1、1 信息安全技术 网络安全等级保护测评要求 第 1 部分 :安全 通用要求 编制说明 1 概述 1.1 任务来源 信息安全技术 信息系统安全等级保护测评要求于 2012 年成为国家标准,标准号为 GB/T 28448-2012,被广泛应用于各个行业的开展 等级保护对象 安全等级保护的检测评估工作。但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高, 2013 年 公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对 GB/T 28448-2012 进行修订。 根据 全国信息安全 标准化
2、技术 委员会 2013 年下达的国家标准制修订计划,国家标准 信息安全技术 信息系统安全等级保护测评 要求 修订任务 由 公安部第三研究所 负责主办, 项目编号为 2013bzxd-WG5-006。 1.2 制定本标准的目的和意义 信息安全等级保护管理办法(公通字 200743 号 ) 明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。这就要求等级测评过程规范、测评结论准确、公正及可重现。 信息安全技术 信息系统安全等级保护基本要求( GB/T22239-2008)(简称基本要求)和 信息安全技术 信息系统安全
3、等级保护测评 要求( GB/T28448-2012)(简称测评要求)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。 伴随着 IT 技术的发展,基本要求中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。 作为 基本 要求 的 姊妹标准, 测评 要求 需要同步 修订, 依据 基本 要求 的 更新内容对应修订相关的 单元 测评章节。 2 此外 , 测评 要求 还需要吸收近年 来的测评实践,
4、更新 整体 测评 方法 和测评 结论 形成方法。 1.3 与 其他 标准的关系 图 1 等级保护标准相互关系 从 上图可以看出,在 等级保护对象 实施 安全保护 过程中,首先利用 信息安全技术 信息系统安全等级保护定级指南( GB/T 22240-2008)( 简称 “ 定级指南 ” )确定 等级保护对象 的安全保护等级,然后根据 信息安全技术 网络 安全等级保护基本要求 系列标准 选择安全控制措施, 随后 利用 信息安全技术 信息系统安全等级保护实施指南( 简称 “ 实施指南 ” ) 或 其他相关标准确定 其 特殊安全需求,进行 等级保护对象的 安全规划和建设 工作 ,此后利用 信息安全技术
5、 网络 安全等级保护 测评 过程指南 ( GB/T 28449-20XX) (简称 “ 测评过程指南 ” ) 来规范测评过程和各项活动,利用 信息安全技术 网络 安全等级保护测评要求 系列标准 来判断安全控制措施的有效性。 同时, 等级保护整个实施过程又是由实施指南来指导的。 在等级保护的相 关标准中,测评要求 系列标准 是基本要求 系列标准的姊妹篇,测评 要求 针对基本要求中各 要求项,提供了具体测评方法、步骤和判断依据等,是为了确认等级保护对象 是否按照基本要求中的不同等级的技术和管理要求实施的,而 测评过程指南 则是规定了开展这些测评活动的 基本过程 ,包括 过程、 任务及 产品 等,以
6、指导 用户对 测评 要求 的正确使用。 1.4 标准组成 为了适应移动互联、虚拟计算、云计算、 物联网、 工控系统 和 大数据 等新技确 定 等 级 保 护 对象 安 全 等 级等 级 保 护 对 象安 全 建 设 整 改等 级 测 评选 择 相 应 的 安 全控 制 措 施 实 施 指 南 其 他 相 关 标 准 实 施 指 南 基 本 要 求 系 列 标 准 实 施 指 南 测 评 过 程 指 南 测 评 要 求 系 列 标 准 实 施 指 南 定 级 指 南 3 术、新应用情况下网络安全等级保护 测评 工作的开展,需对 GB/T 28448-2012 进行修订,修订的思路和方法是针对移动
