信息安全技术 网络安全等级保护测评要求 第1部分:安全通用要求-编制说明
信息安全技术 网络产品和服务安全通用要求-编制说明
国家标准《信息安全技术网络产品和服务安全通用要求》编制说明一、任务来源《信息安全技术网络产品和服务安全通用要求》是国家标准化管理委员会2017年下达的信息安全国家标准制定项目,国标立项号20193257-T-469,由中国电子技术标准化研究院、北京赛西科技发展有限责任公司、公安部第三研究所、中国信息安全测评中心、中国网络安全审查技术与认证中心、国家信息技术安全研究中心、中国电子信息产业发展研究院、中科院信息工程研究所、中国信息通信研究院、国家信息中心、国家计算机网络与信息安全管理中心、中电数据服务有限公司、中国软件评测中心、工业和信息化部电子第五研究所、中国电子科技集团公司第十五研究所、中科院软件所、公安部第一研究所、阿里巴巴(北京)软件服务有限公司、联想(北京)有限公司、阿里云计算有限公司、浪潮电子信息产业股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司、启明星辰信息技术集团股份有限公司、中国电力科学研究院有限公司、北京神州绿盟科技有限公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、北京威努特技术有限公司、山谷网安科技股份有限公司、国家应用软件产品质量监督检验中心、新华三技术有限公司、浙江蚂蚁小微金融服务集团股份有限公司、深信服科技股份有限公司、西门子(中国)有限公司、奇安信科技集团股份有限公司等单位共同参与了该标准的起草工作。
标准主要起草人包括:刘贤刚、李京春、顾健、李斌、李嵩、叶润国、孙彦、谢安明、胡影、王闯、许东阳、高金萍、宋好好、周开波、舒敏、吴迪、刘蓓、何延哲、方进社、崔宁宁、周亚超、张宝峰、布宁、任泽君、申永波、李汝鑫、樊洞阳、雷晓锋、鲍旭华、程广明、郭永振、白晓媛、赵江、杜晓黎、史岗、韩煜、董晶晶、刘玉岭、李凌、李娜、严妍、徐雨晴、张屹、焦玉峰、代威、石凌志、钟建伟、姚金龙、宋铮、闫韬、郭旭、王晖等。
二、编制原则当前,网络产品和服务中经常出现多种网络安全问题,例如,个人信息泄露、默认口令、后门、木马等,严重影响用户安全或国家安全。
信息安全技术 互联网信息服务安全通用要求-编制说明
国家标准《信息安全技术互联网信息服务安全通用要求》(草案)编制说明一、工作简况1.1任务来源《信息安全技术互联网信息服务安全通用要求》是全国信息安全技术标准化委员会2019年立项的信息安全国家标准制定项目,由中国科学院信息工程研究所主要牵头承担。
该标准参照国家针对网络安全与互联网信息服务出台的一系列法律法规政策,包括《中华人民共和国网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《互联网新闻信息服务新技术新应用安全评估管理规定》《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》等。
该标准由全国信息安全标准化技术委员会归口管理。
1.2主要起草单位和工作组成员中国科学院信息工程研究所(以下简称“中科院信工所”)主要负责起草,公安部第三研究所、中国电子技术标准化研究院、中国信息通信研究院、中国电子科技集团公司第十五研究所、北京理工大学等单位共同参与该标准的起草工作。
工作组成员包括:孟丹、郭涛、张潇丹、顾健、周熙、胡静远、韩冀中、赵云霞、贺滢睿、姚相振、魏巍、霍珊珊、锁延锋、张媛媛、马庆栋、周薇、王宇航、张华平等。
1.3 主要工作过程1、2017年4月——2018年5月,中科院信工所作为《信息安全技术互联网新闻信息服务新技术新应用安全评估实施规范》研究项目参与单位之一,顺利项目完成结题验收。
2、2018年7月——2018年12月,与参与单位共同开展标准体系架构研讨,组织召开3次内部技术研讨会,修改10余次。
3、2018年12月——2019年2月,与参与单位共同完成标准草案,并组织召开专家研讨会,并根据专家意见对标准内容进行3轮次修改。
4、2019年2月——2019年4月,对标准内容进行修改和调整,并组织召开专家研讨会,根据专家意见对标准内容进行2轮次修改,形成标准草案。
5、2019年4月,在全国信息安全标准化技术委员会2019年第一次工作组“会议周”上进行立项申请。
6、2019年5月——2019年9月,对标准草案进行讨论和完善。
安言咨询-网络安全等级保护基本要求 第1部分:安全通用要求解读
GB/T 22239.6-2017 信息安全技术 网络安全等级保护 基本要求 第6部分 大数据安全扩展要求
安全控制项变化
旧版
物理安全
网络安全
技术要求
主机安全
应用安全
数据安全及备份恢复
