Image
全國統一服務(wù)熱線(xiàn)
0351-4073466

等保&分保&關(guān)保&密評 | 四道防線(xiàn)守護網(wǎng)絡(luò )信息安全


編輯:2023-04-28 09:56:37

“沒(méi)有網(wǎng)絡(luò )安全就沒(méi)有國家安全”。近幾年,我國《網(wǎng)絡(luò )安全法》《密碼法》《保守國家秘密法(修訂)》《關(guān)鍵信息基礎設施安全保護條例》《數據安全法》等法律法規陸續發(fā)布實(shí)施,為承載我國國計民生的重要網(wǎng)絡(luò )信息系統的安全提供了法律保障,正在實(shí)施的網(wǎng)絡(luò )安全等級保護、涉密信息系統分級保護、關(guān)鍵信息基礎設施保護、商用密碼應用安全性評估為我國重要網(wǎng)絡(luò )信息系統的安全構筑了四道防線(xiàn)。

01

等保

1、什么是等保

等保是指網(wǎng)絡(luò )安全等級保護。
中華人民共和國網(wǎng)絡(luò )安全法201761日起實(shí)施)第二十一條規定:國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。

2、等保的發(fā)展

等保1.0:
2007年6月,公安部發(fā)布《信息安全等級保護管理辦法》(公通字[2007]43號),標志著(zhù)等級保護1.0的正式啟動(dòng)。
等級保護1.0的主要標準是:
?《信息系統安全等級保護基本要求 GB/T22239-2008》
?《信息系統等級保護安全設計要求 GB/T25070-2010》
?《信息系統安全等級保護測評要求 GB/T28448-2012》
 
等保2.0:
2019年5月13日,國家市場(chǎng)監督管理總局、國家標準化管理委員會(huì )發(fā)布了3個(gè)網(wǎng)絡(luò )安全領(lǐng)域的國家標準(2019年12月1日起實(shí)施):
?《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》(GB/T 22239-2019)
?《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》(GB/T 25070-2019)
?《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評要求》(GB/T 28448-2019)
標志著(zhù)我國進(jìn)入等級保護2.0時(shí)代。

3、等保的級別

根據信息系統受到破壞后,對公民、法人和其他組織的合法權益,以及對公共利益、社會(huì )秩序和國家安全的損害程度,等級保護分為五級:
第一級:自主保護級
第二級:指導保護級
第三級:監督保護級
第四級:強制保護級
第五級:專(zhuān)控保護級



02

分保

1、什么是分保

 “分?!笔侵干婷苄畔⑾到y分級保護。
中華人民共和國保守國家秘密法(2010年4月29日修訂,2010年10月1日起實(shí)施)第二十三條規定:存儲、處理國家秘密的計算機信息系統(以下簡(jiǎn)稱(chēng)涉密信息系統)按照涉密程度實(shí)行分級保護。

 2、分保的發(fā)展

涉密信息系統的分級保護依據保守國家秘密法涉及國家秘密的信息系統分級保護管理辦法》(國保發(fā)[2005]16號)等法律法規開(kāi)展。

3、分保的級別 

涉密信息系統的等級分為秘密級、機密級、絕密級三個(gè)級別。

保守國家秘密法第九條規定:下列涉及國家安全和利益的事項,泄露后可能損害國家在政治、經(jīng)濟、國防、外交等領(lǐng)域的安全和利益的,應當確定為國家秘密:
(一) 國家事務(wù)重大決策中的秘密事項;
(二) 國防建設和武裝力量活動(dòng)中的秘密事項;
(三) 外交和外事活動(dòng)中的秘密事項以及對外承擔保密義務(wù)的秘密事項;
(四) 國民經(jīng)濟和社會(huì )發(fā)展中的秘密事項;
(五) 科學(xué)技術(shù)中的秘密事項;
(六) 維護國家安全活動(dòng)和追查刑事犯罪中的秘密事項;
(七) 經(jīng)國家保密行政管理部門(mén)確定的其他秘密事項。
  政黨的秘密事項中符合前款規定的,屬于國家秘密。

保守國家秘密法第十三條規定:中央國家機關(guān)、省級機關(guān)及其授權的機關(guān)、單位可以確定絕密級、機密級和秘密級國家秘密;設區的市、自治州一級的機關(guān)及其授權的機關(guān)、單位可以確定機密級和秘密級國家秘密。



03

關(guān)保


1、什么是關(guān)保

“關(guān)?!笔侵戈P(guān)鍵信息基礎設施保護。
網(wǎng)絡(luò )安全法第三十一條:國家對提供公共通信、廣播電視傳輸等服務(wù)的基礎信息網(wǎng)絡(luò ),能源、交通、水利、金融等重要行業(yè)和供電、供水、供氣、醫療衛生、社會(huì )保障等公共服務(wù)領(lǐng)域的重要信息系統,軍事網(wǎng)絡(luò ),設區的市級以上國家機關(guān)等政務(wù)網(wǎng)絡(luò ),用戶(hù)數量眾多的網(wǎng)絡(luò )服務(wù)提供者所有或者管理的網(wǎng)絡(luò )和系統(以下稱(chēng)關(guān)鍵信息基礎設施,實(shí)行重點(diǎn)保護。關(guān)鍵信息基礎設施安全保護辦法由國務(wù)院制定。

