1、信息安全技術網絡安全等級保護測評要求第 1 部分：安全通用要求編制說明1 概述1.1 任務來源信息安全技術 信息系統安全等級保護測評要求于 2012 年成為國家標準，標準號為 GB/T 28448-2012，被廣泛應用于各個行業的開展等級保護對象安全等級保護的檢測評估工作。但是隨著信息技術的發展，尤其云計算、 移動互聯網、物聯網和大數據等新技術的發展，該標準在時效性、易用性、可操作性上還需進一步提高， 2013 年公安部第三研究所聯合中國電子技術標準化研究院和北京神州綠盟科技有限公司向安標委申請對 GB/T 28448-2012 進行修訂。根據全國信息安全標準化技術委員會 2013 年下達的國

2、家標準制修訂計劃，國家標準信息安全技術 信息系統安全等級保護測評要求修訂任務由公安部第三研究所負責主辦，項目編號為 2013bzxd-WG5-006。1.2 制定本標準的目的和意義信息安全等級保護管理辦法 （公通字 200743 號）明確指出信息系統運營、使用單位應當接受公安機關、 國家指定的專門部門的安全監督、 檢查、指導，而且等級測評的技術測評報告是其檢查內容之一。這就要求等級測評過程規范、測評結論準確、公正及可重現。信息安全技術信息系統安全等級保護基本要求 （GB/T22239-2008）（簡稱 基本 要求） 和 信息 安全 技術信息系統安全 等級保護測評 要求（GB/T28448-20

3、12）（簡稱 測評要求）等標準對近幾年來全國信息安全等級保護工作的推動起到了重要的作用。伴隨著 IT 技術的發展，基本要求中的一些內容需要結合我國信息安全等級保護工作的特點， 結合信息技術發展尤其是信息安全技術發展的特點， 比如無線網絡的大量使用，數據大集中、 云計算等應用方式的普及等， 需要針對各等級系統應當對抗的安全威脅和應具有的恢復能力， 提出新的各等級的安全保護目標。作為基本要求的姊妹標準， 測評要求需要同步修訂，依據基本要求的更新內容對應修訂相關的單元測評章節。1此外，測評要求還需要吸收近年來的測評實踐，更新整體測評方法和測評結論形成方法。1.3 與其他標準的關系實施指南定級指南確定

4、等級保護對象安全等級實施指南測評過程指南測評要求系列標準等級測評 等級保護對象選擇相應的安全控制措施實施指南基本要求系列標準安全建設整改實施指南其他相關標準圖 1 等級保護標準相互關系從上圖可以看出，在等級保護對象實施安全保護過程中，首先利用信息安全技術信息系統安全等級保護定級指南 （GB/T 22240-2008）（簡稱“定級指南”）確定等級保護對象的安全保護等級， 然后根據信息安全技術網絡安全等級保護基本要求 系列標準選擇安全控制措施，隨后利用 信息安全技術信息系統安全等級保護實施指南（簡稱“實施指南”）或其他相關標準確定其特殊安全需求，進行等級保護對象的安全規劃和建設工作， 此后利用信息

5、安全技術網絡安全等級保護測評過程指南 （GB/T 28449-20XX）（簡稱“測評過程指南”）來規范測評過程和各項活動，利用 信息安全技術網絡安全等級保護測評要求系列標準來判斷安全控制措施的有效性。同時，等級保護整個實施過程又是由 實施指南來指導的。在等級保護的相關標準中， 測評要求系列標準是基本要求系列標準的姊妹篇，測評要求針對基本要求中各要求項，提供了具體測評方法、步驟和判斷依據等，是為了確認等級保護對象是否按照基本要求 中的不同等級的技術和管理要求實施的，而 測評過程指南 則是規定了開展這些測評活動的基本過程， 包括過程、 任務及產品等， 以指導用戶對 測評要求 的正確使用。1.4 標

6、準組成為了適應移動互聯、虛擬計算、云計算、物聯網、工控系統和大數據等新技2術、新應用情況下網絡安全等級保護測評工作的開展，需對 GB/T 28448-2012 進行修訂，修訂的思路和方法是針對移動互聯、虛擬計算、云計算、物聯網、工控系統和大數據等新技術、新應用領域提出擴展的測評要求。對GB/T 28448-2012 的修訂完成后， 測評要求標準成為由多個部分組成的系列標準，目前主要有六個部分：GB/T 28448.1-20XX 信息安全技術網絡安全等級保護測評要求第 1 部分：安全通用要求；GB/T 28448.2-20XX 信息安全技術網絡安全等級保護測評要求第 2 部分：云計算安全擴展要求

