《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）标准解读

doi:10.3969/j.issn.1671-1122.2019.07.001

信息网络安全 ›› 2019, Vol. 19 ›› Issue (7): 1-8.doi: 10.3969/j.issn.1671-1122.2019.07.001

• • 下一篇

《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）标准解读

陈广勇¹(), 祝国邦², 范春玲²

1. 公安部信息安全等级保护评估中心,北京 100142
2. 公安部网络安全保卫局,北京 100741

收稿日期:2019-06-10 出版日期:2019-07-19 发布日期:2020-05-11
作者简介:
作者简介：陈广勇（1973—）,男,天津,副研究员,硕士,主要研究方向为信息技术、网络安全;祝国邦（1979—）,男,吉林,副研究员,硕士,主要研究方向为信息技术、网络安全、等级保护;范春玲（1976—）,女,吉林,副研究员,硕士,主要研究方向为信息技术、网络安全、等级保护。

Information Security Technology—Evaluation Requirement for Classified Protection of Cybersecurity(GB/T 28448-2019) Standard Interpretation

Guangyong CHEN¹(), Guobang ZHU², Chunling FAN²

1. Information Classified Security Protection Evaluation Center of the Ministry of Public Security, Beijing 100142, China
2. Cyber Security Department of the Ministry of Public Security, Beijing 100741, China

Received:2019-06-10 Online:2019-07-19 Published:2020-05-11

摘要/Abstract

摘要：

《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）已正式发布实施。文章介绍了GB/T 28448-2019的修订背景和进程、与GB/T 28448-2012比较发生的主要变化、安全测评通用要求和安全测评扩展要求的主要内容等,目的是使用户更好地了解和掌握GB/T 28448-2019的内容。

关键词: 等级保护, 等级保护对象, 等级测评, 安全测评通用要求, 安全测评扩展要求

Abstract:

Evaluation requirements for classified protection of cybersecurity(GB/T 28448-2019) will be formally implemented soon. This paper introduces the revision background and process of this standard, the main changes in comparison with GB/T 28448-2012, the main contents of security general requirements and security special requirements, etc., so that to the main contents can be understood better.

Key words: classified protection, classified protection object, evaluation for classified protection, security general requirements, security special requirements

中图分类号:

TP309

陈广勇, 祝国邦, 范春玲. 《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）标准解读[J]. 信息网络安全, 2019, 19(7): 1-8.

Guangyong CHEN, Guobang ZHU, Chunling FAN. Information Security Technology—Evaluation Requirement for Classified Protection of Cybersecurity(GB/T 28448-2019) Standard Interpretation[J]. Netinfo Security, 2019, 19(7): 1-8.

图/表 2

表1

表2

参考文献 9

[1]	QU Jie, FAN Chunling, CHEN Guangyong, et al.Research on Establishment of Network Security Service Ability System for A New Era[J]. Netinfo Security, 2019, 19(1): 83-87.
	曲洁,范春玲,陈广勇,等.新时代下网络安全服务能力体系建设思路[J].信息网络安全,2019,19(1):83-87.
[2]	GB/T 22239-200822239-2008. Information Security Technology-Baseline for Classified Protection of Information System Security [S].Beijing: Standards Press of China, 2008.
	GB/T 22239-2008 22239-2008.信息安全技术信息系统安全等级保护基本要求[S].北京:中国标准出版社,2008.
[3]	GB/T 28448-2012B/T 28448-2012.Information Security Technology—Testing and Evaluation Requirement for Classified Protection of Information System[S]. Beijing: Standards Press of China, 2012.
	GB/T 28448-2012B/T 28448-2012.信息安全技术信息系统安全等级保护测评要求[S].北京:中国标准出版社,2012.
[4]	Cybersecurity Law of the People’s Republic of China[EB/OL]. , 2016-11-7.
	中华人民共和国网络安全法[EB/OL]. , 2016-11-7.
[5]	GUO Qiquan.Training Course on Cybersecurity Law and Classified Protection of Cybersecurity[M]. Beijing: Publishing House of Electronics Industry, 2018.
	郭启全. 网络安全法与网络安全等级保护制度培训教程[M].北京:电子工业出版社,2018.
[6]	MA Li, ZHU Guobang, LU Lei, et al.Baseline for Classified Protection of Cybersecurity(GB/T 22239-2019) Standard Interpretation[J]. Netinfo Security, 2019, 19(2): 77-84.
	马力,祝国邦,陆磊,等.《网络安全等级保护基本要求》(GB/T 22239-2019)标准解读[J].信息网络安全,2019,19(2):77-84.
[7]	GB/T 22239-2019B/T 22239-2019. Information Security Technology—Baseline for Classified Protection of Cybersecurity[S].Beijing: Standards Press of China, 2019.
	GB/T 22239-2019B/T 22239-2019.信息安全技术网络安全等级保护基本要求[S].北京:中国标准出版社,2019.
[8]	National Information Security Standardization Technical Committee.Information Security Technology—Baseline for Classified Protection of Cybersecurity(Draft)[EB/OL]., 2018-10-31.
	全国信息安全标准化技术委员会.信息安全技术网络安全等级保护基本要求(征求意见稿)[EB/OL]., 2018-10-31.
[9]	National Information Security Standardization Technical Committee.Information Security Technology—Evaluation Requirement for Classified Protection of Cybersecurity(Draft)[EB/OL]., 2018-10-31.
	全国信息安全标准化技术委员会.信息安全技术网络安全等级保护测评要求(征求意见稿)[EB/OL]., 2018-10-31.

