技術不同, 所采用的保護措施也會不同��。例如, 傳統(tǒng)的信息系統(tǒng)和云計算平臺的保護措施有差異, 云計算平臺和工業(yè)控制系統(tǒng)的保護措施也有差異��。為了體現(xiàn)不同對象的保護差異, 《GB/T 22239-2019》將安全要求劃分為安全通用要求和安全擴展要求��。
安全通用要求針對共性化保護需求提出, 無論等級保護對象以何種形式出現(xiàn), 需要根據(jù)安全保護等級實現(xiàn)相應級別的安全通用要求���。安全擴展要求針對個性化保護需求提出, 等級保護對象需要根據(jù)安全保護等級��、使用的特定技術或特定的應用場景實現(xiàn)安全擴展要求����。等級保護對象的安全保護措施需要同時實現(xiàn)安全通用要求和安全擴展要求, 從而更加有效地保護等級保護對象。例如, 傳統(tǒng)的信息系統(tǒng)可能只需要采用安全通用要求提出的保護措施即可, 而云計算平臺不僅需要采用安全通用要求提出的保護措施, 還要針對云計算平臺的技術特點采用云計算安全擴展要求提出的保護措施; 工業(yè)控制系統(tǒng)不僅需要采用安全通用要求提出的保護措施, 還要針對工業(yè)控制系統(tǒng)的技術特點采用工業(yè)控制系統(tǒng)安全擴展要求提出的保護措施���。
2 安全通用要求的內(nèi)容
2.1 安全通用要求基本分類
《GB/T 22239-2019》規(guī)定了第一級到第四級等級保護對象的安全要求, 每個級別的安全要求均由安全通用要求和安全擴展要求構成����。例如, 《GB/T 22239-2019》提出的第三級安全要求基本結構為:
8 第三級安全要求
8.1 安全通用要求
8.2 云計算安全擴展要求
8.3 移動互聯(lián)安全擴展要求
8.4 物聯(lián)網(wǎng)安全擴展要求
8.5 工業(yè)控制系統(tǒng)安全擴展要求
安全通用要求細分為技術要求和管理要求���。其中技術要求包括“ 安全物理環(huán)境” ���、“ 安全通信網(wǎng)絡” 、“ 安全區(qū)域邊界” ����、“ 安全計算環(huán)境” 和“ 安全管理中心” ; 管理要求包括“ 安全管理制度” 、“ 安全管理機構” �����、“ 安全管理人員” 、“ 安全建設管理” 和“ 安全運維管理” ���。兩者合計10大類, 如圖1所示�。
2.2 技術要求
技術要求分類體現(xiàn)了從外部到內(nèi)部的縱深防御思想�。對等級保護對象的安全防護應考慮從通信網(wǎng)絡到區(qū)域邊界再到計算環(huán)境的從外到內(nèi)的整體防護, 同時考慮對其所處的物理環(huán)境的安全防護。對級別較高的等級保護對象還需要考慮對分布在整個系統(tǒng)中的安全功能或安全組件的集中技術管理手段����。
1)安全物理環(huán)境
安全通用要求中的安全物理環(huán)境部分是針對物理機房提出的安全控制要求。主要對象為物理環(huán)境�����、物理設備和物理設施等; 涉及的安全控制點包括物理位置的選擇�����、物理訪問控制�、防盜竊和防破壞、防雷擊���、防火、防水和防潮���、防靜電���、溫濕度控制���、電力供應和電磁防護。
承載高級別系統(tǒng)的機房相對承載低級別系統(tǒng)的機房強化了物理訪問控制�����、電力供應和電磁防護等方面的要求�。例如, 四級相比三級增設了“ 重要區(qū)域應配置第二道電子門禁系統(tǒng)” 、“ 應提供應急供電設施” ���、“ 應對關鍵區(qū)域實施電磁屏蔽” 等要求�。
2)安全通信網(wǎng)絡
安全通用要求中的安全通信網(wǎng)絡部分是針對通信網(wǎng)絡提出的安全控制要求����。主要對象為廣域網(wǎng)、城域網(wǎng)和局域網(wǎng)等; 涉及的安全控制點包括網(wǎng)絡架構����、通信傳輸和可信驗證。
高級別系統(tǒng)的通信網(wǎng)絡相對低級別系統(tǒng)的通信網(wǎng)絡強化了優(yōu)先帶寬分配�、設備接入認證�、通信設備認證等方面的要求���。例如, 四級相比三級增設了“ 應可按照業(yè)務服務的重要程度分配帶寬, 優(yōu)先保障重要業(yè)務” , “ 應采用可信驗證機制對接入網(wǎng)絡中的設備進行可信驗證, 保證接入網(wǎng)絡的設備真實可信” , “ 應在通信前基于密碼技術對通信雙方進行驗證或認證” 等要求�����。
3)安全區(qū)域邊界
安全通用要求中的安全區(qū)域邊界部分是針對網(wǎng)絡邊界提出的安全控制要求�。主要對象為系統(tǒng)邊界和區(qū)域邊界等; 涉及的安全控制點包括邊界防護���、訪問控制���、入侵防范、惡意代碼防范���、安全審計和可信驗證���������!
