前言

2018年12月25日，由中关村可信计算产业联盟主办的“等级保护新标准解读培训班”在北京裕龙酒店举行。沈昌祥院士、公安部范春玲、李秋香、陈广勇等专家老师对网络安全等级保护制度进行了细致解读，为了贯彻落实国家网络安全等级保护制度，特针对行业内发布的相关内容进行整理，以便学习。

等级保护标准变化

等级保护新标准在编制过程中总共经历了两次大的变化，首先是2017年8月根据国家网信办和公安部的意见将5个分册进行了合并，形成一个标准，并在2017年10月参加“信安标委WG5工作组在研标准推进会”，针对合并后的标准送审稿进行征求意见，经127家成员单位意见汇总后，形成修订报批稿；其次大的变化是2018年7月根据沈昌祥院士的意见再次调整分类结构和强化可信计算，充分体现一个中心、三重防御的思想并强化可信计算安全技术要求的使用。

经过这两次大变化后的《网络安全等级保护基本要求》有10个章节8个附录，其中第6、7、8、9、10章为五个安全等级的安全要求章节，8个附录分别为：安全要求的选择和使用、关于等级保护对象整体安全保护能力的要求、等级保护安全框架和关键技术使用要求、云计算应用场景说明、移动互联应用场景说明、物联网应用场景说明、工业控制系统应用场景说明和大数据应用场景说明。

标准名称由原来的《信息安全技术 信息系统安全等级保护基本要求》变更为《信息安全技术 网络安全等级保护基本要求》，与《中华人民共和国网络安全法》保持一致。等级保护对象由原来的“信息系统”改为“等级保护对象（网络和信息系统）”，安全等级保护对象包括基础信息网络（广电网、电信网等）、信息系统（采用传统技术的系统）、云计算平台、大数据平台、移动互联、物联网和工业控制系统等。新版安全要求在原有通用安全要求的基础上新增安全扩展要求，安全扩展要求主要针对云计算、移动互联、物联网和工业控制系统提出了特殊安全要求。

等级保护章节结构

调整后每一级的安全要求均包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求这几个部分：

安全通用要求规定了各类等级保护对象形态如何满足要求。  

云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。  

需要注意的是针对云计算环境的定级，对于云租户的定级仍按照传统的定级思路，而对于云计算平台的定级则分两种情况，一种是中小型云计算平台，可将整个平台作为整体定级对象；另一种是针对大型云计算平台，应将云计算基础设施和有关辅助服务系统划分为不同定级对象（比如大型云计算平台的计费系统可单独作为一个定级对象）。  

移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。  

物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。针对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。  

工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面，针对工业控制系统实时性要求高的特点调整了“漏洞和风险管理”和“恶意代码防范管理”方面的要求。  

控制措施分类结构  

调整后的控制措施分类结构如下：  

技术要求“从面到点”提出安全要求，“安全物理环境”主要对机房设施提出要求，“安全通信网络”和“安全区域边界”主要对网络整体提出要求，“安全计算环境”主要对构成节点（包括业务应用和数据）提出要求，“安全管理中心”主要对系统管理、集中管控等提出要求。  

管理要求“从元素到活动”提出安全要求，“安全管理制度”、“安全管理机构”和“安全管理人员”主要提出了管理不可缺少的制度、机构和人员三要素，“安全建设管理”及“安全运维管理”主要提出了建设过程和运维过程的安全活动管理要求。  

安全通信网络、安全区域边界、安全管理中心的第四级在第三级的基础上增加了7个条款：  

1)应按照业务服务重要程度分配带宽，优先保障重要业务；  

2)应在通信前基于密码技术对通信的双方进行验证或认证；  

3)应基于硬件密码模块对重要通信过程进行密码运算和密钥管理；  

4)应能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时，对其进行有效阻断；  

5)应采用可信验证机制对接入到网络中的设备进行可信验证，保证接入的网络设备真实可信；  

6)应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换；  

7)应保证系统范围内的时间由唯 一确定的时钟产生，以保证各种数据的管理和分析在时间上的一致性。  

安全计算环境的第四级在第三级的基础上增加了5个条款：  

1)登录用户执行重要操作时应再次进行身份鉴别；  

2)应对主体、客体设置安全标记，并依据安全标记和强制访问控制规则确定主体对客体的访问；  

3)应采用主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断；  

4)在可能涉及法律责任认定的应用中，应采用密码技术提供数据原发证据和数据接收证据，实现数据原发行为的抗抵赖和数据接收行为的抗抵赖；  

5)应建立异地灾难备份中心，提供业务应用的实时切换。  

恶意代码防范，从一级到四级主要做了如下要求：  

一级：应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。  

二级：应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。  

三级：应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。  

四级：应采用主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。  

从标准控制措施整体看，对可信控制点有所增加，各个级别和层面均增加了可信验证控制点，从一级到四级均在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点，并且从第二级开始，增加了安全管理中心技术要求。  

在等级保护测评方面，对等级保护符合性评价方法较之前有了很大不同，新的测评要求增加了重点测评项和常规测评项，重点测评项实行一票否决制，重点测评项优先通过测评后，才进行常规测评项测评。目前公安部正研究并整理各保护级别的重点测评项列表。  

结束语  

网络安全等级保护是我国信息安全保障的基本制度性工作，是网络空间安全保障体系的重要支撑，也是应对恶意APT攻击的有效措施。在法律支撑层面，我国的计算机系统等级保护条例提升为国家基础性法律制度，即“网络安全法”中的网络安全等级保护制度；在科学技术层面，由分层被动防护发展到了科学安全框架下的主动免疫防护；在工程应用层面，由传统的计算机信息系统防护转向了新型计算环境下的网络空间主动防御体系建设。等保2.0时代重点对云计算、移动互联、物联网、工业控制系统以及大数据安全等进行安全防护，确保关键信息基础设施安全。  

关于天科信安  

天科信安是一家专门从事工业信息安全的科技型企业。公司依托核心团队在信息安全、工控自动化等领域的深厚积淀，传承与创新并举，以工控安全防护技术为核心，为国家关键信息基础设施提供完善整体解决方案、产品及服务。