03-等级保护基本要求-安全通用要求简介-马力-IMPORT

国家标准GB/T22239-2008修订网络安全等级保护基本要求第1部分安全通用要求公安部信息安全等级保护评估中心马力目录标准的修订背景总体结构的变化主要修订的内容标准修订背景为了配合网络安全法的实施，为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下等级保护工作的开展国际标准27000系列和美国联邦NIST800-53系列安全相关标准和规范在2013年和2014年发布了新的版本，内容进行了调整。有必要对GB/T22239-2008进行修订，在适用性、时效性、易用性、可操作性上进一步完善。3前期研究工作4•无线网络、虚拟计算、云计算、大数据、IPv6及IPv4/IPv6混合环境威胁和特点分析•ISO/IEC27000-2013版和NISTSP800-53-2013版发生变化的内容和和新特点•标准修订可能影响的范围-相关国家标准和行业标准前期研究形成的成果《等级保护基本要求标准修订研究报告》一、概述1.1研究背景1.2研究目标二、国内外信息安全发展状况分析2.1当前的信息安全形势2.2需要关注的几个问题2.3建议采取的对策三、新技术新应用使用状况分析3.1无线网络应用现状和安全关注点3.2虚拟技术应用现状和安全关注点3.3云计算技术应用现状和安全关注点3.4大数据应用现状和安全关注点四、基本要求使用中主要问题分析4.1技术方面4.2管理方面五、基本要求修订的主要思路和工作内容5.1修订的主要思路5.2修订的工作内容六、参考文献5《基本要求》和27001-2013的对标61A.5信息安全方针安全管理制度2A.6信息安全组织安全管理机构3A.7人力资源安全人员安全管理4A.8资产管理系统运维管理5A.9访问控制技术部分6A.10加密技术技术部分7A.11物理和环境安全物理安全8A.12操作安全系统运维管理9A.13通信安全技术部分10A.14系统的获取、开发及维护系统建设管理11A.15供应商关系缺少12A.16信息安全事件管理安全事件处置13A.17业务连续性管理中的信息安全应急响应14A.18符合性缺少《基本要求》和NIST800-53v4的对标71AC-访问控制（AccessControl）技术部分2AT-安全意识和培训（AwarenessandTraining）人员安全管理3AU-安全审计（AuditandAccountability）技术部分4CA-安全评估和认可（SecurityAssessmentandAuthorization）缺少5CM-配置管理（ConfigurationManagement）缺少6CP-应急计划（ContingencyPlanning）应急响应7IA-身份鉴别（IdentificationandAuthentication）技术部分8IR-应急响应（IncidentResponse）安全事件处置9MA-系统维护（Maintenance）网络和系统管理10MP-介质保护（MediaProtection）介质管理11PE-物理和环境保护（PhysicalandEnvironmentalProtection）物理安全12PL-安全规划（Planning）系统建设管理13PS-人员安全（PersonnelSecurity）人员安全管理14RA-风险评估（RiskAssessment）缺少15SA-系统和服务获取（SystemandServicesAcquisition）系统建设管理16SC-系统和通信保护（SystemandCommunicationsProtection）技术部分17SI-系统和信息完整性（SystemandInformationIntegrity）技术部分18PM-项目管理（ProgramManagement）系统建设管理形成草案第一稿82014年4月至6月标准编制组在前述工作成果《等级保护基本要求修订研究报告》的基础上，对原国家标准《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）按照级别和层面进行了修订项的梳理，形成了《基本要求草案修订汇总表》，修订出标准草案第一稿形成草案第二稿9随后基本要求的修订思路进行了调整，标准变为系列标准2014年7月至2015年3月各个标准编制组：第1部分安全通用要求（公安部信息安全等级保护评估中心）第2部分云计算安全扩展要求（公安部信息安全等级保护评估中心）第3部分移动互联安全扩展要求（北京鼎普科技股份有限公司）第4部分物联网安全扩展要求（公安部第一研究所）第5部分工业控制安全扩展要求（浙江大学）第6部分大数据安全扩展要求（公安部信息安全等级保护评估中心）2015年3月完成基本要求-安全通用要求草案第二稿。安全通用要求-评审和修订102015年4月29日第一次专家评审会十位专家，共收到意见45条，采纳意见40条，没有采纳5条2015年12月8日第二次专家评审会九位专家，共收到意见25条，采纳意见23条，没有采纳2条2016年1月征求十一局意见2016年3月、4月、6月征求沈院士意见2016年7月1日第三次专家评审会2016年8月开始征求成员单位意见并修订形成草案第七稿和第八稿2016年10月形成征求意见稿目录标准的修订背景总体结构的变化主要修订的内容1、名称的变化12原来：《信息系统安全等级保护基本要求》改为：《信息安全等级保护基本要求》再改为：《网络安全等级保护基本要求》2、构成的变化13原来：一个标准GB/T22239-2008改为：系列标准——GB/T22239.1-XXXX信息安全技术网络安全等级保护基本要求第1部分安全通用要求；——GB/T22239.2-XXXX信息安全技术网络安全等级保护基本要求第2部分云计算安全扩展要求；——GB/T22239.3-XXXX信息安全技术网络安全等级保护基本要求第3部分移动互联安全扩展要求；——GB/T22239.4-XXXX信息安全技术网络安全等级保护基本要求第4部分物联网安全扩展要求；——GB/T22239.5-XXXX信息安全技术网络安全等级保护基本要求第5部分工业控制安全扩展要求。