一、等级保护介绍
1.1什么是等级保护
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
1.2等级保护发展历程
第一阶段(1994-2007 网络安全等级保护起步与探索):
1994年2月18日《中华人民共和国计算机信息系统安全保护条例》 (国务院第147号令)
2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
2004年9月15日《关于信息安全等级保护工作的实施意见》
2007年6月22日《信息安全等级保护管理办法》(公通字[2007]43 号)
2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)
第二阶段(2007-2016 网络安全等级保护标准化与发展)
GB/T 22239—2008 基本要求;22240、25070、28448、28449等保国标系列标准。
第三阶段(2016-2019 网络安全等级保护行业深耕落地)
2017年6月1日《中华人民共和国网络安全法》
2018年6月27日《网络安全等级保护管理条例(征求意见稿)》
第四阶段(2019——进入网络安全等级保护2.0时代)
2019年5月13日《信息安全技术网络安全等级保护基本要求》
2020年7月22日《贯彻落实网络安全等保制度和关保制度的指导意见》(公安部1960号)
2020年11月1日《信息安全技术 网络安全等级保护定级指南 GB/T22240-2020》正式实施
1.3等保2.0的背景
自1994年第“147号令”,我国开始实施信息系统等级保护。十几年来,在金融、能源、电信、医疗卫生等多个行业都已深耕落地,但是随着云计算、大数据、物联网、移动互联以及人工智能等新技术的发展,等级保护1.0已无法有效的应对新技术带来的信息安全风险,为了满足新的技术挑战,有效防范和管理各种信息技术风险,提升国家层面的安全水平,等级保护2.0应时而生。网络安全进入新的发展阶段,很多行业主管单位要求行业客户开展等级保护工作,合理地规避风险。资料显示网络安全相关公司有北京时代新威、启明星辰、蓝盾股份等,其中时代新威是国家等保办推荐测评机构(证书编号:DJCP2019110192)。作为网络安全等级保护行业的先锋,时代新威等网络安全公司需要为保障信息安全贡献自己的力量!
二、等保2.0的变化
2.1法律地位得到确认
《中华人民共和国网络安全法》第21条规定“国家实行网络安全等级保护制度”,要求“网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。
2.2等级保护对象不断拓展
随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,等保保护对象的外延将不断拓展。
2.3强化可信计算
网络安全等级保护2.0构建以可信计算技术为基础的等级保护核心技术体系,强化了可信体系的这一重要思想 。
2.4通用要求的变化
通用要求包括安全通用要求,云计算安全扩展要求,移动互联安全扩展要求,物联网安全扩展要求,工业控制系统安全扩展要求。网络安全等级保护2.0通用要求的核心是优化。
新增重点内容:新型网络攻击防护从内到外、突出运维审计、安全管理中心、独立安全区域、邮件安全防护、运行状态监控、安全审计时间要求、集中日记审计、可信运算要求、安全事件识别分析、个人信息防护。
2.5扩展要求的变化
等级保护2.0拆分成了1个通用要求和4个扩展要求。将共性安全保护需求列为安全通用要求,针对云计算、大数据、工业控制系统和移动互联技术等不同领域的安全保护需求提出了安全扩展要求。等保2.0依旧保留技术和管理两个维度。二级要求项由175项变更为135项,三级要求项由290项变为211项在技术上,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;在管理上,结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理
(1)云计算平台安全扩展要求
责任主体一分为二,测评对象需要增加。
等保级别匹配
云计算平台需要单独定级备案
云计算平台需要通过等级保护测评
同一云计算平台可承载不同级别的信息系统
云计算平台不能承载高于平台级别的信息系统
(2)大数据安全扩展要求
应将具有统一安全责任单位的大数据作为一个整体对象定级。
(3)物联网安全扩展要求
物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层要素。
(4)移动互联网的安全扩展要求
移动互联技术应作为一个整体对象定级,移动终端、移动应用和无线网络等要素不单独定级,与采用移动互联技术等级保护对象的应用环境和应用对象一起定级 。
(5)工业控制系统扩展要求
工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成,其中:生产管理层的定级对象确定原则见(其他信息系统)。设备层、现场控制层和过程监控层应作为一个整体对象定级,各层次要素不单独定级。对于大型工业控制系统,可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。
2.6测评合格要求提高
相较于等保1.0,等保2.0测评的标准发生了变化,2.0中测评结论分为:优(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分),70分以上才算基本符合要求,基本分调高了,测评要求更加严格。
2.7等保2.0的三个不变
等保2.0相对于1.0也有三个不变,分别是五个级别不变、规定动作不变和主体职责不变。五个级别:第一级(用户自主保护级)、第二级(系统审计保护级)、第三级(安全标记保护级)、第四级(结构化保护级)、第五级(访问验证保护级);规定动作:定级、备案、建设整改、等级测评、监督检查;主体职责:网安对定级对象的备案受理及监督检查职责、第三方测评机构对定级对象的安全评估职责、上级主管单位对所属单位的安全管理职责、运营使用单位对定级对象的等级保护职责。
三、等级保护一般流程
3.1系统定级