安全管理制度
管理类安全要求 与各种角色参与 的活动有关,主 要通过控制各种 角色的活动,从 政策、制度、规 范、流程以及记 录等方面做出规 定来实现
技术要求 管理要求
安全保护能力
第一级:用户自主保护级 第二级:系统审计保护级 第三级:安全标记保护级 第四级:结构化保护级 第五级:访问验证保护级
安全要求的选择和使用
制定和发布 评审和修订 岗位设置 人员配备 授权和审批 沟通和合作 审核和检查 人员录用 人员离岗 安全意识教育和培训 外部人员访问管理
控制域 安全策略和 管理制度
安全管理机 构和人员
第三级安全要求示例
控制域
系统建设管 理
旧版-管理要求 控制项 系统定级
安全方案设计 产品采购和使用 自行软件开发 外包软件开发
第三级安全要求示例
控制域
系统运 维管理
旧版-管理要求 控制项
环境管理 资产管理 介质管理 设备管理 监控管理和安全管理中心 网络安全管理 系统安全管理 恶意代码防范管理 密码管理 变更管理 备份与恢复管理 安全事件处置 应急预案管理
控制点 4 4 6 5 3 8 7 4 1 4 5 6 5
控制点 3 3 2 4 2 9 3 2 1 3 3 4 4 4
关于《网络安全等级保护基本要求 第一部分:安全通用要求》标准解析
信息安全技术网络安全等级保护测评要求第1部分:安全通用要求-编制说明
信息安全技术网络安全等级保护测评要求第1部分:安全通用要求编制说明1 概述1.1 任务来源《信息安全技术信息系统安全等级保护测评要求》于2012 年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。
但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013 年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012 进行修订。
根据全国信息安全标准化技术委员会2013 年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。
1.2 制定本标准的目的和意义《信息安全等级保护管理办法》(公通字[2007]43 号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。
这就要求等级测评过程规范、测评结论准确、公正及可重现。
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。
伴随着IT 技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。
作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。
国家标准信息安全技术网络安全等级保护安全设计技术要求第1部分
国家标准《信息安全技术网络安全等级保护安全设计技术要求第1部分:通用设计要求》(征求意见稿)编制说明一、工作简况1.1任务来源《信息安全技术信息系统等级保护安全设计技术要求第1部分:通用设计要求》是国家标准化管理委员会 2014年下达的信息安全国家标准制定项目,国标计划号为:GB/T 25070.1-2010,由公安部第一研究所承担,参与单位包括北京工业大学、北京中软华泰信息技术有限责任公司、中国电子信息产业集团有限公司第六研究所、工业和信息化部电信研究院、阿里云计算技术有限公司、公安部第三研究所、中国信息安全测评中心、国家信息技术安全研究中心、浙江中烟工业有限责任公司、中央电视台、北京江南天安科技有限公司、华为技术有限公司、浪潮电子信息产业股份有限公司、浪潮集团、北京启明星辰信息安全技术有限公司。
1.2主要工作过程1)准备阶段2014年3月,在公安部11局的统一领导下,公安部第一研究所同协作单位共同成立标准编写项目组。
2)调研阶段标准起草组成立以后,项目组收集了大量国内外相关标准,进行了研讨,对信息安全的模型、威胁和脆弱性进行了充分讨论。
同时项目组参考了国内等级保护相关标准,为了真实了解行业内的安全要求,项目组也对行业内的企事业单位进行了调研。
3)编写阶段2014年4月,标准起草组组织了多次内部研讨会议,邀请了来自国内相关领域著名的专家、学者开展交流与研讨,确定了标准的总体技术框架、核心内容。
标准起草组按照分工,对标准各部分进行了编写,形成了《信息安全技术信息系统等级保护安全设计技术要求第1部分:通用设计要求》(草案)。
4)首次征求专家意见2014年4月,公安部11局组织业内专家对标准初稿进行了研讨,专家对标准范围、内容、格式等进行了详细讨论,提出了很多宝贵意见。
项目组根据专家意见,对标准进行了修改。
