網(wǎng)絡(luò)安全等級保護相關(guān)標準修訂解讀

1、網(wǎng)絡(luò)安全等級保護相關(guān)標準修訂解讀智慧城市運營中心 周俊基礎(chǔ)/預(yù)備定級安全建設(shè)/整改測評整改重新定級計算機信息系統(tǒng)安全保護等級劃分準則信息系統(tǒng)安全等級保護實施指南 GB 17859-1999 GB/T 25058-2010信息系統(tǒng)安全保護等級定級指南 GB/T 22240-2008 GB/T 22239-2008 GB/T 25070-2010 GB/T 20271-2006 GB/T 20269-2006 信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)定級保護安全設(shè)計技術(shù)要求信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)安全管理要求 GB/T 28448-2012 GB/T 28449-2012信息系統(tǒng)安全等級保護測

2、評要求信息系統(tǒng)安全等級保護測評過程指南原等級保護標準體系現(xiàn)等級保護標準體系GB 17859 計算機信息系統(tǒng)安全保護等級劃分準則GB/T 25058網(wǎng)絡(luò)安全等級保護實施指南GB/T 22240網(wǎng)絡(luò)安全等級保護定級指南GB/T 22239網(wǎng)絡(luò)安全等級保護基本要求GB/T 25070網(wǎng)絡(luò)安全等級保護安全技術(shù)設(shè)計要求網(wǎng)絡(luò)安全等級保護安全管理中心技術(shù)要求GB/T 28448網(wǎng)絡(luò)安全等級保護測評要求GB/T 28449信息系統(tǒng)安全等級保護測評過程指南網(wǎng)絡(luò)安全等級保護測試評估技術(shù)指南（修訂）（修訂）（修訂）（修訂）（新立）（修訂）（新立） 2014年，為了適應(yīng)新技術(shù)新應(yīng)用情況下的等級保護工作開展，決定對原標

3、準進行擴展，形成5個分冊，以基本要求為例，分為：網(wǎng)絡(luò)安全等級保護基本要求 第1部分：安全通用要求第2部分：云計算安全擴展要求第3部分：移動互聯(lián)安全擴展要求第4部分：物聯(lián)網(wǎng)安全擴展要求第5部分： 工業(yè)控制系統(tǒng)安全擴展要求 測評要求和設(shè)計要求也進行了相應(yīng)的擴展，形成了15個標準小組，各小組經(jīng)過草案、征求意見階段，在2017年5月形成了標準送審稿。標準修訂歷程2013年，全國信息安全標準化技術(shù)委員會秘書處下達了對原國家標準信息系統(tǒng)安全等級保護基本要求、信息系統(tǒng)安全等級保護測評要求、信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求的修訂工作。2017年8月，網(wǎng)信辦、公安部和信安標委達成一致意見，將基本要求、測評要求、

4、設(shè)計要求三個標準體系的5個分冊標準進行了合并，形成網(wǎng)絡(luò)安全等級保護基本要求、網(wǎng)絡(luò)安全等級保護測評要求、網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求三個單一標準，形成最新版送審稿。網(wǎng)絡(luò)安全等級保護基本要求主要修訂的內(nèi)容p 原來：信息系統(tǒng)安全等級保護基本要求p 改為：網(wǎng)絡(luò)安全等級保護基本要求p 為適應(yīng)中華人民共和國網(wǎng)絡(luò)安全法，配合落實“網(wǎng)絡(luò)安全等級保護制度”，變更等級保護相關(guān)標準的名稱。1.標準名稱的變化2.等級保護對象的變化p 原來：信息安全等級保護工作直接作用的具體信息和信息系統(tǒng)p 改為：由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的系統(tǒng)，主要包括基礎(chǔ)

5、信息網(wǎng)絡(luò)、信息系統(tǒng)、云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)等。p 根據(jù)網(wǎng)絡(luò)安全法，擴展等級保護對象，并解決移動互聯(lián)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應(yīng)用領(lǐng)域的等級保護工作。3.安全要求的變化p 原來：安全要求p 改為：安全通用要求和安全擴展要求p 安全通用要求是不管等級保護對象形態(tài)如何必須滿足的要求，針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出了特殊要求，稱為安全擴展要求。4.章節(jié)結(jié)構(gòu)的變化（以第三級要求為例）p 8 第三級安全要求p 8.1安全通用要求p 8.1.1 物理和環(huán)境安全p p 8.1.8 安全運維管理p 8.2 云計算安全擴展要求p 8.2.1 物理和環(huán)境

