Image
全國(guo)統一服務熱(re)線
0351-4073466

等級保護基礎知識概覽

編輯:2023-04-23 15:24:57

前言

網絡(luo)安(an)全等級(ji)保(bao)護是國(guo)家網絡(luo)安(an)全工作的基(ji)本制度、基(ji)本國(guo)策,是維護國(guo)家關鍵信息基(ji)礎設施安(an)全的重要手段。從1994年至今,網絡安全等級保護制(zhi)度工作經(jing)過實(shi)踐及改進,不斷豐富制(zhi)度內涵、拓展保護范圍、完善監管措施,逐步健全網絡(luo)安全等級保(bao)護制度(du)政策、標準和支(zhi)撐體系(xi),對我國的網絡(luo)信息安全建(jian)設具有重(zhong)要的指導作用。

等(deng)級保(bao)護發展(zhan)史

等級(ji)保(bao)護工作經過近(jin)二十年的發展(zhan)(zhan)已經從1.0階段發展(zhan)(zhan)到2.0階段,從制度上升到法律:

等級保護(hu)1.0:1994年(nian),國(guo)務院頒布《中華人民共和國(guo)計(ji)算機信息(xi)系統安全(quan)保護條(tiao)例》,規定(ding)計(ji)算機信息(xi)系統實行安全(quan)等(deng)級保護。

452040

圖1 等保1.0階段大(da)事件回顧

等(deng)級保護2.0:2016年10月10日,第五(wu)屆全(quan)國信息安(an)全(quan)等(deng)級(ji)保護(hu)(hu)技術大會召(zhao)開,公安(an)部網絡(luo)安(an)全(quan)保衛(wei)局郭啟全(quan)總工指出“國家對網絡(luo)安(an)全(quan)等(deng)級(ji)保護(hu)(hu)制(zhi)度提出了新的要求(qiu),等(deng)級(ji)保護(hu)(hu)制(zhi)度已進(jin)入2.0時代(dai)”。

2017年(nian)6月1日,《中華(hua)人民共和國(guo)網(wang)絡(luo)安全法(fa)》正式(shi)頒布,第二十(shi)一條(tiao)明確“國(guo)家實行網(wang)絡(luo)安全等(deng)級(ji)保護(hu)制(zhi)度……”,等(deng)級(ji)保護(hu)制(zhi)度正式(shi)進(jin)入有法(fa)可依階(jie)段。

354126

圖2 等(deng)保2.0階段大事件回顧

等(deng)保(bao)基(ji)礎之(zhi)十問十答

Q1:等保(bao)2.0、等保(bao)3.0是(shi)什么?

A1等保中提到的“二級”、“三級”,意指信息系統運營者根據信息系統在國家安全、經濟建設、社會生活中的重要程度及遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,將信息系統劃分為不同的安全保護等級并對其實施不同的保護和監管。

等(deng)保(bao)二級(ji)(ji)指(zhi)對信息系(xi)統(tong)進行(xing)第二級(ji)(ji)安全(quan)(quan)保(bao)護,等(deng)保(bao)三級(ji)(ji)指(zhi)對信息系(xi)統(tong)進行(xing)第三級(ji)(ji)安全(quan)(quan)保(bao)護,并非是“等(deng)保(bao)2.0”及“等(deng)保(bao)3.0”。

等級(ji)保護(hu)根據《GB 17859-1999 計算機(ji)信息系統安全保護(hu)等級(ji)劃(hua)分準則(ze)》(網絡安全領域唯一一個強(qiang)制(zhi)標準)規定共分五(wu)級(ji),分別是:

2951161 等保(bao)定級分類

Q2:等(deng)級保護的工作流程是什么?

A2:等級(ji)保(bao)護(hu)主要(yao)工作流(liu)程為定級(ji)、備案(an)、建(jian)設整改、等級(ji)測評、監督(du)檢查五個環節。

41762

圖(tu)(tu)3 等保(bao)工作流程圖(tu)(tu)

等保(bao)工作重點注意(yi)事項(xiang):

定(ding)級環節:二級及以上(shang)的系統必須(xu)經過專家評審、主管部(bu)門審核(此要求為等保2.0新增);

備(bei)案(an)環(huan)節:網安(an)備(bei)案(an)的審批處理(li)時間為(wei)10個工作日(ri);

建(jian)設整改環節:需參照(zhao)最新的(de)等保2.0國標進行規(gui)劃(hua)設計;

測(ce)評環節:找具有(you)測(ce)評資質的測(ce)評機構進行測(ce)評。

Q3:不同等級多少(shao)分可以通過等保測評?

A3:2021年(nian)6月18日執行的新測評(ping)標準(等保測評(ping)報告模板(2021 版(ban))),計分方式由得分制調(diao)整為缺陷扣分制,由“符(fu)合”、“不符(fu)合”調(diao)整為“優、良、中、差”四(si)個(ge)等級測評(ping)結(jie)論。

3412382 新版測(ce)評結論

2158423 老版測評結(jie)論(廢棄)

Q4:等(deng)保測(ce)評通過(guo)后(hou),多久需要(yao)復測(ce)?

A4:二級信(xin)息(xi)(xi)系(xi)統(tong)(tong)每兩年測(ce)評(ping)一次,三級信(xin)息(xi)(xi)系(xi)統(tong)(tong)明確規(gui)定(ding)每年測(ce)評(ping)一次,四級信(xin)息(xi)(xi)系(xi)統(tong)(tong)每半(ban)年測(ce)評(ping)一次。

Q5:有(you)包過的技術解決(jue)方案嗎?