5)第二次征求专家意见2014年9、10月,公安部11局组织业内专家对标准初稿再次进行了研讨,专家再次对标准范围、内容、格式等进行了详细讨论,提出了宝贵意见。
信息安全技术-网络安全等级保护基本要求-安全通用要求
信息安全技术网络安全等级保护基本要求第1部分安全通用要求1 范围本部分规定了不同等级保护对象的安全通用要求,对于采用移动互联、云计算、大数据、物联网和工业控制等新技术、新应用的保护对象,除使用本部分外还需参考其他的安全扩展要求。
本部分适用于指导分等级的非涉密保护对象的安全建设和监督管理。
2 规范性引用文件下列文件中的条款通过在本部分的引用而成为本部分的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本部分。
GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 25069-2010信息安全技术术语3 术语和定义GB/T 25069-2010和GB 17859-1999确立的以及下列术语和定义适用于本部分。
3.1 安全保护能力 security protection ability能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。
4 网络安全等级保护概述4.1 不同等级的安全保护对象安全等级保护对象是指等级保护工作中的保护对象,主要包括网络基础设施、信息系统、大数据、云计算平台、物联网、工控系统等;安全等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五级。
第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
(完整word版)信息安全技术网络安全等级保护测评要求
信息安全技术网络安全等级保护测评要求第1部分:安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。
但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。
根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。
1.2制定本标准的目的和意义《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。
这就要求等级测评过程规范、测评结论准确、公正及可重现。
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。
伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。
作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。
云计算安全等级保护测评要求
信息安全技术网络安全等级保护测评要求第2部分:云计算安全扩展要求Information security technology—Testing and evaluation requirement for classified protection of network security Part 2: Testing and evaluation requirement of cloud computing security目录前言 (IV)引言 (V)1 范围 (1)2 规范性引用文件 (1)3 术语与定义 (1)4 概述 (3)4.1 测评描述框架 (3)4.2 测评使用方法 (4)5 第二级云计算平台单元测评 (4)5.1 安全技术测评 (4)5.1.1 物理和环境安全 (4)5.1.1.1 物理位置选择 (4)5.1.2 网络与通信安全 (5)5.1.2.1 网络架构 (5)5.1.2.2 访问控制 (7)5.1.2.3 入侵防范 (9)5.1.3 设备和计算安全 (10)5.1.3.1 身份鉴别 (10)5.1.3.2 访问控制 (10)5.1.3.3 安全审计 (10)5.1.3.4 入侵防范 (12)5.1.3.5 资源控制 (13)5.1.3.6 镜像和快照保护 (14)5.1.4 应用和数据安全 (15)5.1.4.1 安全审计 (11)5.1.4.2 资源控制 (11)5.1.4.3 接口安全 (11)5.1.4.4 数据完整性 (11)5.1.4.5 数据备份和恢复 (11)5.2 安全管理测评 (14)5.2.1 安全管理机构和人员 (15)5.2.1.1 授权和审批 (15)5.2.2 系统安全建设管理 (15)5.2.2.1 测试验收 (15)5.2.2.2 云服务商选择 (15)5.2.2.3 