6、安全p 8.2.2 網(wǎng)絡(luò)和通信安全p p 8.3 移動互聯(lián)安全擴展要求p 8.4 物聯(lián)網(wǎng)安全擴展要求p 8.5 工業(yè)控制系統(tǒng)安全擴展要求p 7 第三級基本要求p 7.1 技術(shù)要求p 7.1.1物理安全p 7.1.2網(wǎng)絡(luò)安全p p 7.2 管理要求p 7.2.1 安全管理制度p 7.2.2 安全管理機構(gòu)p 5.控制措施分類結(jié)構(gòu)的變化p 技術(shù)要求 原來：物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全 改為：物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全p 管理要求 原來：安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理 改為：安全策略和管理制度、安全管理機構(gòu)與

7、人員、安全建設(shè)管理、安全運維管理6.通用要求控制點的變化物理和環(huán)境安全序號原分類原有控制點新的分類新的控制點1物理安全物理位置的選擇物理和環(huán)境安全物理位置的選擇2物理訪問控制物理訪問控制3防盜竊和防破壞防盜竊和防破壞4防雷擊防雷擊5防火防火6防水和防潮防水和防潮7防靜電防靜電8溫濕度控制溫濕度控制9電力供應(yīng)電力供應(yīng)10電磁防護電磁防護6.通用要求控制點的變化網(wǎng)絡(luò)和通信安全序號原分類原有控制點新的分類新的控制點1網(wǎng)絡(luò)安全結(jié)構(gòu)安全網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)架構(gòu)2訪問控制通信傳輸3安全審計邊界防護4邊界完整性檢查訪問控制5入侵防范入侵防范6惡意代碼防范惡意代碼防范7網(wǎng)絡(luò)設(shè)備防護安全審計8集中管控6.通用要求

8、控制點的變化設(shè)備和計算安全序號原分類原有控制點新的分類新的控制點1主機安全身份鑒別設(shè)備和計算安全身份鑒別2安全標記訪問控制3訪問控制安全審計4可信路徑入侵防范5安全審計惡意代碼防范6剩余信息保護資源控制7入侵防范8惡意代碼防范9資源控制6.通用要求控制點的變化應(yīng)用和數(shù)據(jù)安全序號原分類原有控制點新的分類新的控制點1應(yīng)用安全身份鑒別應(yīng)用和數(shù)據(jù)安全身份鑒別2安全標記訪問控制3訪問控制安全審計4可信路徑軟件容錯5安全審計資源控制6剩余信息保護數(shù)據(jù)完整性7通信完整性數(shù)據(jù)保密性8通信保密性數(shù)據(jù)備份恢復(fù)9抗抵賴剩余信息保護10軟件容錯個人信息保護11資源控制1數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性2數(shù)據(jù)保密性3備份和

9、恢復(fù)6.通用要求控制點的變化安全管理策略和管理制度序號原分類原有控制點新的分類新的控制點1安全管理制度管理制度安全策略和管理制度安全策略2制定和發(fā)布管理制度3評審和修訂制定和發(fā)布4評審和修訂6.通用要求控制點的變化安全管理機構(gòu)和人員序號原分類原有控制點新的分類新的控制點1安全管理機構(gòu)崗位設(shè)置安全管理機構(gòu)和人員崗位設(shè)置2人員配備人員配備3授權(quán)和審批授權(quán)和審批4溝通和合作溝通和合作5審核和檢查審核和檢查1人員安全管理人員錄用人員錄用2人員離崗人員離崗3人員考核安全意識教育和培訓(xùn)4安全意識教育和培訓(xùn)外部人員訪問管理5外部人員訪問管理6.通用要求控制點的變化安全建設(shè)管理序號原分類原有控制點新的分類新的

