等級保護基礎知識概覽
編輯:2023-04-23 15:24:57
前言
網(wǎng)絡(luò )安全等級保護是國家網(wǎng)絡(luò )安全工作的基本制度、基本國策,是維護國家關(guān)鍵信息基礎設施安全的重要手段。從1994年至今,網(wǎng)絡(luò )安全等級保護制度工作經(jīng)過(guò)實(shí)踐及改進(jìn),不斷豐富制度內涵、拓展保護范圍、完善監管措施,逐步健全網(wǎng)絡(luò )安全等級保護制度政策、標準和支撐體系,對我國的網(wǎng)絡(luò )信息安全建設具有重要的指導作用。
等級保護發(fā)展史
等級保護工作經(jīng)過(guò)近二十年的發(fā)展已經(jīng)從1.0階段發(fā)展到2.0階段,從制度上升到法律:
等級保護1.0:1994年,國務(wù)院頒布《中華人民共和國計算機信息系統安全保護條例》,規定計算機信息系統實(shí)行安全等級保護。
圖1 等保1.0階段大事件回顧
等級保護2.0:2016年10月10日,第五屆全國信息安全等級保護技術(shù)大會(huì )召開(kāi),公安部網(wǎng)絡(luò )安全保衛局郭啟全總工指出“國家對網(wǎng)絡(luò )安全等級保護制度提出了新的要求,等級保護制度已進(jìn)入2.0時(shí)代”。
2017年6月1日,《中華人民共和國網(wǎng)絡(luò )安全法》正式頒布,第二十一條明確“國家實(shí)行網(wǎng)絡(luò )安全等級保護制度……”,等級保護制度正式進(jìn)入有法可依階段。
圖2 等保2.0階段大事件回顧
等?;A之十問(wèn)十答
Q1:等保2.0、等保3.0是什么?
A1:等保中提到的“二級”、“三級”,意指信息系統運營(yíng)者根據信息系統在國家安全、經(jīng)濟建設、社會(huì )生活中的重要程度及遭到破壞后對國家安全、社會(huì )秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,將信息系統劃分為不同的安全保護等級并對其實(shí)施不同的保護和監管。
等保二級指對信息系統進(jìn)行第二級安全保護,等保三級指對信息系統進(jìn)行第三級安全保護,并非是“等保2.0”及“等保3.0”。
等級保護根據《GB 17859-1999 計算機信息系統安全保護等級劃分準則》(網(wǎng)絡(luò )安全領(lǐng)域唯一一個(gè)強制標準)規定共分五級,分別是:
表1 等保定級分類(lèi)
Q2:等級保護的工作流程是什么?
A2:等級保護主要工作流程為定級、備案、建設整改、等級測評、監督檢查五個(gè)環(huán)節。
圖3 等保工作流程圖
等保工作重點(diǎn)注意事項:
定級環(huán)節:二級及以上的系統必須經(jīng)過(guò)專(zhuān)家評審、主管部門(mén)審核(此要求為等保2.0新增);
備案環(huán)節:網(wǎng)安備案的審批處理時(shí)間為10個(gè)工作日;
建設整改環(huán)節:需參照最新的等保2.0國標進(jìn)行規劃設計;
測評環(huán)節:找具有測評資質(zhì)的測評機構進(jìn)行測評。
Q3:不同等級多少分可以通過(guò)等保測評?
A3:2021年6月18日執行的新測評標準(等保測評報告模板(2021 版)),計分方式由得分制調整為缺陷扣分制,由“符合”、“不符合”調整為“優(yōu)、良、中、差”四個(gè)等級測評結論。
表2 新版測評結論
表3 老版測評結論(廢棄)
Q4:等保測評通過(guò)后,多久需要復測?
A4:二級信息系統每?jì)赡隃y評一次,三級信息系統明確規定每年測評一次,四級信息系統每半年測評一次。
Q5:有包過(guò)的技術(shù)解決方案嗎?
A5:不存在包過(guò)的技術(shù)方案。等級保護測評包含技術(shù)部分和管理部分,單純的技術(shù)解決方案默認分數占比只有50%,管理部分的建設也至關(guān)重要,可以選取專(zhuān)業(yè)的安全廠(chǎng)商及專(zhuān)業(yè)的測評機構來(lái)開(kāi)展等保建設及測評工作,更加容易通過(guò)。
Q6:業(yè)務(wù)系統在云上,如何進(jìn)行等保建設工作?
A6:根據《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》(GB/T 22239-2019)附錄D,云服務(wù)商根據提供的IaaS、PaaS、SaaS模式承擔不同的平臺安全責任。業(yè)務(wù)系統上云后,云租戶(hù)與云平臺服務(wù)商之間應遵循責任分擔矩陣共同承擔相應的安全責任,根據“誰(shuí)運營(yíng)誰(shuí)負責、誰(shuí)使用誰(shuí)負責、誰(shuí)主管誰(shuí)負責”的原則,云平臺與云租戶(hù)應根據平臺建設模式承擔相應的網(wǎng)絡(luò )安全責任。
Q7:什么是“一個(gè)中心,三重防護”?
A7:”一個(gè)中心、三重防護“是等級保護安全設計技術(shù)框架,”一個(gè)中心“指安全管理中心, ”三重防護“指安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境。此框架是網(wǎng)絡(luò )安全整體架構設計、方案編制的基本參考原則。
圖4 等級保護安全設計技術(shù)框架
Q8:什么是網(wǎng)絡(luò )安全建設“三同步”?
A8:“三同步”指網(wǎng)絡(luò )運營(yíng)者應在網(wǎng)絡(luò )建設和運營(yíng)過(guò)程中,同步規劃、同步建設、同步使用有關(guān)網(wǎng)絡(luò )安全保護措施。
Q9:“三化六防”是什么?
A9:“三化六防”是公網(wǎng)安〔2020〕1960號《貫徹落實(shí)網(wǎng)絡(luò )安全等保制度和關(guān)保制度的指導意見(jiàn)》中要求深入貫徹實(shí)施網(wǎng)絡(luò )安全等級保護制度,落實(shí)“三化六防”的措施,即實(shí)戰化、體系化、常態(tài)化的思路,以及動(dòng)態(tài)防御、主動(dòng)防御、縱深防御、精準防護、整體防控、聯(lián)防聯(lián)控的措施。
Q10:等保1.0到2.0有什么變化?
A10:等保1.0到2.0從名稱(chēng)、定級對象、安全要求、控制措施分類(lèi)結構、規定動(dòng)作等多個(gè)方面都有明顯的變化。
?表4 等保1.0與2.0變化對比
總結
信息化的建設和實(shí)施是一個(gè)系統且復雜的工程,積極落實(shí)關(guān)鍵信息系統的等級保護建設不僅可以幫助企業(yè)快速提高信息系統的安全水平,同時(shí)可以避免因信息系統安全漏洞帶來(lái)的經(jīng)濟風(fēng)險,從而有利的降低信息化投入,同時(shí)滿(mǎn)足國家相關(guān)法律法規的要求,進(jìn)一步提升國家整體的信息化安全水平。因此,堅持落地實(shí)踐網(wǎng)絡(luò )安全等級保護建設工作是我們需要長(cháng)期堅守的方向。
來(lái)源:等級保護測評
咨詢(xún)熱線(xiàn):0351-4073466?
地址:(北區)山西省太原市迎澤區新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區)太原市小店區南中環(huán)街529 號清控創(chuàng )新基地A座4層