供应链管理 (22)6 第三级云计算平台测评单元 (23)6.1 安全技术测评 (23)6.1.1 物理和环境安全 (23)6.1.1.1 物理位置选择 (23)6.1.2 网络和通信安全 (24)6.1.2.1 网络架构 (24)6.1.2.2 访问控制 (27)6.1.2.3 入侵防范 (30)6.1.2.4 安全审计 (31)6.1.3 设备和计算安全 (25)6.1.3.1 身份鉴别 (33)6.1.3.2 访问控制 (33)6.1.3.3 安全审计 (34)6.1.3.4 入侵防范 (37)6.1.3.5 恶意代码防范 (38)6.1.3.6 资源控制 (38)6.1.3.7 镜像和快照保护 (41)6.1.4 应用和数据安全 (42)6.1.4.1 安全审计 (42)6.1.4.2 资源控制 (44)6.1.4.3 接口安全 (45)6.1.4.4 数据完整性 (45)6.1.4.5 数据保密性 (46)6.1.4.6 数据备份和恢复 (47)6.1.4.7 剩余信息保护 (49)6.2 安全管理测评 (49)6.2.1 安全管理机构和人员 (49)6.2.1.1 授权和审批 (49)6.2.2 系统安全建设管理 (50)6.2.2.1 安全方案设计 (50)6.2.2.2 测试验收 (50)6.2.2.3 云服务商选择 (51)6.2.2.4 供应链管理 (55)6.2.3 系统安全运维管理 (56)6.2.3.1 监控和审计管理 (56)7 第四级云计算平台单元测评 (58)7.1 安全技术测评 (58)7.1.1 物理和环境安全 (58)7.1.1.1 物理位置选择 (58)7.1.2 网络和通信安全 (58)7.1.2.1 网络架构 (58)7.1.2.2 访问控制 (62)7.1.2.3 入侵防范 (64)7.1.2.4 安全审计 (65)7.1.3 设备和计算安全 (67)7.1.3.1 身份鉴别 (67)7.1.3.2 访问控制 (67)7.1.3.3 安全审计 (68)7.1.3.4 入侵防范 (71)7.1.3.5 恶意代码防范 (72)7.1.3.6 资源控制 (72)7.1.3.7 镜像和快照保护 (75)7.1.4 应用和数据安全 (76)7.1.4.1 安全审计 (76)7.1.4.2 资源控制 (78)7.1.4.3 接口安全 (79)7.1.4.4 数据完整性 (79)7.1.4.5 数据保密性 (80)7.1.4.6 数据备份和恢复 (81)7.1.4.7 剩余信息保护 (83)7.2 安全管理测评 (83)7.2.1 安全管理机构和人员 (83)7.2.1.1 授权和审批 (83)7.2.2 系统安全建设管理 (84)7.2.2.1 安全方案设计 (84)7.2.2.2 测试验收 (84)7.2.2.3 云服务商选择 (85)7.2.2.4 供应链管理 (85)7.2.3 系统安全运维管理 (86)7.2.3.1 监控和审计管理 (86)8 云计算平台整体测评 (88)8.1 概述 (88)8.2 安全控制点测评 (89)8.3 安全控制点间测评 (89)8.4 层面测评 (89)9 测评结论 (89)9.1 各层面的测评结论 (89)9.2 风险分析和评价 (90)9.3 测评结论 (90)附录 A (资料性附录)测评力度 (91)附录 B (资料性附录)测评单元编号说明 (93)参考文献 (94)前言GB/T 28448 《信息安全技术网络安全等级保护测评要求》拟分成部分出版,各部分将按照应用的领域划分成安全通用测评要求和具体领域的安全扩展测评要求。
信息安全技术 网络安全等级保护测评要求-云计算安全扩展要求
信息安全技术网络安全等级保护测评要求第2部分:云计算安全扩展要求1 范围本部分规定了对不同等级的等级保护对象是否符合GB/T 22239.2-20XX所进行的测试评估活动的要求,包括对第二级等级保护对象、第三级等级保护对象和第四级等级保护对象进行安全测试评估的要求。
本部分略去对第一级等级保护对象、第五级等级保护对象进行安全测评评估的要求。
本部分规定了不同等级的保护对象的云计算安全扩展测评要求,除使用本部分外,还需参考通用测评要求。
本部分适用于信息安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象安全等级保护状况进行的安全测试评估。
信息安全监管职能部门依法进行的信息系统安全等级保护监督检查可以参考使用。
2 规范性引用文件下列文件对于本部分的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本部分。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本部分。
