|
国家标准 GB/T22239—2019《信息安全技术 网络安全等级保护基本要求》在开展网络安全等级保护工作的过程中将起到非常重要的作用,广泛应用于各行业和领域开展网络安全等级保护的建设整改和等级测评等工作。 国家出台网络安全基本要求,是在传统信息系统安全等级保护基本要求基础上,针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域,加入了扩展的安全要求。 一、体系架构 各等级的基本安全要求分为技术要求和管理要求两大类。技术类安全要求与提供的技术安全机制有关,主要通过部署软硬件并正确的配置其安全功能来实现,包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面的基本安全技术措施;管理类安全要求与各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现,包括安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理四方面的基本安全管理措施来实现和保证。 基本要求标准成为由多个部分组成的系列标准,采取目前“1 X”的体系框架,框架如图1所示,主要包括6部分:安全通用要求和5个安全扩展要求。  图1 等级保护基本要求1 X体系框架 GB/T22239.1 信息安全技术 网络安全等级保护基本要求第1部分 安全通用要求。 GB/T22239.2 信息安全技术 网络安全等级保护基本要求第2部分 云计算安全扩展要求。 GB/T22239.3 信息安全技术 网络安全等级保护基本要求第3部分 移动互联安全扩展要求。 GB/T22239.4 信息安全技术 网络安全等级保护基本要求第4部分 物联网安全扩展要求。 GB/T22239.5 信息安全技术 网络安全等级保护基本要求第5部分 工业控制安全扩展要求。 GB/T22239.6 信息安全技术 网络安全等级保护基本要求第6部分 大数据安全扩展要求。 在“1 X”的体系框架下,X随着新技术的加入,可继续进行加入新技术标准。《基本要求》在整体框架结构上以三种分类为支撑点,自上而下分别为:类、控制点和项。 类:表示《基本要求》在整体上大的分类,其中技术部分分为物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全4类,管理部分分为安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理4类。 控制点:表示每个大类下的关键控制点,如物理和环境安全大类中的“物理访问控制”作为一个控制点。 项:控制点下的具体要求项,如“机房出入应安排专人负责,控制、鉴别和记录进入的人员。” 二、等级保护指标数量 1、通用安全要求技术指标 网络安全等级保护技术通用要求中控制点分布如表1所示。从安全测评角度出发,满足1~4级各测评达标指标项分布如表2所示。  表1 安全通用要求控制点的分布  表2 1~4级的测评指标项数量 从上面的指标数量分析,和信息系统安全等级保护基本要求相比,每一级的数量减少。针对特定的等级保护对象如云计算,加上扩展要求,数量不一定减少。 2、云计算安全扩展要求技术指标 从安全测评角度出发,满足1~4级各测评达标指标分布如表3所示。  表3 云计算1~4级的指标数量 3、物联网安全扩展要求技术指标 从安全测评角度出发,满足1~4级各测评达标指标分布如表4所示。  表4 物联网1~4级的指标数量 4、移动互联网安全扩展要求技术指标 从安全测评角度出发,满足1~4级各测评达标指标分布如表5所示。  表5 移动互联1~4级的指标数量 |
|
|
