久久久亚洲精品成人,色五月丁香六月欧美综合,午夜影视啪啪免费体验区,噜噜综合亚洲AV中文无码

安全資訊

網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)解讀

等級保護(hù)標(biāo)準(zhǔn)體系


等級保護(hù)1.0標(biāo)準(zhǔn)體系
2007年,《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)文件的正式發(fā)布,標(biāo)志著等級保護(hù)1.0的正式啟動。等級保護(hù)1.0規(guī)定了等級保護(hù)需要完成的“規(guī)定動作”,即定級備案、建設(shè)整改、等級測評和監(jiān)督檢查,為了指導(dǎo)用戶完成等級保護(hù)的“規(guī)定動作”,在2008年至2012年期間陸續(xù)發(fā)布了等級保護(hù)的一些主要標(biāo)準(zhǔn),構(gòu)成等級保護(hù)1.0的標(biāo)準(zhǔn)體系。
等級保護(hù)1.0時期的主要標(biāo)準(zhǔn)如下:
·   信息安全等級保護(hù)管理辦法(43號文件)(上位文件)
·   計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 GB17859-1999(上位標(biāo)準(zhǔn))
·   信息系統(tǒng)安全等級保護(hù)實施指南 GB/T25058-2008
·   信息系統(tǒng)安全保護(hù)等級定級指南 GB/T22240-2008
·   信息系統(tǒng)安全等級保護(hù)基本要求 GB/T22239-2008
·   信息系統(tǒng)等級保護(hù)安全設(shè)計要求 GB/T25070-2010
·   信息系統(tǒng)安全等級保護(hù)測評要求 GB/T28448-2012
·   信息系統(tǒng)安全等級保護(hù)測評過程指南 GB/T28449-2012
 
等級保護(hù)2.0標(biāo)準(zhǔn)體系
2017年,《中華人民共和國網(wǎng)絡(luò)安全法》的正式實施,標(biāo)志著等級保護(hù)2.0的正式啟動。網(wǎng)絡(luò)安全法明確“國家實行網(wǎng)絡(luò)安全等級保護(hù)制度?!保ǖ?1條)、“國家對一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上,實行重點保護(hù)?!保ǖ?1條)。上述要求為網(wǎng)絡(luò)安全等級保護(hù)賦予了新的含義,重新調(diào)整和修訂等級保護(hù)1.0標(biāo)準(zhǔn)體系,配合網(wǎng)絡(luò)安全法的實施和落地,指導(dǎo)用戶按照網(wǎng)絡(luò)安全等級保護(hù)制度的新要求,履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的意義重大。
隨著信息技術(shù)的發(fā)展,等級保護(hù)對象已經(jīng)從狹義的信息系統(tǒng),擴展到網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計算平臺/系統(tǒng)、大數(shù)據(jù)平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng)等,基于新技術(shù)和新手段提出新的分等級的技術(shù)防護(hù)機制和完善的管理手段是等級保護(hù)2.0標(biāo)準(zhǔn)必須考慮的內(nèi)容。關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上,實行重點保護(hù),基于等級保護(hù)提出的分等級的防護(hù)機制和管理手段提出關(guān)鍵信息基礎(chǔ)設(shè)施的加強保護(hù)措施,確保等級保護(hù)標(biāo)準(zhǔn)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)的順利銜接也是等級保護(hù)2.0標(biāo)準(zhǔn)體系需要考慮的內(nèi)容。
等級保護(hù)2.0標(biāo)準(zhǔn)體系主要標(biāo)準(zhǔn)如下:
·       網(wǎng)絡(luò)安全等級保護(hù)條例(總要求/上位文件)
·       計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則(GB 17859-1999)
(上位標(biāo)準(zhǔn))
·       網(wǎng)絡(luò)安全等級保護(hù)實施指南(GB/T25058-2020)
·       網(wǎng)絡(luò)安全等級保護(hù)定級指南(GB/T22240-2020)
·       網(wǎng)絡(luò)安全等級保護(hù)基本要求(GB/T22239-2019)
·       網(wǎng)絡(luò)安全等級保護(hù)設(shè)計技術(shù)要求(GB/T25070-2019)
·       網(wǎng)絡(luò)安全等級保護(hù)測評要求(GB/T28448-2019)
·       網(wǎng)絡(luò)安全等級保護(hù)測評過程指南(GB/T28449-2018)
關(guān)鍵信息基礎(chǔ)設(shè)施標(biāo)準(zhǔn)體系框架如下:
·關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例(征求意見稿)(總要求/上位文件)
·關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求(征求意見稿)
·關(guān)鍵信息基礎(chǔ)設(shè)施安全控制要求(征求意見稿)
·關(guān)鍵信息基礎(chǔ)設(shè)施安全控制評估方法(征求意見稿)
 