GB/T 25069-2010 信息安全技术术语GB17859-1999 计算机信息系统安全保护等级划分准则GB/T 22239.1-20XX 信息安全技术网络安全等级保护基本要求第1部分:安全通用要求GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南GB/T 28448.1-20XX 信息安全技术网络安全等级保护测评要求第1部分:通用测评要求GB/T 28449-20XX 信息安全技术信息系统安全等级保护测评过程指南GB/T 22239.2-20XX 信息安全技术网络安全等级保护基本要求第2部分:云计算安全扩展要求GB/T 25070.2-20XX 信息安全技术网络安全等级保护安全设计技术要求第2部分:云计算信息安全等级保护安全设计技术要求3 术语与定义GB/T 25069-2010、GB/T 28448.1-20XX和GB/T 22239.2-20XX界定的以及下列术语和定义适用于本部分。
信息安全技术网络安全等级保护测评要求
信息安全技术网络安全等级保护测评要求信息安全技术是指为了保护信息系统中的信息不受到未经授权的访问、使用、披露、破坏、修改、干扰或者泄露的行为而采取的技术手段和管理措施。
网络安全等级保护测评是对信息系统网络安全等级保护的有效性进行评估和检测,以保障信息系统的安全性和可靠性。
本文将就信息安全技术网络安全等级保护测评要求进行详细介绍。
首先,网络安全等级保护测评要求包括对信息系统的网络安全等级进行评估和检测。
评估的内容包括信息系统的网络结构、网络设备、网络拓扑、网络接入控制、网络安全设备和网络安全管理等方面。
检测的内容包括网络设备的漏洞扫描、入侵检测、安全审计和安全监控等方面。
通过评估和检测,可以全面了解信息系统的网络安全等级保护情况,及时发现存在的安全隐患和漏洞,为制定安全防护措施提供依据。
其次,网络安全等级保护测评要求包括对信息系统的网络安全防护措施进行评估和检测。
评估的内容包括网络访问控制、网络边界防护、网络安全监控、网络安全事件响应和网络安全管理等方面。
检测的内容包括网络设备的安全配置、安全补丁管理、网络安全设备的性能和稳定性等方面。
通过评估和检测,可以全面了解信息系统的网络安全防护措施的有效性和可靠性,及时发现存在的安全风险和漏洞,为提升网络安全等级保护水平提供依据。
再次,网络安全等级保护测评要求包括对信息系统的网络安全管理进行评估和检测。
评估的内容包括网络安全策略、网络安全规范、网络安全培训、网络安全意识和网络安全文档等方面。
检测的内容包括网络安全管理的执行情况、网络安全管理的效果和网络安全管理的改进等方面。
通过评估和检测,可以全面了解信息系统的网络安全管理的完整性和有效性,及时发现存在的管理漏洞和不足,为加强网络安全管理提供依据。
最后,网络安全等级保护测评要求包括对信息系统的网络安全应急响应进行评估和检测。
评估的内容包括网络安全事件的响应预案、网络安全事件的处置流程、网络安全事件的响应能力和网络安全事件的响应效果等方面。
信息安全技术网络安全等级保护测评要求第部分安全通用要求意见处理表
标准草案意见汇总处理表
标准项目名称:《信息安全技术信息系统安全等级保护测评要求》
又名:《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》
承办人:陈广勇共26页
标准项目负责起草单位:公安部信息安全等级保护评估中心电话:
序号
标 准
采纳:
已对术语定义进行了修改。
全文
调整结构,去除不符合标准编写要求的悬置段。
ቤተ መጻሕፍቲ ባይዱ国家新闻出版广电总局监管中心张瑞芝
采纳:
已调整了全文中的悬置段。
标准范围
建议将“本标准适用于为……”改为“本标准适用于”。
信息产业信息安全测评中心刘 健
采纳:
已改为“本标准适用于”。
规范性引用文件
规范性引用文件要写上国标号。
电力行业信息安全等级保护测评中心第四实验室
部分采纳:
已做调整。
建议将节和节交换顺序,并将原节中关于“单项测评”的相关内容合并到原节中。
电力行业信息安全等级保护测评中心第四实验室
电力行业信息安全等级保护测评中心第四实验室
采纳:
全文调整。
第节中第1段第1句话可理解为对“等级保护测评实施”的介绍或者解释,因此建议将“等级保护测评实施的基本方法是针对特定的测评对象……”修改为“等级保护测评实施是针对特定的测评对象……”,并将“……给出达到特定级别安全保护能力的评判”修改为“……给出是否达到特定级别安全保护能力的评判”。而且这段内容与节内容有重叠,可以考虑合并。
国家信息中心刘蓓
采纳:
原为:“本标准规定了…..本标准适用于…...”
改为:
“本部分规定了…..本部分适用于…...”
