◆甘清云

国标《信息系统安全等级保护基本要求》修订浅析

◆甘清云

（中国直升机设计研究所 天津 300300）

GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》已于2019年5月10日发布，将于2019年12月1日开始实施。GB/T 22239-2019将代替2008年6月19日发布的已实施十一年的GB/T 22239-2008。本文主要分析了GB/T 22239修订情况。

国标；等级保护；基本要求

《中华人民共和国网络安全法》已于2016年11月7日发布，2017年6月1日起施行。为了配合《中华人民共和国网络安全法》的实施，同时适应云计算、大数据、物联网、移动互联、工业控制系统等新技术、新应用情况下网络安全等级保护工作的开展，需对GB/T 22239-2008进行修订。修订的思路是针对共性保护需求提出安全通用要求，针对云计算、大数据、物联网、移动互联、工业控制系统等新技术、新应用领域的个性化安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。

1 等级保护相关标准简介

等级保护1.0时代信息系统等级保护相关标准主要有：GB/T 22239-2008《信息系统安全等级保护基本要求》、GB/T 22240-2008《信息系统安全等级保护定级指南》、GB/T 25058-2008《信息系统安全等级保护实施指南》、GB/T 25070-2010《信息系统等级保护安全设计要求》、GB/T 28448-2012《信息系统安全等级保护测评要求》、GB/T 28449-2012《信息系统安全等级保护测评过程指南》。

目前处于等级保护2.0时代，除《网络安全等级保护实施指南》和《网络安全等级保护定级指南》正在修订外，GB/T 22239-2019《网络安全等级保护基本要求》、GB/T 25070-2019《网络安全等级保护设计技术要求》、GB/T 28448-2019《网络安全等级保护测评要求》、GB/T 28449-2018《网络安全等级保护测评过程指南》、GB/T 36627-2018《网络安全等级保护测试评估技术指南》、GB/T 36958-2018《网络安全等级保护安全管理中心技术要求》、GB/T 36959-2018《网络安全等级保护测评机构能力要求和评估规范》都已完成编制/修订并发布。

2 GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》

GB/T 22239-2008《信息系统安全等级保护基本要求》将基本要求分为基本技术要求和基本管理要求。基本技术要求包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。基本管理要求包括安全管理制度、安全管理机构、人员安全管理、系统建设管理及系统运维管理。

3 GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》

2019年5月10日，GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》发布。GB/T 22239-2019与GB/T 22239-2008相比，重点在以下方面进行了修订。

（1）标准名称的变化

标准名称最初是《信息系统安全等级保护基本要求》，后改为《信息安全等级保护基本要求》，为了与《中华人民共和国网络安全法》保持一致，再改为《网络安全等级保护基本要求》。

（2）等级保护对象的变化

等级保护对象由原来的信息系统扩展到基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、采用移动互联技术的系统、工业控制系统等。

（3）安全要求的变化

原来是安全要求，现在是安全通用要求和安全扩展要求。安全通用要求是不管等级保护对象形态是什么都必须满足的要求，针对云计算、移动互联、物联网、工业控制系统提出的特殊要求为安全扩展要求。

云计算安全扩展要求针对云计算的特点提出特殊保护要求，物联网安全扩展要求针对物联网的特点提出特殊保护要求，移动互联安全扩展要求针对移动互联的特点提出特殊保护要求，工业控制系统安全扩展要求针对工业控制的特点提出特殊保护要求。

（4）安全分类的变化

GB/T 22239-2008中，技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复，管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

GB/T 22239-2019中，技术要求分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心，管理要求分为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

（5）S、A、G标注的变化

取消了原来控制点的S、A、G标注，增加附录A描述等级保护对象的定级结果和安全要求之间的关系，说明如何根据定级结果选择安全要求。

（6）附录部分的变化

调整了原来附录A和附录B的顺序，增加附录C描述网络安全等级保护总体框架和关键技术，增加附录D-H分别描述云计算应用场景、移动互联应用场景、物联网应用场景、工业控制系统应用场景、大数据应用场景。

（7）关于可信验证

在第一级至第四级的“安全通信网络”、“安全区域边界”、“安全计算环境”中增加了“可信验证”控制点。

（8）关于安全管理中心

第二级及以上增加了“安全管理中心”，其中二级实现“系统管理”和“审计管理”，三级及以上实现“系统管理”、“审计管理”、“安全管理”、“集中管控”。

4 结束语

GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》已于2019年5月10日发布，即将于今年12月1日开始实施，我们期待它在网络安全等级保护2.0时代发挥重要作用，助力我国网络安全等级保护工作不断创新发展。

[1]马力，祝国邦，陆磊.网络安全等级保护基本要求（GB/T 22239-2019）标准解读[J].信息网络安全，2019（02）：77-84.

[2]郭巍，关兴卓.浅谈网络安全等级保护制度在《网络安全法》作用下的发展[J].网络安全技术与应用，2019（05）：18-20.

[3]何占博，王颖，刘军.我国网络安全等级保护现状与2.0标准体系研究[J].信息技术与网络安全，2019（3）：9-14.

[4]王和平，朱凯华.基于云计算环境下的等级保护基本要求思考与改进[J].网络安全技术与应用，2017（04）：114-115.