等级保护2.0相关标准解读

一、各项标准的用途

GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求，适用于指导分等级的非涉密对象的安全建设和监督管理。

GB/T 22240-2020 《信息安全技术 网络安全等级保护定级指南》规定了非涉及国家秘密的等级保护对象的定级方法和流程，通过指导网络运营者合理地划分定级对象和准确的确定安全保护等级，为后续的安全建设/整改、等级测评等工作奠定了良好的基础，有力推动了等级保护工作的开展。

GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》规定了不同级别的等级保护对象的安全测评通用要求和安全测评扩展要求。为安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象的安全状况进行安全测评提供指南。

测评要求在级差上的变化

不同等级的测评工作主要通过以下四个方面来体现测评要求的级差：

1）不同级别使用不同测评方法：第一级主要以访谈为主进行等级测评、第二级以核查为主进行等级测评，第三级和第四级在核查基础上还要进行测试验证工作。不同级别使用不同测评方法，能体现出测评实施过程中访谈、核查和测试的测评强度的不同。

2）不同级别测评对象范围不同：第一级和第二级测评对象的范围为关键设备，第三级为主要设备，第四级为所有设备。不同级别测评对象范围不同，能体现出测评实施过程中访谈、核查和测试的测评广度的不同。

3）不同级别现场测评实施工作不同：第一级和第二级以核查安全机制为主，第三级和第四级先检查安全机制，再检查安全策略有效性。

GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》规定了开展工作的基本过程、流程、任务及工作产品等，指导使用者如何实施等级测评项目，以及在等级测评过程中如何正确使用《测评要求》中的具体测评方法、步骤和判断依据等。

GB/T 25058-2010 《信息安全技术 网络安全等级保护测评实施指南》通过分析研究信息化发展的新技术、新应用，比如移动互联技术、大数据技术、云计算技术、工业控制技术等的使用场景和应用特点等，提出这些新技术、新应用系统的等级保护对象和可能面临的威胁，并结合国家信息安全等级保护工作的新思路及新要求；为运营使用单位在实施等级保护工作时提供工作内容及工作方式指导。

在这些方向作为标准的主要修订方向

1、近两年来，云计算、云服务、虚拟化、软件定义网络、无线网络、大数据、工业控制、IPV6技术等等新技术、新应用迅猛发展，这些新技术都会直接影响系统存在的形态，原有的系统，等级保护对象认知的方法、安全设计及实施方法、系统运行与维护方法、测评方法等都有所改变。

比如Issa云服务使得基础设施由云服务商建设，而应用层面则由云服务客户（也就是备案单位）负责建设，由云服务商和云服务客户共同负责运维，从而使得系统的存在形态发生了变化，原来作为等级保护对象的信息系统也就发生了变化，那么在等级保护对象定级时也必须相应有所变化，这与等级保护实施工作中的定级工作密切相关。等级保护对象也确定和定级不准确，将直接影响等级保护测评及系列建设整改工作，也相应制约了新技术新应用的推广。因此修订后的本标准给出相应的指导。

2、根据新的国际形势和网络安全形势，国家等级保护工作管理部门将原先的建设整改工作重点，转而更为关注系统安全监控与安全态势分析、与网络安全预警通报机制相互关联等工作内容，标准修改将紧密联系这些工作思路，指导备案单位在其网络系统中如何在新形势下开展等级保护工作的各项实施内容，解决备案单位在等级保护上述环节中“做什么，如何做”的问题，为国家等级保护工作管理新思路下的备案单位提供等级保护工作实施指导。

3、等级保护实施工作的五个阶段的内容应相互呼应流转起来。如安全规划工作中有信息共享需求，设计实施阶段中应有信息共享相关设计，运维阶段中应有相应的共享信息的出口（如安全监控），应急中应根据共享信息进行应急。