信息安全技术网络安全等级保护测评要求
信息安全技术网络安全等级保护测评要求网络安全等级保护测评(Information Security Technology Network Security Level Protection Evaluation),简称等保测评,是我国针对信息系统安全的一项重要评估工作。
等保测评旨在通过评估信息系统的安全性,确保信息系统的保密性、完整性和可用性,保护国家信息安全。
等保测评的要求主要包括以下几个方面:1.目标评估:等保测评主要评估网络系统的目标,包括系统的安全目标、保密目标、完整性目标等。
评估的目标要明确、具体,符合法律法规和技术要求。
2.风险评估:测评需对系统面临的风险进行评估,包括外部威胁、内部威胁以及自然灾害等。
针对不同风险应制定不同的安全控制措施,以保证网络系统的安全。
3.安全策略:等保测评要求对信息系统的安全策略进行评估,包括访问控制策略、密码策略、数据备份策略、应急响应策略等。
这些策略需要符合相关标准和规范,并实际有效。
4.安全管理制度:测评要求对安全管理制度进行评估,包括安全管理机构设置、安全策略的制定和执行、安全培训和教育等。
这些制度要健全完善,确保网络系统的安全运行。
5.技术控制:等保测评要求评估系统的技术控制措施,包括网络安全设备配置、网络拓扑结构、系统安全补丁和更新等技术方面的控制措施。
这些措施需要科学合理,满足系统的安全需求。
6.运行维护:等保测评要求评估系统的运行和维护情况,包括系统日志记录和监控、设备维护管理、安全事件的处理等。
这些要求能够保证系统平稳运行和及时应对安全事件。
7.测评报告:等保测评要求评估结果生成测评报告。
测评报告应包含测评方法、测评结果、问题与不足、建议改进等内容,并提供详细的数据和分析,为后续的安全改进工作提供依据。
总之,等保测评要求对信息系统的安全进行全面评估,从目标评估、风险评估、安全策略、安全管理制度、技术控制、运行维护等多个方面进行评估,以确保信息系统达到一定的安全等级,保护国家信息安全。
信息安全技术网络安全等级保护测评要求
信息安全技术网络安全等级保护测评要求随着互联网和信息技术的快速发展,网络安全问题也日益突出,对信息安全的保护引起了广泛关注。
为了确保信息系统及网络的安全性,我国于2024年开始推行信息安全技术网络安全等级保护测评制度。
该制度旨在对我国各类信息系统和网络进行评估与分类,为信息系统用户在选择合适的信息系统提供参考。
其次,信息安全技术网络安全等级保护测评要求评测对象能够提供完整、真实和准确的信息。
评测对象应提供有关信息系统和网络的基本信息、软硬件配置、网络拓扑、安全策略和安全防御措施等资料,以便对其进行全面的测评。
评测对象可通过书面报告、流程图、技术文档等方式提供这些信息。
第三,在信息安全技术网络安全等级保护测评中,要求评测机构按照测评计划进行测评工作,并确保测试环境的真实性。
评测机构应编制详细的测评计划,明确测评的目的、范围和方法,并根据实际情况调整计划。
同时,评测机构应搭建真实的测试环境,确保能够模拟恶意攻击和各种安全事件的发生,并对评测结果进行客观和准确的分析。
第四,在信息安全技术网络安全等级保护测评中,要求评测机构对评测结果进行详细的报告和建议。
评测报告应包括评测对象的安全状态、存在的安全隐患、安全事件的发生概率等,同时给出改进建议和措施。
评测机构还应对评测结果进行保密处理,确保测评过程和结果不泄露给非评测参与方。
最后,在信息安全技术网络安全等级保护测评中,要求评测机构对测评工作进行记录和备份,确保测评结果的完整性和可溯性。
评测机构应记录测评过程、操作和结果,以备查证。
评测机构还应将评测结果备份,避免因不可抗力因素导致数据丢失或篡改。
综上所述,信息安全技术网络安全等级保护测评要求包括测评机构具备合法和可信的资质、评测对象提供完整、真实和准确的信息、评测按计划进行并确保测试环境的真实性、评测结果报告和建议、测评工作的记录和备份等。
这些要求旨在确保测评的准确性和可信度,为信息系统用户提供安全可靠的选择参考。
(完整版)网络安全等级保护2.0-通用要求-表格版
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
a);
b);
c);
d)应对审计进程进行保护,防止未经授权的中断;
e)审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性
a)应采用免受恶意代码攻击的技术措施或采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性检测,并在检测到破坏后进行恢复。
a) ;
资源控制
/
a)应限制单个用户或进程对系统资源的最大使用限度
a);
b)应提供重要节点设备的硬件冗余,保证系统的可用性;
c)应对重要节点进行监视,包括监视CPU、硬盘、内存等资源的使用情况;
e)应在关键网络节点处对进出网络的信息内容进行过滤,实现对内容的访问控制。
a);
b);
c)应不允许数据带通用协议通过。
入侵防范
/
a)应在关键网络节点处监视网络攻击行为
a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
b)应在关键网络节点处检测和限制从内部发起的网络攻击行为;
c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析;
a) ;
b) ;
安全审计
/