10、控制點1系統(tǒng)建設(shè)管理系統(tǒng)定級安全建設(shè)管理定級和備案2安全方案設(shè)計安全方案設(shè)計3產(chǎn)品采購和使用產(chǎn)品采購和使用4自行軟件開發(fā)自行軟件開發(fā)5外包軟件開發(fā)外包軟件開發(fā)6工程實施工程實施7測試驗收測試驗收8系統(tǒng)交付系統(tǒng)交付9系統(tǒng)備案等級測評10等級測評服務(wù)供應(yīng)商選擇11安全服務(wù)商選擇6.通用要求控制點的變化安全運維管理序號原分類原有控制點新的分類新的控制點1系統(tǒng)運維管理環(huán)境管理安全運維管理環(huán)境管理2資產(chǎn)管理資產(chǎn)管理3介質(zhì)管理介質(zhì)管理4設(shè)備管理設(shè)備維護管理5監(jiān)控管理和安全管理中心漏洞和風(fēng)險管理6網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)和系統(tǒng)管理7系統(tǒng)安全管理惡意代碼防范管理8惡意代碼防范管理配置管理9密碼管理密碼管理10變更管理

11、變更管理11備份與恢復(fù)管理備份與恢復(fù)管理12安全事件處置安全事件處置13應(yīng)急預(yù)案管理應(yīng)急預(yù)案管理14外包運維管理6.通用要求標準控制點的變化安全要求類層面一級二級三級四級技術(shù)要求物理和環(huán)境安全7101010網(wǎng)絡(luò)和通信安全4688設(shè)備和計算安全4666應(yīng)用和數(shù)據(jù)安全591010管理要求安全策略和管理制度1444安全管理機構(gòu)和人員7999安全建設(shè)管理7101010安全運維管理8141414合計（新標準）43687171合計（舊標準）486673777.增加云計算安全擴展要求p 云計算安全擴展要求章節(jié)針對云計算的特點提出特殊保護要求。由第2分冊（之前的云計算安全擴展要求分冊）合并為基本要求的X.2章

12、節(jié)，合并后精煉保留針對云計算特點的特殊保護要求，增加包括“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務(wù)商選擇”和“云計算環(huán)境管理”等方面。8.增加了移動互聯(lián)安全擴展要求p 移動互聯(lián)安全擴展要求章節(jié)針對移動互聯(lián)的特點提出特殊保護要求。由第3分冊（之前的移動互聯(lián)網(wǎng)安全擴展要求分冊）合并為基本要求的X.3章節(jié)，合并后精煉保留針對移動互聯(lián)網(wǎng)特點的特殊保護要求，增加包括“無線接入點的物理位置”、“移動終端管控”、“移動應(yīng)用管控”、“移動應(yīng)用軟件采購”和“移動應(yīng)用軟件開發(fā)”等方面。9.增加了物聯(lián)網(wǎng)安全擴展要求p 物聯(lián)網(wǎng)安全擴展要求章節(jié)針對物聯(lián)網(wǎng)的特點提出特殊保護要求。由第4分冊（之前

13、的物聯(lián)網(wǎng)安全擴展要求分冊）合并為基本要求的X.4章節(jié)，合并后精煉保留針對物聯(lián)網(wǎng)的感知網(wǎng)部分特殊保護要求，增加包括“感知節(jié)點的物理防護”、“感知節(jié)點設(shè)備安全”、“網(wǎng)關(guān)節(jié)點設(shè)備安全”、“感知節(jié)點的管理”和“數(shù)據(jù)融合處理”等方面。10.增加了工業(yè)控制系統(tǒng)安全擴展要求p 工業(yè)控制系統(tǒng)安全擴展要求章節(jié)針對工業(yè)控制系統(tǒng)的特點提出特殊保護要求。對工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括“室外控制設(shè)備防護”、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”、“撥號使用控制”、“無線使用控制”和“控制設(shè)備安全”等方面，針對工業(yè)控制系統(tǒng)實時性要求高的特點調(diào)整了“漏洞和風(fēng)險管理”和“惡意代碼防范管理”方面的要求。安全要求類層面一級二級三級四級技