主要標(biāo)準(zhǔn)的特點和變化
標(biāo)準(zhǔn)的主要特點
網(wǎng)絡(luò)安全等級保護(hù)制度是國家的基本國策、基本制度和基本方法。作為支撐網(wǎng)絡(luò)安全等級保護(hù)2.0的新標(biāo)準(zhǔn)《GB/T 22240-2020》、《GB/T 22239-2019》、《GB/T 25070-2019》和《GB/T28448-2019》等具有如下幾個特點:
01
等級保護(hù)2.0新標(biāo)準(zhǔn)將對象范圍由原來的信息系統(tǒng)改為等級保護(hù)對象(信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源等)。等級保護(hù)對象包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施(廣電網(wǎng)、電信網(wǎng)、專用通信網(wǎng)絡(luò)等)、云計算平臺/系統(tǒng)、大數(shù)據(jù)平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制 系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng)等。
02
等級保護(hù)2.0新標(biāo)準(zhǔn)在1.0標(biāo)準(zhǔn)的基礎(chǔ)上進(jìn)行了優(yōu)化,同時針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)及大數(shù)據(jù)等新技術(shù)和新應(yīng)用領(lǐng)域提出新要求,形成了安全通用要求+新應(yīng)用安全擴展要求構(gòu)成的標(biāo)準(zhǔn)要求內(nèi)容。
03
等級保護(hù)2.0新標(biāo)準(zhǔn)統(tǒng)一了《GB/T 22239-2019》、《GB/T 25070-2019》和《GB/T28448-2019》三個標(biāo)準(zhǔn)的架構(gòu),采用了“一個中心,三重防護(hù)”的防護(hù)理念和分類結(jié)構(gòu),強化了建立縱深防御和精細(xì)防御體系的思想。
04
等級保護(hù)2.0新標(biāo)準(zhǔn)強化了密碼技術(shù)和可信計算技術(shù)的使用,把可信驗證列入各個級別并逐級提出各個環(huán)節(jié)的主要可信驗證要求,強調(diào)通過密碼技術(shù)、可信驗證、安全審計和態(tài)勢感知等建立主動防御體系的期望。
標(biāo)準(zhǔn)的主要變化
《GB/T 22239-2019》、《GB/T 25070-2019》和《GB/T28448-2019》三個核心標(biāo)準(zhǔn)比較于舊標(biāo)準(zhǔn),無論是在總體結(jié)構(gòu)方面還是在細(xì)節(jié)內(nèi)容方面均發(fā)生了變化??傮w結(jié)構(gòu)方面的主要變化為:
01
為適應(yīng)網(wǎng)絡(luò)安全法,配合落實網(wǎng)絡(luò)安全等級保護(hù)制度,標(biāo)準(zhǔn)的名稱由原來的《信息系統(tǒng)安全等級保護(hù)基本要求》改為《網(wǎng)絡(luò)安全等級保護(hù)基本要求》。等級保護(hù)對象由原來的信息系統(tǒng)調(diào)整為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)(含采用移動互聯(lián)技術(shù)的系統(tǒng))、云計算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等。
02
將原來各個級別的安全要求分為安全通用要求和安全擴展要求,其中安全擴展要求包括安全擴展要求云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求以及工業(yè)控制系統(tǒng)安全擴展要求。安全通用要求是不管等級保護(hù)對象形態(tài)如何必須滿足的要求。
03
原來基本要求中各級技術(shù)要求的“物理安全”、“網(wǎng)絡(luò)安全”、“主機安全”、“應(yīng)用安全”和“數(shù)據(jù)安全和備份與恢復(fù)”修訂為“安全物理環(huán)境”、“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”、“安全計算環(huán)境”和“安全管理中心”;各級管理要求的“安全管理制度”、“安全管理機構(gòu)”、“人員安全管理”、“系統(tǒng)建設(shè)管理”和“系統(tǒng)運維管理”修訂為“安全管理制度”、“安全管理機構(gòu)”、“安全管理人員”、“安全建設(shè)管理”和“安全運維管理”。
04
取消了原來安全控制點的S、A、G標(biāo)注,增加一個附錄A“關(guān)于安全通用要求和安全擴展要求的選擇和使用”,描述等級保護(hù)對象的定級結(jié)果和安全要求之間的關(guān)系,說明如何根據(jù)定級的S、A結(jié)果選擇安全要求的相關(guān)條款,簡化了標(biāo)準(zhǔn)正文部分的內(nèi)容。增加附錄C描述等級保護(hù)安全框架和關(guān)鍵技術(shù)、增加附錄D描述云計算應(yīng)用場景、附錄E描述移動互聯(lián)應(yīng)用場景、附錄F描述物聯(lián)網(wǎng)應(yīng)用場景、附錄G描述工業(yè)控制系統(tǒng)應(yīng)用場景、附錄H描述大數(shù)據(jù)應(yīng)用場景。
主要標(biāo)準(zhǔn)的框架和內(nèi)容
標(biāo)準(zhǔn)的框架結(jié)構(gòu)
《GB/T 22239-2019》、《GB/T 25070-2019》和《GB/T28448-2019》三個標(biāo)準(zhǔn)采取了統(tǒng)一的框架結(jié)構(gòu)。
例如,《GB/T 22239-2019》采用的框架結(jié)構(gòu)如圖1所示。
 
