國標(biāo)《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》修訂淺析

◆甘清云

國標(biāo)《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》修訂淺析

◆甘清云

（中國直升機(jī)設(shè)計研究所 天津 300300）

GB/T 25070-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》已于2019年5月10日發(fā)布，將于2019年12月1日開始實(shí)施。GB/T 25070-2019將代替2011年2月1日起實(shí)施的GB/T 25070-2010《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》。本文主要分析了GB/T 25070修訂情況，供相關(guān)讀者參考。

國標(biāo)；等級保護(hù)；基本要求

《中華人民共和國網(wǎng)絡(luò)安全法》已于2016年11月7日發(fā)布，2017年6月1日起施行。為了配合《中華人民共和國網(wǎng)絡(luò)安全法》的實(shí)施，同時適應(yīng)云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)、工業(yè)控制系統(tǒng)等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級保護(hù)工作的開展，需對GB/T 25070-2010進(jìn)行修訂。修訂的思路是針對共性保護(hù)目標(biāo)提出通用的安全設(shè)計技術(shù)要求，針對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)、工業(yè)控制系統(tǒng)等新技術(shù)、新應(yīng)用領(lǐng)域的特殊安全保護(hù)目標(biāo)提出特殊的安全設(shè)計技術(shù)要求。

1 GB/T 25070-2010《信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》簡介

GB/T 25070-2010《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》主要有三部分內(nèi)容：信息系統(tǒng)等級保護(hù)安全技術(shù)設(shè)計概述、一至五級系統(tǒng)安全保護(hù)環(huán)境設(shè)計、定級系統(tǒng)互聯(lián)設(shè)計。各級系統(tǒng)安全保護(hù)環(huán)境設(shè)計分為設(shè)計目標(biāo)、設(shè)計策略、設(shè)計技術(shù)要求三部分。

GB/T 25070-2010《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》實(shí)施了八年多，在開展信息系統(tǒng)等級保護(hù)工作過程中發(fā)揮了重要作用，被廣泛應(yīng)用于指導(dǎo)各行業(yè)開展信息系統(tǒng)等級保護(hù)建設(shè)等工作。與此同時，GB/T 25070-2010在時效性、適用性、可操作性等方面亟須進(jìn)一步完善。

2 GB/T 25070-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》

2019年5月10日，GB/T 25070-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》發(fā)布。GB/T 25070-2019與GB/T 25070-2010相比，重點(diǎn)在以下方面進(jìn)行了修訂。

（1）標(biāo)準(zhǔn)名稱的變化

為了與《中華人民共和國網(wǎng)絡(luò)安全法》保持一致，標(biāo)準(zhǔn)名稱由之前的《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》改為《網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》。

（2）安全技術(shù)設(shè)計框架的變化

通用等級保護(hù)安全技術(shù)設(shè)計框架沿用了GB/T 25070-2010中的框架，除此之外，增加了四個特殊安全保護(hù)目標(biāo)的安全技術(shù)設(shè)計框架：云計算等級保護(hù)安全技術(shù)設(shè)計框架、移動互聯(lián)等級保護(hù)安全技術(shù)設(shè)計框架、物聯(lián)網(wǎng)等級保護(hù)安全技術(shù)設(shè)計框架、工業(yè)控制等級保護(hù)安全技術(shù)設(shè)計框架。

（3）安全計算環(huán)境設(shè)計技術(shù)要求的變化

各個級別的安全計算環(huán)境設(shè)計技術(shù)要求變?yōu)橥ㄓ冒踩嬎悱h(huán)境設(shè)計技術(shù)要求、云安全計算環(huán)境設(shè)計技術(shù)要求、移動互聯(lián)安全計算環(huán)境設(shè)計技術(shù)要求、物聯(lián)網(wǎng)系統(tǒng)安全計算環(huán)境設(shè)計技術(shù)要求、工業(yè)控制系統(tǒng)安全計算環(huán)境設(shè)計技術(shù)要求。

通用安全計算環(huán)境設(shè)計技術(shù)要求主要包括用戶身份鑒別、自主訪問控制、系統(tǒng)安全審計、用戶數(shù)據(jù)完整性保護(hù)、惡意代碼防范、可信驗(yàn)證等。云安全計算環(huán)境設(shè)計技術(shù)要求主要包括用戶身份鑒別、用戶賬號保護(hù)、虛擬化安全、惡意代碼防范等。移動互聯(lián)安全計算環(huán)境設(shè)計技術(shù)要求主要包括用戶身份鑒別、應(yīng)用管控、移動設(shè)備管控等。物聯(lián)網(wǎng)系統(tǒng)安全計算環(huán)境設(shè)計技術(shù)要求主要包括感知層設(shè)備身份鑒別、感知層設(shè)備訪問控制等。工業(yè)控制系統(tǒng)安全計算環(huán)境設(shè)計技術(shù)要求主要包括工業(yè)控制身份鑒別、現(xiàn)場設(shè)備訪問控制、控制過程完整性保護(hù)等。

