網(wǎng)絡(luò)安全等級(jí)保護(hù)及其相關(guān)標(biāo)準(zhǔn)介紹

張旭剛 謝宗曉（中國金融認(rèn)證中心）

1 從“信息安全等級(jí)保護(hù)”到“網(wǎng)絡(luò)安全等級(jí)保護(hù)”

2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施。其中第二十一條明確規(guī)定，“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，進(jìn)一步明確了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的法律地位。為了與《中華人民共和國網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致，等級(jí)保護(hù)從原來的“信息安全等級(jí)保護(hù)”變更為“網(wǎng)絡(luò)安全等級(jí)保護(hù)”1）注意，此處的網(wǎng)絡(luò)安全（cyber security）不是傳統(tǒng)意義上的網(wǎng)絡(luò)安全（network security），關(guān)于該詞匯的詳細(xì)論述，請(qǐng)參考文獻(xiàn)[1][2]。，標(biāo)志著實(shí)施了10年之久的信息安全等級(jí)保護(hù)制度（等級(jí)保護(hù)1.0）跨入了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度（等級(jí)保護(hù)2.0）的新階段。

表1 等級(jí)保護(hù)1.0與等級(jí)保護(hù)2.0的比較

續(xù)表

2019年5月13日，國家標(biāo)準(zhǔn)新聞發(fā)布會(huì)在市場(chǎng)監(jiān)管總局馬甸辦公區(qū)新聞發(fā)布廳召開，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)（GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、GB/T 25070—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》、GB/T 28448—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》正式發(fā)布，將于2019年12月1日開始實(shí)施。

2 網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的標(biāo)準(zhǔn)介紹

截至2019年7月，網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)已發(fā)布7項(xiàng)，其中4項(xiàng)為現(xiàn)行標(biāo)準(zhǔn)，3項(xiàng)即將實(shí)施；此外，還有2項(xiàng)標(biāo)準(zhǔn)處于修訂階段3）檢索時(shí)間為2019年7月6日。，具體情況如下。

（1）GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》

該標(biāo)準(zhǔn)代替GB/T 22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，于2019年5月10日發(fā)布，2019年12月1日實(shí)施，同GB/T 22239—2008相比，主要變化如下：1）標(biāo)準(zhǔn)名稱變更；2）調(diào)整分類為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理；3）調(diào)整各個(gè)級(jí)別的安全要求為安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求；4）取消了原來安全控制點(diǎn)的S、A、G標(biāo)注，增加一個(gè)附錄A 描述等級(jí)保護(hù)對(duì)象的定級(jí)結(jié)果和安全要求之間的關(guān)系，說明如何根據(jù)定級(jí)結(jié)果選擇安全要求；5）調(diào)整了原來附錄A 和附錄B的順序，增加了附錄C描述網(wǎng)絡(luò)安全等級(jí)保護(hù)總體框架，并提出關(guān)鍵技術(shù)使用要求。

（2）GB/T 22240《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（正在修訂）

該標(biāo)準(zhǔn)目前正在修訂。目前網(wǎng)絡(luò)安全等級(jí)保護(hù)的定級(jí)方法和定級(jí)流程依據(jù)中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn)GA/T 1389—2017 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》，該標(biāo)準(zhǔn)于2017年5月8日發(fā)布，2017年5月8日實(shí)施。

（3）GB/T 25058《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》（正在修訂）

該標(biāo)準(zhǔn)目前正在修訂。

（4）GB/T 25070—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》

該標(biāo)準(zhǔn)代替GB/T 25070—2010《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》，于2019年5月10日發(fā)布，2019年12月1日實(shí)施，同GB/T 25070—2010相比，主要變化如下：1）標(biāo)準(zhǔn)名稱變更；2）各個(gè)級(jí)別的安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求調(diào)整為通用安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求、云安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求、移動(dòng)互聯(lián)安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求、物聯(lián)網(wǎng)系統(tǒng)安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求和工業(yè)控制系統(tǒng)安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求；3）各個(gè)級(jí)別的安全區(qū)域邊界設(shè)計(jì)技術(shù)要求調(diào)整為通用安全區(qū)域邊界設(shè)計(jì)技術(shù)要求、云安全區(qū)域邊界設(shè)計(jì)技術(shù)要求、移動(dòng)互聯(lián)安全區(qū)域邊界設(shè)計(jì)技術(shù)要求、物聯(lián)網(wǎng)系統(tǒng)安全區(qū)域邊界設(shè)計(jì)技術(shù)要求和工業(yè)控制系統(tǒng)安全區(qū)域邊界設(shè)計(jì)技術(shù)要求；4）各個(gè)級(jí)別的安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求調(diào)整為通用安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求、云安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求、移動(dòng)互聯(lián)安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求、物聯(lián)網(wǎng)系統(tǒng)安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求和工業(yè)控制系統(tǒng)安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求；5）刪除了附錄B中的B.2“子系統(tǒng)間接口”和B.3“重要數(shù)據(jù)結(jié)構(gòu)”，增加了B.4“第三級(jí)系統(tǒng)可信驗(yàn)證實(shí)現(xiàn)機(jī)制”。