7、互联、虚拟计算、云计算、物联网 、 工控系统 和大数据 等新技术、新应用领域提出扩展的测评要求。 对 GB/T 28448-2012 的修订完成后,测评要求标准成为由多个部分组成的系列标准,目前主要有六个部分: GB/T 28448.1-20XX 信息安全技术 网络安全等级保护测评要求 第 1部分 : 安全 通用 要求; GB/T 28448.2-20XX 信息安全技术 网络安全等级保护测评要求 第 2部分 :云计算 安全 扩展 要求 ; GB/T 28448.3-20XX 信息安全技术 网络安全等级保护测评要求 第 3部分 :移动互联 安全扩展 要求 ; GB/T 28448.4-20XX
8、信息安全技术 网络安全等级保护测评要求 第 4部分 : 物联网安全 扩展 要求 ; GB/T 28448.5-20XX 信息安全技术 网络安全等级保护测评要求 第 5部分 : 工控 控制 安全 扩展 要求 ; GB/T 28448.6-20XX 信息安全技术 网络安全等级保护测评要求 第 6部分 : 大数据安全扩展测评要求。 2 编制过程 1) 2013 年 12 月,公安部第三研究所、 中国电子技术标准化研究院和北京神州绿盟科技有限公司 成立了信息安全技术 信息安全等级保护测评要求标准编制组。 2) 2014 年 1 月至 5 月,标准编制组按照计划调研了国际和国内无线接入、虚拟计算、云计算
9、 平台、大数据应用和工控系统应用等新技术、新应用的情况,分析并总结了新技术和新应用中的安全关注点和要素;同时标准编制组调研了与信息安全技术 信息系统安全等级保护测评 要求 (GB/T 28448-2012)相关的其他国家标准和行业标准,分析了信息安全技术 信息系统安全等级保护基本要求 (GB/T 22239-2008)的修订可能对 其 产生的影响。 3) 2014 年 5 月,为适应无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新技术、新应用的情况下等级保护工作开展,公安部十一局牵头会同有关部门 组织 2014 年新领域的国家标准立项, 根据新标准 立4 项 结果确定基
10、本要求修订 思路 发生重大变化,为适应基本要求修订思路的变化在 信息安全技术 信息系统安全等级保护测评 要求( GB/T 28448-2012)的基础上,针对无线移动接入、虚拟计算 环境、云计算平台应用、大数据应用和工控系统应用等新领域形成“测评 要求”的分册,如 信息安全技术 网络 安全等级保护测评要求 第 2 部分: 云计算 安全 扩展 要求 、信息安全技术 网络 安全等级保护测评要求 第 3 部分: 移动互联 安全扩展 要求 、信息安全技术 网络安全等级保护测评要求 第 4 部分 : 物联网安全 扩展 要求 、信息安全技术 网络安全等级保护测评要求 第 5 部分 : 工控 控制 安全 扩
11、展 要求 和 信息安全技术 网络 安全等级保护测评要求 第 6部分 : 大数据安全扩展 要求 。 构成 GB/T 28448.1、GB/T 28448.2、 等测评 要求系列标准,上述思路的变化直接影响了国家标准GB/T 28448-2012 的修订思路和内容。 5) 2014 年 7 月至 2015 年 5 月 , 标准编制组 根据新修订基本要求草案第一稿编制了 信息安全技术 网络 安全等级保护测评要求 第 1 部分 : 安全 通用 要求 草案第一稿。 6) 2015 年 5 月 至 2015 年 12 月 , 标准编制组根据新修订基本要求草案第三稿编制了信息安全技术 网络 安全等级保护测评
12、要求 第 1 部分 : 安全 通 用要求草案第二稿。 7) 2016 年 5 月至 2016 年 6 月,标准编制组根据新修订基本要求草案第五 稿编制了信息安全技术 网络 安全等级保护测评要求 第 1 部分 : 安全 通用要求草案第三 稿。 8) 2016 年 5 月 23 日,在评估中心针对 信息安全技术 网络 安全等级保护测评要求 第 1 部分 : 安全 通用 要求草案第三 稿 进行行业内专家评审会 。 9) 2016 年 7 月,标准编制组根据新修订基本要求草案第六稿和第七 稿编制了信息安全技术 网络 安全等级保护测评要求 第 1 部分 : 安全 通用 要求草案第四 稿。 9) 2016
