网络安全等级保护(简称等级保护或等保)(更多资源见等保测评专栏)
概念
对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
由来
《中华人民共和国计算机信息系统安全保护条例》(中办发【1994】147号)第一次提出了“计算机系统分等级保护”的概念。
思想
是指对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。
核心
是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监管。
目标
突出重点,保障重要信息资源和重要信息系统的安全。
一、等级保护是什么
网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构,依据《信息安全技术网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评工作。
二、为什么要做等级保护
(一)法律规章要求
《中华人民共和国网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
第二十一条规定:
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第三十八条规定:
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第五十九条规定:
第三十九条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
(二)行业要求
在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作。
(三)企业系统安全的需求
信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。
三、等级保护涉及范围
(一)省辖市以上党政机关的重要网站和办公信息系统;
(二)电信、广电行业的公用通信网、广播电规传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;
(三)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
四、等级保护发展历程
1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”,等级保护制度正式被提出。
2016年10月,公安部网络安全保卫局对原有国家标准《信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008)》等系列标准进行修订。2017年6月,《网络安全法》正式出台,信息安全等级保护过渡到网络安全等级保护,法规明确要求国家实施等保制度。2019年5月,随着《信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)》《信息安全技术 网络安全等级保护测评要求(GB/T 28448-2019)》等标准的正式发布,标志着等保2.0全面启动。
五、等保2.0与1.0对比
关于等级保护2.0
2019年5月16日,网络安全等级保护制度2.0国家标准发布,包括《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准。
* 标准名称的变化:
由原来的“信息系统安全等级保护××××”变为“网络安全等级保护××××”
* 对象范围扩大:
新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围
* 分类结构统一:
新标准“基本要求、设计要求和测评要求” 分类框架统一,形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心” 支持下的三重防护体系架构。
* 强化可信计算技术使用:
新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。
等保2.0 VS等保1.0
从等保1.0跟2.0基本要求项对比可以看出,2.0对基本要求项进行了优化,通用安全要求中测评指标比之前减少了。分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理十个层面。参照下图:
六、等级保护实施过程
等保2.0将落实到系统建设全生命周期的每个环节,从系统定级、系统备案、建设/整改、等级测评、再到监督与检查,每一环节都需要系统运营、使用单位重点留意。
七、等保2.0的测评内容
等级保护测评分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理十个层面。
八、开展等级保护的难点
现阶段,信息系统运营、使用单位已意识到等级保护制度的必要性,但在开展等级保护的过程中仍会遇到各式各样的问题与挑战。
九、何种机构能实施等级保护测评
具备由国家网络安全等级保护工作协调小组办公室颁发的网络安全等级保护测评机构推荐证书的机构才能开展等级保护测评工作。
网络安全等级保护制度是国家网络安全领域的基本国策、基本制度和基本方法。随着信息技术的发展和网络安全形势的变化,等级保护制度2.0在1.0的基础上,注重全方位主动防御、动态防御、整体防控和精准防护,实现了对云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象全覆盖,以及除个人及家庭自建网络之外的领域全覆盖。网络安全等级保护制度2.0国家标准的发布,对加强我国网络安全保障工作,提升网络安全保护能力具有重要意义。
十、如何申请成为等级保护测评机构?
机构定义
等级测评机构是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。
申请条件
(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金100万元以上;
(三)从事信息系统安全相关工作两年以上,无违法记录;
(四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(五)具有信息系统安全相关工作经验的技术人员,不少于10人;
(六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求;
(七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度;
(八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁;
(九)不涉及信息安全产品开发、销售或信息系统安全集成等业务;
(十)应具备的其他条件。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。