Image
全國統一服務熱線
0351-4073466

等保&分保&關保&密評 | 四道防線守護網絡信息安全

編(bian)輯(ji):2023-04-28 09:56:37

“沒有(you)網(wang)(wang)絡(luo)安(an)全就沒有(you)國(guo)家安(an)全”。近(jin)幾(ji)年,我(wo)國(guo)《網(wang)(wang)絡(luo)安(an)全法(fa)》《密碼法(fa)》《保(bao)守國(guo)家秘密法(fa)(修(xiu)訂)》《關鍵信(xin)息基礎設施(shi)安(an)全保(bao)護條例(li)》《數據安(an)全法(fa)》等(deng)法(fa)律法(fa)規陸續發布實施(shi),為(wei)承載我(wo)國(guo)國(guo)計民生的(de)重(zhong)要網(wang)(wang)絡(luo)信(xin)息系統的(de)安(an)全提供了法(fa)律保(bao)障(zhang),正在(zai)實施(shi)的(de)網(wang)(wang)絡(luo)安(an)全等(deng)級(ji)保(bao)護、涉密信(xin)息系統分級(ji)保(bao)護、關鍵信(xin)息基礎設施(shi)保(bao)護、商用密碼應(ying)用安(an)全性評(ping)估為(wei)我(wo)國(guo)重(zhong)要網(wang)(wang)絡(luo)信(xin)息系統的(de)安(an)全構筑了四(si)道防線。

01

等(deng)保

1、什么(me)是等保

等保是指(zhi)網絡(luo)安(an)全等級保護。
中華人(ren)民共(gong)和國網絡安全法201761日起實施)第二十一條規定:國(guo)家實行網(wang)絡安全等級保護制度(du)。

2、等(deng)保的(de)發展

等保(bao)1.0:
2007年(nian)6月,公安部發布《信息安全等(deng)(deng)級保護(hu)管理(li)辦法(fa)》(公通字(zi)[2007]43號),標志著等(deng)(deng)級保護(hu)1.0的正式啟動。
等(deng)級保護1.0的主要(yao)標準是:
?《信息(xi)系統安(an)全(quan)等級(ji)保護基本要求 GB/T22239-2008》
?《信息系統(tong)等級保護安(an)全設計要求(qiu) GB/T25070-2010》
?《信息系統(tong)安全等級保護(hu)測評要求 GB/T28448-2012》
 
等保2.0:
2019年(nian)5月(yue)13日,國(guo)家市場(chang)監(jian)督(du)管理總局、國(guo)家標準化管理委員(yuan)會(hui)發布了3個網(wang)絡安全領域的國(guo)家標準(2019年(nian)12月(yue)1日起實施(shi)):
?《信(xin)息安全(quan)技術 網絡安全(quan)等級保(bao)護基本(ben)要求》(GB/T 22239-2019)
?《信息安全(quan)技術 網絡安全(quan)等級保(bao)護安全(quan)設計技術要求(qiu)》(GB/T 25070-2019)
?《信息安全(quan)技(ji)術 網絡安全(quan)等級保護測評要求(qiu)》(GB/T 28448-2019)
標(biao)志著我國進(jin)入等級保護2.0時(shi)代(dai)。

3、等保的(de)級別

根據信息系統受到破壞后,對公(gong)民、法人和(he)其他組織(zhi)的合(he)法權益,以及對公(gong)共利益、社會秩序和(he)國家安全的損(sun)害程度(du),等級保(bao)護分為(wei)五(wu)級:
第一級(ji):自主(zhu)保護級(ji)
第二(er)級:指導(dao)保(bao)護級
第三級:監督(du)保護級
第(di)四級:強制(zhi)保護級
第五級:專(zhuan)控保護級



02

分保

1、什(shen)么是分保

 “分(fen)保”是指(zhi)涉密(mi)信息系統分(fen)級保護(hu)。
中華人民(min)共和國保(bao)守(shou)國家秘密(mi)法(fa)(2010年4月(yue)29日(ri)修訂,2010年10月(yue)1日(ri)起實施)第二十三條規定:存儲、處理國家秘(mi)密(mi)的計算機信息系統(以下簡稱涉密信息系統)按照涉密程度實行分級(ji)保(bao)護。

 2、分保的發(fa)展

涉密信息系(xi)統(tong)的分級(ji)保護依據保守國家秘密法(fa)涉及國家秘密的信息系統(tong)分級(ji)保護(hu)管理(li)辦法》(國保發[2005]16號(hao))等法律法規開展。

3、分保的級(ji)別(bie) 

