等保2.0基本要求框架—GB/T 22239-2019解讀
作者:啟明星辰
2020-08-26
GB/T 22239是等級保護中�����,包含技術防護和管理要求的基本要求標準��。核心內容編排上按照1+5��,即安全通用要求+5個新技術新領域的安全擴展要求組合而成�。整個標準原文按照內容大類����,可分為三大部分:引言及網絡安全等級保護概述�、第一級至第四級安全要求�、附錄表述����。下面按照三部分進行解讀����。
前言及網絡安全等級保護概述
在前言部分�,概要介紹了等保2.0的GB/T 22239—2019與等保1.0的GB/T 22239—2008主要差異為三點:名稱變化(信息系統變成網絡)�����、分類調整(2.0雖然也是10個分類�����,但內容和名稱都做了調整)���、取消安全控制點的SAG標注(用附錄A說明定級結果和安全防護要求的關系)����。
在等保概述部分��,介紹了等保對象主要包括基礎信息網絡����、云計算平臺/系統�����、大數據應用/平臺/資源�����、物聯網���、工業控制系統和采用移動互聯技術的系統等�����。等保定級內容不變��,依然按照等保對象被破壞后影響進行劃分�。即對國家安全��、社會秩序����、公共利益以及公民���、法人和其他組織的合法權益的危害程度劃分了5個等級���。
GB/T 22239-2019第一級至第四級安全要求
分別從10個分類說明每個級別的安全控制項及下面的控制點����。下面�,只列舉技術控制點的差異��,具體內容如下:
表1
表2
表3
對比新增內容可知�,二級要求相比一級而言�,基礎門檻已達到一定高度�����。而三級比二級則有進一步顯著增強�。對于擁有龐大基數的二級系統和三級系統�,在有利于提高國內網絡安全防護整體基準的同時���,通過級別差異性增強關鍵設施的網絡安全防護水平��。
通過對比可以發現���,等保2.0的技術要求與涉密領域分級保護的技術要求有一定相似的地方�,如在“安全物理環境”中����,相關條款要求與分保的機密級關于物理安全中要求大體一致����,這有利于指導和開展機房等關鍵網絡設備區域的工程建設��,使得建成的機房符合雙標準(等保和分保)��。
由對比還可以看出的一個比較顯著的變化是可信驗證的強化�����。從一級到四級���,“安全通信網絡”�、“安全區域邊界”和“安全計算環境”中增加了“可信驗證”控制項和具體控制點����。不過����,可信驗證的所有要求都是“可”�����,不是“應”�,但在具體項目可酌情�����。
針對個性化防護需求����,標準在安全擴展要求部分����,針對云計算�、移動互聯�、物聯網���、工業控制系統提出了具體的控制項和控制點�。
附錄表述
安全通用要求和安全擴展要求共同構成了對等級保護對象的安全要求��。安全要求的選擇見附錄A�,整體安全保護能力的要求見附錄B和附錄C��。本標準針對云計算�、移動互聯��、物聯網�����、工業控制系統提出了安全擴展要求�。云計算應用場景參見附錄D���,移動互聯應用場景參見附錄E����,物聯網應用場景參見附錄F�����,工業控制系統應用場景參見附錄G����,大數據應用場景參見附錄H��。對于采用其他特殊技術或處于特殊應用場景的等級保護對象�����,應在安全風險評估的基礎上���,針對安全風險采取特殊的安全措施作為補充�。
安全通用要求針對共性化保護需求提出���,等級保護對象無論以何種形式出現��,必須根據安全保護等級��,通過對應級別的安全通用要求�,加上針對個性化保護需求的安全擴展要求����,結合使用的特定技術或特定的應用場景��,實現對系統的等級保護�。即等級保護對象的保護=安全通用要求+安全擴展要求�����。
快速鏈接
京公網安備11010802024551號