網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)修訂解讀-文檔資料

1、網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)修訂解讀網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)修訂解讀智慧城市運(yùn)營中心智慧城市運(yùn)營中心 周俊周俊2基礎(chǔ)/預(yù)備定級(jí)安全建設(shè)/整改測評(píng)整改重新定級(jí)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 GB 17859-1999 GB/T 25058-2010信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 GB/T 22240-2008 GB/T 22239-2008 GB/T 25070-2010 GB/T 20271-2006 GB/T 20269-2006 信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)定級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)安全管理要求 GB/T 28448-2012

2、 GB/T 28449-2012信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南原等級(jí)保護(hù)標(biāo)準(zhǔn)體系3現(xiàn)等級(jí)保護(hù)標(biāo)準(zhǔn)體系GB 17859 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T 25058網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南GB/T 22240網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南GB/T 22239網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T 25070網(wǎng)絡(luò)安全等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)要求網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求GB/T 28448網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求GB/T 28449信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南網(wǎng)絡(luò)安全等級(jí)保護(hù)測試評(píng)估技術(shù)指南（修訂）（修訂）（修訂）（修訂）（新立）（修訂）（新立）4 2014年

3、，為了適應(yīng)新技術(shù)新應(yīng)用情況下的等級(jí)保護(hù)工作開展，決定對(duì)原標(biāo)準(zhǔn)進(jìn)行擴(kuò)展，形成5個(gè)分冊(cè)，以基本要求為例，分為：網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第1部分：安全通用要求第2部分：云計(jì)算安全擴(kuò)展要求第3部分：移動(dòng)互聯(lián)安全擴(kuò)展要求第4部分：物聯(lián)網(wǎng)安全擴(kuò)展要求第5部分： 工業(yè)控制系統(tǒng)安全擴(kuò)展要求 測評(píng)要求和設(shè)計(jì)要求也進(jìn)行了相應(yīng)的擴(kuò)展，形成了15個(gè)標(biāo)準(zhǔn)小組，各小組經(jīng)過草案、征求意見階段，在2017年5月形成了標(biāo)準(zhǔn)送審稿。標(biāo)準(zhǔn)修訂歷程2013年，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處下達(dá)了對(duì)原國家標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)基本要求、信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求、信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求的修訂工作。2017年8月，網(wǎng)

4、信辦、公安部和信安標(biāo)委達(dá)成一致意見，將基本要求、測評(píng)要求、設(shè)計(jì)要求三個(gè)標(biāo)準(zhǔn)體系的5個(gè)分冊(cè)標(biāo)準(zhǔn)進(jìn)行了合并，形成網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求、網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求、網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求三個(gè)單一標(biāo)準(zhǔn)，形成最新版送審稿。5網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求主要修訂的內(nèi)容6p 原來：信息系統(tǒng)安全等級(jí)保護(hù)基本要求p 改為：網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求p 為適應(yīng)中華人民共和國網(wǎng)絡(luò)安全法，配合落實(shí)“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，變更等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)的名稱。1.標(biāo)準(zhǔn)名稱的變化72.等級(jí)保護(hù)對(duì)象的變化p 原來：信息安全等級(jí)保護(hù)工作直接作用的具體信息和信息系統(tǒng)p 改為：由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則

5、和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)等。p 根據(jù)網(wǎng)絡(luò)安全法，擴(kuò)展等級(jí)保護(hù)對(duì)象，并解決移動(dòng)互聯(lián)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應(yīng)用領(lǐng)域的等級(jí)保護(hù)工作。83.安全要求的變化p 原來：安全要求p 改為：安全通用要求和安全擴(kuò)展要求p 安全通用要求是不管等級(jí)保護(hù)對(duì)象形態(tài)如何必須滿足的要求，針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出了特殊要求，稱為安全擴(kuò)展要求。94.章節(jié)結(jié)構(gòu)的變化（以第三級(jí)要求為例）p 8 第三級(jí)安全要求p 8.1安全通用要求p 8.1.1 物理和環(huán)境安全p p 8.1.8