涉密(mi)信息系統的等級(ji)分為秘(mi)密(mi)級(ji)、機(ji)密(mi)級(ji)、絕密(mi)級(ji)三個級(ji)別。

保(bao)守國家秘(mi)密(mi)法第九條(tiao)規定(ding):下列涉(she)及國(guo)家安全和(he)利(li)益(yi)的(de)(de)事項,泄露(lu)后可(ke)能(neng)損害國(guo)家在政(zheng)治、經濟(ji)、國(guo)防、外交等(deng)領域的(de)(de)安全和(he)利(li)益(yi)的(de)(de),應當確定(ding)為國(guo)家秘密:
(一(yi)) 國(guo)家事務重大決策中的秘密事項;
(二) 國防建設和武裝(zhuang)力(li)量活(huo)動(dong)中(zhong)的秘(mi)密事項;
(三(san)) 外(wai)交和(he)外(wai)事活動中(zhong)的秘(mi)密事項以及對(dui)外(wai)承擔保密義務的秘(mi)密事項;
(四(si)) 國(guo)民經濟(ji)和(he)社會發展中(zhong)的秘密事項;
(五(wu)) 科學技術(shu)中的秘密(mi)事項;
(六(liu)) 維護(hu)國家安全活(huo)動和(he)追查刑事(shi)犯(fan)罪(zui)中的秘密(mi)事(shi)項;
(七) 經國家保(bao)密行政管理部門確定(ding)的其他秘密事項。
  政黨的(de)(de)秘(mi)密事(shi)項(xiang)中符合前款規(gui)定的(de)(de),屬(shu)于國家(jia)秘(mi)密。

保(bao)守國家秘密法第十三條規定:中央國家機(ji)關、省(sheng)級(ji)(ji)機(ji)關及其授權的(de)機(ji)關、單(dan)(dan)位可以確(que)定絕密(mi)(mi)(mi)級(ji)(ji)、機(ji)密(mi)(mi)(mi)級(ji)(ji)和秘密(mi)(mi)(mi)級(ji)(ji)國家秘密(mi)(mi)(mi);設區的(de)市(shi)、自治州一級(ji)(ji)的(de)機(ji)關及其授權的(de)機(ji)關、單(dan)(dan)位可以確(que)定機(ji)密(mi)(mi)(mi)級(ji)(ji)和秘密(mi)(mi)(mi)級(ji)(ji)國家秘密(mi)(mi)(mi)。



03

關保


1、什么是關(guan)保(bao)

“關(guan)保”是指(zhi)關(guan)鍵(jian)信(xin)息基礎設施(shi)保護。
網絡安(an)全法(fa)第三十一條:國家對(dui)提供公(gong)共通信(xin)、廣播(bo)電(dian)視傳輸等(deng)服(fu)(fu)務的基礎信(xin)息網(wang)絡(luo),能源(yuan)、交通、水利、金(jin)融等(deng)重要(yao)行業和供電(dian)、供水、供氣、醫療(liao)衛生(sheng)、社(she)會保障等(deng)公(gong)共服(fu)(fu)務領(ling)域(yu)的重要(yao)信(xin)息系統(tong),軍事(shi)網(wang)絡(luo),設區的市級以上國家機(ji)關等(deng)政務網(wang)絡(luo),用戶數量眾(zhong)多的網(wang)絡(luo)服(fu)(fu)務提供者(zhe)所有或者(zhe)管(guan)理的網(wang)絡(luo)和系統(tong)(以下稱(cheng)關鍵信息基礎設施實行重點保護。關(guan)鍵信息基礎設施安(an)全保護辦法由國務院制定。

關(guan)鍵(jian)信息基礎(chu)設施安全(quan)保護條例(li)2021年7月(yue)30日國務院令第(di)745號公布,2021年9月(yue)1日起施行)第(di)二(er)條(tiao)規定:本(ben)條(tiao)例所稱關鍵信息基礎設施,是指(zhi)公(gong)(gong)共通信(xin)和信(xin)息服務(wu)、能(neng)源、交通、水利、金融、公(gong)(gong)共服務(wu)、電子政務(wu)、國防科技工(gong)業(ye)等重要行業(ye)和領域的(de),以(yi)及其他一旦(dan)遭到破壞、喪失功能(neng)或(huo)者數據(ju)泄露,可能(neng)嚴重危(wei)害國家安(an)全、國計(ji)民生(sheng)、公(gong)(gong)共利益的(de)重要網絡設(she)施、信(xin)息系統等。


2、關保(bao)的發展

2017年7月(yue)10日,國家互聯網(wang)信(xin)息辦(ban)公室發布《關鍵信(xin)息基礎(chu)設施安全(quan)保(bao)護條例(征求意見稿)》;
2019至2021年,《關鍵信息基礎設施(shi)安(an)全保護條例》連續三(san)年納(na)入國家(jia)立法計劃;
2021年4月(yue)27日(ri),經(jing)國務(wu)院第(di)133次常務(wu)會議通過;
2021年7月(yue)30日,國(guo)務院總理李克強簽署中華人民共和國(guo)國(guo)務院令第745號公(gong)布,自2021年9月(yue)1日起施行。

