2017年10月15-19日，全國信息安全標準化技術(shù)委員會2017年第二次會議周在廈門召開，16日上午WG5工作組191個成員單位中121家單位的231位專家參加了工作會議。公安部三所馬力老師對 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（ GB/T 22239—XXXX 代替 GB/T 22239-2008）送審稿進行了解讀。

      2017年8月，公安部評估中心根據(jù)網(wǎng)信辦和安標委的意見將等級保護在編的5個基本要求分冊標準進行了合并形成《網(wǎng)絡(luò)安全等級保護基本要求》一個標準。下面小編將給大家介紹一下最新的網(wǎng)絡(luò)安全等保基本要求（定級、設(shè)計與測評方面的變化將在后續(xù)文章中介紹）與原標準相比發(fā)生了什么變化。
 
 

二、新舊標準變化內(nèi)容
 
1．名稱的變化

      將原來的信息系統(tǒng)安全等級保護相關(guān)標準名稱更改為信息安全等級保護，再更名為網(wǎng)絡(luò)安全等級保護相關(guān)標準，與《中華人民共和國網(wǎng)絡(luò)安全法》保持一致。

2．內(nèi)容的變化
      基本要求的內(nèi)容由一個基本要求變更為安全通用要求和安全擴展要求（含云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制）。在GB/T 22239 網(wǎng)絡(luò)安全等級保護基本要求合并了如下5部分：
      1）安全通用要求（公安部信息安全等級保護評估中心）
      2）云計算安全擴展要求（公安部信息安全等級保護評估中心）
      3）移動互聯(lián)安全擴展要求（北京鼎普科技股份有限公司）
      4）物聯(lián)網(wǎng)安全擴展要求（公安部第一研究所）
      5）工業(yè)控制系統(tǒng)安全擴展要求（浙江大學）

同樣，針對設(shè)計要求（GB/T 25070）與測評要求（GB/T 28448）也由5個分冊分別整合成一冊。

3．標準章節(jié)的變化

      拿基本要求的第8章節(jié)為列， 為第三級安全要求：

      8.1 安全通用要求

      8.2 云計算安全擴展要求

      8.3 移動互聯(lián)安全擴展要求

      8.4 物聯(lián)網(wǎng)安全擴展要求

      8.5 工業(yè)控制系統(tǒng)安全擴展要求

4．控制措施分類結(jié)構(gòu)的變化

      由原來的10個分類調(diào)整為8分，分別為技術(shù)部分（物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全）、管理部分（安全策略和管理制度、安全管理機構(gòu)和人員、安全建設(shè)管量、安全運維管理）。

5．環(huán)境安全擴展了哪些要求

      針對云計算環(huán)境安全擴展要求主要增加的內(nèi)容包括：“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務(wù)商選擇”、“云計算環(huán)境管理”等。

      對移動互聯(lián)環(huán)境主要增加的內(nèi)容包括：“無線接入點的物理位置”、“移動終端管控”、“移動應(yīng)用管控”、“移動應(yīng)用軟件采購”、“移動應(yīng)用軟件開發(fā)”等。

      對物聯(lián)網(wǎng)環(huán)境主要增加的內(nèi)容包括：“感知節(jié)點的物理防護”、“感知節(jié)點設(shè)備安全”、“感知網(wǎng)關(guān)節(jié)點設(shè)備安全”、“感知節(jié)點的管理”、“數(shù)據(jù)融合處理”等。

      對工業(yè)控制系統(tǒng)主要增加的內(nèi)容包括：“室外控制設(shè)備防護”、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”、“拔號使用控制”、“無線使用控制”、“控制設(shè)備安全”。

6．增加了應(yīng)用場景說明

      增加了描述等級保護安全框架和關(guān)鍵技術(shù)、云計算應(yīng)用場景、移動互聯(lián)應(yīng)用場景、物聯(lián)網(wǎng)應(yīng)用場景、工業(yè)控制系統(tǒng)應(yīng)用場景。
 
7．取消了安全控制點的標注

      為適應(yīng)定級方法的變化，取消對控制點的“S”、“A”、“G”標注的使用，調(diào)整原標準附錄B，增加安全控制措施選擇時，控制點的標注及使用說明。

      保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改的信息安全類要求（簡記為S）；保護系統(tǒng)連續(xù)正常的運行，免受對系統(tǒng)的未授權(quán)修改、破壞而導致系統(tǒng)不可用的服務(wù)保證類要求（簡記為A）；其他通用性安全保護類要求（簡記為G），所有管理安全要求均為通用性安全保護類要求。

8．標準控制點與要求項的變化

      新標準在控制點要求項目并沒有明顯的增加，通過合并整合后反而減少了。各級的要求項明細如下表所示：

劃重點：

      1、以前的信息安全等級保護現(xiàn)在改名叫網(wǎng)絡(luò)安全等級保護，也就是網(wǎng)絡(luò)安全法里面說的網(wǎng)絡(luò)安全等級保護。

      2、將等級保護之前在編的5個基本要求分冊標準（安全通用要求、 云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求、工業(yè)控制系統(tǒng)安全擴展要求）進行了合并形成《網(wǎng)絡(luò)安全等級保護基本要求》一個標準。

      3、控制措施分類由原先的10個分類調(diào)整為8個分類，分別為技術(shù)部分（物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全）、管理部分（安全策略和管理制度、安全管理機構(gòu)和人員、安全建設(shè)管量、安全運維管理）。

      4、新標準里面2級和3級對應(yīng)的要求項總數(shù)分別為145項和231項，相對以前變少了。

      深圳市網(wǎng)域數(shù)據(jù)安全股份有限公司成立于2004年，是一家集網(wǎng)絡(luò)信息安全產(chǎn)品研發(fā)、生產(chǎn)、銷售為一體的設(shè)備供應(yīng)商。目前擁有員工100余人，從事研發(fā)和技術(shù)支持的人員占60%、其中30%為博士、碩士學歷，研發(fā)核心團隊由多位來自清華、北大、華為的精英組成。公司總部坐落在深圳市高新技術(shù)產(chǎn)業(yè)園，在北京、上海、廣州、長沙、成都、南京、沈陽、武漢、濟南等地都設(shè)有辦事處。

      公司自主研發(fā)的產(chǎn)品有IT運維安全審計系統(tǒng)（堡壘機）、數(shù)據(jù)庫審計系統(tǒng)、醫(yī)院防統(tǒng)方系統(tǒng)、上網(wǎng)行為管理產(chǎn)品、第二代防火墻產(chǎn)品等，全面滿足等級保護要求，為用戶提供信息系統(tǒng)安全解決方案及安全服務(wù)，一如既往地致力于信息安全領(lǐng)域的核心技術(shù)研發(fā)，為增強我國在信息時代的綜合國力做出貢獻。