4、将原标准内容进一步细化，使其对网络运营者开展新建对象的等级保护工作的指导性更强。

5、适应国内外相关标准大量修订现状，保持等级保护标准相互之间的一致性。本标准在修订过程中与等级保护系列标准《网络安全等级保护基本要求》、《网络安全等级保护测评要求》、《网络安全等级保护测评过程指南》等标准编制组密切联系，相互之间保持很好的内容协调一致。

二、标准修订思路

国家等级保护系列标准的应用为我国信息安全等级保护制度实施起到了很好的推动作用，较好地支撑了国家信息安全保障体系建设，成效显著。但是，随着一系列事件的发生，我国网络安全形势也随着整个国际形势的变化变得更加严峻，美国和其他一些发达国家在网络空间中的顶层设计、发展战略和相应部署措施，使得我们看到了网络空间的战略威胁，习总书记等中央领导同志对维护我国网络安全作出了一系列重要批示，从全局和战略的高度深刻指出了网络安全问题带来的严重威胁和严峻挑战，为我们进一步加强网络空间安全工作，维护国家安全和社会公共安全指明了方向。

汇总分析习总书记关于网络安全的系列重要讲话，以及《中华人民共和国网络安全法》和《“十三五”国家信息化规划》和《国家网络空间安全战略》等法律法规和文件对于网络安全内涵的阐述和相关要求可以看出，当前关注的网络安全是面向网络空间的安全，重点涉及信息系统、网络基础设施和重要数据资源等，因此等级保护对象的定义也应从这三个方面出发，全面覆盖。

党中央、国务院高度重视信息化工作。“十二五”时期特别是党的十八大之后，成立中央网络安全和信息化领导小组，通过完善等层设计和决策体系，加强统筹协调，作出实施网络强国战略，大数据战略、“互联网+”行动等一系列重大决策，开启了信息化发展新征程。各地区、各部门扎实工作、开拓创新、我国信息化取得显著进步和成就。

网络安全保障能力显著增强，网上生态持续向好。网络安全审查制度的建立、信息安全等级保护制度的落实，网络安全体制逐步完善。国家关键信息基础设施安全防护水平明显提升，网民网络安全意识显著提高。发展了中国特色社会主义治网之道，网络文化建设持续加强，互联网成为弘扬社会主义核心价值观和中华优秀传统文化的重要阵地，网络空间日益清朗。

网络空间国际交流合作不断深化，网信企业走出去步伐明显加快。成功举办世界互联网大会，中美互联网论坛，中英互联网圆桌会议、中国-东盟信息港论坛、中阿国家网上丝绸之路论坛论坛、中国-新加坡互联网论坛。数字经济合作成为多边、双边合作新亮点。一批网信企业加快走出去，积极参与“一带一路”沿线国家信息基础设施建设。跨境电子商务蓬勃发展。

随着网络安全形势的不断演进，针对等级保护系统的网络安全威胁环境也发生了重大变化，高危漏洞，定制病毒，高级持续攻击已成为当前的主流攻击形式，组织严密，资源丰富，技术精湛的团队成为主要的威胁源头，这一改变也迫使等级保护网络安全防护体系、理念和技术跟着改变。另外，云计算、物联网、工业控制、移动互联、大数据等新技术、新应用场景的出现，也给传统等级保护网络安全防护体系设计提出了新的要求，需要根据新技术的应用提出新的方法论。

FIPS是美国联邦信息处理标准

NIST是美国国家标准与技术研究院

定级对象划分：运营、使用单位在划分定级对象时，应综合考虑管理部门、业务关联度等，不应划分过细，导致定级对象数量巨大，增加管理难度；也不宜划分太粗，将完全不相干的多个业务规划为一个定级对象，易导致后续某业务管理和监管缺失，同样会增加管理成本。

三、定级指南解读

修订背景：（了解当前形势的变化）

1、安全内涵不断演进

安全的内涵由早期面向数据的信息安全，过渡到面向信息系统的保障（信息系统安全），并进一步演进为面向网络空间的网络安全，重点涉及信息系统，网络基础设施和重要数据资源等，因此等级保护对象的定义也从这三方面出发，全面覆盖