14、術(shù)要求物理和環(huán)境安全7152223網(wǎng)絡(luò)和通信安全7153333設(shè)備和計算安全7172626應(yīng)用和數(shù)據(jù)安全8223437管理要求安全策略和管理制度1677安全管理機構(gòu)和人員7162629安全建設(shè)管理9233435安全運維管理13314951合計（新標準）59145231241合計（舊標準）8517529031811.標準控制項的變化通用要求11.標準控制項的變化擴展要求安全要求項一級二級三級四級安全通用要求（X.1）59145231241云計算安全擴展要求（X.2）12376061移動互聯(lián)安全擴展要求（X.3）5192324物聯(lián)網(wǎng)安全擴展要求（X.4）792324工業(yè)控制系統(tǒng)安全擴展要求（X.5

15、）1018262712.取消了安全控制點的標注p 適應(yīng)定級方法的變化，取消了原來安全控制點的S、A、G標注，調(diào)整原來的附錄B“安全要求的選擇和使用“，描述等級保護對象的定級結(jié)果和安全要求之間的關(guān)系，增加安全控制措施選擇時，控制點的標注及使用說明。13.增加了應(yīng)用場景的說明p 增加附錄C 描述等級保護安全框架和關(guān)鍵技術(shù) ，增加附錄D描述云計算應(yīng)用場景，附錄E描述移動互聯(lián)應(yīng)用場景，附錄F描述物聯(lián)網(wǎng)應(yīng)用場景，附錄G描述工業(yè)控制系統(tǒng)應(yīng)用場景。等級保護安全框架圖D.1云計算服務(wù)模式與控制范圍的關(guān)系13.增加了應(yīng)用場景的說明層面安全要求安全組件責(zé)任主體物理和環(huán)境安全物理位置選擇數(shù)據(jù)中心及物理設(shè)施云服務(wù)商網(wǎng)

16、絡(luò)和通信安全網(wǎng)絡(luò)結(jié)構(gòu)、訪問控制、入侵防范、安全審計物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺云服務(wù)商云服務(wù)客戶虛擬網(wǎng)絡(luò)安全域云服務(wù)客戶設(shè)備和計算安全身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制、鏡像和快照保護物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺、物理宿主機及附屬設(shè)備、虛擬機管理平臺、鏡像等云服務(wù)商云服務(wù)客戶虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備、虛擬機等云服務(wù)客戶應(yīng)用和數(shù)據(jù)安全安全審計、資源控制、接口安全、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)云管理平臺（含運維和運營）、鏡像、快照等云服務(wù)商云服務(wù)客戶應(yīng)用系統(tǒng)及相關(guān)軟件組件、云服務(wù)客戶應(yīng)用系統(tǒng)配置、云服務(wù)客戶業(yè)務(wù)相關(guān)數(shù)據(jù)等云服務(wù)客戶安全管理機構(gòu)和

17、人員授權(quán)和審批授權(quán)和審批流程、文檔等云服務(wù)商安全建設(shè)管理安全方案設(shè)計、測試驗收、云服務(wù)商選擇、供應(yīng)鏈管理云計算平臺接口、安全措施、供應(yīng)鏈管理流程、安全事件和重要變更信息云服務(wù)商云服務(wù)商選擇及管理流程云服務(wù)客戶安全運維管理監(jiān)控和審計管理監(jiān)控和審計管理的相關(guān)流程、策略和數(shù)據(jù)云服務(wù)商、云服務(wù)客戶IaaS模式下云服務(wù)商與租戶的責(zé)任劃分層面安全要求安全組件責(zé)任主體物理和環(huán)境安全物理位置選擇數(shù)據(jù)中心及物理設(shè)施云服務(wù)商網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)結(jié)構(gòu)、訪問控制、遠程訪問、入侵防范、安全審計物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺、虛擬網(wǎng)絡(luò)安全域云服務(wù)商設(shè)備和計算安全身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資

