◆甘清云

國(guó)標(biāo)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》修訂淺析

◆甘清云

（中國(guó)直升機(jī)設(shè)計(jì)研究所 天津 300300）

GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》已于2019年5月10日發(fā)布，將于2019年12月1日開(kāi)始實(shí)施。GB/T 22239-2019將代替2008年6月19日發(fā)布的已實(shí)施十一年的GB/T 22239-2008。本文主要分析了GB/T 22239修訂情況。

國(guó)標(biāo)；等級(jí)保護(hù)；基本要求

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》已于2016年11月7日發(fā)布，2017年6月1日起施行。為了配合《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的實(shí)施，同時(shí)適應(yīng)云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、工業(yè)控制系統(tǒng)等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的開(kāi)展，需對(duì)GB/T 22239-2008進(jìn)行修訂。修訂的思路是針對(duì)共性保護(hù)需求提出安全通用要求，針對(duì)云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、工業(yè)控制系統(tǒng)等新技術(shù)、新應(yīng)用領(lǐng)域的個(gè)性化安全保護(hù)需求提出安全擴(kuò)展要求，形成新的網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求標(biāo)準(zhǔn)。

1 等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)簡(jiǎn)介

等級(jí)保護(hù)1.0時(shí)代信息系統(tǒng)等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)主要有：GB/T 22239-2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、GB/T 22240-2008《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、GB/T 25058-2008《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、GB/T 25070-2010《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)要求》、GB/T 28448-2012《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》、GB/T 28449-2012《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》。

目前處于等級(jí)保護(hù)2.0時(shí)代，除《網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》和《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》正在修訂外，GB/T 22239-2019《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、GB/T 25070-2019《網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求》、GB/T 28448-2019《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》、GB/T 28449-2018《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》、GB/T 36627-2018《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南》、GB/T 36958-2018《網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求》、GB/T 36959-2018《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力要求和評(píng)估規(guī)范》都已完成編制/修訂并發(fā)布。

2 GB/T 22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

GB/T 22239-2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》將基本要求分為基本技術(shù)要求和基本管理要求?；炯夹g(shù)要求包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)。基本管理要求包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理及系統(tǒng)運(yùn)維管理。

3 GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》

2019年5月10日，GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》發(fā)布。GB/T 22239-2019與GB/T 22239-2008相比，重點(diǎn)在以下方面進(jìn)行了修訂。

（1）標(biāo)準(zhǔn)名稱的變化

標(biāo)準(zhǔn)名稱最初是《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，后改為《信息安全等級(jí)保護(hù)基本要求》，為了與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》保持一致，再改為《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》。

（2）等級(jí)保護(hù)對(duì)象的變化

等級(jí)保護(hù)對(duì)象由原來(lái)的信息系統(tǒng)擴(kuò)展到基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、物聯(lián)網(wǎng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)、工業(yè)控制系統(tǒng)等。

（3）安全要求的變化

原來(lái)是安全要求，現(xiàn)在是安全通用要求和安全擴(kuò)展要求。安全通用要求是不管等級(jí)保護(hù)對(duì)象形態(tài)是什么都必須滿足的要求，針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)提出的特殊要求為安全擴(kuò)展要求。

云計(jì)算安全擴(kuò)展要求針對(duì)云計(jì)算的特點(diǎn)提出特殊保護(hù)要求，物聯(lián)網(wǎng)安全擴(kuò)展要求針對(duì)物聯(lián)網(wǎng)的特點(diǎn)提出特殊保護(hù)要求，移動(dòng)互聯(lián)安全擴(kuò)展要求針對(duì)移動(dòng)互聯(lián)的特點(diǎn)提出特殊保護(hù)要求，工業(yè)控制系統(tǒng)安全擴(kuò)展要求針對(duì)工業(yè)控制的特點(diǎn)提出特殊保護(hù)要求。

（4）安全分類的變化

GB/T 22239-2008中，技術(shù)要求分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)，管理要求分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。

GB/T 22239-2019中，技術(shù)要求分為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心，管理要求分為安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理。

（5）S、A、G標(biāo)注的變化

取消了原來(lái)控制點(diǎn)的S、A、G標(biāo)注，增加附錄A描述等級(jí)保護(hù)對(duì)象的定級(jí)結(jié)果和安全要求之間的關(guān)系，說(shuō)明如何根據(jù)定級(jí)結(jié)果選擇安全要求。

（6）附錄部分的變化

調(diào)整了原來(lái)附錄A和附錄B的順序，增加附錄C描述網(wǎng)絡(luò)安全等級(jí)保護(hù)總體框架和關(guān)鍵技術(shù)，增加附錄D-H分別描述云計(jì)算應(yīng)用場(chǎng)景、移動(dòng)互聯(lián)應(yīng)用場(chǎng)景、物聯(lián)網(wǎng)應(yīng)用場(chǎng)景、工業(yè)控制系統(tǒng)應(yīng)用場(chǎng)景、大數(shù)據(jù)應(yīng)用場(chǎng)景。

（7）關(guān)于可信驗(yàn)證

在第一級(jí)至第四級(jí)的“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”、“安全計(jì)算環(huán)境”中增加了“可信驗(yàn)證”控制點(diǎn)。

（8）關(guān)于安全管理中心

第二級(jí)及以上增加了“安全管理中心”，其中二級(jí)實(shí)現(xiàn)“系統(tǒng)管理”和“審計(jì)管理”，三級(jí)及以上實(shí)現(xiàn)“系統(tǒng)管理”、“審計(jì)管理”、“安全管理”、“集中管控”。

4 結(jié)束語(yǔ)

GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》已于2019年5月10日發(fā)布，即將于今年12月1日開(kāi)始實(shí)施，我們期待它在網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0時(shí)代發(fā)揮重要作用，助力我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作不斷創(chuàng)新發(fā)展。

[1]馬力，祝國(guó)邦，陸磊.網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T 22239-2019）標(biāo)準(zhǔn)解讀[J].信息網(wǎng)絡(luò)安全，2019（02）：77-84.

[2]郭巍，關(guān)興卓.淺談網(wǎng)絡(luò)安全等級(jí)保護(hù)制度在《網(wǎng)絡(luò)安全法》作用下的發(fā)展[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（05）：18-20.

[3]何占博，王穎，劉軍.我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2019（3）：9-14.

[4]王和平，朱凱華.基于云計(jì)算環(huán)境下的等級(jí)保護(hù)基本要求思考與改進(jìn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（04）：114-115.