网络安全等级保护及其相关标准介绍

张旭刚 谢宗晓（中国金融认证中心）

1 从“信息安全等级保护”到“网络安全等级保护”

2017年6月1日，《中华人民共和国网络安全法》正式实施。其中第二十一条明确规定，“国家实行网络安全等级保护制度”，进一步明确了网络安全等级保护制度的法律地位。为了与《中华人民共和国网络安全法》中的相关法律条文保持一致，等级保护从原来的“信息安全等级保护”变更为“网络安全等级保护”1）注意，此处的网络安全（cyber security）不是传统意义上的网络安全（network security），关于该词汇的详细论述，请参考文献[1][2]。，标志着实施了10年之久的信息安全等级保护制度（等级保护1.0）跨入了网络安全等级保护制度（等级保护2.0）的新阶段。

表1 等级保护1.0与等级保护2.0的比较

续表

2019年5月13日，国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开，网络安全等级保护制度2.0标准（GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》、GB/T 25070—2019《信息安全技术 网络安全等级保护安全设计技术要求》、GB/T 28448—2019《信息安全技术网络安全等级保护测评要求》正式发布，将于2019年12月1日开始实施。

2 网络安全等级保护制度的标准介绍

截至2019年7月，网络安全等级保护标准已发布7项，其中4项为现行标准，3项即将实施；此外，还有2项标准处于修订阶段3）检索时间为2019年7月6日。，具体情况如下。

（1）GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》

该标准代替GB/T 22239—2008《信息安全技术信息系统安全等级保护基本要求》，于2019年5月10日发布，2019年12月1日实施，同GB/T 22239—2008相比，主要变化如下：1）标准名称变更；2）调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理；3）调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求；4）取消了原来安全控制点的S、A、G标注，增加一个附录A 描述等级保护对象的定级结果和安全要求之间的关系，说明如何根据定级结果选择安全要求；5）调整了原来附录A 和附录B的顺序，增加了附录C描述网络安全等级保护总体框架，并提出关键技术使用要求。

（2）GB/T 22240《信息安全技术 网络安全等级保护定级指南》（正在修订）

该标准目前正在修订。目前网络安全等级保护的定级方法和定级流程依据中华人民共和国公共安全行业标准GA/T 1389—2017 《信息安全技术 网络安全等级保护定级指南》，该标准于2017年5月8日发布，2017年5月8日实施。

（3）GB/T 25058《信息安全技术 网络安全等级保护实施指南》（正在修订）

该标准目前正在修订。

（4）GB/T 25070—2019《信息安全技术 网络安全等级保护安全设计技术要求》

该标准代替GB/T 25070—2010《信息安全技术 信息系统等级保护安全设计技术要求》，于2019年5月10日发布，2019年12月1日实施，同GB/T 25070—2010相比，主要变化如下：1）标准名称变更；2）各个级别的安全计算环境设计技术要求调整为通用安全计算环境设计技术要求、云安全计算环境设计技术要求、移动互联安全计算环境设计技术要求、物联网系统安全计算环境设计技术要求和工业控制系统安全计算环境设计技术要求；3）各个级别的安全区域边界设计技术要求调整为通用安全区域边界设计技术要求、云安全区域边界设计技术要求、移动互联安全区域边界设计技术要求、物联网系统安全区域边界设计技术要求和工业控制系统安全区域边界设计技术要求；4）各个级别的安全通信网络设计技术要求调整为通用安全通信网络设计技术要求、云安全通信网络设计技术要求、移动互联安全通信网络设计技术要求、物联网系统安全通信网络设计技术要求和工业控制系统安全通信网络设计技术要求；5）删除了附录B中的B.2“子系统间接口”和B.3“重要数据结构”，增加了B.4“第三级系统可信验证实现机制”。

（5）GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》

该标准代替GB/T 28448—2012《信息安全技术信息系统安全等级保护测评要求》，于2019年5月10日发布，2019年12月1日实施，同GB/T 28448—2012相比，主要变化如下：1）标准名称变更；2）每个级别增加了云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展要求和工业控制系统安全测评扩展要求等内容；3）增加了等级测评、测评对象、云服务商和云服务客户等相关术语和定义；4）将针对控制点的单元测评细化调整为针对要求项的单项测评，删除了“测评框架”和“等级测评内容”；5）增加了大数据可参考安全评估方法和测评单元编号说明。

（6）GB/T 28449—2018《信息安全技术 网络安全等级保护测评过程指南》

该标准代替GB/T 28449—2012《信息安全技术 信息系统安全等级保护测评过程指南》，于2018年12月28日发布，2019年7月1日实施，同GB/T 28449—2012相比，主要变化如下：1）标准名称变更；2）修改了报告编制活动中的任务，由原来的6个任务修改为7个任务；3）在测评准备活动、现场测评活动的双方职责中增加了协调多方的职责，并在一些涉及到多方的工作任务中也予以明确；4）在信息收集和分析工作任务中增加了“信息分析方法”的内容；5）增加了利用云计算、物联网、移动互联网、工业控制系统、IPv6系统等构建的等级保护对象开展安全测评需要额外重点关注的特殊任务及要求；6）删除了测评方案示例；7）删除了信息系统基本情况调查表模板。

（7）GB/T 36627—2018《信息安全技术 网络安全等级保护测试评估技术指南》

该标准是为服务网络安全等级保护制度而新出的标准，于2018年9月17日发布，2019年4月1日实施。该标准对网络安全等级保护测评中的相关测评技术进行明确的分类和定义，系统地归纳并阐述测评的技术方法，概述技术性安全测试和评估的要素，重点关注具体技术的实现功能、原则等，并提出建议供使用。该标准在应用于网络安全等级保护测评时可作为对GB/T 28448和GB/T 28449的补充。

（8）GB/T 36958—2018《信息安全技术 网络安全等级保护安全管理中心技术要求》

GB/T 36958—2018是为“一个中心，三重防护”中的安全管理中心的建设而制定的新标准，于2018年12月28日发布，2019年7月1日实施。该标准从安全管理中心的功能、接口、自身安全等方面，对GB/T 25070中提出的安全管理中心及其安全技术和机制进行了进一步规范，提出了通用的安全技术要求，指导安全厂商和用户依据该标准要求设计和建设安全管理中心。

（9）GB/T 36959—2018《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》

GB/T 36959—2018是为规范测评机构的能力要求和评估流程而制定的新标准，于2018年12月28日发布，2019年7月1日实施。该标准结合网络安全等级保护的特点，从委托受理、评估准备、文件审核、现场评估、整改验收，到评估报告提交等整个评估过程对测评机构提出了规范性要求。

3 小结

综上所述，网络安全等级保护及其相关标准如表2所示。

表2 网络安全等级保护及其相关标准