《网络安全等级保护测评要求》解读

《网络安全等级保护测评要求》解读

06-23

编者按:目前全国注册信息安全等级测评师已达5000余人,每年参与近万个信息系统的安全测评工作,测评师队伍已经成为国家网络安全保障工作的一支重要力量。测评师和测评机构开展工作所依据的重要标准就是本期的《网络安全等级保护测评要求第1部分:安全通用要求》,下面就由第一编制人陈广勇主任为大家作标准解读。后续针对测评师的标准专题培训也将于下一阶段展开,敬请关注。

为什么要修订《网络安全等级保护测评要求》

国家标准GB/T 284482012《信息安全技术 信息系统安全等级保护测评要求》在我国网络安全等级保护工作开展过程中发挥了重要的指导作用,被广泛应用于等级保护测评机构、各个行业和领域开展网络安全等级保护的等级测评和安全自查等相关工作。GB/T 284482012年发布以来,随着信息技术的发展,在标准应用过程中特别是云计算、移动互联、物联网、工业控制和大数据等新技术、新应用环境下也遇到了一些新的问题,GB/T 284482012在适用性、时效性、易用性、可操作性上需要进一步完善。此外,作为测评指标进行引用的GB/T 222392008也启动了修订工作。为适应我国网络安全等级保护工作发展的需要,进一步与新版的GB/T 22239相协调,有必要对GB/T 284482012进行修订。

GB/T 28448《信息安全技术 网络安全等级保护测评要求》(以下简称“测评要求”)将按照应用的领域划分成安全通用要求和具体领域的安全扩展测评要求。目前计划发布以下部分:

——第1部分:安全通用要求;

——第2部分:云计算安全扩展要求;

——第3部分:移动互联安全扩展要求;

——第4部分:物联网安全扩展要求;

——第5部分:工业控制系统安全扩展要求;

——第6部分:大数据安全扩展要求。

《测评要求第1部分:安全通用要求》主要修订内容

根据全国信息安全标准化技术委员会201310月下达的国家标准制修订计划,公安部第三研究所(公安部信息安全等级保护评估中心)牵头组织了对GB/T 28448-2012的修订工作。

在前期先对GB/T 22239进行修订的同时,研究确定了《测评要求》修订技术思路。待GB/T22239形成草案后,同步开始修订《测评要求》。修订经历了调查研究、草案形成、征求意见稿、送审稿等过程,也收到了许多专家、各行业用户及七大部委的许多宝贵意见。为便于大家更好地理解和使用新标准体系,提前向大家介绍以下对原国家标准GB/T 28448-2012修订的一些主要内容。

 1  等级测评技术框架的变化

等级测评技术框架由原标准的单元测评和整体测评调整为单项测评和整体测评。

单项测评是针对各安全要求项的测评,支持测评结果的可重复性和可再现性。本标准中单项测评由测评指标、测评对象、测评实施和单元判定构成。修订后的单项测评中测评指标更加细化,由原标准中的安全控制点调整为安全控制点下的具体安全要求项,更有助于测评实施的开展。

整体测评是在单项测评基础上,对等级保护对象整体安全保护能力的判断。整体测评内容由原标准的安全控制点间、层面间和区域间测评等方面调整为现标准的安全控制点测评、安全控制点间测评和层面间测评。

另外,为了更好使机构测评人员明确测评工作的作用对象,在测评单元中增加测评对象。测评对象是指等级测评过程中不同测评方法作用的对象,主要涉及相关配套制度文档、设备设施及人员等。

 2 标准内容的变化

测评要求沿用正在修订中的《网络安全等级保护定级指南》GB/T 22240提出的“等级保护对象”概念,并给出针对等级保护对象的安全等级保护测评的定义。

依据GB/T 22239.1标准文本架构,测评要求描述了如何从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理等八个层面进行测评实施工作。

为了更加易于使用测评要求,增加《附录B 测评单元编号说明》和《附录D 基本要求和测评要求对应表》。

附录B给出了测评单元编码规则和专用缩略语,测评单元编号为三组数据,格式为XX-XXXX-XX,各组含义和编码规则如下:

11组由两位组成,第1位为字母L,第2位为数字,其中数字1为第一级,2为第二级,3为第三级,4为第四级,5为第五级。

22组由4位组成,前3位为字母,第4位为数字。字母代表层面:PES为物理和环境安全, NCS为网络和通信安全,ECS为设备和计算安全,ADS为应用和数据安全,PSS为安全策略和管理制度,ORS为安全管理机构和人员,CMS为安全建设管理,MMS为安全运维管理。数字代表标准分册:1为第一分册,2为第二分册,3为第三分册,4为第四分册,5为第五分册,6为第六分册。

33组由2位数字组成,按层面对基本要求中的要求项进行顺序编号。

示例:测评单元编号为L1-PES1-01,代表源自基本要求第1部分的第一级物理和环境安全类的第1个指标。

为了方便机构测评人员进行现场等级测评工作,增加附录D基本要求的要求项和测评要求的单元测评对应表,便于机构测评人员检索和索引。

 3 测评要求在级差上的变化

不同等级的测评工作主要通过以下四个方面来体现测评要求的级差:

1不同级别使用不同测评方法:第一级主要以访谈为主进行等级测评,第二级以核查为主进行等级测评,第三级和第四级在核查基础上还要进行测试验证工作。不同级别使用不同测评方法,能体现出测评实施过程中访谈、核查和测试的测评强度的不同。

2不同级别测评对象范围不同:第一级和第二级测评对象的范围为关键设备,第三级为主要设备,第四级为所有设备。不同级别测评对象范围不同,能体现出测评实施过程中访谈、核查和测试的测评广度的不同。

3不同级别现场测评实施工作不同:第一级和二级以核查安全机制为主,第三级和第四级先核查安全机制,再核查安全策略有效性。

4现场测评方法使用不同:在实际现场测评实施过程中,安全技术方面的测评方法以配置核查和测试验证为主,几乎没有访谈。安全管理方面可以使用访谈方式进行测评。

 4 与设计要求进行融合

为了更好落实等级保护制度,推动等级保护技术标准的发展,新修订的测评要求增加了《附录C设计要求测评验证表》。根据设计要求提出的“一个中心,三重防护”的安全保护思想,从安全管理中心、安全计算环境、安全区域边界和安全通信网络四个方面,测评要求能够全面验证新修订的《设计要求》。

 5 测评要求使用方法

测评要求系列标准中“安全通用要求”是等级保护对象通用测评标准,无论等级保护对象使用何种技术,必须首先使用“安全通用要求”对等级保护对象进行测评,结合等级保护对象技术架构,再结合使用测评要求其他部分进行测评。例如:某单位的等级保护对象采用了云计算技术和移动互联接入技术,在进行等级测评时候,首先使用GB/T 28448.1,再结合使用GB/T 28448.2GB/T 28448.3,对同时采用了云计算技术和移动互联技术的等级保护对象进行测评,以验证等级保护对象是否落实云计算安全扩展要求和移动互联安全扩展要求提出的安全控制措施。

综上,测评要求系列标准力图对现场安全测评使用的作业指导书进行“无限接近的标准化”工作。无论等级保护对象是网络基础设施和传统信息系统,还是采用了云计算、移动互联、物联网、工业控制系统和大数据等技术的特殊等级保护对象,测评要求系列标准能够规范全国等级测评机构测评人员的现场测评行为,接近客观给出测评结果,使等级测评工作更加规范化和标准化。


电话咨询
认证服务
在线留言
QQ客服