《網絡安全等級保護測評要求》解讀

編者按：目前全國注冊(cè)信息安全等級測(cè)評師已達5000餘人，每年參(cān)與近萬個信息系統的安全測(cè)評工作，測(cè)評師隊伍已經成爲國家網絡安全保障工作的一支重要力量。測(cè)評師和測(cè)評機構開展工作所依據的重要标準就是本期的《網絡安全等級保護測(cè)評要求第1部分：安全通用要求》，下面就由第一編(biān)制人陳廣勇主任爲大家作标準解讀。後續針對測評師的标準專題培訓也将於(yú)下一階段展開，敬請關注。

爲什麽要修訂(dìng)《網絡安全等級保護測(cè)評要求》

國家标準GB/T 28448－2012《信息安全技術 信息系統安全等級保護測評要求》在我國網絡安全等級保護工作開展過程中發揮瞭(le)重要的指導作用，被廣泛應用於(yú)等級保護測評機構、各個行業和領域開展網絡安全等級保護的等級測評和安全自查等相關工作。GB/T 28448自2012年發布以來，随著(zhe)信息技術的發展，在标準應用過程中特别是雲計算、移動互聯、物聯網、工業控制和大數據等新技術、新應用環境下也遇到瞭(le)一些新的問題，GB/T 28448－2012在适用性、時效性、易用性、可操作性上需要進(jìn)一步完善。此外，作爲測(cè)評指标進(jìn)行引用的GB/T 22239－2008也啓動瞭(le)修訂(dìng)工作。爲适應我國網絡安全等級保護工作發展的需要，進一步與新版的GB/T 22239相協調，有必要對GB/T 28448－2012進行修訂。

GB/T 28448《信息安全技術 網絡安全等級保護測(cè)評要求》（以下簡稱(chēng)“測(cè)評要求”）将按照應用的領域劃分成安全通用要求和具體領域的安全擴展測(cè)評要求。目前計劃發布以下部分
：

——第1部分：安全通用要求；

——第2部分：雲計(jì)算安全擴(kuò)展要求；

——第3部分：移動(dòng)互聯安全擴(kuò)展要求；

——第4部分：物聯(lián)網安全擴(kuò)展要求；

——第5部分：工業控制系統(tǒng)安全擴(kuò)展要求；

——第6部分：大數據(jù)安全擴(kuò)展要求。

《測評要求第1部分：安全通用要求》主要修訂(dìng)内容

根據全國(guó)信息安全标準化技術委員會(huì)2013年10月下達(dá)的國家标準制修訂計劃
，公安部第三研究所（公安部信息安全等級保護評估中心）牽頭組織瞭(le)對GB/T 28448-2012的修訂工作。

在前期先對GB/T 22239進行修訂的同時，研究確(què)定瞭(le)《測評要求》修訂技術思路。待GB/T22239形成草案後，同步開始修訂《測評要求》。修訂經曆瞭(le)調查研究、草案形成、征求意見稿
、送審稿等過程，也收到瞭(le)許多專家、各行業用戶及七大部委的許多寶貴意見。爲便於(yú)大家更好地理解和使用新标準體系，提前向大家介紹以下對原國家标準GB/T 28448-2012修訂的一些主要内容。

 1  等級測評技術框架的變化

等級測(cè)評技術框架由原标準的單(dān)元測(cè)評和整體測(cè)評調整爲單(dān)項測(cè)評和整體測(cè)評。

單項測(cè)評是針對各安全要求項的測(cè)評，支持測(cè)評結果的可重複性和可再現性。本标準中單項測(cè)評由測(cè)評指标、測(cè)評對象、測(cè)評實施和單元判定構成。修訂後的單項測(cè)評中測(cè)評指标更加細化，由原标準中的安全控制點調整爲安全控制點下的具體安全要求項，更有助於(yú)測(cè)評實施的開展。

整體測(cè)評是在單項測(cè)評基礎上，對等級保護對象整體安全保護能力的判斷。整體測(cè)評内容由原标準的安全控制點間、層(céng)面間和區域間測(cè)評等方面調整爲現标準的安全控制點測(cè)評、安全控制點間測(cè)評和層(céng)面間測(cè)評。

另外，爲瞭(le)更好使機構測評人員明確(què)測評工作的作用對象，在測評單元中增加測評對象。測評對象是指等級測評過程中不同測評方法作用的對象，主要涉及相關配套制度文檔、設備設施及人員等
。

 2 标準内容的變化

測(cè)評要求沿用正在修訂(dìng)中的《網絡安全等級保護定級指南》GB/T 22240提出的“等級保護對象”概念，並(bìng)給出針對等級保護對象的安全等級保護測(cè)評的定義
。

依據GB/T 22239.1标準文本架構，測評要求描述瞭(le)如何從物理和環境安全、網絡和通信安全、設備(bèi)和計算安全
、應用和數據安全、安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理等八個層面進行測評實施工作。