圖1 安全通用要求框架結(jié)構(gòu)
安全通用要求細(xì)分為技術(shù)要求和管理要求。其中技術(shù)要求包括“安全物理環(huán)境”、“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”、“安全計算環(huán)境”和“安全管理中心”;管理要求包括“安全管理制度”、“安全管理機構(gòu)”、“安全管理人員”、“安全建設(shè)管理”和“安全運維管理”。
安全通用要求
安全通用要求針對共性化保護(hù)需求提出,無論等級保護(hù)對象以何種形式出現(xiàn),需要根據(jù)安全保護(hù)等級實現(xiàn)相應(yīng)級別的安全通用要求。安全擴展要求針對個性化保護(hù)需求提出,等級保護(hù)對象需要根據(jù)安全保護(hù)等級、使用的特定技術(shù)或特定的應(yīng)用場景實現(xiàn)安全擴展要求。等級保護(hù)對象的安全保護(hù)需要同時落實安全通用要求和安全擴展要求提出的措施。
1安全物理環(huán)境
針對物理機房提出的安全控制要求。主要對象為物理環(huán)境、物理設(shè)備和物理設(shè)施等;涉及的安全控制點包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)。
2安全通信網(wǎng)絡(luò)
針對通信網(wǎng)絡(luò)提出的安全控制要求。主要對象為廣域網(wǎng)、城域網(wǎng)和局域網(wǎng)等;涉及的安全控制點包括網(wǎng)絡(luò)架構(gòu)、通信傳輸和可信驗證。
3安全區(qū)域邊界
針對網(wǎng)絡(luò)邊界提出的安全控制要求。主要對象為系統(tǒng)邊界和區(qū)域邊界等;涉及的安全控制點包括邊界防護(hù)、訪問控制、入侵防范、惡意代碼防范、安全審計和可信驗證。
4安全計算環(huán)境
針對邊界內(nèi)部提出的安全控制要求。主要對象為邊界內(nèi)部的所有對象,包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備、終端設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)對象和其他設(shè)備等;涉及的安全控制點包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復(fù)、剩余信息保護(hù)和個人信息保護(hù)。
5安全管理中心
針對整個系統(tǒng)提出的安全管理方面的技術(shù)控制要求,通過技術(shù)手段實現(xiàn)集中管理;涉及的安全控制點包括系統(tǒng)管理、審計管理、安全管理和集中管控。
6安全管理制度
針對整個管理制度體系提出的安全控制要求,涉及的安全控制點包括安全策略、管理制度、制定和發(fā)布以及評審和修訂。
7安全管理機構(gòu)
針對整個管理組織架構(gòu)提出的安全控制要求,涉及的安全控制點包括崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作以及審核和檢查。
8安全管理人員