6、安全運(yùn)維管理p 8.2 云計(jì)算安全擴(kuò)展要求p 8.2.1 物理和環(huán)境安全p 8.2.2 網(wǎng)絡(luò)和通信安全p p 8.3 移動(dòng)互聯(lián)安全擴(kuò)展要求p 8.4 物聯(lián)網(wǎng)安全擴(kuò)展要求p 8.5 工業(yè)控制系統(tǒng)安全擴(kuò)展要求p 7 第三級(jí)基本要求p 7.1 技術(shù)要求p 7.1.1物理安全p 7.1.2網(wǎng)絡(luò)安全p p 7.2 管理要求p 7.2.1 安全管理制度p 7.2.2 安全管理機(jī)構(gòu)p 105.控制措施分類結(jié)構(gòu)的變化p 技術(shù)要求 原來：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全 改為：物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全p 管理要求 原來：安全管理制度、安全管理機(jī)構(gòu)、人員安全管

7、理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理 改為：安全策略和管理制度、安全管理機(jī)構(gòu)與人員、安全建設(shè)管理、安全運(yùn)維管理116.通用要求控制點(diǎn)的變化物理和環(huán)境安全序號(hào)原分類原有控制點(diǎn)新的分類新的控制點(diǎn)1物理安全物理位置的選擇物理和環(huán)境安全物理位置的選擇2物理訪問控制物理訪問控制3防盜竊和防破壞防盜竊和防破壞4防雷擊防雷擊5防火防火6防水和防潮防水和防潮7防靜電防靜電8溫濕度控制溫濕度控制9電力供應(yīng)電力供應(yīng)10電磁防護(hù)電磁防護(hù)126.通用要求控制點(diǎn)的變化網(wǎng)絡(luò)和通信安全序號(hào)原分類原有控制點(diǎn)新的分類新的控制點(diǎn)1網(wǎng)絡(luò)安全結(jié)構(gòu)安全網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)架構(gòu)2訪問控制通信傳輸3安全審計(jì)邊界防護(hù)4邊界完整性檢查訪問控制5入侵防

8、范入侵防范6惡意代碼防范惡意代碼防范7網(wǎng)絡(luò)設(shè)備防護(hù)安全審計(jì)8集中管控136.通用要求控制點(diǎn)的變化設(shè)備和計(jì)算安全序號(hào)原分類原有控制點(diǎn)新的分類新的控制點(diǎn)1主機(jī)安全身份鑒別設(shè)備和計(jì)算安全身份鑒別2安全標(biāo)記訪問控制3訪問控制安全審計(jì)4可信路徑入侵防范5安全審計(jì)惡意代碼防范6剩余信息保護(hù)資源控制7入侵防范8惡意代碼防范9資源控制146.通用要求控制點(diǎn)的變化應(yīng)用和數(shù)據(jù)安全序號(hào)原分類原有控制點(diǎn)新的分類新的控制點(diǎn)1應(yīng)用安全身份鑒別應(yīng)用和數(shù)據(jù)安全身份鑒別2安全標(biāo)記訪問控制3訪問控制安全審計(jì)4可信路徑軟件容錯(cuò)5安全審計(jì)資源控制6剩余信息保護(hù)數(shù)據(jù)完整性7通信完整性數(shù)據(jù)保密性8通信保密性數(shù)據(jù)備份恢復(fù)9抗抵賴剩余信息保