高級別系統(tǒng)的網(wǎng)絡邊界相對低級別系統(tǒng)的網(wǎng)絡邊界強化了高強度隔離和非法接入阻斷等方面的要求。例如, 四級相比三級增設了“ 應在網(wǎng)絡邊界通過通信協(xié)議轉換或通信協(xié)議隔離等方式進行數(shù)據(jù)交換” , “ 應能夠在發(fā)現(xiàn)非授權設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為或內(nèi)部用戶非授權聯(lián)到外部網(wǎng)絡的行為時, 對其進行有效阻斷” 等要求���。
4)安全計算環(huán)境
安全通用要求中的安全計算環(huán)境部分是針對邊界內(nèi)部提出的安全控制要求。主要對象為邊界內(nèi)部的所有對象, 包括網(wǎng)絡設備�、安全設備、服務器設備���、終端設備���、應用系統(tǒng)、數(shù)據(jù)對象和其他設備等; 涉及的安全控制點包括身份鑒別���、訪問控制�����、安全審計��、入侵防范�����、惡意代碼防范���、可信驗證�、數(shù)據(jù)完整性����、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復����、剩余信息保護和個人信息保護。
高級別系統(tǒng)的計算環(huán)境相對低級別系統(tǒng)的計算環(huán)境強化了身份鑒別���、訪問控制和程序完整性等方面的要求���。例如, 四級相比三級增設了“ 應采用口令、密碼技術��、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別, 且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)” , “ 應對主體�����、客體設置安全標記, 并依據(jù)安全標記和強制訪問控制規(guī)則確定主體對客體的訪問” , “ 應采用主動免疫可信驗證機制及時識別入侵和病毒行為, 并將其有效阻斷” 等要求�����。
5)安全管理中心
安全通用要求中的安全管理中心部分是針對整個系統(tǒng)提出的安全管理方面的技術控制要求, 通過技術手段實現(xiàn)集中管理。涉及的安全控制點包括系統(tǒng)管理����、審計管理、安全管理和集中管控��。
高級別系統(tǒng)的安全管理相對低級別系統(tǒng)的安全管理強化了采用技術手段進行集中管控等方面的要求�。例如, 三級相比二級增設了“ 應劃分出特定的管理區(qū)域, 對分布在網(wǎng)絡中的安全設備或安全組件進行管控” , “ 應對網(wǎng)絡鏈路�、安全設備、網(wǎng)絡設備和服務器等的運行狀況進行集中監(jiān)測” , “ 應對分散在各個設備上的審計數(shù)據(jù)進行收集匯總和集中分析, 并保證審計記錄的留存時間符合法律法規(guī)要求” , “ 應對安全策略��、惡意代碼�、補丁升級等安全相關事項進行集中管理” 等要求。
2.3 管理要求
管理要求分類體現(xiàn)了從要素到活動的綜合管理思想����。安全管理需要的“ 機構” 、“ 制度” 和“ 人員” 三要素缺一不可, 同時還應對系統(tǒng)建設整改過程中和運行維護過程中的重要活動實施控制和管理��。對級別較高的等級保護對象需要構建完備的安全管理體系��。
1)安全管理制度
安全通用要求中的安全管理制度部分是針對整個管理制度體系提出的安全控制要求, 涉及的安全控制點包括安全策略�、管理制度、制定和發(fā)布以及評審和修訂�����!