——GB/T22239.6-XXXX信息安全技术网络安全等级保护基本要求第6部分大数据安全扩展要求。3、等级保护对象的变化14原来：信息系统改为：等级保护对象安全等级保护的对象包括网络基础设施、信息系统、大数据、云计算平台、物联网、工控系统等.重点对象是国家关键信息基础设施，主要包括涉及国家安全、国计民生的网络基础设施、重要信息系统、大数据，以及重要的云计算平台、物联网、工控系统等。4.调整了控制措施的分类结构1522239标准：其结构和分类调整为：技术部分：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全；管理部分：安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理5、取消了安全控制点的标注16取消对控制点的“S”、“A”、“G”标注的使用，调整原来的附录B“安全要求的选择和使用”，说明与定级指南的关系，增加安全控制措施选择时，控制点的标注及使用说明。6、提出了等级保护安全框架17增加了一个附录C等级保护安全框架和关键技术安全等级保护框架等级保护关键技术目录标准的修订背景总体结构的变化主要修订的内容原来基本要求文档结构物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理-19-新安全通用要求文档结构物理和环境安全技术要求管理要求基本要求网络和通信安全设备和计算安全应用和数据安全安全策略和管理制度安全管理机构和人员安全建设管理安全运维管理-20-物理和环境安全分类原有控制点新的控制点1物理安全物理位置选择1物理和环境安全物理位置的选择2物理访问控制2物理访问控制3防盗窃和防破坏3防盗窃和防破坏4防雷击4防雷击5防火5防火6防水和防潮6防水和防潮7防静电7防静电8温湿度控制8温湿度控制9电力供应9电力供应10电磁防护10电磁防护1、物理位置的选择22原来要求项第三级第四级a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；机房场地应选择在具有防震、防风和防雨等能力的建筑内；机房场地应选择在具有防震、防风和防雨等能力的建筑内；b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。2、物理访问控制23a)机房出入口应安排专人值守并配置电子门禁系统，控制、鉴别和记录进入的人员；机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员；机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员；b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员。c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；d)重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员。3、防盗窃和防破坏24a)应将主要设备放置在机房内；应将设备或主要部件进行固定，并设置明显的不易除去的标记；应将设备或主要部件进行固定，并设置明显的不易除去的标记；b)应将设备或主要部件进行固定，并设置明显的不易除去的标记；应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；应设置机房防盗报警系统或设置有专人值守的视频监控系统。应设置机房防盗报警系统或设置有专人值守的视频监控系统。d)应对介质分类标识，存储在介质库或档案室中；e)应利用光、电等技术设置机房防盗报警系统；f)应对机房设置监控报警系统。4、防雷击25a)机房建筑应设置避雷装置；应将各类机柜、设施和设备等通过接地系统安全接地；应将各类机柜、设施和设备等通过接地系统安全接地；b)应设置防雷保安器，防止感应雷；应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。c)机房应设置交流电源地线。5、防火26a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；c)机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。6、防水和防潮27a)水管安装，不得穿过机房屋顶和活动地板下；应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。d)应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。7、防静电28a)设备应采用必要的接地防静电措施；应安装防静电地板并采用必要的接地防静电措施；应安装防静电地板并采用必要的接地防静电措施；b)机房应采用防静电地板；应采用措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等。应采用措施防止静电的