9、護(hù)10軟件容錯(cuò)個(gè)人信息保護(hù)11資源控制1數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性2數(shù)據(jù)保密性3備份和恢復(fù)156.通用要求控制點(diǎn)的變化安全管理策略和管理制度序號(hào)原分類原有控制點(diǎn)新的分類新的控制點(diǎn)1安全管理制度管理制度安全策略和管理制度安全策略2制定和發(fā)布管理制度3評(píng)審和修訂制定和發(fā)布4評(píng)審和修訂166.通用要求控制點(diǎn)的變化安全管理機(jī)構(gòu)和人員序號(hào)原分類原有控制點(diǎn)新的分類新的控制點(diǎn)1安全管理機(jī)構(gòu)崗位設(shè)置安全管理機(jī)構(gòu)和人員崗位設(shè)置2人員配備人員配備3授權(quán)和審批授權(quán)和審批4溝通和合作溝通和合作5審核和檢查審核和檢查1人員安全管理人員錄用人員錄用2人員離崗人員離崗3人員考核安全意識(shí)教育和培訓(xùn)4安全意識(shí)教育和培訓(xùn)外部人

10、員訪問管理5外部人員訪問管理176.通用要求控制點(diǎn)的變化安全建設(shè)管理序號(hào)原分類原有控制點(diǎn)新的分類新的控制點(diǎn)1系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)安全建設(shè)管理定級(jí)和備案2安全方案設(shè)計(jì)安全方案設(shè)計(jì)3產(chǎn)品采購和使用產(chǎn)品采購和使用4自行軟件開發(fā)自行軟件開發(fā)5外包軟件開發(fā)外包軟件開發(fā)6工程實(shí)施工程實(shí)施7測試驗(yàn)收測試驗(yàn)收8系統(tǒng)交付系統(tǒng)交付9系統(tǒng)備案等級(jí)測評(píng)10等級(jí)測評(píng)服務(wù)供應(yīng)商選擇11安全服務(wù)商選擇186.通用要求控制點(diǎn)的變化安全運(yùn)維管理序號(hào)原分類原有控制點(diǎn)新的分類新的控制點(diǎn)1系統(tǒng)運(yùn)維管理環(huán)境管理安全運(yùn)維管理環(huán)境管理2資產(chǎn)管理資產(chǎn)管理3介質(zhì)管理介質(zhì)管理4設(shè)備管理設(shè)備維護(hù)管理5監(jiān)控管理和安全管理中心漏洞和風(fēng)險(xiǎn)管理6網(wǎng)絡(luò)安全

11、管理網(wǎng)絡(luò)和系統(tǒng)管理7系統(tǒng)安全管理惡意代碼防范管理8惡意代碼防范管理配置管理9密碼管理密碼管理10變更管理變更管理11備份與恢復(fù)管理備份與恢復(fù)管理12安全事件處置安全事件處置13應(yīng)急預(yù)案管理應(yīng)急預(yù)案管理14外包運(yùn)維管理196.通用要求標(biāo)準(zhǔn)控制點(diǎn)的變化安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理和環(huán)境安全7101010網(wǎng)絡(luò)和通信安全4688設(shè)備和計(jì)算安全4666應(yīng)用和數(shù)據(jù)安全591010管理要求安全策略和管理制度1444安全管理機(jī)構(gòu)和人員7999安全建設(shè)管理7101010安全運(yùn)維管理8141414合計(jì)（新標(biāo)準(zhǔn)）43687171合計(jì)（舊標(biāo)準(zhǔn)）48667377207.增加云計(jì)算安全擴(kuò)展要求p 云計(jì)算安全

