忙碌的2019年即将过去,江南天安陈冠直老师在2019年参与制修订了4项国家信息安全标准,在GB/T 25070—2019《信息安全技术 网络安全等级保护安全设计技术要求》(等保2.0)正式实施之际,我们谨代表江南天安向参与国家信息安全标准制修订的老师们表示感谢,您们辛苦了。
接下来,我们为大家简单梳理一下这几项国家标准相比之前的变化,方便大家在日后的工作当中及时改进,以应对新标准的实施。
《信息安全技术 网络安全等级保护安全设计技术要求》(等保2.0)
GB/T 25070—2019
GB/T 25070—2019《信息安全技术 网络安全等级保护安全设计技术要求》(等保2.0),2019年5月10日发布,2019年12月1日实施。该标准规定了网络安全等级保护第一级到第四级等级保护对象的安全设计技术要求,适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,也可作为网络安全职能部门进行监督、检查和指导的依据。
该标准代替GB/T 25070—2010《信息安全技术 信息系统等级保护安全设计技术要求》,与GB/T 25070—2010相比,主要变化包括标准名称的变更;各个级别的安全计算环境、安全区域边界、安全通信网络设计技术要求,调整为通用安全、云安全、移动互联安全、物联网系统安全、工业控制系统安全的设计技术要求;删除了附录B.2子系统间接口、B.3重要数据结构,增加了附录B.1.3第三级系统可信验证实现机制。
《信息安全技术 操作系统安全技术要求》
GB/T 20272—2019
GB/T 20272—2019《信息安全技术 操作系统安全技术要求》,2019年8月30日发布,2020年3月1日实施。该标准规定了五个安全等级操作系统的安全技术要求,适用于操作系统安全性的研发、测试、维护和评价。
该标准代替了GB/T 20272—2006《信息安全技术 操作系统安全技术要求》,本公司是2006年版的第一起草单位,2019年版的第二起草单位。与GB/T 20272—2006相比,主要变化包括增加了“网络安全保护”、“数据加密”、“可信信道”等安全功能要求;将安全功能“标记”、“强制访问控制”合并为“标记和强制访问控制”;删除了“数据流控制”安全功能要求;增加了“可信度量”、“可信恢复”、“安全策略配置”等自身安全要求;删除了“SSF物理安全保护”、“SSOOS安全管理”要求。
《信息安全技术 数据库管理系统安全技术要求》
GB/T 20273—2019
GB/T 20273—2019《信息安全技术 数据库管理系统安全技术要求》,2019年8月30日发布,2020年3月1日实施。该标准规定了数据库管理系统评估对象描述,不同评估保障级的数据库管理系统安全问题定义、安全目的和安全要求。安全问题定义与安全目的、安全目的和安全要求之间的基本原理。该标准适用于数据库管理系统的测试、评估和采购,也可用于指导数据库管理系统的研发。
本标准代替GB/T 20273-2006《信息安全技术 数据库管理系统安全技术要求》,本公司是2006年版的第一起草单位,2019年版的第三起草单位。与GB/T 20273-2006相比主要技术变化包括增加了安全问题定义、安全目的、扩展组件定义、基本原理(见第5章、第6章、第7章、第8章);修改了评估对象描述;删除了“安全审计”、“SSODB自身安全保护”安全功能中提供“SSF物理安全保护”的要求;删除了“SSF运行安全保护”安全功能中关于与“不可旁路性”、“域分离”和“可信恢复”相关的要求;删除了安全功能中提供“推理控制”的要求。
《信息安全技术 工业控制系统产品信息安全通用评估准则》
GB/T 37962—2019
GB/T 37962—2019《信息安全技术 工业控制系统产品信息安全通用评估准则》,2019年8月30日发布,2020年3月1日实施。该标准定义了工业控制系统产品安全评估的通用安全功能组件和安全保障组件集合,规定了工业控制系统产品的安全要求和评估准则。该标准适用于工业控制系统产品安全保障能力的评估,产品安全功能的设计、开发和测试也可参照使用。
该标准主要包括评估对象、扩展组件定义、工业控制系统产品安全要求和工业控制系统产品评估准则等。该标准描述了采用信息技术的工业控制系统产品类型;围绕ICS产品与传统IT产品的差异,针对ICS产品的特性,对组件进行了扩展和重新定义;提出了工业控制系统产品安全问题,定义了适用于ICS产品的通用安全要求,开发者根据TOE的预期使用环境及边界定义,根据威胁分析结果选择适用的安全功能要求和安全保障等级;在工业控制系统产品安全要求的基础上,给出了工业控制系产品评估准则。