2、IT系统重要性的提升

随着互联网融入社会生活的方方面面，信息技术产品和系统的重要性不断提高，其作用和地位已经由最初的辅助、支撑、逐步成为不可或缺的信息基础设施

3、新技术新应用不断涌现

云计算、物联网、大数据和移动互联网等新技术新应用在给社会和公众带来了巨大便利的同时，也对等级保护工作，特别是定级工作提出了新挑战。例如：云计算服务带来了“云主机”等虚拟计算资源，也将传统IT环境中信息系统运营、使用单位的单一安全责任转变为云租户和云服务商双方“各自分担”的安全责任，导致云环境下的定级工作更加复杂和困难

四、等级保护政策体系进一步完善

《中华人民共和国网络安全法》确立了网络安全等级保护制度的法律地位，建立了以《网络安全等级保护条例》为核心的等级保护2.0政策体系，与之配套的等级保护标准体系，特别是《定级指南》需要在全面性、时效性和可操作性等方面进一步加以完善，以适应新形势下等级保护工作的需要。

22239-2019等级保护基本要求解读：

1、分为五个等级

第一级自主保护级：

主要对象为一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法组织的权益有一定影响，但不危害国家安全、社会秩序和公共利益。

第二级为指导保护级：

主要对象为一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不危害国家安全。

第三级为监督保护级：

主要对象为涉及国际安全、社会秩序和公众利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公众利益造成损害。

第四级为强制保护级：

主要对象为涉及国家安全、社会秩序和公众利益的重要信息系统的核心子系统，其受到破坏后，会对国际安全、社会秩序和公众利益造成特别严重损害。

第五级为专控保护级：

主要对象为涉及国家安全、社会秩序和公众利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、公共利益造成特别严重损害。

2、信息系统的安全保护等级逐级增强

1.控制点增加

控制点增加，表明对等级保护对象的安全关注点增加，通过控制点增加体现不同级别的差异。

2.要求项增加

由于控制点有限，特别是在高级别上（第三级和第四级），单靠控制点增加来体现安全要求逐级增强的特点是很难的，因此通过控制点之下的安全要求项增加来反应级别的差异。要求项增加，表明对该控制点的要求更加严格，通过要求项的增加来体现不同级别的差异。

3.控制强度增强

不同级别等级保护对象安全要求的增强除体现在控制点增加和要求项增加外，对于同一安全要求项，还通过要求力度的加强或要求内容的变化，反映出级别的差异。

3、云计算安全扩展要求

云计算平台有软件即服务（SaaS）、平台即服务（PaaS）、基础设施即服务（IaaS）三种基本的云计算服务模式。在不同的服务模式中，云服务商和云服务客户对资源拥有不同的控制范围，控制范围则决定了安全责任的边界。

云计算安全扩展要求针对云计算平台提出了安全通用要求之外额外需要实现的安全要求。云计算安全扩展要求涉及的控制点主要包括与云计算技术相关的控制点，例如基础设施位置，镜像和快照保护、云服务商选择、云计算环境管理等，以及云计算环境下需要增强的控制点，例如网络架构、访问控制、入侵防范、安全审计、集中管控、身份鉴别、资源控制、数据安全性，数据备份恢复、剩余信息保护等

4、工业控制系统安全扩展要求

工业控制系统（ICS）是各类控制系统的总称，典型的包括数据采集与监视控制系统（SCADA）系统，集散控制系统（DCS）和其他控制系统等

工业控制系统从上到下一般分为5个层次，依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层。对工业控制系统的安全防护应包括各个层级，由于企业资源层、生产管理层、过程监控层通常事由计算机设备构成的，因此这些层级按照安全通用要求提出的要求进行保护，工业控制系统安全扩展要求主要针对现场控制层和现场设备层提出特殊安全要求，它们与安全通用要求一起构成对工业控制系统的完整安全要求。