12、擴(kuò)展要求章節(jié)針對(duì)云計(jì)算的特點(diǎn)提出特殊保護(hù)要求。由第2分冊(cè)（之前的云計(jì)算安全擴(kuò)展要求分冊(cè)）合并為基本要求的X.2章節(jié)，合并后精煉保留針對(duì)云計(jì)算特點(diǎn)的特殊保護(hù)要求，增加包括“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護(hù)”、“鏡像和快照保護(hù)”、“云服務(wù)商選擇”和“云計(jì)算環(huán)境管理”等方面。218.增加了移動(dòng)互聯(lián)安全擴(kuò)展要求p 移動(dòng)互聯(lián)安全擴(kuò)展要求章節(jié)針對(duì)移動(dòng)互聯(lián)的特點(diǎn)提出特殊保護(hù)要求。由第3分冊(cè)（之前的移動(dòng)互聯(lián)網(wǎng)安全擴(kuò)展要求分冊(cè)）合并為基本要求的X.3章節(jié)，合并后精煉保留針對(duì)移動(dòng)互聯(lián)網(wǎng)特點(diǎn)的特殊保護(hù)要求，增加包括“無線接入點(diǎn)的物理位置”、“移動(dòng)終端管控”、“移動(dòng)應(yīng)用管控”、“移動(dòng)應(yīng)用軟件采購”和“移動(dòng)應(yīng)用軟件開

13、發(fā)”等方面。229.增加了物聯(lián)網(wǎng)安全擴(kuò)展要求p 物聯(lián)網(wǎng)安全擴(kuò)展要求章節(jié)針對(duì)物聯(lián)網(wǎng)的特點(diǎn)提出特殊保護(hù)要求。由第4分冊(cè)（之前的物聯(lián)網(wǎng)安全擴(kuò)展要求分冊(cè)）合并為基本要求的X.4章節(jié)，合并后精煉保留針對(duì)物聯(lián)網(wǎng)的感知網(wǎng)部分特殊保護(hù)要求，增加包括“感知節(jié)點(diǎn)的物理防護(hù)”、“感知節(jié)點(diǎn)設(shè)備安全”、“網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全”、“感知節(jié)點(diǎn)的管理”和“數(shù)據(jù)融合處理”等方面。2310.增加了工業(yè)控制系統(tǒng)安全擴(kuò)展要求p 工業(yè)控制系統(tǒng)安全擴(kuò)展要求章節(jié)針對(duì)工業(yè)控制系統(tǒng)的特點(diǎn)提出特殊保護(hù)要求。對(duì)工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括“室外控制設(shè)備防護(hù)”、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”、“撥號(hào)使用控制”、“無線使用控制”和“控制設(shè)備安全”等方面，

14、針對(duì)工業(yè)控制系統(tǒng)實(shí)時(shí)性要求高的特點(diǎn)調(diào)整了“漏洞和風(fēng)險(xiǎn)管理”和“惡意代碼防范管理”方面的要求。24安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理和環(huán)境安全7152223網(wǎng)絡(luò)和通信安全7153333設(shè)備和計(jì)算安全7172626應(yīng)用和數(shù)據(jù)安全8223437管理要求安全策略和管理制度1677安全管理機(jī)構(gòu)和人員7162629安全建設(shè)管理9233435安全運(yùn)維管理13314951合計(jì)（新標(biāo)準(zhǔn)）59145231241合計(jì)（舊標(biāo)準(zhǔn)）8517529031811.標(biāo)準(zhǔn)控制項(xiàng)的變化通用要求2511.標(biāo)準(zhǔn)控制項(xiàng)的變化擴(kuò)展要求安全要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)安全通用要求（X.1）59145231241云計(jì)算安全擴(kuò)展要求（X.2）

15、12376061移動(dòng)互聯(lián)安全擴(kuò)展要求（X.3）5192324物聯(lián)網(wǎng)安全擴(kuò)展要求（X.4）792324工業(yè)控制系統(tǒng)安全擴(kuò)展要求（X.5）101826272612.取消了安全控制點(diǎn)的標(biāo)注p 適應(yīng)定級(jí)方法的變化，取消了原來安全控制點(diǎn)的S、A、G標(biāo)注，調(diào)整原來的附錄B“安全要求的選擇和使用“，描述等級(jí)保護(hù)對(duì)象的定級(jí)結(jié)果和安全要求之間的關(guān)系，增加安全控制措施選擇時(shí)，控制點(diǎn)的標(biāo)注及使用說明。2713.增加了應(yīng)用場景的說明p 增加附錄C 描述等級(jí)保護(hù)安全框架和關(guān)鍵技術(shù) ，增加附錄D描述云計(jì)算應(yīng)用場景，附錄E描述移動(dòng)互聯(lián)應(yīng)用場景，附錄F描述物聯(lián)網(wǎng)應(yīng)用場景，附錄G描述工業(yè)控制系統(tǒng)應(yīng)用場景。等級(jí)保護(hù)安全框架28圖