（5）GB/T 28448—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》

該標(biāo)準(zhǔn)代替GB/T 28448—2012《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》，于2019年5月10日發(fā)布，2019年12月1日實(shí)施，同GB/T 28448—2012相比，主要變化如下：1）標(biāo)準(zhǔn)名稱變更；2）每個(gè)級(jí)別增加了云計(jì)算安全測(cè)評(píng)擴(kuò)展要求、移動(dòng)互聯(lián)安全測(cè)評(píng)擴(kuò)展要求、物聯(lián)網(wǎng)安全測(cè)評(píng)擴(kuò)展要求和工業(yè)控制系統(tǒng)安全測(cè)評(píng)擴(kuò)展要求等內(nèi)容；3）增加了等級(jí)測(cè)評(píng)、測(cè)評(píng)對(duì)象、云服務(wù)商和云服務(wù)客戶等相關(guān)術(shù)語和定義；4）將針對(duì)控制點(diǎn)的單元測(cè)評(píng)細(xì)化調(diào)整為針對(duì)要求項(xiàng)的單項(xiàng)測(cè)評(píng)，刪除了“測(cè)評(píng)框架”和“等級(jí)測(cè)評(píng)內(nèi)容”；5）增加了大數(shù)據(jù)可參考安全評(píng)估方法和測(cè)評(píng)單元編號(hào)說明。

（6）GB/T 28449—2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》

該標(biāo)準(zhǔn)代替GB/T 28449—2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》，于2018年12月28日發(fā)布，2019年7月1日實(shí)施，同GB/T 28449—2012相比，主要變化如下：1）標(biāo)準(zhǔn)名稱變更；2）修改了報(bào)告編制活動(dòng)中的任務(wù)，由原來的6個(gè)任務(wù)修改為7個(gè)任務(wù)；3）在測(cè)評(píng)準(zhǔn)備活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的雙方職責(zé)中增加了協(xié)調(diào)多方的職責(zé)，并在一些涉及到多方的工作任務(wù)中也予以明確；4）在信息收集和分析工作任務(wù)中增加了“信息分析方法”的內(nèi)容；5）增加了利用云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、IPv6系統(tǒng)等構(gòu)建的等級(jí)保護(hù)對(duì)象開展安全測(cè)評(píng)需要額外重點(diǎn)關(guān)注的特殊任務(wù)及要求；6）刪除了測(cè)評(píng)方案示例；7）刪除了信息系統(tǒng)基本情況調(diào)查表模板。

（7）GB/T 36627—2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南》

該標(biāo)準(zhǔn)是為服務(wù)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度而新出的標(biāo)準(zhǔn)，于2018年9月17日發(fā)布，2019年4月1日實(shí)施。該標(biāo)準(zhǔn)對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中的相關(guān)測(cè)評(píng)技術(shù)進(jìn)行明確的分類和定義，系統(tǒng)地歸納并闡述測(cè)評(píng)的技術(shù)方法，概述技術(shù)性安全測(cè)試和評(píng)估的要素，重點(diǎn)關(guān)注具體技術(shù)的實(shí)現(xiàn)功能、原則等，并提出建議供使用。該標(biāo)準(zhǔn)在應(yīng)用于網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)時(shí)可作為對(duì)GB/T 28448和GB/T 28449的補(bǔ)充。

（8）GB/T 36958—2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求》

GB/T 36958—2018是為“一個(gè)中心，三重防護(hù)”中的安全管理中心的建設(shè)而制定的新標(biāo)準(zhǔn)，于2018年12月28日發(fā)布，2019年7月1日實(shí)施。該標(biāo)準(zhǔn)從安全管理中心的功能、接口、自身安全等方面，對(duì)GB/T 25070中提出的安全管理中心及其安全技術(shù)和機(jī)制進(jìn)行了進(jìn)一步規(guī)范，提出了通用的安全技術(shù)要求，指導(dǎo)安全廠商和用戶依據(jù)該標(biāo)準(zhǔn)要求設(shè)計(jì)和建設(shè)安全管理中心。

（9）GB/T 36959—2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力要求和評(píng)估規(guī)范》

GB/T 36959—2018是為規(guī)范測(cè)評(píng)機(jī)構(gòu)的能力要求和評(píng)估流程而制定的新標(biāo)準(zhǔn)，于2018年12月28日發(fā)布，2019年7月1日實(shí)施。該標(biāo)準(zhǔn)結(jié)合網(wǎng)絡(luò)安全等級(jí)保護(hù)的特點(diǎn)，從委托受理、評(píng)估準(zhǔn)備、文件審核、現(xiàn)場(chǎng)評(píng)估、整改驗(yàn)收，到評(píng)估報(bào)告提交等整個(gè)評(píng)估過程對(duì)測(cè)評(píng)機(jī)構(gòu)提出了規(guī)范性要求。

3 小結(jié)

綜上所述，網(wǎng)絡(luò)安全等級(jí)保護(hù)及其相關(guān)標(biāo)準(zhǔn)如表2所示。

表2 網(wǎng)絡(luò)安全等級(jí)保護(hù)及其相關(guān)標(biāo)準(zhǔn)