◆甘清云

（中國直升機設計研究所 天津 300300）

《中華人民共和國網絡安全法》已于2016 年11 月7 日發(fā)布，2017 年6 月1 日起施行。為了配合《中華人民共和國網絡安全法》的實施，同時適應云計算、大數據、物聯網、移動互聯、工業(yè)控制系統(tǒng)等新技術、新應用情況下網絡安全等級保護工作的開展，需對 GB/T 28448-2012 進行修訂。修訂的思路是依據 GB/T 22239-2019 調整的內容，針對共性安全保護需求提出安全測評通用要求，針對云計算、大數據、物聯網、移動互聯、工業(yè)控制系統(tǒng)等新技術、新應用領域的個性安全保護需求提出安全測評擴展要求。

1 GB/T 28448-2012《信息安全技術信息系統(tǒng)安全等級保護測評要求》簡介

GB/T 28448-2012《信息系統(tǒng)安全等級保護測評要求》主要有四部分內容：信息系統(tǒng)等級保護測評概述、一至五級信息系統(tǒng)單元測評、信息系統(tǒng)整體測評、等級測評結論。單元測評分為安全技術測評和安全管理測評，其中安全技術測評包括物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復，安全管理測評包括安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理及系統(tǒng)運維管理。

GB/T 28448-2012《信息系統(tǒng)安全等級保護測評要求》實施了七年多，在開展信息系統(tǒng)等級保護測評過程中發(fā)揮了重要作用，被廣泛應用于指導各行業(yè)開展信息系統(tǒng)等級保護測評工作。與此同時，GB/T 28448-2012 在時效性、適用性、可操作性等方面亟需進一步完善。

2 GB/T 28448-2019《信息安全技術 網絡安全等級保護測評要求》

2019 年5 月10 日，GB/T 28448-2019《信息安全技術 網絡安全等級保護測評要求》發(fā)布，與GB/T 28448-2012 相比，重點在以下方面進行了修訂。

（1）標準名稱的變化

為了與《中華人民共和國網絡安全法》保持一致，標準名稱由《信息系統(tǒng)安全等級保護測評要求》改為《網絡安全等級保護測評要求》。

（2）各級增加安全測評擴展要求的變化

除第五級測評要求外，第一至第四級測評要求在安全測評通用要求外增加了云計算安全測評擴展要求、移動互聯網安全測評擴展要求、物聯網安全測評擴展要求、工業(yè)控制系統(tǒng)安全測評擴展要求。安全測評通用要求和安全測評擴展要求都是從安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理這十個方面展開。

（3）術語和定義的變化

保留了訪談和測試，將檢查改成核查，增加了評估、測評對象、等級測評、云服務商、云服務客戶、虛擬機監(jiān)視器、宿主機等相關術語和定義。

（4）由單元測評調整為單項測評的變化

單元測評是針對安全控制點的，而單項測評是針對安全控制點下的安全要求項的，所以是更細化了。

單項測評是針對各安全要求項的測評，支持測評結果的可重復性和可再現性。單項測評由測評指標、測評對象、測試實施、單元判定組成。

（5）整體測評的變化

整體測評是在單項測評的基礎上對等級保護對象整體安全保護能力的判斷。整體安全保護能力主要從縱深防護和措施互補兩個角度評判。

整體測評由原來的安全控制點間測評、層面間測評、區(qū)域間測評調整為安全控制點測評、安全控制點間測評、區(qū)域間測評（包含層面間測評）。

（6）附錄部分的變化

附錄部分增加了資料性附錄B 大數據可參考安全評估方法和規(guī)范性附錄C 測評單元編號說明。

大數據可參考安全評估方法介紹了第一級至第四級安全評估方法。測評單元編號說明介紹了測評單元編碼規(guī)則和大數據可參考安全評估方法編號說明。雖然兩者編號都為三組數據，但是其編碼規(guī)則完全不同，需要注意。

3 思考

附錄部分單獨增加一個附錄B 用于描述大數據可參考安全評估方法。附錄C 中C.2 節(jié)介紹其編號規(guī)則。測評單元編號為三組數據，第一組由3 位組成，BDS 代表大數據可參考安全評估方法；第二組由2 位組成，第1 位為字母L，第2 位為數字，數字1 為第一級，以此類推，5 為第五級；第三組由2 位數字組成，按照基本要求（GB/T 22239-2019）中的安全控制措施進行順序編號。可是在國家標準全文公開系統(tǒng)（網址：http：//www.gb688.cn/bzgk/gb/index）中查閱GB/T 28448-2019 全文時發(fā)現附錄B 中不少測評單元的編號是重復的。比如B.1.1.1 測評單元的編號為 BDS-L1-01，B.1.2.1 測評單元的編號也是BDS-L1-01，B.1.3.1 測評單元的編號還是BDS-L1-01。類似這樣的測評單元編號重復的情況還有很多。

4 結束語

GB/T 28448-2019《信息安全技術 網絡安全等級保護測評要求》已于2019 年5 月10 日發(fā)布，2019 年12 月1 日起實施，相信它會在網絡安全等級保護測評工作中發(fā)揮重要作用，助力我國網絡安全等級保護工作再上新臺階。