信息安全核心技术网络安全等级保护测评要求安全通用要求编制说明.docx
《信息安全核心技术网络安全等级保护测评要求安全通用要求编制说明.docx》由会员分享,可在线阅读,更多相关《信息安全核心技术网络安全等级保护测评要求安全通用要求编制说明.docx(7页珍藏版)》请在冰豆网上搜索。
信息安全核心技术网络安全等级保护测评要求安全通用要求编制说明
信息安全技术网络安全级别保护测评规定
第1某些:
安全通用规定
编制阐明
1概述
1.1任务来源
《信息安全技术信息系统安全级别保护测评规定》于成为国标,原则号为GB/T28448-,被广泛应用于各个行业开展级别保护对象安全级别保护检测评估工作。
但是随着信息技术发展,特别云计算、移动互联网、物联网和大数据等新技术发展,该原则在时效性、易用性、可操作性上还需进一步提高,公安部第三研究所联合中华人民共和国电子技术原则化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T28448-进行修订。
依照全国信息安全原则化技术委员会下达国标制修订筹划,国标《信息安全技术信息系统安全级别保护测评规定》修订任务由公安部第三研究所负责主办,项目编号为bzxd-WG5-006。
1.2制定本原则目和意义
《信息安全级别保护管理办法》(公通字[]43号)明确指出信息系统运营、使用单位应当接受公安机关、国家指定专门部门安全监督、检查、指引,并且级别测评技术测评报告是其检查内容之一。
这就规定级别测评过程规范、测评结论精确、公正及可重现。
《信息安全技术信息系统安全级别保护基本规定》(GB/T22239-)(简称《基本规定》)和《信息安全技术信息系统安全级别保护测评规定》(GB/T28448-)(简称《测评规定》)等原则对近几年来全国信息安全级别保护工作推动起到了重要作用。
随着着IT技术发展,《基本规定》中某些内容需要结合国内信息安全级别保护工作特点,结合信息技术发展特别是信息安全技术发展特点,例如无线网络大量使用,数据大集中、云计算等应用方式普及等,需要针对各级别系统应当对抗安全威胁和应具备恢复能力,提出新各级别安全保护目的。
作为《基本规定》姊妹原则,《测评规定》需要同步修订,根据《基本规定》更新内容相应修订有关单元测评章节。
此外,《测评规定》还需要吸取近年来测评实践,更新整体测评办法和测评结论形成办法。
1.3与其她原则关系
图1级别保护原则互有关系
从上图可以看出,在级别保护对象实行安全保护过程中,一方面运用《信息安全技术信息系统安全级别保护定级指南》(GB/T22240-)(简称“《定级指南》”)拟定级别保护对象安全保护级别,然后依照《信息安全技术网络安全级别保护基本规定》系列原则选取安全控制办法,随后运用《信息安全技术信息系统安全级别保护实行指南》(简称“《实行指南》”)或其她有关原则拟定其特殊安全需求,进行级别保护对象安全规划和建设工作,此后运用《信息安全技术网络安全级别保护测评过程指南》(GB/T28449-20XX)(简称“《测评过程指南》”)来规范测评过程和各项活动,运用《信息安全技术网络安全级别保护测评规定》系列原则来判断安全控制办法有效性。
同步,级别保护整个实行过程又是由《实行指南》来指引。
在级别保护有关原则中,《测评规定》系列原则是《基本规定》系列原则姊妹篇,《测评规定》针对《基本规定》中各规定项,提供了详细测评办法、环节和判断根据等,是为了确认级别保护对象与否按照《基本规定》中不同级别技术和管理规定实行,而《测评过程指南》则是规定了开展这些测评活动基本过程,涉及过程、任务及产品等,以指引顾客对《测评规定》对的使用。
1.4原则构成
为了适应移动互联、虚拟计算、云计算、物联网、工控系统和大数据等新技术、新应用状况下网络安全级别保护测评工作开展,需对GB/T28448-进行修订,修订思路和办法是针对移动互联、虚拟计算、云计算、物联网、工控系统和大数据等新技术、新应用领域提出扩展测评规定。
对GB/T28448-修订完毕后,测评规定原则成为由各种某些构成系列原则,当前重要有六个某些:
——GB/T28448.1-20XX信息安全技术网络安全级别保护测评规定第1某些:
安全通用规定;
——GB/T28448.2-20XX信息安全技术网络安全级别保护测评规定第2某些:
云计算安全扩展规定;
——GB/T28448.3-20XX信息安全技术网络安全级别保护测评规定第3某些:
移动互联安全扩展规定;
——GB/T28448.4-20XX信息安全技术网络安全级别保护测评规定第4某些:
物联网安全扩展规定;
——GB/T28448.5-20XX信息安全技术网络安全级别保护测评规定第5某些:
