網絡平安等級保護相關標準修訂解讀智慧城市運營中心周俊基礎/預備定級安全建設/整改測評整改重新定級《計算機信息系統安全保護等級劃分準則》《信息系統安全等級保護實施指南》GB17859-1999GB/T25058-2010《信息系統安全保護等級定級指南》GB/T22240-2008GB/T22239-2008GB/T25070-2010GB/T20271-2006GB/T20269-2006《信息系統安全等級保護基本要求》《信息系統定級保護安全設計技術要求》《信息系統通用安全技術要求》《信息系統安全管理要求》GB/T28448-2012GB/T28449-2012《信息系統安全等級保護測評要求》《信息系統安全等級保護測評過程指南》原等級保護標準體系現等級保護標準體系GB17859計算機信息系統平安保護等級劃分準那么GB/T25058網絡平安等級保護實施指南GB/T22240網絡平安等級保護定級指南GB/T22239網絡平安等級保護根本要求GB/T25070GB/T28448網絡平安等級保護測評要求GB/T28449信息系統平安等級保護測評過程指南〔修訂〕〔修訂〕〔修訂〕〔修訂〕〔新立〕〔修訂〕〔新立〕標準修訂歷程?網絡平安等級保護根本要求?主要修訂的內容1.標準名稱的變化2.等級保護對象的變化3.平安要求的變化原來：平安要求改為：平安通用要求和平安擴展要求平安通用要求是不管等級保護對象形態如何必須滿足的要求，針對云計算、移動互聯、物聯網和工業控制系統提出了特殊要求，稱為平安擴展要求。4.章節結構的變化〔以第三級要求為例〕8第三級平安要求8.1平安通用要求8.1.1物理和環境平安…8.1.8平安運維管理8.2云計算平安擴展要求8.2.1物理和環境平安8.2.2網絡和通信平安…8.3移動互聯平安擴展要求8.4物聯網平安擴展要求8.5工業控制系統平安擴展要求5.控制措施分類結構的變化6.通用要求控制點的變化——物理和環境平安序號原分類原有控制點新的分類新的控制點1物理安全物理位置的選擇物理和環境安全物理位置的選擇2物理訪問控制物理訪問控制3防盜竊和防破壞防盜竊和防破壞4防雷擊防雷擊5防火防火6防水和防潮防水和防潮7防靜電防靜電8溫濕度控制溫濕度控制9電力供應電力供應10電磁防護電磁防護6.通用要求控制點的變化——網絡和通信平安序號原分類原有控制點新的分類新的控制點1網絡安全結構安全網絡和通信安全網絡架構2訪問控制通信傳輸3安全審計邊界防護4邊界完整性檢查訪問控制5入侵防范入侵防范6惡意代碼防范惡意代碼防范7網絡設備防護安全審計8集中管控6.通用要求控制點的變化——設備和計算平安序號原分類原有控制點新的分類新的控制點1主機安全身份鑒別設備和計算安全身份鑒別2安全標記訪問控制3訪問控制安全審計4可信路徑入侵防范5安全審計惡意代碼防范6剩余信息保護資源控制7入侵防范8惡意代碼防范9資源控制6.通用要求控制點的變化——應用和數據平安序號原分類原有控制點新的分類新的控制點1應用安全身份鑒別應用和數據安全身份鑒別2安全標記訪問控制3訪問控制安全審計4可信路徑軟件容錯5安全審計資源控制6剩余信息保護數據完整性7通信完整性數據保密性8通信保密性數據備份恢復9抗抵賴剩余信息保護10軟件容錯個人信息保護11資源控制1數據安全及備份恢復數據完整性2數據保密性3備份和恢復6.通用要求控制點的變化——平安管理策略和管理制度序號原分類原有控制點新的分類新的控制點1安全管理制度管理制度安全策略和管理制度安全策略2制定和發布管理制度3評審和修訂制定和發布4評審和修訂6.通用要求控制點的變化——平安管理機構和人員序號原分類原有控制點新的分類新的控制點1安全管理機構崗位設置安全管理機構和人員崗位設置2人員配備人員配備3授權和審批授權和審批4溝通和合作溝通和合作5審核和檢查審核和檢查1人員安全管理人員錄用人員錄用2人員離崗人員離崗3人員考核安全意識教育和培訓4安全意識教育和培訓外部人員訪問管理5外部人員訪問管理6.通用要求控制點的變化——平安建設管理序號原分類原有控制點新的分類新的控制點1系統建設管理系統定級安全建設管理定級和備案2安全方案設計安全方案設計3產品采購和使用產品采購和使用4自行軟件開發自行軟件開發5外包軟件開發外包軟件開發6工程實施工程實施7測試驗收測試驗收8系統交付系統交付9系統備案等級測評10等級測評服務供應商選擇11安全服務商選擇6.