針對人員管理提出的安全控制要求,涉及的安全控制點包括人員錄用、人員離崗、安全意識教育和培訓(xùn)以及外部人員訪問管理。
9安全建設(shè)管理
針對安全建設(shè)過程提出的安全控制要求,涉及的安全控制點包括定級和備案、安全方案設(shè)計、安全產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、等級測評和服務(wù)供應(yīng)商管理。
10安全運維管理
針對安全運維過程提出的安全控制要求,涉及的安全控制點包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備維護(hù)管理、漏洞和風(fēng)險管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理和外包運維管理。
安全擴展要求
安全擴展要求是采用特定技術(shù)或特定應(yīng)用場景下的等級保護(hù)對象需要增加實現(xiàn)的安全要求?!禛B/T 22239-2019》提出的安全擴展要求包括云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求。
1.云計算安全擴展要求是針對云計算平臺提出的安全通用要求之外額外需要實現(xiàn)的安全要求。主要內(nèi)容包括“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護(hù)”、“鏡像和快照保護(hù)”、“云計算環(huán)境管理”和“云服務(wù)商選擇”等。
2.移動互聯(lián)安全擴展要求是針對移動終端、移動應(yīng)用和無線網(wǎng)絡(luò)提出的安全要求,與安全通用要求一起構(gòu)成針對采用移動互聯(lián)技術(shù)的等級保護(hù)對象的完整安全要求。主要內(nèi)容包括“無線接入點的物理位置”、“移動終端管控”、“移動應(yīng)用管控”、“移動應(yīng)用軟件采購”和“移動應(yīng)用軟件開發(fā)”等。
3.物聯(lián)網(wǎng)安全擴展要求是針對感知層提出的特殊安全要求,與安全通用要求一起構(gòu)成針對物聯(lián)網(wǎng)的完整安全要求。主要內(nèi)容包括“感知節(jié)點的物理防護(hù)”、“感知節(jié)點設(shè)備安全”、“網(wǎng)關(guān)節(jié)點設(shè)備安全”、“感知節(jié)點的管理”和“數(shù)據(jù)融合處理”等。
4.工業(yè)控制系統(tǒng)安全擴展要求主要是針對現(xiàn)場控制層和現(xiàn)場設(shè)備層提出的特殊安全要求,它們與安全通用要求一起構(gòu)成針對工業(yè)控制系統(tǒng)的完整安全要求。主要內(nèi)容包括“室外控制設(shè)備防護(hù)”、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”、“撥號使用控制”、“無線使用控制”和“控制設(shè)備安全”等。

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號

微信公眾號

新竹市| 凤冈县| 兴仁县| 南川市| 泗洪县| 麻城市| 札达县| 锦州市| 盐城市| 加查县|