A5:不存(cun)在包過(guo)的(de)技術(shu)方案(an)。等級(ji)保護測(ce)評包含(han)技術(shu)部分(fen)和管(guan)理(li)部分(fen),單(dan)純的(de)技術(shu)解決方案(an)默(mo)認分(fen)數占比只有50%,管(guan)理(li)部分(fen)的(de)建(jian)設也至關重要(yao),可以選取(qu)專(zhuan)業的(de)安全廠商及(ji)專(zhuan)業的(de)測(ce)評機構來開展等保建(jian)設及(ji)測(ce)評工作,更加容易通(tong)過(guo)。

Q6:業(ye)務系統在(zai)云上,如(ru)何(he)進行等保建設工作?

A6:根(gen)據(ju)《信息安全技術網絡(luo)安全等級保護基(ji)本要求(qiu)》(GB/T 22239-2019)附錄D,云(yun)服(fu)務商根(gen)據(ju)提供的IaaS、PaaS、SaaS模式(shi)承(cheng)(cheng)擔(dan)(dan)不(bu)同(tong)(tong)的平(ping)臺安全責(ze)任。業務系統(tong)上云(yun)后,云(yun)租戶與云(yun)平(ping)臺服(fu)務商之間應遵循責(ze)任分擔(dan)(dan)矩陣共同(tong)(tong)承(cheng)(cheng)擔(dan)(dan)相應的安全責(ze)任,根(gen)據(ju)“誰(shui)(shui)運營誰(shui)(shui)負(fu)責(ze)、誰(shui)(shui)使(shi)用誰(shui)(shui)負(fu)責(ze)、誰(shui)(shui)主管誰(shui)(shui)負(fu)責(ze)”的原則,云(yun)平(ping)臺與云(yun)租戶應根(gen)據(ju)平(ping)臺建設(she)模式(shi)承(cheng)(cheng)擔(dan)(dan)相應的網絡(luo)安全責(ze)任。

Q7:什(shen)么(me)是“一個中心,三重防護”?

A7:”一個(ge)中(zhong)心(xin)、三重(zhong)防護(hu)“是(shi)等級保護(hu)安全(quan)設(she)計技術框架(jia),”一個(ge)中(zhong)心(xin)“指安全(quan)管理中(zhong)心(xin), ”三重(zhong)防護(hu)“指安全(quan)通(tong)信網絡(luo)、安全(quan)區域邊界、安全(quan)計算環境。此框架(jia)是(shi)網絡(luo)安全(quan)整體架(jia)構設(she)計、方案編制的基(ji)本參考原則。

915984 等級保護(hu)安全(quan)設計技(ji)術框架

Q8:什么是(shi)網絡安(an)全建設“三同(tong)步”?

A8:“三(san)同步(bu)”指網絡(luo)運營者應在網絡(luo)建設和運營過程(cheng)中,同步(bu)規(gui)劃、同步(bu)建設、同步(bu)使用(yong)有關網絡(luo)安全保護措(cuo)施。

Q9:“三化六防”是什么?

A9:“三化(hua)六防(fang)”是(shi)公網(wang)安(an)〔2020〕1960號(hao)《貫(guan)徹落(luo)實(shi)網(wang)絡(luo)安(an)全(quan)等(deng)保(bao)制度和關(guan)保(bao)制度的(de)指導意見》中要求深入貫(guan)徹實(shi)施(shi)網(wang)絡(luo)安(an)全(quan)等(deng)級保(bao)護制度,落(luo)實(shi)“三化(hua)六防(fang)”的(de)措施(shi),即(ji)實(shi)戰化(hua)、體系化(hua)、常態(tai)化(hua)的(de)思路(lu),以及動態(tai)防(fang)御(yu)、主動防(fang)御(yu)、縱深防(fang)御(yu)、精準防(fang)護、整體防(fang)控(kong)、聯防(fang)聯控(kong)的(de)措施(shi)。

Q10:等保1.02.0有什么變化?

A10:等保(bao)1.0到2.0從名稱、定級對象、安全要求、控(kong)制措(cuo)施分類結構、規定動(dong)作等多個(ge)方面都有明顯的變化。

486142?表4 等保1.02.0變(bian)化對比

總結(jie)

信(xin)息化(hua)的(de)建設和(he)實施(shi)是一(yi)個系(xi)統(tong)且復雜的(de)工程,積(ji)極落實關鍵信(xin)息系(xi)統(tong)的(de)等級保護(hu)建設不僅可以幫(bang)助企業快速提高信(xin)息系(xi)統(tong)的(de)安全(quan)水平(ping),同時可以避免因信(xin)息系(xi)統(tong)安全(quan)漏(lou)洞帶來的(de)經濟風(feng)險,從(cong)而有利的(de)降(jiang)低信(xin)息化(hua)投(tou)入,同時滿足國(guo)家相關法律法規的(de)要求(qiu),進一(yi)步(bu)提升國(guo)家整體的(de)信(xin)息化(hua)安全(quan)水平(ping)。因此,堅持落地實踐網絡安全(quan)等級保護(hu)建設工作是我(wo)們需(xu)要長(chang)期(qi)堅守的(de)方向。

來源(yuan):等級保護測評


Image
Image
版權所(suo)有:山(shan)西科(ke)信源科(ke)技股份有限公司
咨詢熱(re)線:0351-4073466?
地址:(北區)山(shan)西省(sheng)太原市迎澤區新建南路文(wen)源巷(xiang)24號文(wen)源公務中心(xin)5層(ceng)
? ? ? ? ? ?(南區)太原市小店區南中環街529 號清控(kong)創新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術支持 - 資海科技集團