網絡安全等級保護及其相關標準介紹

張旭剛 謝宗曉（中國金融認證中心）

1 從“信息安全等級保護”到“網絡安全等級保護”

2017年6月1日，《中華人民共和國網絡安全法》正式實施。其中第二十一條明確規定，“國家實行網絡安全等級保護制度”，進一步明確了網絡安全等級保護制度的法律地位。為了與《中華人民共和國網絡安全法》中的相關法律條文保持一致，等級保護從原來的“信息安全等級保護”變更為“網絡安全等級保護”1）注意，此處的網絡安全（cyber security）不是傳統意義上的網絡安全（network security），關于該詞匯的詳細論述，請參考文獻[1][2]。，標志著實施了10年之久的信息安全等級保護制度（等級保護1.0）跨入了網絡安全等級保護制度（等級保護2.0）的新階段。

表1 等級保護1.0與等級保護2.0的比較

續表

2019年5月13日，國家標準新聞發布會在市場監管總局馬甸辦公區新聞發布廳召開，網絡安全等級保護制度2.0標準（GB/T 22239—2019《信息安全技術 網絡安全等級保護基本要求》、GB/T 25070—2019《信息安全技術 網絡安全等級保護安全設計技術要求》、GB/T 28448—2019《信息安全技術網絡安全等級保護測評要求》正式發布，將于2019年12月1日開始實施。

2 網絡安全等級保護制度的標準介紹

截至2019年7月，網絡安全等級保護標準已發布7項，其中4項為現行標準，3項即將實施；此外，還有2項標準處于修訂階段3）檢索時間為2019年7月6日。，具體情況如下。

（1）GB/T 22239—2019《信息安全技術 網絡安全等級保護基本要求》

該標準代替GB/T 22239—2008《信息安全技術信息系統安全等級保護基本要求》，于2019年5月10日發布，2019年12月1日實施，同GB/T 22239—2008相比，主要變化如下：1）標準名稱變更；2）調整分類為安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理；3）調整各個級別的安全要求為安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求和工業控制系統安全擴展要求；4）取消了原來安全控制點的S、A、G標注，增加一個附錄A 描述等級保護對象的定級結果和安全要求之間的關系，說明如何根據定級結果選擇安全要求；5）調整了原來附錄A 和附錄B的順序，增加了附錄C描述網絡安全等級保護總體框架，并提出關鍵技術使用要求。

（2）GB/T 22240《信息安全技術 網絡安全等級保護定級指南》（正在修訂）

該標準目前正在修訂。目前網絡安全等級保護的定級方法和定級流程依據中華人民共和國公共安全行業標準GA/T 1389—2017 《信息安全技術 網絡安全等級保護定級指南》，該標準于2017年5月8日發布，2017年5月8日實施。

（3）GB/T 25058《信息安全技術 網絡安全等級保護實施指南》（正在修訂）

該標準目前正在修訂。

（4）GB/T 25070—2019《信息安全技術 網絡安全等級保護安全設計技術要求》

該標準代替GB/T 25070—2010《信息安全技術 信息系統等級保護安全設計技術要求》，于2019年5月10日發布，2019年12月1日實施，同GB/T 25070—2010相比，主要變化如下：1）標準名稱變更；2）各個級別的安全計算環境設計技術要求調整為通用安全計算環境設計技術要求、云安全計算環境設計技術要求、移動互聯安全計算環境設計技術要求、物聯網系統安全計算環境設計技術要求和工業控制系統安全計算環境設計技術要求；3）各個級別的安全區域邊界設計技術要求調整為通用安全區域邊界設計技術要求、云安全區域邊界設計技術要求、移動互聯安全區域邊界設計技術要求、物聯網系統安全區域邊界設計技術要求和工業控制系統安全區域邊界設計技術要求；4）各個級別的安全通信網絡設計技術要求調整為通用安全通信網絡設計技術要求、云安全通信網絡設計技術要求、移動互聯安全通信網絡設計技術要求、物聯網系統安全通信網絡設計技術要求和工業控制系統安全通信網絡設計技術要求；5）刪除了附錄B中的B.2“子系統間接口”和B.3“重要數據結構”，增加了B.4“第三級系統可信驗證實現機制”。

（5）GB/T 28448—2019《信息安全技術 網絡安全等級保護測評要求》

該標準代替GB/T 28448—2012《信息安全技術信息系統安全等級保護測評要求》，于2019年5月10日發布，2019年12月1日實施，同GB/T 28448—2012相比，主要變化如下：1）標準名稱變更；2）每個級別增加了云計算安全測評擴展要求、移動互聯安全測評擴展要求、物聯網安全測評擴展要求和工業控制系統安全測評擴展要求等內容；3）增加了等級測評、測評對象、云服務商和云服務客戶等相關術語和定義；4）將針對控制點的單元測評細化調整為針對要求項的單項測評，刪除了“測評框架”和“等級測評內容”；5）增加了大數據可參考安全評估方法和測評單元編號說明。

（6）GB/T 28449—2018《信息安全技術 網絡安全等級保護測評過程指南》

該標準代替GB/T 28449—2012《信息安全技術 信息系統安全等級保護測評過程指南》，于2018年12月28日發布，2019年7月1日實施，同GB/T 28449—2012相比，主要變化如下：1）標準名稱變更；2）修改了報告編制活動中的任務，由原來的6個任務修改為7個任務；3）在測評準備活動、現場測評活動的雙方職責中增加了協調多方的職責，并在一些涉及到多方的工作任務中也予以明確；4）在信息收集和分析工作任務中增加了“信息分析方法”的內容；5）增加了利用云計算、物聯網、移動互聯網、工業控制系統、IPv6系統等構建的等級保護對象開展安全測評需要額外重點關注的特殊任務及要求；6）刪除了測評方案示例；7）刪除了信息系統基本情況調查表模板。

（7）GB/T 36627—2018《信息安全技術 網絡安全等級保護測試評估技術指南》

該標準是為服務網絡安全等級保護制度而新出的標準，于2018年9月17日發布，2019年4月1日實施。該標準對網絡安全等級保護測評中的相關測評技術進行明確的分類和定義，系統地歸納并闡述測評的技術方法，概述技術性安全測試和評估的要素，重點關注具體技術的實現功能、原則等，并提出建議供使用。該標準在應用于網絡安全等級保護測評時可作為對GB/T 28448和GB/T 28449的補充。

（8）GB/T 36958—2018《信息安全技術 網絡安全等級保護安全管理中心技術要求》

GB/T 36958—2018是為“一個中心，三重防護”中的安全管理中心的建設而制定的新標準，于2018年12月28日發布，2019年7月1日實施。該標準從安全管理中心的功能、接口、自身安全等方面，對GB/T 25070中提出的安全管理中心及其安全技術和機制進行了進一步規范，提出了通用的安全技術要求，指導安全廠商和用戶依據該標準要求設計和建設安全管理中心。

（9）GB/T 36959—2018《信息安全技術 網絡安全等級保護測評機構能力要求和評估規范》

GB/T 36959—2018是為規范測評機構的能力要求和評估流程而制定的新標準，于2018年12月28日發布，2019年7月1日實施。該標準結合網絡安全等級保護的特點，從委托受理、評估準備、文件審核、現場評估、整改驗收，到評估報告提交等整個評估過程對測評機構提出了規范性要求。

3 小結

綜上所述，網絡安全等級保護及其相關標準如表2所示。

表2 網絡安全等級保護及其相關標準