13、 年 7 月 -8 月 ,将 信息安全技术 网络 安全等级保护测评要求 第 1部分 :安全 通用 要求草案第四 稿 发送 11 家等级测评机构和 WG5 工作组成员单位征求意见 。 10) 2016 年 8 月 12 日,在北京瑞安宾馆第五会议室召开 WG5 工作组部分专5 家评审会,针对 信息安全技术 网络 安全等级保护测评要求 第 1 部分 :安全 通用 要求草案第四 稿 征求意见。 11) 2016 年 8 月 25 日,在北京瑞安宾馆第二会议室参加 WG5 工作组在研标准推进会,在会上征求所有 WG5 工作组成员单位意见。 12)根据专家意见已经修订完成,形成 信息安全技术 网络 安全
14、等级保护测评要求 第 1 部分 :安全 通用 要求草案第五 稿 。 13)根据测评机构反馈意见修订完成,形成 信息安全技术 网络 安全等级保护测评要求 第 1 部分 :安全 通用 要求草案第六 稿 。 14) 前正在 推进测评 要求 后续专 标准修订 工作。 3 标准编制的技术路线 安全等级保护测评(以下简称等级测评)的概念性描述框架由两部分构成:单项 测评和整体 测评,图 1 给出了等级测评框架。 图 1 等级测评描述框架 针对基本要求各安全要求项的测评称为单项测评,单项测评是等级测评工作的基本活动,支持测评结果的可重复性和可再现性。 单 项 测评是由 测评指标 、测评对 象、测评实施和 单
15、元 判定构成。 本部分的 测评指标包括信息 安全技术 网络安全等级保护基本要求 第 1 部分:安全通用要求 第四级目录下 的要求项 。 测评对象是指测评实施的对象,即测评过程中涉及到的制度文档、各类设备及其安全配置和相关人员等。对于框架来说,每一个被测安全要求项(不同级别)均有一组与之相关的预先定义的测评对象(如制度文档、各类设备设施及相关人1 ) 基本要求求项a ) b ) 2 ) 等级保护对象安全保护等级制度文档设备设施安全配置相关人员判定原则安全控制点测评 安全控制点间测评 层面间测评整体测评单项测评测评实施测评对象测评指标 单项判定测评规程访谈规程 ( 步骤 )检查规程 ( 步骤 )测
16、试规程 ( 步骤 )规程 ( 步骤 ) 说明测评方法访谈检查测试6 员等)。 制度文档是指针对等级保护对象所制定的相关联的文件(如:政策、程序、计划、系统安全需求、功能规格及建筑设计)。各类设备是指安装在等级保护对象之内或边界,能起 到特定保护作用的相关部件(如:硬件、软件、固件或物理设施)。相关人员或部门,是指应用上述制度、设备及安全配置的人。 测评 实施是一组 针对 特定测评对象 ,采用相关 测评方法 ,遵从一定的测评规程 所形成的,用于测评人员使用的 确定 该要求项有效性的程序化陈述 。测评实施主要 由测评方法和测评 规程 构成 。 其中 测评方法包括:访谈、检查和测试(说明见术语),测
17、评人员通过这些方法试图获取证据。上述的评估方法都由一组相关属性来规范测评方法的测评力度。这些属性是:广度(覆盖面)和深度。对于每一种测评方法都标识 (定义)了唯一属性,深度特性适用于访谈和检查,而覆盖面特性则适用于全部三种测评方法。上述三种测评方法(访谈、检查和测评)的测评结果都用以对安全控制的有效性进行评估。测评 规程 是各类测评方法操作使用的过程、步骤,测评规程实施完成后,可以获得相应的证据。 结果判定描述测评人员执行测评实施并产生各种测评输出数据后,如何依据这些测评输出数据来判定被测系统是否满足测评指标要求的原则和方法。通过测评实施所获得的所有证据都满足要求则为符合,不全满足要求则该单项