18、源控制、鏡像和快照保護物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺、物理宿主機及附屬設(shè)備、虛擬機管理平臺、鏡像、虛擬機、虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備等云服務(wù)商應(yīng)用和數(shù)據(jù)安全安全審計、資源控制、接口安全、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)云管理平臺（含運維和運營）、鏡像、快照等云服務(wù)商云服務(wù)客戶應(yīng)用系統(tǒng)及相關(guān)軟件組件、云服務(wù)客戶應(yīng)用系統(tǒng)配置、云服務(wù)客戶業(yè)務(wù)相關(guān)數(shù)據(jù)等云 服 務(wù) 客戶安全管理機構(gòu)和人員授權(quán)和審批授權(quán)和審批流程、文檔等云服務(wù)商安全建設(shè)管理安全方案設(shè)計、測試驗收、云服務(wù)商選擇、供應(yīng)鏈管理云計算平臺接口、安全措施、供應(yīng)鏈管理流程、安全事件和重要變更信息云服務(wù)商云服務(wù)商選擇及管理流程云 服 務(wù) 客

19、戶安全運維管理監(jiān)控和審計管理監(jiān)控和審計管理的相關(guān)流程、策略和數(shù)據(jù)云服務(wù)商PaaS模式下云服務(wù)商與租戶的責(zé)任劃分SaaS模式下云服務(wù)商與租戶的責(zé)任劃分層面安全要求安全組件責(zé)任主體物理和環(huán)境安全物理位置選擇數(shù)據(jù)中心及物理設(shè)施云服務(wù)商網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)結(jié)構(gòu)、訪問控制、遠程訪問、入侵防范、安全審計物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺、虛擬網(wǎng)絡(luò)安全域云服務(wù)商設(shè)備和計算安全身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制、鏡像和快照保護物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺、物理宿主機及附屬設(shè)備、虛擬機管理平臺、鏡像、虛擬機、虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備等云服務(wù)商應(yīng)用和數(shù)據(jù)安全安全審計、資源控制

20、、接口安全、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)云管理平臺（含運維和運營）、鏡像、快照等、應(yīng)用系統(tǒng)及相關(guān)軟件組件云服務(wù)商云服務(wù)客戶應(yīng)用系統(tǒng)配置、云服務(wù)客戶業(yè)務(wù)相關(guān)數(shù)據(jù)等云服務(wù)客戶安全管理機構(gòu)和人員授權(quán)和審批授權(quán)和審批流程、文檔等云服務(wù)商安全建設(shè)管理安全方案設(shè)計、測試驗收、云服務(wù)商選擇、供應(yīng)鏈管理云計算平臺接口、安全措施、供應(yīng)鏈管理流程、安全事件和重要變更信息云服務(wù)商云服務(wù)商選擇及管理流程云服務(wù)客戶安全運維管理監(jiān)控和審計管理監(jiān)控和審計管理的相關(guān)流程、策略和數(shù)據(jù)云服務(wù)商圖E.1移動互聯(lián)應(yīng)用架構(gòu)圖F.1物聯(lián)網(wǎng)系統(tǒng)構(gòu)成13.增加了應(yīng)用場景的說明網(wǎng)絡(luò)安全等級保護測評要求主要修訂的內(nèi)容主要修訂內(nèi)容1. 名

21、稱的變化及等級保護測評對象的變化。（與基本要求一致）2. 每級分別遵從基本要求的框架描述如何實施測評工作，每個級別包括安全測評通用要求、云計算安全測評擴展要求、移動互聯(lián)安全測評擴展要求、物聯(lián)網(wǎng)安全測評擴展要求和工業(yè)控制系統(tǒng)安全測評擴展要求等5個部分內(nèi)容。測評項與基本要求一致。3. 為了更加易于使用測評要求，增加附錄B 測評單元編號說明和附錄D 基本要求和測評要求對應(yīng)表。等級測評描述框架 等級測評分為單項測評和整體測評。 單項測評是針對各安全要求項的測評，支持測評結(jié)果的可重復(fù)性和可再現(xiàn)性。本標準中單項測評由測評指標、測評對象、測評實施和單元判定結(jié)果構(gòu)成。 整體測評是在單項測評基礎(chǔ)上，對等級保護對