16、D.1云計(jì)算服務(wù)模式與控制范圍的關(guān)系13.增加了應(yīng)用場景的說明29層面安全要求安全組件責(zé)任主體物理和環(huán)境安全物理位置選擇數(shù)據(jù)中心及物理設(shè)施云服務(wù)商網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)結(jié)構(gòu)、訪問控制、入侵防范、安全審計(jì)物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺(tái)云服務(wù)商云服務(wù)客戶虛擬網(wǎng)絡(luò)安全域云服務(wù)客戶設(shè)備和計(jì)算安全身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、資源控制、鏡像和快照保護(hù)物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺(tái)、物理宿主機(jī)及附屬設(shè)備、虛擬機(jī)管理平臺(tái)、鏡像等云服務(wù)商云服務(wù)客戶虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備、虛擬機(jī)等云服務(wù)客戶應(yīng)用和數(shù)據(jù)安全安全審計(jì)、資源控制、接口安全、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)云管理

17、平臺(tái)（含運(yùn)維和運(yùn)營）、鏡像、快照等云服務(wù)商云服務(wù)客戶應(yīng)用系統(tǒng)及相關(guān)軟件組件、云服務(wù)客戶應(yīng)用系統(tǒng)配置、云服務(wù)客戶業(yè)務(wù)相關(guān)數(shù)據(jù)等云服務(wù)客戶安全管理機(jī)構(gòu)和人員授權(quán)和審批授權(quán)和審批流程、文檔等云服務(wù)商安全建設(shè)管理安全方案設(shè)計(jì)、測試驗(yàn)收、云服務(wù)商選擇、供應(yīng)鏈管理云計(jì)算平臺(tái)接口、安全措施、供應(yīng)鏈管理流程、安全事件和重要變更信息云服務(wù)商云服務(wù)商選擇及管理流程云服務(wù)客戶安全運(yùn)維管理監(jiān)控和審計(jì)管理監(jiān)控和審計(jì)管理的相關(guān)流程、策略和數(shù)據(jù)云服務(wù)商、云服務(wù)客戶IaaS模式下云服務(wù)商與租戶的責(zé)任劃分30層面安全要求安全組件責(zé)任主體物理和環(huán)境安全物理位置選擇數(shù)據(jù)中心及物理設(shè)施云服務(wù)商網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)結(jié)構(gòu)、訪問控制、遠(yuǎn)程訪

18、問、入侵防范、安全審計(jì)物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺(tái)、虛擬網(wǎng)絡(luò)安全域云服務(wù)商設(shè)備和計(jì)算安全身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、資源控制、鏡像和快照保護(hù)物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺(tái)、物理宿主機(jī)及附屬設(shè)備、虛擬機(jī)管理平臺(tái)、鏡像、虛擬機(jī)、虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備等云服務(wù)商應(yīng)用和數(shù)據(jù)安全安全審計(jì)、資源控制、接口安全、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)云管理平臺(tái)（含運(yùn)維和運(yùn)營）、鏡像、快照等云服務(wù)商云服務(wù)客戶應(yīng)用系統(tǒng)及相關(guān)軟件組件、云服務(wù)客戶應(yīng)用系統(tǒng)配置、云服務(wù)客戶業(yè)務(wù)相關(guān)數(shù)據(jù)等云 服 務(wù) 客戶安全管理機(jī)構(gòu)和人員授權(quán)和審批授權(quán)和審批流程、文檔等云服務(wù)商安全建設(shè)管理安全