工控控制安全扩展规定;
——GB/T28448.6-20XX信息安全技术网络安全级别保护测评规定第6某些:
大数据安全扩展测评规定。
2编制过程
1)12月,公安部第三研究所、中华人民共和国电子技术原则化研究院和北京神州绿盟科技有限公司成立了《信息安全技术信息安全级别保护测评规定》原则编制组。
2)1月至5月,原则编制组按照筹划调研了国际和国内无线接入、虚拟计算、云计算平台、大数据应用和工控系统应用等新技术、新应用状况,分析并总结了新技术和新应用中安全关注点和要素;同步原则编制组调研了与《信息安全技术信息系统安全级别保护测评规定》(GB/T28448-)有关其她国标和行业原则,分析了《信息安全技术信息系统安全级别保护基本规定》(GB/T22239-)修订也许对其产生影响。
3)5月,为适应无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新技术、新应用状况下级别保护工作开展,公安部十一局牵头会同关于部门组织新领域国标立项,依照新原则立项成果拟定《基本规定》修订思路发生重大变化,为适应《基本规定》修订思路变化在《信息安全技术信息系统安全级别保护测评规定》(GB/T28448-)基本上,针对无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新领域形成“测评规定”分册,如《信息安全技术网络安全级别保护测评规定第2某些:
云计算安全扩展规定》、《信息安全技术网络安全级别保护测评规定第3某些:
移动互联安全扩展规定》、《信息安全技术网络安全级别保护测评规定第4某些:
物联网安全扩展规定》、《信息安全技术网络安全级别保护测评规定第5某些:
工控控制安全扩展规定》和《信息安全技术网络安全级别保护测评规定第6某些:
大数据安全扩展规定》。
构成GB/T28448.1、GB/T28448.2、……等测评规定系列原则,上述思路变化直接影响了国标GB/T28448-修订思路和内容。
5)7月至5月,原则编制组依照新修订《基本规定》草案第一稿编制了《信息安全技术网络安全级别保护测评规定第1某些:
安全通用规定》草案第一稿。
6)5月至12月,原则编制组依照新修订《基本规定》草案第三稿编制了《信息安全技术网络安全级别保护测评规定第1某些:
安全通用规定》草案第二稿。
7)5月至6月,原则编制组依照新修订《基本规定》草案第五稿编制了《信息安全技术网络安全级别保护测评规定第1某些:
安全通用规定》草案第三稿。
8)5月23日,在评估中心针对《信息安全技术网络安全级别保护测评规定第1某些:
安全通用规定》草案第三稿进行行业内专家评审会。
9)7月,原则编制组依照新修订《基本规定》草案第六稿和第七稿编制了《信息安全技术网络安全级别保护测评规定第1某些:
安全通用规定》草案第四稿。
9)7月-8月,将《信息安全技术网络安全级别保护测评规定第1某些:
安全通用规定》草案第四稿发送11家级别测评机构和WG5工作构成员单位征求意见。
10)8月12日,在北京瑞安宾馆第五会议室召开WG5工作组某些专家评审会,针对《信息安全技术网络安全级别保护测评规定第1某些:
安全通用规定》草案第四稿征求意见。
11)8月25日,在北京瑞安宾馆第二会议室参加WG5工作组在研原则推动会,在会上征求所有WG5工作构成员单位意见。
12)依照专家意见已经修订完毕,形成《信息安全技术网络安全级别保护测评规定第1某些:
安全通用规定》草案第五稿。
13)依照测评机构反馈意见修订完毕,形成《信息安全技术网络安全级别保护测评规定第1某些:
安全通用规定》草案第六稿。
14)前正在推动《测评规定》后续专原则修订工作。
3原则编制技术路线
安全级别保护测评(如下简称级别测评)概念性描述框架由两某些构成:
单项测评和整体测评,图1给出了级别测评框架。
图1级别测评描述框架
针对基本规定各安全规定项测评称为单项测评,单项测评是级别测评工作基本活动,支持测评成果可重复性和可再现性。
单项测评是由测评指标、测评对象、测评实行和单元鉴定构成。
本某些测评指标涉及《信息安全技术网络安全级别保护基本规定第1某些:
安全通用规定》第四级目录下规定项。
测评对象是指测评实行对象,即测评过程中涉及到制度文档、各类设备及其安全配备和有关人员等。
对于框架来说,每一种被测安全规定项(不同级别)均有一组与之有关预先定义测评对象(如制度文档、各类设备设施及有关人员等)。
制度文档是指针对级别保护对象所制定有关联文献(如:
政策、程序、筹划、系统安全需求、功能规格及建筑设计)。