7、；GB/T 28448.3-20XX 信息安全技術網絡安全等級保護測評要求第 3 部分：移動互聯安全擴展要求；GB/T 28448.4-20XX 信息安全技術網絡安全等級保護測評要求第 4 部分：物聯網安全擴展要求；GB/T 28448.5-20XX 信息安全技術網絡安全等級保護測評要求第 5 部分：工控控制安全擴展要求；GB/T 28448.6-20XX 信息安全技術網絡安全等級保護測評要求第 6 部分：大數據安全擴展測評要求。2 編制過程1）2013 年 12 月，公安部第三研究所、中國電子技術標準化研究院和北京神州綠盟科技有限公司成立了信息安全技術 信息安全等級保護測評要求標準編制組。2

8、）2014 年 1 月至 5 月，標準編制組按照計劃調研了國際和國內無線接入、虛擬計算、云計算平臺、大數據應用和工控系統應用等新技術、新應用的情況，分析并總結了新技術和新應用中的安全關注點和要素； 同時標準編制組調研了與信息安全技術 信息系統安全等級保護測評要求 (GB/T 28448-2012) 相關的其他國家標準和行業標準，分析了信息安全技術 信息系統安全等級保護基本要求(GB/T 22239-2008) 的修訂可能對其產生的影響。3）2014 年 5 月，為適應無線移動接入、虛擬計算環境、云計算平臺應用、大數據應用和工控系統應用等新技術、 新應用的情況下等級保護工作開展， 公安部十一局牽

9、頭會同有關部門組織 2014 年新領域的國家標準立項，根據新標準立3項結果確定基本要求修訂思路發生重大變化，為適應基本要求修訂思路的變化在信息安全技術 信息系統安全等級保護測評要求 （GB/T 28448-2012）的基礎上，針對無線移動接入、虛擬計算環境、云計算平臺應用、大數據應用和工控系統應用等新領域形成“測評要求”的分冊，如信息安全技術 網絡安全等級保護測評要求 第 2 部分：云計算安全擴展要求 、信息安全技術 網絡安全等級保護測評要求 第 3 部分：移動互聯安全擴展要求 、信息安全技術 網絡安全等級保護測評要求 第 4 部分：物聯網安全擴展要求 、信息安全技術 網絡安全等級保護測評要求

10、 第 5 部分： 工控控制安全擴展要求和 信息安全技術 網絡安全等級保護測評要求 第6部分：大數據安全擴展要求 。構成GB/T 28448.1、GB/T 28448.2、, 等測評要求系列標準，上述思路的變化直接影響了國家標準GB/T 28448-2012 的修訂思路和內容。5）2014 年 7 月至 2015 年 5 月，標準編制組根據新修訂基本要求草案第一稿編制了 信息安全技術 網絡安全等級保護測評要求 第 1 部分：安全通用要求草案第一稿。6）2015年 5 月至 2015年 12 月，標準編制組根據新修訂基本要求草案第三稿編制了 信息安全技術 網絡安全等級保護測評要求 第 1 部分：安

11、全通用要求草案第二稿。7）2016 年 5 月至 2016 年 6 月，標準編制組根據新修訂基本要求草案第五稿編制了 信息安全技術 網絡安全等級保護測評要求 第 1 部分：安全通用要求草案第三稿。8）2016年 5 月 23 日，在評估中心針對信息安全技術 網絡安全等級保護測評要求 第 1 部分：安全通用要求草案第三稿進行行業內專家評審會。9）2016年 7 月，標準編制組根據新修訂基本要求草案第六稿和第七稿編制了信息安全技術 網絡安全等級保護測評要求 第 1 部分：安全通用要求草案第四稿。9）2016年 7 月-8 月，將信息安全技術 網絡安全等級保護測評要求 第 1部分：安全通用要求草案第

12、四稿發送 11 家等級測評機構和 WG5工作組成員單位征求意見。10）2016 年 8 月 12 日，在北京瑞安賓館第五會議室召開 WG5工作組部分專4家評審會，針對 信息安全技術 網絡安全等級保護測評要求 第 1 部分： 安全通用要求草案第四稿征求意見。11）2016 年 8 月 25 日，在北京瑞安賓館第二會議室參加 WG5工作組在研標準推進會，在會上征求所有 WG5工作組成員單位意見。12）根據專家意見已經修訂完成，形成信息安全技術 網絡安全等級保護測評要求 第 1 部分：安全通用要求草案第五稿。13）根據測評機構反饋意見修訂完成，形成信息安全技術 網絡安全等級保護測評要求 第 1 部分