19、方案設(shè)計(jì)、測試驗(yàn)收、云服務(wù)商選擇、供應(yīng)鏈管理云計(jì)算平臺(tái)接口、安全措施、供應(yīng)鏈管理流程、安全事件和重要變更信息云服務(wù)商云服務(wù)商選擇及管理流程云 服 務(wù) 客戶安全運(yùn)維管理監(jiān)控和審計(jì)管理監(jiān)控和審計(jì)管理的相關(guān)流程、策略和數(shù)據(jù)云服務(wù)商PaaS模式下云服務(wù)商與租戶的責(zé)任劃分31SaaS模式下云服務(wù)商與租戶的責(zé)任劃分層面安全要求安全組件責(zé)任主體物理和環(huán)境安全物理位置選擇數(shù)據(jù)中心及物理設(shè)施云服務(wù)商網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)結(jié)構(gòu)、訪問控制、遠(yuǎn)程訪問、入侵防范、安全審計(jì)物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺(tái)、虛擬網(wǎng)絡(luò)安全域云服務(wù)商設(shè)備和計(jì)算安全身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、資源控制、鏡像和快照保護(hù)物

20、理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺(tái)、物理宿主機(jī)及附屬設(shè)備、虛擬機(jī)管理平臺(tái)、鏡像、虛擬機(jī)、虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備等云服務(wù)商應(yīng)用和數(shù)據(jù)安全安全審計(jì)、資源控制、接口安全、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)云管理平臺(tái)（含運(yùn)維和運(yùn)營）、鏡像、快照等、應(yīng)用系統(tǒng)及相關(guān)軟件組件云服務(wù)商云服務(wù)客戶應(yīng)用系統(tǒng)配置、云服務(wù)客戶業(yè)務(wù)相關(guān)數(shù)據(jù)等云服務(wù)客戶安全管理機(jī)構(gòu)和人員授權(quán)和審批授權(quán)和審批流程、文檔等云服務(wù)商安全建設(shè)管理安全方案設(shè)計(jì)、測試驗(yàn)收、云服務(wù)商選擇、供應(yīng)鏈管理云計(jì)算平臺(tái)接口、安全措施、供應(yīng)鏈管理流程、安全事件和重要變更信息云服務(wù)商云服務(wù)商選擇及管理流程云服務(wù)客戶安全運(yùn)維管理監(jiān)控和審計(jì)管理監(jiān)控和審計(jì)管理的相

21、關(guān)流程、策略和數(shù)據(jù)云服務(wù)商32圖E.1移動(dòng)互聯(lián)應(yīng)用架構(gòu)圖F.1物聯(lián)網(wǎng)系統(tǒng)構(gòu)成13.增加了應(yīng)用場景的說明33網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求主要修訂的內(nèi)容34主要修訂內(nèi)容名稱的變化及等級(jí)保護(hù)測評(píng)對(duì)象的變化。（與基本要求一致）每級(jí)分別遵從基本要求的框架描述如何實(shí)施測評(píng)工作，每個(gè)級(jí)別包括安全測評(píng)通用要求、云計(jì)算安全測評(píng)擴(kuò)展要求、移動(dòng)互聯(lián)安全測評(píng)擴(kuò)展要求、物聯(lián)網(wǎng)安全測評(píng)擴(kuò)展要求和工業(yè)控制系統(tǒng)安全測評(píng)擴(kuò)展要求等5個(gè)部分內(nèi)容。測評(píng)項(xiàng)與基本要求一致。為了更加易于使用測評(píng)要求，增加附錄B 測評(píng)單元編號(hào)說明和附錄D 基本要求和測評(píng)要求對(duì)應(yīng)表。35等級(jí)測評(píng)描述框架 等級(jí)測評(píng)分為單項(xiàng)測評(píng)和整體測評(píng)。 單項(xiàng)測評(píng)是針對(duì)各安全要