2)安全管理機構
安全通用要求中的安全管理機構部分是針對整個管理組織架構提出的安全控制要求, 涉及的安全控制點包括崗位設置����、人員配備、授權和審批�、溝通和合作以及審核和檢查��!
3)安全管理人員
安全通用要求中的安全管理人員部分是針對人員管理模式提出的安全控制要求, 涉及的安全控制點包括人員錄用����、人員離崗、安全意識教育和培訓以及外部人員訪問管理����。
4)安全建設管理
安全通用要求中的安全建設管理部分是針對安全建設過程提出的安全控制要求, 涉及的安全控制點包括定級和備案�����、安全方案設計���、安全產(chǎn)品采購和使用��、自行軟件開發(fā)���、外包軟件開發(fā)�、工程實施�、測試驗收、系統(tǒng)交付����、等級測評和服務供應商管理��。
5)安全運維管理
安全通用要求中的安全運維管理部分是針對安全運維過程提出的安全控制要求, 涉及的安全控制點包括環(huán)境管理���、資產(chǎn)管理��、介質管理�����、設備維護管理�、漏洞和風險管理����、網(wǎng)絡和系統(tǒng)安全管理�、惡意代碼防范管理��、配置管理���、密碼管理��、變更管理�、備份與恢復管理�����、安全事件處置�����、應急預案管理和外包運維管理�。
3 安全擴展要求的內(nèi)容
安全擴展要求是采用特定技術或特定應用場景下的等級保護對象需要增加實現(xiàn)的安全要求�!禛B/T 22239-2019》提出的安全擴展要求包括云計算安全擴展要求、移動互聯(lián)安全擴展要求���、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求�����。
3.1 云計算安全擴展要求
采用了云計算技術的信息系統(tǒng)通常稱為云計算平臺����。云計算平臺由設施、硬件����、資源抽象控制層、虛擬化計算資源����、軟件平臺和應用軟件等組成。云計算平臺中通常有云服務商和云服務客戶/云租戶兩種角色�。根據(jù)云服務商所提供服務的類型, 云計算平臺有軟件即服務(SaaS)����、平臺即服務(PaaS)、基礎設施即服務(IaaS)3種基本的云計算服務模式���。在不同的服務模式中, 云服務商和云服務客戶對資源擁有不同的控制范圍, 控制范圍決定了安全責任的邊界���。
云計算安全擴展要求是針對云計算平臺提出的安全通用要求之外額外需要實現(xiàn)的安全要求。云計算安全擴展要求涉及的控制點包括基礎設施位置����、網(wǎng)絡架構��、網(wǎng)絡邊界的訪問控制�、網(wǎng)絡邊界的入侵防范�、網(wǎng)絡邊界的安全審計、集中管控�、計算環(huán)境的身份鑒別、計算環(huán)境的訪問控制��、計算環(huán)境的入侵防范�、鏡像和快照保護、數(shù)據(jù)安全性����、數(shù)據(jù)備份恢復、剩余信息保護���、云服務商選擇�、供應鏈管理和云計算環(huán)境管理�����。
3.2 移動互聯(lián)安全擴展要求
采用移動互聯(lián)技術的等級保護對象, 其移動互聯(lián)部分通常由移動終端、移動應用和無線網(wǎng)絡3部分組成�。移動終端通過無線通道連接無線接入設備接入有線網(wǎng)絡; 無線接入網(wǎng)關通過訪問控制策略限制移動終端的訪問行為; 后臺的移動終端管理系統(tǒng)(如果配置)負責對移動終端的管理, 包括向客戶端軟件發(fā)送移動設備管理、移動應用管理和移動內(nèi)容管理策略等�。
移動互聯(lián)安全擴展要求是針對移動終端、移動應用和無線網(wǎng)絡提出的特殊安全要求, 它們與安全通用要求一起構成針對采用移動互聯(lián)技術的等級保護對象的完整安全要求�。移動互聯(lián)安全擴展要求涉及的控制點包括無線接入點的物理位置、無線和有線網(wǎng)絡之間的邊界防護�����、無線和有線網(wǎng)絡之間的訪問控制���、無線和有線網(wǎng)絡之間的入侵防范, 移動終端管控�、移動應用管控���、移動應用軟件采購�����、移動應用軟件開發(fā)和配置管理。
