CISP/02_第二章 网络安全监管/2.4 信息安全标准.md

信息安全标准

一、信息安全标准基础
    了解标准的基本概念及标准的作用、标准化的特点及原则等；
    了解国际信息安全标准化组织和我国信息安全标准化组织；
    了解我国标准分类及信息安全标准体系。

二、我国信息安全标准
    了解我国信息安全标准体系分类及基础标准、技术与机制、管理与服务标准、测评标准构成。

三、等级保护标准族
    了解网络安全等级保护标准体系；
    掌握等级保护实施流程中定级、备案的工作要求并了解等级保护整改、测评相关要求；
    了解等级保护2.0的相关变化。

一、信息安全标准基础

1、标准

​ 为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件。

2、标准类型

• 国际标准
• 国家标准
• 行业标准
• 地方标准

3、标准化

​ 为了在一定范围内获得最佳秩序，对现实问题或潜在问题制定共同使用和重复使用的条款的活动。

4、标准化的基本特点

• 标准化是一项活动
• 标准化的对象：物、事、人
• 标准化是一个动态的概念
• 标准化是一个相对的概念
• 标准化的效益只有应用后才能体现

5、标准化工作原则

​ 简化、统一、协调、优化

6、主要国际标准化组织

• 国际标准化组织（IS0）
• 国际电工委员会（IEC）
• Internet工程任务组（IETF）【发布的文件为 RFC 开头】
• 国际电信联盟（ITU）及国际电信联盟远程通
• 信标准化组织（ITU-T）

7、国家标准化组织（美国）

• 美国国家标准化协会（ANSI）
• 美国国家标准技术研究院（NIST）【NIST SP800系列 和 NIST SP500系列】
• 英国标准协会（BSI）

8、中国国家标准化管理委员会

• 是我国最高级别的国家标准机构

9、全国信息安全标准化技术委员会（TC260）

• 1984年，成立数据加密技术分委员，后来改为信息技术安全分技术委员会；

• 2002年4月，为加强信息安全标准的协调工作，国家标准委决定成立全国信息安全标准化技术委员会（信安标委，TC260），由国家标准委直接领导，对口ISO/IEC JTC1 SC27；

• 国家标准化管理委员会高新函[2004]1号文决定：自2004年1月起，各有关部门在申报信息安全国家标准计划项目时，必须经信息安全标委会提出工作意见，协调一致后由信息安全标委会组织申报；在国家标准制定过程中，标准工作组或主要起草单位要与信息安全标委会积极合作，并由信息安全标委会完成国家标准送审、报批工作。

• TC260组织结构

  

• 我国标准分类

  • GB 强制性国家标准
    • 一经颁布必须贯彻执行，违反则构成经济或法律方面的责任
  • GB/T 推荐性国家标准
    • 自愿采用的标准，共同遵守的技术依据，严格贯彻执行
  • GB/Z 国家标准指导性技术文件
    • 由于技术发展过程中或其他理由，将来可能达成一致意见指导性技术文件
    • 实施后3年内必须进行复审

二、我国信息安全标准

1、信息安全标准体系

2、基础类标准

• 安全术语类
• 测评基础类
• 管理基础类
• 物理安全类
• 安全模型类
• 安全体系架构类

3、技术与机制标准

• 密码技术
• 鉴别机制
• 授权机制
• 电子签名
• 公钥基础设施
• 通信安全技术
• 涉密系统通用技术要求

4、管理与服务标准

• 涉密服务
• 安全控制与服务
• 网络安全管理
• 行业/领域安全管理

5、评测标准

• 密码产品
• 通用产品
• 安全保密产品
• 通用系统
• 涉密信息系统
• 通信安全
• 政府安全检查
• 安全能力评估

三、网络安全等级保护标准族

1、信息系统安全等级保护定级指南

• 安全等级类：主要对如何进行信息系统定级做出指导

  • GB/T 22240-2008《信息安全技术信息系统安全保护等级保护定级指南》 （失效了）

  • GB/T 22240-2020《信息安全技术网络安全等级保护定级指南》

    该标准主要讲述系统如何科学进行定级，代替了GB/T 22240-2008，由于新技术新业务形态的变化（云计算、物联网、大数据、移动互联技术）等等出现旧的标准不再适应今天的新业务新技术的变化，所以标准要重新修订。

