03网络安全等级保护基本要求解读-201811-V1.pdf

网络安全等级保护基本要求解读 (GB/T 22239) 公安部信息安全等级保护评估中心 马力 目录  标准的修订背景  总体结构的变化  描述模型和主要特点  安全通用要求的内容  安全扩展要求的内容 标准修订背景  为了配合网络安全法的实施，为了适应移动互联、云计 算、大数据、物联网和工业控制等新技术、新应用情况 下等级保护工作的开展  国际标准27000系列和美国联邦NIST 800-53系列 安全相关标准和规范在2013年和2014年发布了新的 版本，内容进行了调整。  有必要对GB/T 22239-2008进行修订，在适用性 、时效性、易用性、可操作性上进一步完善。 3 标准修订立项  2014年，全国安标委秘书处下达了对原国家标 准 《信息安全技术 信息系统安全等级保护基本 要求》GB/T 22239-2008进行修订的任务 书，项目计划号T-469，标准 修订主要承担单位（牵头单位）公安部第三研究 所（公安部信息安全等级保护评估中心） 4 主要参与起草单位  公安部第三研究所（公安部信息安全等级保护评估中心）、国家能 源局信息中心、阿里云计算有限公司、中科院信息工程研究所、新 华三技术有限公司、华为技术有限公司、启明星辰集团信息技术有 限公司、北京鼎普科技股份有限公司、工业控制系统信息安全技术 国家工程实验室、公安部第一研究所、国家信息中心、中国科学院 信息工程研究所、山东微分电子科技有限公司、中国电子科技集团 公司第十五研究所、工业和信息化部电信研究院、浙江大学、浙江 国利信安科技有限公司、机械工业仪器仪表综合技术经济研究所、 杭州科技职业技术学院、北京奇虎科技有限公司等。 5 前期研究工作 •无线网络、虚拟计算、云计算、大数据、IPv6及IPv4/IPv6混合环境威胁和特点分析 •ISO/IEC 27000-2013版和NIST SP 800-53-2013版发生变化的内容和和新特点 •标准修订可能影响的范围-相关国家标准和行业标准 6 前期研究形成的成果  《等级保护基本要求标准修订研究报告》  一、 概述  1.1 研究背景  1.2 研究目标  二、 国内外信息安全发展状况分析  2.1 当前的信息安全形势  2.2 需要关注的几个问题  2.3 建议采取的对策  三、 新技术新应用使用状况分析  3.1 无线网络应用现状和安全关注点  3.2 虚拟技术应用现状和安全关注点  3.3 云计算技术应用现状和安全关注点  3.4 大数据应用现状和安全关注点  四、 基本要求使用中主要问题分析  4.1 技术方面  4.2 管理方面  五、 基本要求修订的主要思路和工作内容  5.1 修订的主要思路  5.2 修订的工作内容  六、 参考文献 7 《基本要求》和27001-2013的对标 1