網(wǎng)絡(luò)安全等級保護之基本要求

靜靜的看一看 2019-05-29

展開全文

國家標(biāo)準(zhǔn) GB/T22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》在開展網(wǎng)絡(luò)安全等級保護工作的過程中將起到非常重要的作用，廣泛應(yīng)用于各行業(yè)和領(lǐng)域開展網(wǎng)絡(luò)安全等級保護的建設(shè)整改和等級測評等工作。

國家出臺網(wǎng)絡(luò)安全基本要求，是在傳統(tǒng)信息系統(tǒng)安全等級保護基本要求基礎(chǔ)上，針對移動互聯(lián)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應(yīng)用領(lǐng)域，加入了擴展的安全要求。

一、體系架構(gòu)

各等級的基本安全要求分為技術(shù)要求和管理要求兩大類。技術(shù)類安全要求與提供的技術(shù)安全機制有關(guān)，主要通過部署軟硬件并正確的配置其安全功能來實現(xiàn)，包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全四個層面的基本安全技術(shù)措施；管理類安全要求與各種角色參與的活動有關(guān)，主要通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)，包括安全策略和管理制度、安全管理機構(gòu)和人員、安全建設(shè)管理、安全運維管理四方面的基本安全管理措施來實現(xiàn)和保證。

基本要求標(biāo)準(zhǔn)成為由多個部分組成的系列標(biāo)準(zhǔn)，采取目前“1 X”的體系框架，框架如圖1所示，主要包括6部分：安全通用要求和5個安全擴展要求。

圖1 等級保護基本要求1 X體系框架

GB/T22239.1 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求第1部分安全通用要求。

GB/T22239.2 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求第2部分云計算安全擴展要求。

GB/T22239.3 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求第3部分移動互聯(lián)安全擴展要求。

GB/T22239.4 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求第4部分物聯(lián)網(wǎng)安全擴展要求。

GB/T22239.5 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求第5部分工業(yè)控制安全擴展要求。

GB/T22239.6 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求第6部分大數(shù)據(jù)安全擴展要求。

在“1 X”的體系框架下，X隨著新技術(shù)的加入，可繼續(xù)進行加入新技術(shù)標(biāo)準(zhǔn)?！痘疽蟆吩谡w框架結(jié)構(gòu)上以三種分類為支撐點，自上而下分別為：類、控制點和項。

類：表示《基本要求》在整體上大的分類，其中技術(shù)部分分為物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全4類，管理部分分為安全策略和管理制度、安全管理機構(gòu)和人員、安全建設(shè)管理、安全運維管理4類。

控制點：表示每個大類下的關(guān)鍵控制點，如物理和環(huán)境安全大類中的“物理訪問控制”作為一個控制點。

項：控制點下的具體要求項，如“機房出入應(yīng)安排專人負責(zé)，控制、鑒別和記錄進入的人員?！?/p>

二、等級保護指標(biāo)數(shù)量

1、通用安全要求技術(shù)指標(biāo)

網(wǎng)絡(luò)安全等級保護技術(shù)通用要求中控制點分布如表1所示。從安全測評角度出發(fā)，滿足1～4級各測評達標(biāo)指標(biāo)項分布如表2所示。