  • 各类行业定级准则

• 方法指导类：对如何开展等级保护工作做了详细规定

  • GB/T 25058-2010《信息安全技术信息系统安全等级保护实施指南》（失效了）

  • GB/T 25058-2019《信息安全技术网络安全等级保护实施指南》

    该标准2019-8-30号正式发布，2020-03-01正式实施。是等级保护2.0中的核心标准之一。针对等级保护系列标准中未涉及到的工作内容提出了具体方法论，以及可操作性的技术方法指导，指出了在实施等级保护工作时不同的角色在不同阶段的作用以及可参考的技术标准，为运营、使用单位落实等级保护制度提供有力工作支撑。

  • GB/T 25070-2010《信息系统等级保护安全设计技术要求》（失效了）

  • GB/T 25070-2019《信息安全技术网络安全等级保护安全设计技术要求》

    该标准代替了GB/T 25070-2010，主要是指导整改建设的方法论和过程。

• 状况分析类：对如何开展等级保护测评工作做出了详细规定

  • GB/T 28448-2012《信息安全技术信息系统安全等级保护测评要求》（失效了）

  • GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》

    该标准代替了GB/T 28448-2012，分别针对基本要求的每个级别、每个类和控制点都进行讲述如何测评和评判符合程度。

  • GB/T 28449-2012《信息安全技术信息系统安全等级保护测评过程指南》（失效了）

  • GB/T 28449-2018《信息安全技术网络安全等级保护测评过程指南》

    该标准代替了GB/T 28449-2012，主要作用是指导测评时候的过程和方法，即便不懂测评过程和流程的，也能通过本标准了解测评流程。

• 基线要求类：分技术类、管理类和产品类等标准，分别对某些专门技术、管理和产品的进行要求，例如：

  • GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》（失效了）

  • GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》

    该标准主要讲述差距测评和建设整改，代替了GB/T 22239-2008，同样由于新技术新业务形态的变化 ( 云计算、物联网、大数据、移动互联技术 ) 等出现，旧的标准不再适应今天的新业务新技术的变化，所以标准要重新修订。新标准分为两部分：
        (1) 安全通用要求
        (2) 安全扩展要求 ( 云计算、物联网、移动互联、工业控制系统 )
    这个标准非常重要，所有网络运营者、安全服务/测评机构、第三方监管机构、厂家等都是依据该标准进行建设、测评和检查。

  • GB/T 20271-2006《信息系统通用安全技术要求》

  • GB/T 21052-2007《信息系统物理安全技术要求》

2、等级保护定级方法（V2.0）

3、等级保护工作流程

• 等级保护阶段

  • GB/T 25058—2010
    • 定级
    • 总体规划
    • 设计实施
    • 运行维护
    • 系统终止
  • 实际情况
    • 定级
    • 备案
    • 差距分析
    • 建设整改
    • 验收测评
    • 定期复查

• 差距分析

  • 目的：发现系统当前安全状况与《等级保护基本要求》之间差距，指导下一步整改工作；
  • 流程：差距分析流程与等级保护测评一致；
  • 报告：在完成差距分析后一般形成《等级保护差距分析报告》，格式一般参考《等级保护测评报告》，为下一阶段开展等级保护安全建设整改工作提出建设整改需求。

• 建设整改

  • 依据：GB/T 25070-2010《信息系统等级保护安全设计技术要求》
  • 流程：依据《等级保护差距分析报告》中提出的安全建设整改需求，设计《等级保护安全建设整改方案》，并根据单位实际的资金、技术、人员配备情况分阶段地开展等级保护建设整改工作。
  • 报告：建设整改前，需要编制《等级保护安全建设整改方案》，提出建设整改目标和步骤。在完成整改后，由建设单位开展验收工作，验证是否达到方案要求。

4、等级保护要求体系 - 等保2.0

• 等级保护扩展要求
  • 云计算安全要求
  • 移动互联网安全
  • 物联网安全
  • 工业控制系统安全