各类设备是指安装在级别保护对象之内或边界,能起到特定保护作用有关部件(如:
硬件、软件、固件或物理设施)。
有关人员或部门,是指应用上述制度、设备及安全配备人。
测评实行是一组针对特定测评对象,采用有关测评办法,遵从一定测评规程所形成,用于测评人员使用拟定该规定项有效性程序化陈述。
测评实行重要由测评办法和测评规程构成。
其中测评办法涉及:
访谈、检查和测试(阐明见术语),测评人员通过这些办法试图获取证据。
上述评估办法都由一组有关属性来规范测评办法测评力度。
这些属性是:
广度(覆盖面)和深度。
对于每一种测评办法都标记(定义)了唯一属性,深度特性合用于访谈和检查,而覆盖面特性则合用于所有三种测评办法。
上述三种测评办法(访谈、检查和测评)测评成果都用以对安全控制有效性进行评估。
测评规程是各类测评办法操作使用过程、环节,测评规程实行完毕后,可以获得相应证据。
成果鉴定描述测评人员执行测评实行并产生各种测评输出数据后,如何根据这些测评输出数据来鉴定被测系统与否满足测评指标规定原则和办法。
通过测评实行所获得所有证据都满足规定则为符合,不全满足规定则该单项规定不符合。
整体测评是在单项测评基本上,分别从安全控制点测评,安全控制点间和层面间三个角度分别进行测评。
4原则总体框架
本原则共分为11章,4个附录,每章内容如下:
第1、2、3章,为原则常规性描述,涉及范畴、规范性引用文献、术语和定义;
第4章,概要描述了安全级别保护测评办法及单项测评和整体测评构成;
第5、6、7、8章,分别描述了第一、二、三、四级测评规定,每级分别遵从《基本规定》框架从安全技术和安全管理两大方面描述如何实行测评工作,其中技术方面分别从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面展开;而管理方面则分别从安全方略和管理制度、安全管理机构和人员、安全建设管理和安全系统运维管理四个方面展开,与《基本规定》形成了互相对照、和谐统一原则体系。
第9章,略掉第五级测评规定。
第10章,描述了系统整体测评办法。
在单项测评基本上,从系统整体角度综合考虑如何进行系统性测评。
分别从安全控制点、安全控制点间及层面间测评三方面进行描述,分析了在进行系统测评时所需考虑方向和指引思想。
第11章,概要阐明了给出测评结论办法,测评结论重要应当涉及哪些方面内容等。
附录A,描述了各种测评办法测评强度,并详细描述针对不同级别保护对象测评强度。
附录B,描述了测评指标编码规则及专用缩略语。
附录C,描述了设计规定测评验证内容。
附录D,为基本规定规定项和测评规定测评单元索引表。
5重要章节编写办法
第5、6、7、8章分别描述了第一级、第二级、第三级和第四级所有测评规定内容,在章节上分别相应国标GB/T22239.1-2XXX第5章到第8章。
在国标GB/T22239.1-20XX第5章到第8章中,各章二级目录都分为安全技术和安全管理两某些,三级目录从安全层面(如物理和环境安全、网络和通信安全、设备和计算安全等)进行划分和描述,四级目录按照安全控制点进行划分和描述(如设备和计算安全层面下分为身份鉴别、访问控制、安全审计等),第五级目录是每一种安全控制点下面涉及详细安全规定项。
详细编制案例如下。
案例:
7第三级测评规定
7.1安全技术单项测评
7.1.1物理和环境安全
7.1.1.1物理位置选取
7.1.1.1.1测评单元(L3-PES1-01)
a)测评指标
机房场地应选取在具备防震、防风和防雨等能力建筑内;(本条款引用自GB/T22239.1-20XX7.1.1.1a))
b)测评对象
记录类文档、机房。
c)测评实行
1)应核查所在建筑物与否具备建筑物抗震设防审批文档;
2)应核查机房与否不存在雨水渗漏;
3)应核查门窗与否不存在因风导致尘土严重;
4)应核查屋顶、墙体、门窗和地面等与否不存在破损开裂。
d)单元鉴定
如果1)-4)均为必定,则级别保护对象符合本测评单元指标规定,否则,级别保护对象不符合或某些符合本测评单元指标规定。
7.1.1.1.2测评单元(L3-PES1-02)
a)测评指标
机房场地应避免设在建筑物顶层或地下室,否则应加强防水和防潮办法。
(本条款引用自GB/T22239.1-20XX7.1.1.1b))
b)测评对象
机房。
c)测评实行
1)应核查与否不位于所在建筑物顶层或地下室,如果否,则核查与否采用了防水和防潮办法。
d)单元鉴定
如果以上测评实行内容为必定,则级别保护对象符合本测评单元指标规定,否则,级别保护对象不符合本测评单元指标规定。
信息安全技术网络系统安全级别保护测评规定
第1某些:
安全通用规定编写组
10月