爲瞭(le)更加易於(yú)使用測評要求，增加《附錄B 測(cè)評單元編(biān)号說明》和《附錄D 基本要求和測(cè)評要求對(duì)應表》。

附錄B給出瞭(le)測評單元編(biān)碼規則和專用縮略語，測評單元編(biān)号爲三組數據，格式爲XX-XXXX-XX，各組含義和編(biān)碼規(guī)則如下：

1）第1組由兩位組成，第1位爲字母L，第2位爲數字，其中數字1爲第一級，2爲第二級，3爲第三級，4爲第四級，5爲第五級。

2）第2組由4位組成，前3位爲字母，第4位爲數(shù)字。字母代表層(céng)面：PES爲物理和環境安全， NCS爲網絡和通信安全，ECS爲設備和計算安全，ADS爲應用和數據安全，PSS爲(wèi)安全策略和管理制度，ORS爲安全管理機構和人員，CMS爲安全建設管理，MMS爲安全運維管理。數(shù)字代表标準分冊(cè)：1爲第一分冊，2爲第二分冊，3爲第三分冊，4爲第四分冊，5爲第五分冊，6爲第六分冊。

3）第3組由2位數字組成，按層(céng)面對基本要求中的要求項進行順序編(biān)号。

示例：測評單元編号爲L1-PES1-01，代表源自基本要求第1部分的第一級(jí)物理和環(huán)境安全類的第1個指标。

爲瞭(le)方便機構測(cè)評人員進行現場等級測(cè)評工作，增加附錄D基本要求的要求項和測(cè)評要求的單元測(cè)評對應表，便於(yú)機構測(cè)評人員檢索和索引。

 3 測評要求在級差上的變化

不同等級的測(cè)評工作主要通過以下四個(gè)方面來體現測(cè)評要求的級差：

1）不同級别使用不同測(cè)評方法：第一級主要以訪談爲主進行等級測(cè)評，第二級以核查爲主進行等級測(cè)評，第三級和第四級在核查基礎(chǔ)上還要進行測(cè)試驗證工作。不同級别使用不同測(cè)評方法，能體現出測(cè)評實施過程中訪談、核查和測(cè)試的測(cè)評強度的不同。

2）不同級别測(cè)評對象範圍不同：第一級和第二級測(cè)評對象的範圍爲關鍵設備(bèi)，第三級爲主要設備(bèi)，第四級爲所有設備(bèi)。不同級别測(cè)評對象範圍不同，能體現出測(cè)評實施過程中訪談、核查和測(cè)試的測(cè)評廣度的不同。

3）不同級别現場(chǎng)測(cè)評實施工作不同：第一級和二級以核查安全機制爲主，第三級和第四級先核查安全機制，再核查安全策略有效性。

4）現場(chǎng)測(cè)評方法使用不同：在實際現場(chǎng)測(cè)評實施過程中，安全技術方面的測(cè)評方法以配置核查和測(cè)試驗證爲主，幾乎沒有訪談。安全管理方面可以使用訪談方式進行測(cè)評。

 4 與設計要求進行融合

爲瞭(le)更好落實等級保護制度，推動等級保護技術标準的發展，新修訂的測(cè)評要求增加瞭(le)《附錄C設計要求測(cè)評驗證表》。根據設計要求提出的“一個中心，三重防護”的安全保護思想，從安全管理中心、安全計算環境、安全區域邊(biān)界和安全通信網絡四個方面，測(cè)評要求能夠全面驗證新修訂的《設計要求》。

 5 測評要求使用方法

測評要求系列标準中“安全通用要求”是等級保護對象通用測評标準，無論等級保護對象使用何種技術，必須首先使用“安全通用要求”對等級保護對象進行測評，結合等級保護對象技術架構，再結合使用測評要求其他部分進行測評。例如：某單位的等級保護對象採(cǎi)用瞭(le)雲計算技術和移動互聯接入技術，在進行等級測評時候，首先使用GB/T 28448.1，再結合使用GB/T 28448.2和GB/T 28448.3，對同時採(cǎi)用瞭(le)雲計算技術和移動互聯技術的等級保護對象進行測評，以驗證等級保護對象是否落實雲計算安全擴展要求和移動互聯安全擴展要求提出的安全控制措施。

綜上，測評要求系列标準力圖對現場安全測評使用的作業指導書進行“無限接近的标準化”工作。無論等級保護對象是網絡基礎設施和傳統信息系統，還是採(cǎi)用瞭(le)雲計算、移動互聯、物聯網、工業控制系統和大數據等技術的特殊等級保護對象，測評要求系列标準能夠規範全國等級測評機構測評人員的現場測評行爲，接近客觀給出測評結果，使等級測評工作更加規範化和标準化。