等级保护

一、网络安全等级保护简介

(一)等保介绍

网络安全等级保护(简称“等保”)是指对涉及国计民生的网络和信息系统按其重要程度及实际安全需求进行分等级保护,对网络和信息系统中使用的安全产品实行按等级管理,对网络和信息系统中发生的信息安全事件进行分等级响应、处置。它是保障国家网络和信息安全的基本制度、基本策略、基本方法。

2019年5月,等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布,2019年12月1日开始实施。

QQ图片20191125161202.png 

此系列标准可有效指导网络运营者、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,指导测评机构更加规范化和标准化地开展等级测评工作,进而全面提升网络运营者的网络安全防护能力,保障网络的稳定运行。

等保2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

作为国家信息安全的基本制度,贯彻落实等级保护2.0是企业义不容辞的信息安全义务,而未落实等保的企业将面临被有关部门责令整改、行政处罚、暂停注册、暂停运营等处罚。

等保2.0已成为网络安全行业中的必需品。

 

(二)法律要求

《中华人民共和国网络安全法》相关条款规定:

第二十一条 国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

第二十五条 网络运营者应当制定网络安全事件应急预案。

第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

第五十九条 网络运营者不履行义务的:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行义务的 :由有关主管部门责令改正,给予警告; 拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

微信图片_20191122091507.jpg 

(三)等级划分

网络安全等级保护分为以下五级,一至五级等级逐级增高:

第一级(自主保护级),网络和信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级(指导保护级),网络和信息系统受到破坏后,对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级(监督保护级),网络和信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级(强制保护级),网络和信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级(专控保护级),网络和信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

备注:现阶段普遍需要第三方测评机构测评的是第二级和第三级

 

(四)推动机构

1.公安机关

▲等级保护牵头部门;

▲监督、检查、指导信息安全等级保护工作。

2.国家保密部门

▲负责等级保护工作中有关保密工作的监督、检查、指导;

▲负责涉及国家秘密信息系统分级保护。

3.国家密码管理部门

▲ 负责等级保护工作中有关密码工作的监督、检查、指导。

4.工业和信息化部

▲ 负责等级保护工作中部门间的协调。

 

二、网络安全等级保护测评

网络安全等级保护测评是指网络系统运营、使用单位委托具有等级保护测评资质的测评机构,按照有关管理规范和技术标准,对处理特定应用的网络和信息系统,采用安全技术测评和安全管理测评方式,对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。

(一)价值功能

①全面提升网络和信息系统安全

√完善网络和信息系统的整体架构

√提高网络和信息系统的防护能力

√抵御网络和信息系统的安全风险

②大力加强网络和信息系统管理

√提高相关人员的网络安全意识

√增强对网络和信息系统及相关人员的管理力度

③持续保障相关业务正常运行

√落实国家网络安全等级保护政策

√满足国家相关部门的备案材料要求

√满足国家相关部门对单位项目验收的要求

④有效提升公信度

√增强公共网络和信息系统的可信度

√加强企业品牌形象背书

2018060414-3547-19833.png 

(二)测评原则

1.客观性&公正性原则

2.经济性&可重用性原则

3.可重复性&可再现性原则

4.标准性&规范性原则

5.整体性原则

6.保密性原则

7.最小影响原则

 

(三)测评内容

微信图片_20200310171817.png 

 

(四)测评方式

1.访谈

测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。

2.检查

测评人员通过对测评对象进行观察、查验、分析等活动,获取相关证据。

3.测试

测评人员针对测评对象按照预定的方法/工具使其产生特定的响应,通过查看和分析响应的输出结果,获取证据。

 

(五)测评对象

网络基础设施、信息系统、大数据、物联网、云平台、工控系统、移动互联网、智能设备等

 

(六)测评流程

定级——备案——测评——系统安全建设——监督检查

微信图片_20200313141503.jpg 

(七)测评结果

网络安全等级保护测评完成后,项目组将提交包括且不仅仅包括以下成果:《网络安全等级保护测评报告》《网络安全等级保护整改建议书》《信息系统漏洞扫描报告》