工业控制系统安全扩展要求涉及的控制点主要包括室外控制设备防护、拨号使用控制、无线使用控制、控制设备安全等，以及在网路架构、通信传输、访问控制、产品采购和使用、外包软件开发等方面的额外要求。

5、安全要求的选择和使用

由于等级保护对象承载的业务不同，对其的安全关注点会有所不同，有的更关注信息的安全性，即更关注对搭线窃听、假冒用户等可能导致信息泄密，非法篡改等；有的更关注业务的连续性，即更加关注保证系统连续正常运行，免受对系统未授权的修改、破坏而导致系统不可用引起业务中断。不同级别的等级保护对象，其对业务信息的安全性要求和系统服务的连续性要求是有差异的，即使相同级别的等级保护对象，其对业务信息的安全性要求和系统服务的连续性要求也有差异。

6、安全要求的补充

对于22239-2019中等级保护基本要求提出的安全要求无法实现或有更加有效的安全措施可以替代的，可以对安全要求进行调整，调整的原则是保证不降低整体安全保护能力。

五、设计技术要求解读

《设计技术要求》规定了等级保护定级对象的安全设计技术要求，是实现《基本要求》相关技术体系要求的方法论之一，适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施，也可作为网络安全职能部门进行监督、检查和指导的依据。

对等级保护安全防护体系而言，不能仅以核标为目的，根据标准要求，逐条核对设计，而采用“同步规划、同步建设、同步使用”的原则在业务系统设计和开发的过程中，进行全面的风险梳理，然后参考正确的方法论和最佳实践，进行体系化的机制及策略的设计。

安全防护模型

《信息安全技术 网络安全等级保护设计技术要求》基于PPDR安全模型构建安全防护体系，PPDR安全模型即策略-保护-检测-响应，是国际上著名的安全防护模型，该模型是在整体的安全策略的控制和指导下，综合运用防护工具（如防火墙、身份认证、加密等）的同时，利用检测工具（如漏洞评估、入侵检测系统）了解和评估系统的安全状态，通过适当的响应将系统调整到一个比较安全的状态。保护、检测、响应组成了一个完整的、动态的安全闭环。

策略是安全防护的基础

对安全防护体系而言，策略是大脑，是安全防护体系有效运行的基础保障。而当前的网络安全防护体系往重机制、轻策略，系统中部署了防火墙，WAF，应用安全网关等产品，但是策略没有开启，或者开启的策略粒度很粗，致使数据流经过了安全机制的检查，降低了系统的性能，提高了系统的时延，但却没有收到应有的安全效果，安全机制形同虚设。另外，现有的安全产品各自为政，无法形成协同防御效应。检测机制发现的安全威胁，仅仅能够报警，而无法协同安全防护机制进行阻断，使得攻击者依然能够成功发起攻击，防御者只能事后追查溯源。

保护机制是安全防护的第一道防线

《设计技术要求》强调为重要信息系统构建安全保护机制，通过认证，授权、访问控制、密码等机制，形成进不来、拿不走、看不懂、改不了、赖不掉的安全保护体系，让参与的用户仅拥有完成任务的最小权限，重要的数据被密码保护，即使攻击者利用漏洞入侵定级系统，其造成的破坏是有限的，能够成功守住系统安全的底线。

核心技术理念

《设计技术要求》提出了“可信，可控，可管”的技术理念，确保系统环境始终可信，系统中的用户仅有完后任务的最小权限，系统中的策略是量身定制的。

1、可信

以可信计算技术为基础，构建一个可信的定级系统执行环境，即通过对用户的身份鉴别、对恶意代码的主动防御，对程序的执行保护、对数据的完整性验证以及互联网接入设备的可信连接来确保用户、平台、程序、数据和传输通道都是可信的，保证业务系统按照设计及建设的方式执行，不会出现非预期的行为，最终保障业务系统安全可靠。

2、可控

以访问控制技术为核心，实现对主体对客体的受控访问，即通过对用户的权限控制，保证定级系统所有的访问行为均在可控制范围内进行，在防范内部攻击的同时有效放置了从外部发起的攻击行为，对用户访问权限的控制可以确保系统中的用户不会出现越权操作，按系统设计及建设的策略进行资源访问，从而保证了定级系统的安全可控。