13、：安全通用要求草案第六稿。14）前正在推進測評要求后續專標準修訂工作。3 標準編制的技術路線安全等級保護測評（以下簡稱等級測評）的概念性描述框架由兩部分構成：單項測評和整體測評，圖 1 給出了等級測評框架。單項測評測評指標 測評實施 單項判定測評對象1）基本要求要求項a)b)制度文檔設備設施測評方法測評規程訪談規程（步驟）檢查規程（步驟）判定原則2）等級保護對象安全保護等級安全配置相關人員訪談檢查測試測試規程（步驟）規程（步驟）說明整體測評安全控制點測評 安全控制點間測評 層面間測評圖 1 等級測評描述框架針對基本要求各安全要求項的測評稱為單項測評， 單項測評是等級測評工作的基本活動，支持測評

14、結果的可重復性和可再現性。單項測評是由測評指標、 測評對象、測評實施和單元判定構成。本部分的測評指標包括 信息安全技術網絡安全等級保護基本要求第 1 部分：安全通用要求第四級目錄下的要求項。測評對象是指測評實施的對象， 即測評過程中涉及到的制度文檔、 各類設備及其安全配置和相關人員等。 對于框架來說，每一個被測安全要求項 （不同級別）均有一組與之相關的預先定義的測評對象 （如制度文檔、 各類設備設施及相關人5員等）。制度文檔是指針對等級保護對象所制定的相關聯的文件（如：政策、程序、計劃、系統安全需求、功能規格及建筑設計） 。各類設備是指安裝在等級保護對象之內或邊界，能起到特定保護作用的相關部件

15、（如：硬件、軟件、固件或物理設施）。相關人員或部門，是指應用上述制度、設備及安全配置的人。測評實施是一組針對特定測評對象， 采用相關測評方法， 遵從一定的測評規程所形成的， 用于測評人員使用的確定該要求項有效性的程序化陳述。 測評實施主要由測評方法和測評規程構成。其中測評方法包括：訪談、檢查和測試（說明見術語），測評人員通過這些方法試圖獲取證據。上述的評估方法都由一組相關屬性來規范測評方法的測評力度。這些屬性是：廣度（覆蓋面）和深度。對于每一種測評方法都標識 (定義）了唯一屬性，深度特性適用于訪談和檢查，而覆蓋面特性則適用于全部三種測評方法。上述三種測評方法（訪談、檢查和測評）的測評結果都用以

16、對安全控制的有效性進行評估。 測評規程是各類測評方法操作使用的過程、步驟，測評規程實施完成后，可以獲得相應的證據。結果判定描述測評人員執行測評實施并產生各種測評輸出數據后， 如何依據這些測評輸出數據來判定被測系統是否滿足測評指標要求的原則和方法。 通過測評實施所獲得的所有證據都滿足要求則為符合， 不全滿足要求則該單項要求不符合。整體測評是在單項測評基礎上， 分別從安全控制點測評， 安全控制點間和層面間三個角度分別進行測評。4 標準總體框架本標準共分為 11 章，4 個附錄，每章內容如下：第1、2、3 章，為標準的常規性描述，包括范圍、規范性引用文件、術語和定義；第4 章，概要描述了安全等級保護

17、測評方法及單項測評和整體測評組成；第 5、6、7、8 章，分別描述了第一、二、三、四級測評要求，每級分別遵從基本要求的框架從安全技術和安全管理兩大方面描述如何實施測評工作，其中技術方面分別從物理和環境安全、 網絡和通信安全、設備和計算安全、 應用和數據安全四個層面展開； 而管理方面則分別從安全策略和管理制度、 安全管理機構和人員、安全建設管理和安全系統運維管理四個方面展開，與基本要求6形成了相互對照、和諧統一的標準體系。第9 章，略掉第五級的測評要求。第 10 章，描述了系統整體測評方法。在單項測評的基礎上，從系統整體的角度綜合考慮如何進行系統性的測評。 分別從安全控制點、 安全控制點間及層面

18、間測評三方面進行描述，分析了在進行系統測評時所需考慮的方向和指導思想。第 11 章，概要說明了給出測評結論的方法，測評結論主要應該包括哪些方面的內容等。附錄 A，描述了各種測評方法的測評強度， 并具體描述針對不同等級保護對象的測評強度。附錄 B，描述了測評指標編碼規則及專用縮略語。附錄 C，描述了設計要求測評驗證內容。附錄 D，為基本要求的要求項和測評要求的測評單元索引表。5 主要章節的編寫方法第 5、6、7、8 章分別描述了第一級、第二級、第三級和第四級所有測評要求的內容，在章節上分別對應國標 GB/T22239.1-2XXX 的第 5 章到第 8 章。在國標 GB/T22239.1-20XX 第 5 章到第 8 章中，各章的二級目錄都分為安全技術和安全管理兩部分，三級目錄從安全層面（如物理和環境安全、網絡和通信安全、設備和計算安全等）進行劃分和描述，四級目錄按照安全控制點進行劃分和描述 （如設備和計算安全層面下分為身份鑒別、訪問控制、安全審計等） ，第五級目錄是每一個安全控制點下面包括的具體安全要求項。