22、象整體安全保護能力的判斷。整體安全保護能力從縱深防護和措施互補二個角度評判。測評流程方法的變化在級差上的變化1. 測試方法：第一級主要以訪談位置，第二級核查為主，第三級和第四級在核查的基礎(chǔ)上進行測試驗證。2. 測評對象范圍：第一級和第二級為關(guān)鍵設(shè)備，第三級主要設(shè)備，第四級所有設(shè)備3. 測評實施：第一級和第二級以核查安全機制為主，第三級和第四級先核查安全機制，再檢查策略有效性。4. 測評方法使用：安全技術(shù)方面的測評方法以配置核查和測試驗證為主，幾乎沒有訪談。安全管理方面可以使用訪談方式進行測評網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求主要修訂的內(nèi)容1. 名稱的變化及等級化保護對象的變化。（與基本要求一致）

23、2. 沿用“一個中心三重防護“的防護理念，在通用的等級保護安全設(shè)計框架下，針對云計算、移動互聯(lián)、物理網(wǎng)、工業(yè)控制系統(tǒng)提出了新的安全設(shè)計框架。3. 在每一級的“安全計算環(huán)境設(shè)計技術(shù)要求“、”安全區(qū)域邊界技術(shù)設(shè)計技術(shù)要求”、“安全通信網(wǎng)絡(luò)設(shè)計技術(shù)要求”中，除了通用設(shè)計外，增加了針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)的設(shè)計要求。主要修訂內(nèi)容網(wǎng)絡(luò)安全等級保護安全技術(shù)設(shè)計框架云計算安全防護技術(shù)框架移動互聯(lián)系統(tǒng)安全防護技術(shù)框架物聯(lián)網(wǎng)安全防護技術(shù)框架工業(yè)控制系統(tǒng)安全防護技術(shù)框架現(xiàn)等級保護標準體系GB 17859 計算機信息系統(tǒng)安全保護等級劃分準則GB/T 25058網(wǎng)絡(luò)安全等級保護實施指南GB/T 22

24、240網(wǎng)絡(luò)安全等級保護定級指南GB/T 22239網(wǎng)絡(luò)安全等級保護基本要求GB/T 25070網(wǎng)絡(luò)安全等級保護安全技術(shù)設(shè)計要求網(wǎng)絡(luò)安全等級保護安全管理中心技術(shù)要求GB/T 28448網(wǎng)絡(luò)安全等級保護測評要求GB/T 28449信息系統(tǒng)安全等級保護測評過程指南網(wǎng)絡(luò)安全等級保護測試評估技術(shù)指南（修訂）（修訂）（修訂）（修訂）（新立）（修訂）（新立）網(wǎng)絡(luò)安全等級保護定級指南主要修訂的內(nèi)容（草案階段）p 原來：信息安全等級保護工作直接作用的具體信息和信息系統(tǒng)p 改為：網(wǎng)絡(luò)安全等級保護的作用對象，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)系統(tǒng)以及其他網(wǎng)絡(luò)系

25、統(tǒng)。（目前文字描述上與基本要求不一致，但意思相同，后期應(yīng)該會統(tǒng)一）p 根據(jù)網(wǎng)絡(luò)安全法，擴展等級保護對象，并解決移動互聯(lián)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應(yīng)用領(lǐng)域的等級保護工作。1.等級保護對象的修訂2.新增相關(guān)標準術(shù)語p 基礎(chǔ)信息網(wǎng)絡(luò)：為信息流通、網(wǎng)絡(luò)系統(tǒng)運行等起基礎(chǔ)支撐作用的信息網(wǎng)絡(luò)，包括電信網(wǎng)、廣播電視傳輸網(wǎng)、互聯(lián)網(wǎng)、業(yè)務(wù)專網(wǎng)等網(wǎng)絡(luò)設(shè)備設(shè)施。p 關(guān)鍵信息基礎(chǔ)設(shè)施：公共通信和信息服務(wù)、能源、金融、交通、水利、公共服務(wù)和電子政務(wù)等重要行業(yè)和領(lǐng)域以及其他一旦遭到破壞、喪失功能或數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生和公共利益的網(wǎng)絡(luò)系統(tǒng)。p 大數(shù)據(jù)平臺：采用分布式存儲和計算技術(shù)，提供大數(shù)據(jù)的訪問、處理和存儲，支撐大數(shù)據(jù)應(yīng)用安全高效運行的軟硬件集合。3.第三級定義的修訂p 原來：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損壞，或者對國家安全造成損害。p 改為：等級保護對象受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第三級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級定級要素與安全保護等