通用要求控制點的變化——平安運維管理序號原分類原有控制點新的分類新的控制點1系統運維管理環境管理安全運維管理環境管理2資產管理資產管理3介質管理介質管理4設備管理設備維護管理5監控管理和安全管理中心漏洞和風險管理6網絡安全管理網絡和系統管理7系統安全管理惡意代碼防范管理8惡意代碼防范管理配置管理9密碼管理密碼管理10變更管理變更管理11備份與恢復管理備份與恢復管理12安全事件處置安全事件處置13應急預案管理應急預案管理14外包運維管理6.通用要求標準控制點的變化安全要求類層面一級二級三級四級技術要求物理和環境安全7101010網絡和通信安全4688設備和計算安全4666應用和數據安全591010管理要求安全策略和管理制度1444安全管理機構和人員7999安全建設管理7101010安全運維管理8141414合計（新標準）43687171合計（舊標準）486673777.增加云計算平安擴展要求云計算平安擴展要求章節針對云計算的特點提出特殊保護要求。由第2分冊〔之前的云計算平安擴展要求分冊〕合并為根本要求的X.2章節，合并后精煉保存針對云計算特點的特殊保護要求，增加包括“根底設施的位置〞、“虛擬化平安保護〞、“鏡像和快照保護〞、“云效勞商選擇〞和“云計算環境管理〞等方面。8.增加了移動互聯平安擴展要求移動互聯平安擴展要求章節針對移動互聯的特點提出特殊保護要求。由第3分冊〔之前的移動互聯網平安擴展要求分冊〕合并為根本要求的X.3章節，合并后精煉保存針對移動互聯網特點的特殊保護要求，增加包括“無線接入點的物理位置〞、“移動終端管控〞、“移動應用管控〞、“移動應用軟件采購〞和“移動應用軟件開發〞等方面。9.增加了物聯網平安擴展要求物聯網平安擴展要求章節針對物聯網的特點提出特殊保護要求。由第4分冊〔之前的物聯網平安擴展要求分冊〕合并為根本要求的X.4章節，合并后精煉保存針對物聯網的感知網局部特殊保護要求，增加包括“感知節點的物理防護〞、“感知節點設備平安〞、“網關節點設備平安〞、“感知節點的管理〞和“數據融合處理〞等方面。10.增加了工業控制系統平安擴展要求工業控制系統平安擴展要求章節針對工業控制系統的特點提出特殊保護要求。對工業控制系統主要增加的內容包括“室外控制設備防護〞、“工業控制系統網絡架構平安〞、“撥號使用控制〞、“無線使用控制〞和“控制設備平安〞等方面，針對工業控制系統實時性要求高的特點調整了“漏洞和風險管理〞和“惡意代碼防范管理〞方面的要求。安全要求類層面一級二級三級四級技術要求物理和環境安全7152223網絡和通信安全7153333設備和計算安全7172626應用和數據安全8223437管理要求安全策略和管理制度1677安全管理機構和人員7162629安全建設管理9233435安全運維管理13314951合計（新標準）59145231241合計（舊標準）8517529031811.標準控制項的變化——通用要求11.標準控制項的變化——擴展要求安全要求項一級二級三級四級安全通用要求（X.1）59145231241云計算安全擴展要求（X.2）12376061移動互聯安全擴展要求（X.3）5192324物聯網安全擴展要求（X.4）792324工業控制系統安全擴展要求（X.5）1018262712.取消了平安控制點的標注適應定級方法的變化，取消了原來平安控制點的S、A、G標注，調整原來的附錄B“平安要求的選擇和使用“，描述等級保護對象的定級結果和平安要求之間的關系，增加平安控制措施選擇時，控制點的標注及使用說明。13.增加了應用場景的說明等級保護平安框架圖D.1云計算效勞模式與控制范圍的關系13.增加了應用場景的說明層面安全要求安全組件責任主體物理和環境安全物理位置選擇數據中心及物理設施云服務商網絡和通信安全網絡結構、訪問控制、入侵防范、安全審計物理網絡及附屬設備、虛擬網絡管理平臺云服務商云服務客戶虛擬網絡安全域云服務客戶設備和計算安全身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制、鏡像和快照保護物理網絡及附屬設備、虛擬網絡管理平臺、物理宿主機及附屬設備、虛擬機管理平臺、鏡像等云服務商云服務客戶虛擬網絡設備、虛擬安全設備、虛擬機等云服務客戶應用和數據安全安全審計、資源控制、接口安全、數據完整性、數據保密性、數據備份恢復云管理平臺（含運維和運營）、鏡像、快照等云服務商云服務客戶應用系統及相關軟件組件、云服務客戶應用系統配置、云服務客戶業務相關數據等云服務客戶安全管理機構和人員授權和審批授權和審批流程、文檔等云服務商安全建設管理安全方案設計、測試驗收、云服務商選擇、供應鏈管理云計算平臺接口、安全措施、供應鏈管理流程、安全事件和重要變更信息云服務商云服務商選擇及管理流程云服務客戶安全運維管理監控和審計管理監控和審計管理的相關流程、策略和數據云服務商、云服務客戶IaaS模式下云效勞商與