等級保護

一、網絡安全等級保護簡介

(一)等保介紹

網絡安全等級保護(簡稱“等保”)是指對涉及國計民生的網絡和信息系統按其重要程度及實際安全需求進行分等級保護,對網絡和信息系統中使用的安全產品實行按等級管理,對網絡和信息系統中發生的信息安全事件進行分等級響應、處置。它是保障國家網絡和信息安全的基本制度、基本策略、基本方法。

2019年5月,等保2.0相關的《信息安全技術 網絡安全等級保護基本要求》、《信息安全技術 網絡安全等級保護測評要求》、《信息安全技術 網絡安全等級保護安全設計技術要求》等國家標準正式發布,2019年12月1日開始實施。

QQ圖片20191125161202.png 

此系列標準可有效指導網絡運營者、網絡安全企業、網絡安全服務機構開展網絡安全等級保護安全技術方案的設計和實施,指導測評機構更加規范化和標準化地開展等級測評工作,進而全面提升網絡運營者的網絡安全防護能力,保障網絡的穩定運行。

等保2.0全稱網絡安全等級保護2.0制度,是我國網絡安全領域的基本國策、基本制度。等級保護標準在1.0時代標準的基礎上,注重主動防御,從被動防御到事前、事中、事后全流程的安全可信、動態感知和全面審計,實現了對傳統信息系統、基礎信息網絡、云計算、大數據、物聯網、移動互聯網和工業控制信息系統等級保護對象的全覆蓋。

作為國家信息安全的基本制度,貫徹落實等級保護2.0是企業義不容辭的信息安全義務,而未落實等保的企業將面臨被有關部門責令整改、行政處罰、暫停注冊、暫停運營等處罰。

等保2.0已成為網絡安全行業中的必需品。

 

(二)法律要求

《中華人民共和國網絡安全法》相關條款規定:

第二十一條 國家實行網絡安全等級保護制度,網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。

第二十五條 網絡運營者應當制定網絡安全事件應急預案。

第三十一條 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

第五十九條 網絡運營者不履行義務的:由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。

關鍵信息基礎設施的運營者不履行義務的 :由有關主管部門責令改正,給予警告; 拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。

微信圖片_20191122091507.jpg 

(三)等級劃分

網絡安全等級保護分為以下五級,一至五級等級逐級增高:

第一級(自主保護級),網絡和信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。

第二級(指導保護級),網絡和信息系統受到破壞后,對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。

第三級(監督保護級),網絡和信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。

第四級(強制保護級),網絡和信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。

第五級(專控保護級),網絡和信息系統受到破壞后,會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。

備注:現階段普遍需要第三方測評機構測評的是第二級和第三級

 

(四)推動機構

1.公安機關

▲等級保護牽頭部門;

▲監督、檢查、指導信息安全等級保護工作。

2.國家保密部門

▲負責等級保護工作中有關保密工作的監督、檢查、指導;

▲負責涉及國家秘密信息系統分級保護。

3.國家密碼管理部門

▲ 負責等級保護工作中有關密碼工作的監督、檢查、指導。

4.工業和信息化部

▲ 負責等級保護工作中部門間的協調。

 

二、網絡安全等級保護測評

網絡安全等級保護測評是指網絡系統運營、使用單位委托具有等級保護測評資質的測評機構,按照有關管理規范和技術標準,對處理特定應用的網絡和信息系統,采用安全技術測評和安全管理測評方式,對保護狀況進行檢測評估,判定受測系統的技術和管理級別與所定安全等級要求的符合程度,基于符合程度給出是否滿足所定安全等級的結論,針對安全不符合項提出安全整改建議。

(一)價值功能

①全面提升網絡和信息系統安全

√完善網絡和信息系統的整體架構

√提高網絡和信息系統的防護能力

√抵御網絡和信息系統的安全風險

②大力加強網絡和信息系統管理

√提高相關人員的網絡安全意識

√增強對網絡和信息系統及相關人員的管理力度

③持續保障相關業務正常運行

√落實國家網絡安全等級保護政策

√滿足國家相關部門的備案材料要求

√滿足國家相關部門對單位項目驗收的要求

④有效提升公信度

√增強公共網絡和信息系統的可信度

√加強企業品牌形象背書

2018060414-3547-19833.png 

(二)測評原則

1.客觀性&公正性原則

2.經濟性&可重用性原則

3.可重復性&可再現性原則

4.標準性&規范性原則

5.整體性原則

6.保密性原則

7.最小影響原則

 

(三)測評內容

微信圖片_20200310171817.png 

 

(四)測評方式

1.訪談

測評人員與被測系統有關人員(個人/群體)進行交流、討論等活動,獲取相關證據,了解有關信息。

2.檢查

測評人員通過對測評對象進行觀察、查驗、分析等活動,獲取相關證據。

3.測試

測評人員針對測評對象按照預定的方法/工具使其產生特定的響應,通過查看和分析響應的輸出結果,獲取證據。

 

(五)測評對象

網絡基礎設施、信息系統、大數據、物聯網、云平臺、工控系統、移動互聯網、智能設備等

 

(六)測評流程

定級——備案——測評——系統安全建設——監督檢查

微信圖片_20200313141503.jpg 

(七)測評結果

網絡安全等級保護測評完成后,項目組將提交包括且不僅僅包括以下成果:《網絡安全等級保護測評報告》《網絡安全等級保護整改建議書》《信息系統漏洞掃描報告》