18、要求不符合。 整体 测评 是在单项测评基础上,分别从安全控制点测评, 安 全 控制点间和层面间三个角度分别进行测评。 4 标准总体框架 本标准共分为 11 章, 4 个附录,每章内容如下: 第 1、 2、 3 章 , 为标准的常规性描述,包括范围、规范性引用文件、术语和定义; 第 4 章 , 概要描述了 安全等级保护测评方法及单项测评和整体测评 组成; 第 5、 6、 7、 8 章 , 分别描述了第一、二、三、四级 测评要求,每级分别 遵从基本要求的框架 从安全技术和安全管理两大方面描述如何实施测评工作,其中技术方面分别从 物理和环境安全 、网络 和通信安全 、 设备和计算安全 、应用和数据安
19、全 四 个层面展开;而管理 方面 则 分别 从安全 策略和 管理制度、安全管理机构 和人员 、 安全 建设管理和 安全系统运维管理四 个方面展开,与基本要求7 形成了相互对照、和谐统一的标准体系。 第 9 章 ,略掉 第五级 的测评 要求。 第 10 章, 描述 了 系统整体测评 方法 。 在单项 测评的基础上,从系统整体的角度综合考虑如何进行系统性的测评。分别从安全 控制点、安全控制点间及 层面间 测评三 方面进行描述,分析了在进行系统测评时所需考虑的方向和指导思想。 第 11 章,概要说明了给出测评结论的方法,测评结论主要应该包括哪些方面的内容等。 附录 A,描述了各种测评方法的测评强度,
20、并具体描述 针对 不同等级 保护对象 的测评强度。 附录 B, 描述了测评指标编码规则及专用缩略语 。 附录 C,描述了设计 要求 测评验证内容。 附录 D,为基本要求的要求项和测评要求的测评单元索引表。 5 主要章节的编写方法 第 5、 6、 7、 8 章分别描述了第一级、第二级、第三级和第四级所有 测评 要求 的内容,在章节上分别对应国标 GB/T 22239.1-2XXX 的 第 5 章到第 8 章 。 在国标 GB/T 22239.1-20XX 第 5 章到第 8 章中,各章的二级目录都分为安全技术和安全管理两部分,三级目录从安全层面(如物理 和环境 安全、网络 和通信 安全、 设备和
21、计算安全等)进行划分和描述,四级目录按照安全控制点进行划分和描述(如设备和计算 安全层面下分为身份鉴别、访问控制、安全审计等),第五级目录是每一个安全控制点下面包括的具体安全要求项。具体编制案例如下。 案例 : 7 第三级测评要求 7.1 安全技术单项测评 7.1.1 物理和环境安全 7.1.1.1 物理位置的选择 7.1.1.1.1 测评单元( L3-PES1-01) a) 测评指标 机房场地应选择在具有防震、防风和防雨等能力的建筑内;(本条款引用自 GB/T 22239.1-20XX 7.1.1.1 a) b) 测评对象 8 记录类文档、机房。 c) 测评实施 1) 应核查所在建筑物是否具
22、有建筑物抗震设防审批文档; 2) 应核查机房是否不 存在雨水渗漏; 3) 应核查门窗是否不存在因风导致的尘土严重; 4) 应核查屋顶、墙体、门窗和地面等是否不存在破损开裂。 d) 单元判定 如果 1) -4)均为肯定,则等级保护对象符合本测评单元指标要求,否则,等级保护对象不符合或部分符合本测评单元指标要求。 7.1.1.1.2 测评单元( L3-PES1-02) a) 测评指标 机房场地应避免设在建筑物的顶层或地下室,否则应加强 防水和防潮措施。(本条款引用自 GB/T 22239.1-20XX 7.1.1.1 b) b) 测评对象 机房。 c) 测评实施 1) 应核查是否不位于所在建筑物的顶层或地下室,如果否,则核查是否采取了防水和防潮措施。 d) 单元判定 如果以上测评实施内容为肯定,则等级保护对象符合本测评单元指标要求,否则,等级保护对象不符合本测评单元指标要求。 信息安全技术 网络 系统安全等级保护 测评 要求 第 1 部分:安全通用 要求 编写组 2016 年 10 月
Copyright © 2018-2021 Wenke99.com All rights reserved
工信部备案号:浙ICP备20026746号-2
公安局备案号:浙公网安备33038302330469号
本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。