3、可管

即通过构建集中管控，最小权限管理与三权分立的管理平台，为安全运维管理员创建一个工作平台，使其可以进行技术平台支撑下的信息安全管理，实现对用户的身份管理，对定级系统基础设施的资源管理，对安全事件的管理，对敏感数据的权限管理以及系统的安全审计管理等，从而保证顶级系统的安全可管。

结构化设计

1、主张使用顺序、选择、循环三种基本结构来嵌套连接成具有复杂层次的“结构化程序”，严格控制GOTO语句的使用。

2、“自顶向下，逐步求精”的设计思想，其出发点是从问题的总体目标开始，抽象低层的细节，先专心构造高层的结构，然后再一层一层的分解和细化。

3、“独立功能，单入口单出口”的模块结构减少模块的相互联系，使模块可作为插件或积木使用，降低程序的复杂性，提高可靠性。

定级系统安全保护环境设计

1、梳理业务流程

通过业务流程的梳理，了解系统的现状、特点及特殊安全需求，为后续量身定制安全设计方案奠定基础。

2、风险评估

基于业务流程对定级系统进行安全评估，识别资产、威胁和脆弱性，对风险进行评价，结合等级保护相应标准，提出定级系统的安全防护需求。

3、梳理主、客体及其权限

梳理定级系统涉及到的主体、客体，以及明确主体对客体的最小访问权限。

4、区域设计

分层分域设计，依据本标准提出的等级保护安全技术设计框架，进行区域划分，明确计算环境、区域边界、通信网络以及安全管理中心的位置。

5、分析关键保护点

从操作系统，数据库、应用系统、网络等层面分析定级系统安全保护环境的关键保护点，为安全机制及策略的设计奠定基础。

6、安全机制及策略设计

依据本标准提出的安全保护环境设计要求，在关键保护点上进行安全机制及策略的设计。

六、测评要求解读：28448-2019

等级测评技术框架的变化

等级测评技术框架由原标准的单元测评和整体测评调整为单项测评和整体测评。

单项测评：

是针对各安全要求项的测评，支持测评结果的可重复性和可再现性。本标准中单项测评由测评指标、测评对象、测评实施和单元判定构成。修订后的单项测评中测评指标更加细化，由原标准中的安全控制点调整为安全控制点下的具体安全要求项，更有助于测评实施的开展。

整体测评：

是在单项测评基础上，对等级保护对象整体安全保护能力的判断。整体测评内容由原标准的安全控制点间，层面间和区域间测评等方面调整为现标准的安全控制点测评、安全控制点间测评和区域间测评。

七、测评过程指南解读：28449-2018

等级测评的执行对象是已经确定等级的定级对象。

从技术角度来看，等级测评是标准符合性测评，即国家标准、行业标准、地方标准或相关技术规范，按照严格程序对定级对象的安全保护能力进行的科学、公正的综合测评活动，对定级对象的等级保护落实情况与网络安全等级保护相关标准要求之间的符合程度的测试判定。主要是基于国家标准《基本要求》进行能力符合性判定。而且，等级测评具有等级化的特点，针对不同级别定级对象的等级测评要求也不相同。

等级测评工作要求

开展等级测评的主要工作要求：

1.依据标准，遵循原则

依据标准是指要依据等级保护的相关技术标准进行等级测评。相关技术标准主要包括《基本要求》和《测评要求》，其中《基本要求》解决测评的目标和内容等方面的问题，《测评要求》解决测评的方法，实施过程和判定要求等方面内容。

遵循原则主要是指在等级测评过程中，要遵循客观性和公正性、经济性和可重用性、可重复性和可再现性、结果完善性原则。遵循这些原则可以保证测评工作公正、科学、合理和完善。