22、求項(xiàng)的測評(píng)，支持測評(píng)結(jié)果的可重復(fù)性和可再現(xiàn)性。本標(biāo)準(zhǔn)中單項(xiàng)測評(píng)由測評(píng)指標(biāo)、測評(píng)對(duì)象、測評(píng)實(shí)施和單元判定結(jié)果構(gòu)成。 整體測評(píng)是在單項(xiàng)測評(píng)基礎(chǔ)上，對(duì)等級(jí)保護(hù)對(duì)象整體安全保護(hù)能力的判斷。整體安全保護(hù)能力從縱深防護(hù)和措施互補(bǔ)二個(gè)角度評(píng)判。測評(píng)流程方法的變化36在級(jí)差上的變化測試方法：第一級(jí)主要以訪談位置，第二級(jí)核查為主，第三級(jí)和第四級(jí)在核查的基礎(chǔ)上進(jìn)行測試驗(yàn)證。測評(píng)對(duì)象范圍：第一級(jí)和第二級(jí)為關(guān)鍵設(shè)備，第三級(jí)主要設(shè)備，第四級(jí)所有設(shè)備測評(píng)實(shí)施：第一級(jí)和第二級(jí)以核查安全機(jī)制為主，第三級(jí)和第四級(jí)先核查安全機(jī)制，再檢查策略有效性。測評(píng)方法使用：安全技術(shù)方面的測評(píng)方法以配置核查和測試驗(yàn)證為主，幾乎沒有訪談。安全管

23、理方面可以使用訪談方式進(jìn)行測評(píng)37網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求主要修訂的內(nèi)容38名稱的變化及等級(jí)化保護(hù)對(duì)象的變化。（與基本要求一致）沿用“一個(gè)中心三重防護(hù)“的防護(hù)理念，在通用的等級(jí)保護(hù)安全設(shè)計(jì)框架下，針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物理網(wǎng)、工業(yè)控制系統(tǒng)提出了新的安全設(shè)計(jì)框架。在每一級(jí)的“安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求“、”安全區(qū)域邊界技術(shù)設(shè)計(jì)技術(shù)要求”、“安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求”中，除了通用設(shè)計(jì)外，增加了針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)的設(shè)計(jì)要求。主要修訂內(nèi)容39網(wǎng)絡(luò)安全等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)框架40云計(jì)算安全防護(hù)技術(shù)框架41移動(dòng)互聯(lián)系統(tǒng)安全防護(hù)技術(shù)框架42物聯(lián)網(wǎng)安全防護(hù)技術(shù)框架43工業(yè)控制系統(tǒng)

24、安全防護(hù)技術(shù)框架44現(xiàn)等級(jí)保護(hù)標(biāo)準(zhǔn)體系GB 17859 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T 25058網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南GB/T 22240網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南GB/T 22239網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T 25070網(wǎng)絡(luò)安全等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)要求網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求GB/T 28448網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求GB/T 28449信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南網(wǎng)絡(luò)安全等級(jí)保護(hù)測試評(píng)估技術(shù)指南（修訂）（修訂）（修訂）（修訂）（新立）（修訂）（新立）45網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南主要修訂的內(nèi)容（草案階段）46p 原來：信息安全等級(jí)保護(hù)工作直接作用的具體信息和信息系統(tǒng)p 改為：網(wǎng)絡(luò)安全等級(jí)保護(hù)的作用對(duì)象，主要包括基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)、使用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)系統(tǒng)以及其他網(wǎng)絡(luò)系統(tǒng)。（目前文字描述上與基本要求不一致，但意思相同，后期應(yīng)該會(huì)統(tǒng)一）p 根據(jù)網(wǎng)絡(luò)安全法，擴(kuò)展等級(jí)保護(hù)對(duì)象，并解決移動(dòng)互聯(lián)