3.3 物聯(lián)網(wǎng)安全擴展要求
物聯(lián)網(wǎng)從架構上通�?煞譃3個邏輯層, 即感知層、網(wǎng)絡傳輸層和處理應用層�����。其中感知層包括傳感器節(jié)點和傳感網(wǎng)網(wǎng)關節(jié)點或RFID標簽和RFID讀寫器, 也包括感知設備與傳感網(wǎng)網(wǎng)關之間、RFID標簽與RFID讀寫器之間的短距離通信(通常為無線)部分; 網(wǎng)絡傳輸層包括將感知數(shù)據(jù)遠距離傳輸?shù)教幚碇行牡木W(wǎng)絡, 如互聯(lián)網(wǎng)���、移動網(wǎng)或幾種不同網(wǎng)絡的融合; 處理應用層包括對感知數(shù)據(jù)進行存儲與智能處理的平臺, 并對業(yè)務應用終端提供服務����。對大型物聯(lián)網(wǎng)來說, 處理應用層一般由云計算平臺和業(yè)務應用終端構成����。
對物聯(lián)網(wǎng)的安全防護應包括感知層、網(wǎng)絡傳輸層和處理應用層��。由于網(wǎng)絡傳輸層和處理應用層通常由計算機設備構成, 因此這兩部分按照安全通用要求提出的要求進行保護���。物聯(lián)網(wǎng)安全擴展要求是針對感知層提出的特殊安全要求, 它們與安全通用要求一起構成針對物聯(lián)網(wǎng)的完整安全要求����。
物聯(lián)網(wǎng)安全擴展要求涉及的控制點包括感知節(jié)點的物理防護��、感知網(wǎng)的入侵防范�、感知網(wǎng)的接入控制、感知節(jié)點設備安全����、網(wǎng)關節(jié)點設備安全����、抗數(shù)據(jù)重放�、數(shù)據(jù)融合處理和感知節(jié)點的管理。
3.4 工業(yè)控制系統(tǒng)安全擴展要求
工業(yè)控制系統(tǒng)通常是可用性要求較高的等級保護對象��。工業(yè)控制系統(tǒng)是各種控制系統(tǒng)的總稱, 典型的如數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)����、集散控制系統(tǒng)(DCS)等。工業(yè)控制系統(tǒng)通常用于電力, 水和污水處理, 石油和天然氣, 化工, 交通運輸, 制藥, 紙漿和造紙, 食品和飲料以及離散制造(如汽車���、航空航天和耐用品)等行業(yè)�����。
工業(yè)控制系統(tǒng)從上到下一般分為5個層級, 依次為企業(yè)資源層���、生產(chǎn)管理層、過程監(jiān)控層���、現(xiàn)場控制層和現(xiàn)場設備層, 不同層級的實時性要求有所不同, 對工業(yè)控制系統(tǒng)的安全防護應包括各個層級。由于企業(yè)資源層、生產(chǎn)管理層和過程監(jiān)控層通常由計算機設備構成, 因此這些層級按照安全通用要求提出的要求進行保護�����。
工業(yè)控制系統(tǒng)安全擴展要求是針對現(xiàn)場控制層和現(xiàn)場設備層提出的特殊安全要求, 它們與安全通用要求一起構成針對工業(yè)控制系統(tǒng)的完整安全要求��。工業(yè)控制系統(tǒng)安全擴展要求涉及的控制點包括室外控制設備防護���、網(wǎng)絡架構��、通信傳輸�、訪問控制�、撥號使用控制、無線使用控制��、控制設備安全���、產(chǎn)品采購和使用以及外包軟件開發(fā)�����。
4 結束語
《GB/T 22239-2019》在結構上和內(nèi)容上相較于《GB/T 22239-2008》均發(fā)生了較大變化, 這些變化給網(wǎng)絡安全等級保護的建設整改��、等級測評等工作均帶來了一定的影響�����。如何基于新標準形成安全解決方案, 如何基于新標準開展等級保護測評等, 都需要仔細研讀新標準, 基于新標準找到開展網(wǎng)絡安全等級保護工作的新思路和新方法��。
以上標準解讀來源于網(wǎng)絡�����。
好文要分享:
魯公網(wǎng)安備 37020602000060號