a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全技术网络安全等级保护测评要求第1部分:安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。
但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。
根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006。
1.2制定本标准的目的和意义《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一。
这就要求等级测评过程规范、测评结论准确、公正及可重现。
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(简称《基本要求》)和《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)(简称《测评要求》)等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。
伴随着IT技术的发展,《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。
作为《基本要求》的姊妹标准,《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节。
此外,《测评要求》还需要吸收近年来的测评实践,更新整体测评方法和测评结论形成方法。
1.3与其他标准的关系图1 等级保护标准相互关系从上图可以看出,在等级保护对象实施安全保护过程中,首先利用《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)(简称“《定级指南》”)确定等级保护对象的安全保护等级,然后根据《信息安全技术网络安全等级保护基本要求》系列标准选择安全控制措施,随后利用《信息安全技术信息系统安全等级保护实施指南》(简称“《实施指南》”)或其他相关标准确定其特殊安全需求,进行等级保护对象的安全规划和建设工作,此后利用《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-20XX)(简称“《测评过程指南》”)来规范测评过程和各项活动,利用《信息安全技术网络安全等级保护测评要求》系列标准来判断安全控制措施的有效性。
同时,等级保护整个实施过程又是由《实施指南》来指导的。
在等级保护的相关标准中,《测评要求》系列标准是《基本要求》系列标准的姊妹篇,《测评要求》针对《基本要求》中各要求项,提供了具体测评方法、步骤和判断依据等,是为了确认等级保护对象是否按照《基本要求》中的不同等级的技术和管理要求实施的,而《测评过程指南》则是规定了开展这些测评活动的基本过程,包括过程、任务及产品等,以指导用户对《测评要求》的正确使用。
1.4标准组成为了适应移动互联、虚拟计算、云计算、物联网、工控系统和大数据等新技术、新应用情况下网络安全等级保护测评工作的开展,需对GB/T 28448-2012进行修订,修订的思路和方法是针对移动互联、虚拟计算、云计算、物联网、工控系统和大数据等新技术、新应用领域提出扩展的测评要求。
对GB/T 28448-2012的修订完成后,测评要求标准成为由多个部分组成的系列标准,目前主要有六个部分:——GB/T 28448.1-20XX 信息安全技术网络安全等级保护测评要求第1部分:安全通用要求;——GB/T 28448.2-20XX 信息安全技术网络安全等级保护测评要求第2部分:云计算安全扩展要求;——GB/T 28448.3-20XX 信息安全技术网络安全等级保护测评要求第3部分:移动互联安全扩展要求;——GB/T 28448.4-20XX 信息安全技术网络安全等级保护测评要求第4部分:物联网安全扩展要求;——GB/T 28448.5-20XX 信息安全技术网络安全等级保护测评要求第5部分:工控控制安全扩展要求;——GB/T 28448.6-20XX 信息安全技术网络安全等级保护测评要求第6部分:大数据安全扩展测评要求。
2编制过程1)2013年12月,公安部第三研究所、中国电子技术标准化研究院和北京神州绿盟科技有限公司成立了《信息安全技术信息安全等级保护测评要求》标准编制组。
2)2014年1月至5月,标准编制组按照计划调研了国际和国内无线接入、虚拟计算、云计算平台、大数据应用和工控系统应用等新技术、新应用的情况,分析并总结了新技术和新应用中的安全关注点和要素;同时标准编制组调研了与《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012)相关的其他国家标准和行业标准,分析了《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)的修订可能对其产生的影响。
3)2014年5月,为适应无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新技术、新应用的情况下等级保护工作开展,公安部十一局牵头会同有关部门组织2014年新领域的国家标准立项,根据新标准立项结果确定《基本要求》修订思路发生重大变化,为适应《基本要求》修订思路的变化在《信息安全技术信息系统安全等级保护测评要求》(GB/T 28448-2012)的基础上,针对无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新领域形成“测评要求”的分册,如《信息安全技术网络安全等级保护测评要求第2部分:云计算安全扩展要求》、《信息安全技术网络安全等级保护测评要求第3部分:移动互联安全扩展要求》、《信息安全技术网络安全等级保护测评要求第4部分:物联网安全扩展要求》、《信息安全技术网络安全等级保护测评要求第5部分:工控控制安全扩展要求》和《信息安全技术网络安全等级保护测评要求第6部分:大数据安全扩展要求》。
