国标《信息系统安全等级保护测评要求》修订浅析

◆甘清云

（中国直升机设计研究所 天津 300300）

《中华人民共和国网络安全法》已于2016 年11 月7 日发布，2017 年6 月1 日起施行。为了配合《中华人民共和国网络安全法》的实施，同时适应云计算、大数据、物联网、移动互联、工业控制系统等新技术、新应用情况下网络安全等级保护工作的开展，需对 GB/T 28448-2012 进行修订。修订的思路是依据 GB/T 22239-2019 调整的内容，针对共性安全保护需求提出安全测评通用要求，针对云计算、大数据、物联网、移动互联、工业控制系统等新技术、新应用领域的个性安全保护需求提出安全测评扩展要求。

1 GB/T 28448-2012《信息安全技术信息系统安全等级保护测评要求》简介

GB/T 28448-2012《信息系统安全等级保护测评要求》主要有四部分内容：信息系统等级保护测评概述、一至五级信息系统单元测评、信息系统整体测评、等级测评结论。单元测评分为安全技术测评和安全管理测评，其中安全技术测评包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复，安全管理测评包括安全管理制度、安全管理机构、人员安全管理、系统建设管理及系统运维管理。

GB/T 28448-2012《信息系统安全等级保护测评要求》实施了七年多，在开展信息系统等级保护测评过程中发挥了重要作用，被广泛应用于指导各行业开展信息系统等级保护测评工作。与此同时，GB/T 28448-2012 在时效性、适用性、可操作性等方面亟需进一步完善。

2 GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》

2019 年5 月10 日，GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》发布，与GB/T 28448-2012 相比，重点在以下方面进行了修订。

（1）标准名称的变化

为了与《中华人民共和国网络安全法》保持一致，标准名称由《信息系统安全等级保护测评要求》改为《网络安全等级保护测评要求》。

（2）各级增加安全测评扩展要求的变化

除第五级测评要求外，第一至第四级测评要求在安全测评通用要求外增加了云计算安全测评扩展要求、移动互联网安全测评扩展要求、物联网安全测评扩展要求、工业控制系统安全测评扩展要求。安全测评通用要求和安全测评扩展要求都是从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理这十个方面展开。

（3）术语和定义的变化

保留了访谈和测试，将检查改成核查，增加了评估、测评对象、等级测评、云服务商、云服务客户、虚拟机监视器、宿主机等相关术语和定义。

（4）由单元测评调整为单项测评的变化

单元测评是针对安全控制点的，而单项测评是针对安全控制点下的安全要求项的，所以是更细化了。

单项测评是针对各安全要求项的测评，支持测评结果的可重复性和可再现性。单项测评由测评指标、测评对象、测试实施、单元判定组成。

（5）整体测评的变化

整体测评是在单项测评的基础上对等级保护对象整体安全保护能力的判断。整体安全保护能力主要从纵深防护和措施互补两个角度评判。

整体测评由原来的安全控制点间测评、层面间测评、区域间测评调整为安全控制点测评、安全控制点间测评、区域间测评（包含层面间测评）。

（6）附录部分的变化

附录部分增加了资料性附录B 大数据可参考安全评估方法和规范性附录C 测评单元编号说明。

大数据可参考安全评估方法介绍了第一级至第四级安全评估方法。测评单元编号说明介绍了测评单元编码规则和大数据可参考安全评估方法编号说明。虽然两者编号都为三组数据，但是其编码规则完全不同，需要注意。

3 思考

附录部分单独增加一个附录B 用于描述大数据可参考安全评估方法。附录C 中C.2 节介绍其编号规则。测评单元编号为三组数据，第一组由3 位组成，BDS 代表大数据可参考安全评估方法；第二组由2 位组成，第1 位为字母L，第2 位为数字，数字1 为第一级，以此类推，5 为第五级；第三组由2 位数字组成，按照基本要求（GB/T 22239-2019）中的安全控制措施进行顺序编号。可是在国家标准全文公开系统（网址：http：//www.gb688.cn/bzgk/gb/index）中查阅GB/T 28448-2019 全文时发现附录B 中不少测评单元的编号是重复的。比如B.1.1.1 测评单元的编号为 BDS-L1-01，B.1.2.1 测评单元的编号也是BDS-L1-01，B.1.3.1 测评单元的编号还是BDS-L1-01。类似这样的测评单元编号重复的情况还有很多。

4 结束语

GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》已于2019 年5 月10 日发布，2019 年12 月1 日起实施，相信它会在网络安全等级保护测评工作中发挥重要作用，助力我国网络安全等级保护工作再上新台阶。