《网络安全等级保护相关标准修订解读》.pptVIP

SaaS模式下云服务商与租户的责任划分 层面 安全要求 安全组件 责任主体 物理和环境安全 物理位置选择 数据中心及物理设施 云服务商 网络和通信安全 网络结构、访问控制、远程访问、入侵防范、安全审计 物理网络及附属设备、虚拟网络管理平台、虚拟网络安全域 云服务商 设备和计算安全 身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护 物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像、虚拟机、虚拟网络设备、虚拟安全设备等 云服务商 应用和数据安全 安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复 云管理平台（含运维和运营）、镜像、快照等、应用系统及相关软件组件 云服务商 云服务客户应用系统配置、云服务客户业务相关数据等 云服务客户 安全管理机构和人员 授权和审批 授权和审批流程、文档等 云服务商 安全建设管理 安全方案设计、测试验收、云服务商选择、供应链管理 云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息 云服务商 云服务商选择及管理流程 云服务客户 安全运维管理 监控和审计管理 监控和审计管理的相关流程、策略和数据 云服务商 图E.1　移动互联应用架构 图F.1　物联网系统构成 13.增加了应用场景的说明 《网络安全等级保护测评要求》主要修订的内容 主要修订内容 名称的变化及等级保护测评对象的变化。（与基本要求一致） 每级分别遵从《基本要求》的框架描述如何实施测评工作，每个级别包括安全测评通用要求、云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展要求和工业控制系统安全测评扩展要求等5个部分内容。测评项与基本要求一致。 为了更加易于使用测评要求，增加《附录B 测评单元编号说明》和《附录D 基本要求和测评要求对应表》。 等级测评描述框架 等级测评分为单项测评和整体测评。 单项测评是针对各安全要求项的测评，支持测评结果的可重复性和可再现性。本标准中单项测评由测评指标、测评对象、测评实施和单元判定结果构成。 整体测评是在单项测评基础上，对等级保护对象整体安全保护能力的判断。整体安全保护能力从纵深防护和措施互补二个角度评判。 测评流程方法的变化 在级差上的变化 测试方法：第一级主要以访谈位置，第二级核查为主，第三级和第四级在核查的基础上进行测试验证。 测评对象范围：第一级和第二级为关键设备，第三级主要设备，第四级所有设备 测评实施：第一级和第二级以核查安全机制为主，第三级和第四级先核查安全机制，再检查策略有效性。 测评方法使用：安全技术方面的测评方法以配置核查和测试验证为主，几乎没有访谈。安全管理方面可以使用访谈方式进行测评 《网络安全等级保护安全设计技术要求》主要修订的内容 名称的变化及等级化保护对象的变化。（与基本要求一致） 沿用“一个中心三重防护“的防护理念，在通用的等级保护安全设计框架下，针对云计算、移动互联、物理网、工业控制系统提出了新的安全设计框架。 在每一级的“安全计算环境设计技术要求“、”安全区域边界技术设计技术要求”、“安全通信网络设计技术要求”中，除了通用设计外，增加了针对云计算、移动互联、物联网、工业控制系统的设计要求。 主要修订内容 网络安全等级保护安全技术设计框架 云计算安全防护技术框架 移动互联系统安全防护技术框架 物联网安全防护技术框架 工业控制系统安全防护技术框架 现等级保护标准体系 GB 17859 计算机信息系统安全保护等级划分准则 GB/T 25058 网络安全等级保护实施指南 GB/T 22240 网络安全等级保护定级指南 GB/T 22239 网络安全等级保护基本要求 GB/T 25070 网络安全等级保护安全技术设计要求 网络安全等级保护安全管理中心技术要求 GB/T 28448 网络安全等级保护测评要求 GB/T 28449 信息系统安全等级保护测评过程指南 网络安全等级保护测试评估技术指南 （修订） （修订） （修订） （修订） （新立） （修订） （新立） 《网络安全等级保护定级指南》主要修订的内容（草案阶段） 原来：信息安全等级保护工作直接作用的具体信息和信息系统 改为：网络安全等级保护的作用对象，主要包括基础信息网络、工业控制系统、云计算平台、大数据平台、物联网、使用移动互联技术的网络系统以及其他网络系统。（目前文字描述上与基本要求不一致，但意思相同，后期应该会统一） 根据网络安全法，扩展等级保护对象，并解决移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的等级保护工作。 1.等级保护对象的修订 2.新增相关标准术语 基础信息网络：为信息流通、网络系统运行等起基础支撑作用的信息网络，包括电信网、广播电视传输网、互联网、业务专网等网络设备