测评力度	测评方法	第一级	第二级	第三级	第四级
广度	访谈	测评对象在种类和数量上抽样,种类和数量都较少	测评对象在种类和数量上抽样,种类和数量都较多	测评对象在数量上抽样,在种类上基本覆盖	测评对象在数量上抽样,在种类上全部覆盖
	核查
	测试
深度	访谈	简要	充分	较全面	全面
	核查	简要	充分	较全面	全面
	测试	功能测试	功能测试	功能测试和测试验证	功能测试和测试验证

安全类或层面	云计算平台测评对象	传统测评对象
安全物理环境	机房及基础设施	机房及基础设施
安全通信网络	网络结构、通信传输设备、可信验证设备、虚拟化网络结构	传统网络设备、传统安全设备、传统网络结构
安全区域边界	网络设备、安全设备、虚拟网络设备、虚拟安全设备	传统网络设备、传统安全设备、传统网络结构
安全计算环境	网络设备、安全设备、虚拟网络设备、虚拟安全设备、物理机、宿主机、虚拟机、虚拟机监视器、云管理平台、数据库管理系统、终端、应用系统、云应用开发平台、中间件、云业务管理系统、配置文件、镜像文件、快照、业务数据、用户隐私、鉴别信息等	传统主机、数据库管理系统、终端、应用系统、中间件、配置文件、业务数据、用户隐私、鉴别信息等

[1]	马力. 网络安全等级保护测评中结论产生的定量计算方法研究[J]. 信息网络安全, 2020, 20(3): 1-8.
[2]	黎水林, 祝国邦, 范春玲, 陈广勇. 一种新的等级测评综合得分算法研究[J]. 信息网络安全, 2020, 20(2): 1-6.
[3]	陶源, 黄涛, 李末岩, 胡巍. 基于知识图谱驱动的网络安全等级保护日志审计分析模型研究[J]. 信息网络安全, 2020, 20(1): 46-51.
[4]	郑国刚. 重要信息系统安全检查实施方法与技术措施[J]. 信息网络安全, 2019, 19(9): 16-20.
[5]	马力, 祝国邦, 陆磊. 《网络安全等级保护基本要求》（GB/T 22239-2019）标准解读[J]. 信息网络安全, 2019, 19(2): 77-84.
[6]	张振峰, 张志文, 王睿超. 网络安全等级保护2.0云计算安全合规能力模型[J]. 信息网络安全, 2019, 19(11): 1-7.
[7]	曲洁, 范春玲, 陈广勇, 赵劲涛. 新时代下网络安全服务能力体系建设思路[J]. 信息网络安全, 2019, 19(1): 83-87.
[8]	黎水林, 陈广勇, 陶源. 网络安全等级保护测评中网络和通信安全测评研究[J]. 信息网络安全, 2018, 18(9): 19-24.
[9]	曾瑜, 郭金全. 工业控制系统信息安全现状分析[J]. 信息网络安全, 2016, 16(9): 169-172.
[10]	李涛, 张驰. 基于信息安全等保标准的网络安全风险模型研究[J]. 信息网络安全, 2016, 16(9): 177-183.
[11]	宋好好. 云计算信息系统信息安全等级保护测评关键技术研究[J]. 信息网络安全, 2015, 15(9): 167-169.
[12]	王群. 基于安全域的信息安全防护体系研究[J]. 信息网络安全, 2015, 15(9): 206-210.
[13]	袁慧萍. 银行数据中心信息安全等级保护研究与实践[J]. 信息网络安全, 2015, 15(4): 86-89.
[14]	冯锐. 信息系统应急预案自动启动管理系统研究[J]. 信息网络安全, 2014, 14(9): 223-225.
[15]	韦峰, 蒋凡. 基于信息流的资产识别及其重要性评估方法研究[J]. 信息网络安全, 2014, 14(12): 83-87.

《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）标准解读

Information Security Technology—Evaluation Requirement for Classified Protection of Cybersecurity(GB/T 28448-2019) Standard Interpretation

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 2

参考文献 9

相关文章 15

编辑推荐

Metrics

本文评价

《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）标准解读

Information Security Technology—Evaluation Requirement for Classified Protection of Cybersecurity(GB/T 28448-2019) Standard Interpretation

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 2

参考文献 9

相关文章 15

编辑推荐

Metrics

本文评价

《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）标准解读