“客观性和公正性原则”是指测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动。

“经济性和可重用性原则”是基于测评成本和工作复杂性考虑，测评工作鼓励重用以前的可信测评结果，包括商业安全产品测评结果和被测定级对象先前的安全测评结果，所有重用的结果，都应基于结果和被测对象先前的安全测评结果，所有重用的结果，都应基于结果适用于目前的定级对象，并且能够反映出目前定级对象的安全状态基础之上。

“可重复性和可再现性原则”指的是无论谁执行测评，依照同样的要求，使用同样的测评方法，对美国测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者指的是不同测评者实施的测评结果应具有一致性，后者指的是同一测评者针对同一对象多次实施测评的测评结果应具有一致性。

“结果完善性原则”指的是测评所产生的结果应当是良好的判断和对测评项的正确理解，测评过程应当服从正确的测评方法，以确保测评结果能够真实反馈定级对象针对相应测评项的实际实现水平。

2、恰当选取，保证强度

恰当选取是指对具体测评对象的选择要恰当，既要避免重要的对象、可能存在安全隐患的对象没有被选择，也要避免过多选择，使工作量增大，不能按期完成测评任务。

保证强度是指对被测评对象应实施与其等级相适应的测评力度，越高等级的定级对象，实施的测评力度越强，测评的实施范围越广，测评越严格、粒度越细。

3、规范行为，规避风险

规范行为包括测评机构的管理规范以及测评人员的行为规范两方面。

测评机构自身管理应规范，包括：不测评由测评机构自己承担建设集成的定级对象，以保证测评结果的公正性；建立内部质量管理体系和保密制度；规定相关文档评审流程；指定专人负责保管安全测评的归档文档，负责文件的借阅登记，树立科学公正、纪律严明、业务精通、服务规范、诚信为本 、礼貌待人的测评机构形象。

测评人员的行为应规范，包括：树立服务意识、质量意识；在不违反测评工作原则的基础上，遵从运营，使用单位的机房管理制度；由有资格的测评人员使用测评专用电脑和工具；测评人员进入现场佩戴工作牌；严格按照测评指导书使用规范的测评技术进行测评；准确记录测评证据，不伪造记录；不收受贿赂，不擅自评价测评结果，不泄露被测定级对象信息；不将测评结果复制给非测评人员等。

规避风险，是指要充分估计测评可能给被测定级对象带来的影响，向运营/使用单位揭示风险，要求其提前采取预防措施进行规避。同时，测评机构也应采取与测评委托单位签署委托。

在等级测评工作中可能存在的风险：

1、可能影响系统正常运行

2、可能泄露敏感信息

3、木马植入风险

风险规避：

1、签署委托测评协议

2、签署保密协议

3、签署现场测评授权书

4、现场测评工作风险的规避

进行验证测试和工具测试前，需要对关键数据做好数据备份工作，并对可能出现的影响制定的处理方案；上机验证测试原则上由测评委托单位相应的技术人员进行操作，测评人员根据情况提出需要操作的内容，并进行查看和验证，避免由于测试人员对某些专用设备不熟悉造成误操作；测评机构使用的测评工具在使用前应事先告知测评委托单位，并详细介绍这些工具的用途以及可能对信息系统造成的影响，征得其同意。必要时先进行一些试验。最后，整个现场测评过程要求运营、使用单位全程监督。

在进行验证测试和工具测试时，测评机构需要与测评委托单位充分的协调，安排好测试时间，尽量避开业务高峰期，在系统资源处于空闲状态时进行；对于实时性要求高的工业控制系统，可配置与生产环境一致的模拟/仿真环境，在模拟/仿真环境下开展漏洞扫描等测试工作。

5、测评现场还原

测评工作完成后，测评人员应交回测评过程中获取的所有特权，归还测评过程中借阅的相关资料文档，并严格清理测评过程中植入被测评对象中的相关代码/程序等。

6、规范化实施过程

7、沟通与交流

转载请注明来自网盾网络安全培训，本文标题：《等级保护2.0相关标准解读》

标签：等级保护2.0