（4）安全區(qū)域邊界設(shè)計技術(shù)要求的變化

各個級別的安全區(qū)域邊界設(shè)計技術(shù)要求變?yōu)橥ㄓ冒踩珔^(qū)域邊界設(shè)計技術(shù)要求、云安全區(qū)域邊界設(shè)計技術(shù)要求、移動互聯(lián)安全區(qū)域邊界設(shè)計技術(shù)要求、物聯(lián)網(wǎng)系統(tǒng)安全區(qū)域邊界設(shè)計技術(shù)要求、工業(yè)控制系統(tǒng)安全區(qū)域邊界設(shè)計技術(shù)要求。

通用安全區(qū)域邊界設(shè)計技術(shù)要求主要包括區(qū)域邊界包過濾、區(qū)域邊界惡意代碼防范、可信驗(yàn)證等。云安全區(qū)域邊界設(shè)計技術(shù)要求主要包括區(qū)域邊界結(jié)構(gòu)安全、區(qū)域邊界訪問控制等。移動互聯(lián)、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)安全區(qū)域邊界設(shè)計技術(shù)要求與通用安全區(qū)域邊界設(shè)計技術(shù)要求比較類似。

（5）安全通信網(wǎng)絡(luò)設(shè)計技術(shù)要求的變化

各個級別的安全通信網(wǎng)絡(luò)設(shè)計技術(shù)要求變?yōu)橥ㄓ冒踩嬎悱h(huán)境設(shè)計技術(shù)要求、云安全通信網(wǎng)絡(luò)設(shè)計技術(shù)要求、移動互聯(lián)安全通信網(wǎng)絡(luò)設(shè)計技術(shù)要求、物聯(lián)網(wǎng)系統(tǒng)安全通信網(wǎng)絡(luò)設(shè)計技術(shù)要求、工業(yè)控制系統(tǒng)安全通信網(wǎng)絡(luò)設(shè)計技術(shù)要求。

通用安全通信網(wǎng)絡(luò)設(shè)計技術(shù)要求主要包括通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)、可信連接驗(yàn)證等。云安全、移動互聯(lián)、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)安全通信網(wǎng)絡(luò)設(shè)計技術(shù)要求與通用安全通信網(wǎng)絡(luò)設(shè)計技術(shù)要求比較類似。

（6）第五級系統(tǒng)安全保護(hù)環(huán)境設(shè)計的變化

GB/T 25070-2010針對第五級系統(tǒng)安全保護(hù)環(huán)境設(shè)計描述了設(shè)計目標(biāo)和設(shè)計策略。GB/T 25070-2019針對第五級系統(tǒng)安全保護(hù)環(huán)境設(shè)計則沒有設(shè)計目標(biāo)、設(shè)計策略、設(shè)計技術(shù)要求的描述，但是在第一章節(jié)里有如下文字描述：第五級等級保護(hù)對象是非常重要的監(jiān)督管理對象，對其有特殊的管理模式和安全設(shè)計技術(shù)要求，所以不在本標(biāo)準(zhǔn)中進(jìn)行描述。

（7）附錄部分的變化

附錄B刪除了“子系統(tǒng)間接口”、 “重要數(shù)據(jù)結(jié)構(gòu)”，增加了“第三級系統(tǒng)可信驗(yàn)證實(shí)現(xiàn)機(jī)制”。增加了附錄C描述大數(shù)據(jù)設(shè)計技術(shù)要求。

3 思考

附錄部分單獨(dú)增加一個附錄C用于描述大數(shù)據(jù)設(shè)計技術(shù)要求，C.1為大數(shù)據(jù)等級保護(hù)安全技術(shù)設(shè)計框架，C.2-C.5分別為第一至第四級大數(shù)據(jù)系統(tǒng)安全保護(hù)環(huán)境設(shè)計。

為什么附錄C.1的內(nèi)容不放在第5章當(dāng)中作為5.6節(jié)大數(shù)據(jù)等級保護(hù)安全技術(shù)設(shè)計框架呢？為什么不在各級別的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)設(shè)計技術(shù)要求中把大數(shù)據(jù)作為與云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制一樣的特殊安全保護(hù)目標(biāo)放進(jìn)去？

4 結(jié)束語

GB/T 25070-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》已于2019年5月10日發(fā)布，2019年12月1日起實(shí)施，相信它會在網(wǎng)絡(luò)安全等級保護(hù)工作中發(fā)揮重要作用，助力我國網(wǎng)絡(luò)安全等級保護(hù)工作不斷創(chuàng)新發(fā)展。

[1]吳薇，李秋香. “網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求”修訂工作概述[J].警察技術(shù)，2017（05）：4-6.

[2]郭巍，關(guān)興卓.淺談網(wǎng)絡(luò)安全等級保護(hù)制度在《網(wǎng)絡(luò)安全法》作用下的發(fā)展[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（05）：18-20.

[3]何占博，王穎，劉軍.我國網(wǎng)絡(luò)安全等級保護(hù)現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究[J]信息技術(shù)與網(wǎng)絡(luò)安全，2019（3）：9-14.

[4]范紅，厲劍，胡志昂.解讀國際《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》[J].信息網(wǎng)絡(luò)安全，2009（10）：16.