關(guān)鍵信息基礎設施安全保護條例2021年7月30日國務(wù)院令第745號公布,2021年9月1日起施行)第二條規定:本條例所稱(chēng)關(guān)鍵信息基礎設施,是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能?chē)乐匚:野踩?、國計民生、公共利益的重要網(wǎng)絡(luò )設施、信息系統等。


2、關(guān)保的發(fā)展

2017年7月10日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《關(guān)鍵信息基礎設施安全保護條例(征求意見(jiàn)稿)》;
2019至2021年,《關(guān)鍵信息基礎設施安全保護條例》連續三年納入國家立法計劃;
2021年4月27日,經(jīng)國務(wù)院第133次常務(wù)會(huì )議通過(guò);
2021年7月30日,國務(wù)院總理李克強簽署中華人民共和國國務(wù)院令第745號公布,自2021年9月1日起施行。

3、關(guān)保的內容

關(guān)鍵信息基礎設施安全保護條例第五條規定:國家對關(guān)鍵信息基礎設施實(shí)行重點(diǎn)保護,采取措施,監測、防御、處置來(lái)源于中華人民共和國境內外的網(wǎng)絡(luò )安全風(fēng)險和威脅,保護關(guān)鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治危害關(guān)鍵信息基礎設施安全的違法犯罪活動(dòng)。

“關(guān)?!庇蓢揖W(wǎng)信部門(mén)統籌協(xié)調;國務(wù)院公安部門(mén)負責指導監督關(guān)鍵信息基礎設施安全保護工作;國務(wù)院電信主管部門(mén)和其他有關(guān)部門(mén)依照本條例和有關(guān)法律、行政法規的規定,在各自職責范圍內負責關(guān)鍵信息基礎設施安全保護和監督管理工作;省級人民政府有關(guān)部門(mén)依據各自職責對關(guān)鍵信息基礎設施實(shí)施安全保護和監督管理。


04

密評


1、什么是密評

“密評”是指商用密碼應用安全性評估。
中華人民共和國密碼法(2020年1月1日起實(shí)施)所述的密碼,是指采用特定變換的方法對信息等進(jìn)行加密保護、安全認證的技術(shù)、產(chǎn)品和服務(wù)。
商用密碼用于保護不屬于國家秘密的信息。
 
中華人民共和國密碼法第二十七條規定:法律、行政法規和國家有關(guān)規定要求使用商用密碼進(jìn)行保護的關(guān)鍵信息基礎設施,其運營(yíng)者應當使用商用密碼進(jìn)行保護,自行或者委托商用密碼檢測機構開(kāi)展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關(guān)鍵信息基礎設施安全檢測評估、網(wǎng)絡(luò )安全等級測評制度相銜接,避免重復評估、測評。

2、密評的發(fā)展

《商用密碼應用安全性評估管理辦法(試行)》(2017年4月22日起施行)
《信息系統密碼應用基本要求》(GM/T 0054-2018 )

3、密評的對象

商用密碼應用安全性評估的對象包括:

基礎信息網(wǎng)絡(luò )電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng);
涉及國計民生和基礎信息資源的重要信息系統能源、教育、公安、測繪地理、社保、交通、衛生計生、金融等信息系統;
重要工業(yè)控制系統核設施、航空航天、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統、交通運輸、水利樞紐、城市設施等工業(yè)控制系統;
面向社會(huì )服務(wù)的政務(wù)信息系統黨政機關(guān)和使用財政性資金的事業(yè)單位和團體組織使用的面向社會(huì )服務(wù)的信息系統。

關(guān)鍵信息基礎設施、網(wǎng)絡(luò )安全等級保護第三級及以上的信息系統,密碼應用安全性評估每年至少一次。

4、密評的內容

對采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設的網(wǎng)絡(luò )和信息系統,對其密碼應用的合規性、正確性、有效性進(jìn)行評估。
 
密碼應用合規性:
?使用的密碼算法、密碼技術(shù)符合法律法規和國家標準、行業(yè)標準的有關(guān)要求;
?使用的密碼產(chǎn)品、密碼模塊通過(guò)國家密碼管理部門(mén)核準;
?使用的密碼服務(wù)符合國家密碼管理要求;
 
密碼應用正確性
?密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品和服務(wù)使用正確;
?系統中采用標準的密碼算法、協(xié)議、密鑰管理,按照國家和行業(yè)標準進(jìn)行正確的設計和實(shí)現;
?自定義密碼協(xié)議、密鑰管理機制的設計和實(shí)現正確,符合標準要求;
?密碼保障系統建設改造過(guò)程中密碼產(chǎn)品和服務(wù)的部署和應用正確;
 
密碼應用有效性:
系統中采用的密碼協(xié)議、密鑰管理系統、密碼應用子系統和密碼安全防護機制設計合理,在系統運行過(guò)程中能夠發(fā)揮密碼作用,保障信息的機密性、完整性、真實(shí)性、不可否認性。 

商用密碼應用安全性評估主要從:總體要求、物理和環(huán)境、網(wǎng)絡(luò )和通信、設備和計算、應用和數據、密鑰管理以及安全管理七個(gè)方面進(jìn)行評估。


文章來(lái)源:信創(chuàng )縱橫

Image
Image
版權所有:山西科信源信息科技有限公司??
咨詢(xún)熱線(xiàn):0351-4073466?
地址:(北區)山西省太原市迎澤區新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區)太原市小店區南中環(huán)街529 號清控創(chuàng )新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術(shù)支持 - 資??萍技瘓F