信息系统运营使用单位按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草《网络安全等级保护定级报告》;二级以上系统,定级结论需要进行专家评审、主管部门审核和备案。
3.1.1确定定级对象
作为定级对象的信息系统应具有如下基本特征:
A)具有确定的主要安全责任主体;
B)承载相对独立的业务应用;
C)包含相互关联的多个资源。
注:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
注:避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。
注:在确定定级对象时,云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统在满足以上基本特征的基础上,还需满足以下要求:
3.1.2等级的划分
第一级 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益
第二级 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全
第三级 信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害
第四级 信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害
第五级 信息系统受到破坏后,会对国家安全造成特别严重损害
受侵害的客体 |
对客体的侵害程度 |
||
一般损害 |
严重损害 |
特别严重损害 |
|
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第二级 |
社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
国家安全 |
第三级 |
第四级 |
第五级 |
3.1.3侵害客体的解读
社会秩序:(1)其他影响社会秩序的事项(2)影响公众在法律约束和道德规范下的正常生活秩序等(3)影响各行业的科研、生产秩序(4)影响各种类型的经济活动秩序(5)影响国家机关社会管理和公共服务的工作秩序
公共利益:(1)影响社会成员使用公共设施(2)影响社会成员接受公共服务等方面(3)影响社会成员获取信息资源(4)其他影响公共利益的事项
国家安全:(1)影响国家政权稳固和主-权完整(2)影响国家统一、民族团结和社会稳定(3)影响国家经济秩序和文化实力(4)影响宗教活动秩序和反恐能力建设(5)其他影响国家安全的事项
3.1.4侵害程度解读
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害;
特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害
3.1.5各级系统定级参考
第一级(自主保护级):适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级(指导保护级):适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作机密、商业机密、敏感信息的办公系统和管理系统等。
第三级(监督保护级):一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作机密、商业机密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。
第四级(强制保护级):一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。
第五级(专控保护级):一般适用于国家重要领域、重要部门中的极端重要系统。
3.2系统备案
信息系统安全保护等级为第二级以上时,备案时应当提交《网络安全等级保护备案表》、定级报告和专家评审意见;第三级以上系统,还需提交系统拓扑和说明、安全管理制度、安全建设方案等。
3.2.1备案步骤
向公安机关网安部门申请备案(可以向各地公安机关电话咨询或当地公安机关官网查找在线办-理渠道)à公安机关网安部门受理后提交备案材料(备案时限为网络安全等级保护确定后30日内,受理后10个工作日)à公安机关网安部门审核通过后颁发《信息系统安全等级保护备案证明》
3.2.2备案提交材料目录
信息系统安全等级保护备案表,纸质2份,原件;
信息系统安全等级保护自定级报告,纸质1份,原件;
信息安全等级保护定级评审结果(专家评审报告或主管部门审核批准信息系统安全保护等级意见),纸质1份,原件;
信息系统安全相关材料(本单位信息系统安全组织的建立情况、信息系统基本应用情况、、信息系统使用的主要设备、操作系统、数据库、防病毒软件以及网络拓扑图),纸质1份,原件;
信息系统备案电子数据,电子版1份,原件;
测评后符合系统安全保护等级的技术检测评估报告
系统安全保护设施设计实施方案或改建实施方案
办-理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(1)系统拓扑结构及说明;
(2)系统安全组织机构和管理制度;
(3)系统安全保护设施设计实施方案或者改建实施方案;
(4)系统使用的信息安全产品清单及其认证、销售许可证明;
(5)测评后符合系统安全保护等级的技术检测评估报告;
(6)信息系统安全保护等级专家评审意见;
(7)主管部门审核批准信息系统安全保护等级的意见。
3.3建设整改
依据《网络安全等级保护基本要求》,利用自有或第三方的安全产品和专家服务,对信息系统进行安全建设和整改,同时制定相应的安全管理制度。
此步骤又被称为预测评或差距分析,以安全服务商的角度来看就是对客户的系统进行一次和正式测评相同的流程,减少后续测评整改的工作量。
3.4系统测评
测评机构按照管理规范和技术标准,运用科学的手段和方法,对处理特定应用的信息系统,采用安全技术测评和安全管理测评方式,对保护状况进行初步检测评估,针对安全不符合项提出安全整改建议。
3.5监督检查
对系统初测时的出现的安全问题进行整改加固后由测评机构进行复测,符合则出具测评后符合系统安全保护等级的技术检测评估报告。
