◆甘清云

國標《信息系統安全等級保護基本要求》修訂淺析

◆甘清云

（中國直升機設計研究所 天津 300300）

GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》已于2019年5月10日發(fā)布，將于2019年12月1日開始實施。GB/T 22239-2019將代替2008年6月19日發(fā)布的已實施十一年的GB/T 22239-2008。本文主要分析了GB/T 22239修訂情況。

國標；等級保護；基本要求

《中華人民共和國網絡安全法》已于2016年11月7日發(fā)布，2017年6月1日起施行。為了配合《中華人民共和國網絡安全法》的實施，同時適應云計算、大數據、物聯網、移動互聯、工業(yè)控制系統等新技術、新應用情況下網絡安全等級保護工作的開展，需對GB/T 22239-2008進行修訂。修訂的思路是針對共性保護需求提出安全通用要求，針對云計算、大數據、物聯網、移動互聯、工業(yè)控制系統等新技術、新應用領域的個性化安全保護需求提出安全擴展要求，形成新的網絡安全等級保護基本要求標準。

1 等級保護相關標準簡介

等級保護1.0時代信息系統等級保護相關標準主要有：GB/T 22239-2008《信息系統安全等級保護基本要求》、GB/T 22240-2008《信息系統安全等級保護定級指南》、GB/T 25058-2008《信息系統安全等級保護實施指南》、GB/T 25070-2010《信息系統等級保護安全設計要求》、GB/T 28448-2012《信息系統安全等級保護測評要求》、GB/T 28449-2012《信息系統安全等級保護測評過程指南》。

目前處于等級保護2.0時代，除《網絡安全等級保護實施指南》和《網絡安全等級保護定級指南》正在修訂外，GB/T 22239-2019《網絡安全等級保護基本要求》、GB/T 25070-2019《網絡安全等級保護設計技術要求》、GB/T 28448-2019《網絡安全等級保護測評要求》、GB/T 28449-2018《網絡安全等級保護測評過程指南》、GB/T 36627-2018《網絡安全等級保護測試評估技術指南》、GB/T 36958-2018《網絡安全等級保護安全管理中心技術要求》、GB/T 36959-2018《網絡安全等級保護測評機構能力要求和評估規(guī)范》都已完成編制/修訂并發(fā)布。

2 GB/T 22239-2008《信息安全技術信息系統安全等級保護基本要求》

GB/T 22239-2008《信息系統安全等級保護基本要求》將基本要求分為基本技術要求和基本管理要求。基本技術要求包括物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復?；竟芾硪蟀ò踩芾碇贫?、安全管理機構、人員安全管理、系統建設管理及系統運維管理。

3 GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》

2019年5月10日，GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》發(fā)布。GB/T 22239-2019與GB/T 22239-2008相比，重點在以下方面進行了修訂。

（1）標準名稱的變化

標準名稱最初是《信息系統安全等級保護基本要求》，后改為《信息安全等級保護基本要求》，為了與《中華人民共和國網絡安全法》保持一致，再改為《網絡安全等級保護基本要求》。

（2）等級保護對象的變化

等級保護對象由原來的信息系統擴展到基礎信息網絡、云計算平臺/系統、大數據應用/平臺/資源、物聯網、采用移動互聯技術的系統、工業(yè)控制系統等。

（3）安全要求的變化

原來是安全要求，現在是安全通用要求和安全擴展要求。安全通用要求是不管等級保護對象形態(tài)是什么都必須滿足的要求，針對云計算、移動互聯、物聯網、工業(yè)控制系統提出的特殊要求為安全擴展要求。

云計算安全擴展要求針對云計算的特點提出特殊保護要求，物聯網安全擴展要求針對物聯網的特點提出特殊保護要求，移動互聯安全擴展要求針對移動互聯的特點提出特殊保護要求，工業(yè)控制系統安全擴展要求針對工業(yè)控制的特點提出特殊保護要求。

（4）安全分類的變化

GB/T 22239-2008中，技術要求分為物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復，管理要求分為安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。

GB/T 22239-2019中，技術要求分為安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心，管理要求分為安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

（5）S、A、G標注的變化

取消了原來控制點的S、A、G標注，增加附錄A描述等級保護對象的定級結果和安全要求之間的關系，說明如何根據定級結果選擇安全要求。

（6）附錄部分的變化

調整了原來附錄A和附錄B的順序，增加附錄C描述網絡安全等級保護總體框架和關鍵技術，增加附錄D-H分別描述云計算應用場景、移動互聯應用場景、物聯網應用場景、工業(yè)控制系統應用場景、大數據應用場景。

（7）關于可信驗證

在第一級至第四級的“安全通信網絡”、“安全區(qū)域邊界”、“安全計算環(huán)境”中增加了“可信驗證”控制點。

（8）關于安全管理中心

第二級及以上增加了“安全管理中心”，其中二級實現“系統管理”和“審計管理”，三級及以上實現“系統管理”、“審計管理”、“安全管理”、“集中管控”。

4 結束語

GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》已于2019年5月10日發(fā)布，即將于今年12月1日開始實施，我們期待它在網絡安全等級保護2.0時代發(fā)揮重要作用，助力我國網絡安全等級保護工作不斷創(chuàng)新發(fā)展。

[1]馬力，祝國邦，陸磊.網絡安全等級保護基本要求（GB/T 22239-2019）標準解讀[J].信息網絡安全，2019（02）：77-84.

[2]郭巍，關興卓.淺談網絡安全等級保護制度在《網絡安全法》作用下的發(fā)展[J].網絡安全技術與應用，2019（05）：18-20.

[3]何占博，王穎，劉軍.我國網絡安全等級保護現狀與2.0標準體系研究[J].信息技術與網絡安全，2019（3）：9-14.

[4]王和平，朱凱華.基于云計算環(huán)境下的等級保護基本要求思考與改進[J].網絡安全技術與應用，2017（04）：114-115.