构成GB/T 28448.1、GB/T 28448.2、……等测评要求系列标准,上述思路的变化直接影响了国家标准GB/T 28448-2012的修订思路和内容。
5)2014年7月至2015年5月,标准编制组根据新修订《基本要求》草案第一稿编制了《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第一稿。
6)2015年5月至2015年12月,标准编制组根据新修订《基本要求》草案第三稿编制了《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第二稿。
7)2016年5月至2016年6月,标准编制组根据新修订《基本要求》草案第五稿编制了《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第三稿。
8)2016年5月23日,在评估中心针对《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第三稿进行行业内专家评审会。
9)2016年7月,标准编制组根据新修订《基本要求》草案第六稿和第七稿编制了《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第四稿。
9)2016年7月-8月,将《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第四稿发送11家等级测评机构和WG5工作组成员单位征求意见。
10)2016年8月12日,在北京瑞安宾馆第五会议室召开WG5工作组部分专家评审会,针对《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第四稿征求意见。
11)2016年8月25日,在北京瑞安宾馆第二会议室参加WG5工作组在研标准推进会,在会上征求所有WG5工作组成员单位意见。
12)根据专家意见已经修订完成,形成《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第五稿。
13)根据测评机构反馈意见修订完成,形成《信息安全技术网络安全等级保护测评要求第1部分:安全通用要求》草案第六稿。
14)前正在推进《测评要求》后续专标准修订工作。
3标准编制的技术路线安全等级保护测评(以下简称等级测评)的概念性描述框架由两部分构成:单项测评和整体测评,图1给出了等级测评框架。
图1 等级测评描述框架针对基本要求各安全要求项的测评称为单项测评,单项测评是等级测评工作的基本活动,支持测评结果的可重复性和可再现性。
单项测评是由测评指标、测评对象、测评实施和单元判定构成。
本部分的测评指标包括《信息安全技术网络安全等级保护基本要求第1部分:安全通用要求》第四级目录下的要求项。
测评对象是指测评实施的对象,即测评过程中涉及到的制度文档、各类设备及其安全配置和相关人员等。
对于框架来说,每一个被测安全要求项(不同级别)均有一组与之相关的预先定义的测评对象(如制度文档、各类设备设施及相关人员等)。
制度文档是指针对等级保护对象所制定的相关联的文件(如:政策、程序、计划、系统安全需求、功能规格及建筑设计)。
各类设备是指安装在等级保护对象之内或边界,能起到特定保护作用的相关部件(如:硬件、软件、固件或物理设施)。
相关人员或部门,是指应用上述制度、设备及安全配置的人。
测评实施是一组针对特定测评对象,采用相关测评方法,遵从一定的测评规程所形成的,用于测评人员使用的确定该要求项有效性的程序化陈述。
测评实施主要由测评方法和测评规程构成。
其中测评方法包括:访谈、检查和测试(说明见术语),测评人员通过这些方法试图获取证据。
上述的评估方法都由一组相关属性来规范测评方法的测评力度。
这些属性是:广度(覆盖面)和深度。
对于每一种测评方法都标识(定义)了唯一属性,深度特性适用于访谈和检查,而覆盖面特性则适用于全部三种测评方法。
上述三种测评方法(访谈、检查和测评)的测评结果都用以对安全控制的有效性进行评估。
测评规程是各类测评方法操作使用的过程、步骤,测评规程实施完成后,可以获得相应的证据。
结果判定描述测评人员执行测评实施并产生各种测评输出数据后,如何依据这些测评输出数据来判定被测系统是否满足测评指标要求的原则和方法。
通过测评实施所获得的所有证据都满足要求则为符合,不全满足要求则该单项要求不符合。
整体测评是在单项测评基础上,分别从安全控制点测评,安全控制点间和层面间三个角度分别进行测评。
4标准总体框架本标准共分为11章,4个附录,每章内容如下:第1、2、3章,为标准的常规性描述,包括范围、规范性引用文件、术语和定义;第4章,概要描述了安全等级保护测评方法及单项测评和整体测评组成;第5、6、7、8章,分别描述了第一、二、三、四级测评要求,每级分别遵从《基本要求》的框架从安全技术和安全管理两大方面描述如何实施测评工作,其中技术方面分别从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面展开;而管理方面则分别从安全策略和管理制度、安全管理机构和人员、安全建设管理和安全系统运维管理四个方面展开,与《基本要求》形成了相互对照、和谐统一的标准体系。