租戶的責任劃分層面安全要求安全組件責任主體物理和環境安全物理位置選擇數據中心及物理設施云服務商網絡和通信安全網絡結構、訪問控制、遠程訪問、入侵防范、安全審計物理網絡及附屬設備、虛擬網絡管理平臺、虛擬網絡安全域云服務商設備和計算安全身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制、鏡像和快照保護物理網絡及附屬設備、虛擬網絡管理平臺、物理宿主機及附屬設備、虛擬機管理平臺、鏡像、虛擬機、虛擬網絡設備、虛擬安全設備等云服務商應用和數據安全安全審計、資源控制、接口安全、數據完整性、數據保密性、數據備份恢復云管理平臺（含運維和運營）、鏡像、快照等云服務商云服務客戶應用系統及相關軟件組件、云服務客戶應用系統配置、云服務客戶業務相關數據等云服務客戶安全管理機構和人員授權和審批授權和審批流程、文檔等云服務商安全建設管理安全方案設計、測試驗收、云服務商選擇、供應鏈管理云計算平臺接口、安全措施、供應鏈管理流程、安全事件和重要變更信息云服務商云服務商選擇及管理流程云服務客戶安全運維管理監控和審計管理監控和審計管理的相關流程、策略和數據云服務商PaaS模式下云效勞商與租戶的責任劃分SaaS模式下云效勞商與租戶的責任劃分層面安全要求安全組件責任主體物理和環境安全物理位置選擇數據中心及物理設施云服務商網絡和通信安全網絡結構、訪問控制、遠程訪問、入侵防范、安全審計物理網絡及附屬設備、虛擬網絡管理平臺、虛擬網絡安全域云服務商設備和計算安全身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制、鏡像和快照保護物理網絡及附屬設備、虛擬網絡管理平臺、物理宿主機及附屬設備、虛擬機管理平臺、鏡像、虛擬機、虛擬網絡設備、虛擬安全設備等云服務商應用和數據安全安全審計、資源控制、接口安全、數據完整性、數據保密性、數據備份恢復云管理平臺（含運維和運營）、鏡像、快照等、應用系統及相關軟件組件云服務商云服務客戶應用系統配置、云服務客戶業務相關數據等云服務客戶安全管理機構和人員授權和審批授權和審批流程、文檔等云服務商安全建設管理安全方案設計、測試驗收、云服務商選擇、供應鏈管理云計算平臺接口、安全措施、供應鏈管理流程、安全事件和重要變更信息云服務商云服務商選擇及管理流程云服務客戶安全運維管理監控和審計管理監控和審計管理的相關流程、策略和數據云服務商圖E.1移動互聯應用架構圖F.1物聯網系統構成13.增加了應用場景的說明?網絡平安等級保護測評要求?主要修訂的內容主要修訂內容名稱的變化及等級保護測評對象的變化。〔與根本要求一致〕每級分別遵從?根本要求?的框架描述如何實施測評工作，每個級別包括平安測評通用要求、云計算平安測評擴展要求、移動互聯平安測評擴展要求、物聯網平安測評擴展要求和工業控制系統平安測評擴展要求等5個局部內容。測評項與根本要求一致。為了更加易于使用測評要求，增加?附錄B測評單元編號說明?和?附錄D根本要求和測評要求對應表?。等級測評描述框架等級測評分為單項測評和整體測評。單項測評是針對各平安要求項的測評，支持測評結果的可重復性和可再現性。本標準中單項測評由測評指標、測評對象、測評實施和單元判定結果構成。整體測評是在單項測評根底上，對等級保護對象整體平安保護能力的判斷。整體平安保護能力從縱深防護和措施互補二個角度評判。測評流程方法的變化在級差上的變化主要修訂內容現等級保護標準體系GB17859計算機信息系統平安保護等級劃分準那么GB/T25058網絡平安等級保護實施指南GB/T22240網絡平安等級保護定級指南GB/T22239網絡平安等級保護根本要求GB/T25070GB/T28448網絡平安等級保護測評要求GB/T28449信息系統平安等級保護測評過程指南〔修訂〕〔修訂〕〔修訂〕〔修訂〕〔新立〕〔修訂〕〔新立〕?網絡平安等級保護定級指南?主要修訂的內容〔草案階段〕1.等級保護對象的修訂3.第三級定義的修訂受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第三級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級定級要素與平安保護等級的關系4.明確了定級工作的流程確定定級對象初步確定等級專家評審主管部門審核公安機關備案審查5.定級對象確實定作為定級對象的網絡系統應具有如下根本特征：具有確定的主要平安責任主體。——包含但不限于企業、機關和事業單位等法人，以及不具備法人資格的社會團體等其他組織。承載相對獨立的業務應用。包含相互關聯的多個資源。——