3、關保的內容

關鍵(jian)信(xin)息(xi)基礎設(she)施安(an)全保護條例第五條規定:國(guo)家對關鍵信息基礎設施(shi)實行重點保護,采取(qu)措施(shi),監測、防(fang)御、處(chu)置來源于中華人民共和國境內外的(de)網絡安全風險和威(wei)脅(xie),保護關(guan)鍵信息(xi)基(ji)礎(chu)(chu)設施免受攻擊、侵(qin)入(ru)、干擾和破壞(huai),依(yi)法懲治(zhi)危害關(guan)鍵信息(xi)基(ji)礎(chu)(chu)設施安全的(de)違法犯(fan)罪活動。

“關保(bao)”由國(guo)家網信部(bu)(bu)門(men)統籌協調;國(guo)務院公安(an)部(bu)(bu)門(men)負責(ze)指導監督關鍵(jian)信息基礎(chu)設(she)施安(an)全保(bao)護(hu)工(gong)作;國(guo)務院電信主管(guan)部(bu)(bu)門(men)和(he)其他有(you)關部(bu)(bu)門(men)依照本條例和(he)有(you)關法(fa)律、行(xing)政法(fa)規的規定,在各(ge)自職責(ze)范圍(wei)內負責(ze)關鍵(jian)信息基礎(chu)設(she)施安(an)全保(bao)護(hu)和(he)監督管(guan)理工(gong)作;省級人民政府有(you)關部(bu)(bu)門(men)依據各(ge)自職責(ze)對關鍵(jian)信息基礎(chu)設(she)施實施安(an)全保(bao)護(hu)和(he)監督管(guan)理。


04

密評


1、什么是密評

“密評”是指(zhi)商用密碼(ma)應用安(an)全性評估。
中華人民(min)共(gong)和國(guo)密碼法(2020年1月1日起(qi)實施(shi))所述的密碼,是指(zhi)采用特定變換的方法對信息等(deng)進(jin)行加密保護、安全(quan)認證的技術、產品(pin)和(he)服務。
商用(yong)密(mi)碼(ma)用(yong)于保(bao)護不屬于國家秘密(mi)的信息(xi)。
 
中華人民(min)共和國密碼法第二十七條規(gui)定(ding):法(fa)律、行政法(fa)規(gui)和國家有關(guan)規(gui)定(ding)要(yao)求使(shi)用(yong)(yong)(yong)(yong)(yong)商用(yong)(yong)(yong)(yong)(yong)密碼進(jin)行保護(hu)的(de)關(guan)鍵(jian)信息(xi)基礎(chu)設施,其運營者(zhe)應(ying)(ying)當使(shi)用(yong)(yong)(yong)(yong)(yong)商用(yong)(yong)(yong)(yong)(yong)密碼進(jin)行保護(hu),自行或者(zhe)委托商用(yong)(yong)(yong)(yong)(yong)密碼檢測(ce)機構開展商用(yong)(yong)(yong)(yong)(yong)密碼應(ying)(ying)用(yong)(yong)(yong)(yong)(yong)安(an)全(quan)(quan)性評(ping)(ping)(ping)(ping)估。商用(yong)(yong)(yong)(yong)(yong)密碼應(ying)(ying)用(yong)(yong)(yong)(yong)(yong)安(an)全(quan)(quan)性評(ping)(ping)(ping)(ping)估應(ying)(ying)當與關(guan)鍵(jian)信息(xi)基礎(chu)設施安(an)全(quan)(quan)檢測(ce)評(ping)(ping)(ping)(ping)估、網絡安(an)全(quan)(quan)等級測(ce)評(ping)(ping)(ping)(ping)制(zhi)度相(xiang)銜(xian)接,避免(mian)重(zhong)復評(ping)(ping)(ping)(ping)估、測(ce)評(ping)(ping)(ping)(ping)。

2、密評的發(fa)展

《商用密碼應用安全性評估(gu)管理辦法(fa)(試行)》(2017年4月22日(ri)起施行)
《信息系統(tong)密碼(ma)應用基本要(yao)求(qiu)》(GM/T 0054-2018 )

3、密評的對象

商用(yong)密碼應用(yong)安全性(xing)評估(gu)的對(dui)象包括:

基(ji)礎信(xin)息(xi)網絡電信(xin)網、廣播電視網、互聯網;
涉及國(guo)計民(min)生和基礎(chu)信息資源的重要信息系統(tong)能源、教育、公安、測繪地理、社保、交通、衛生計生、金融等信息(xi)系統;
重要工業(ye)控制(zhi)系統核(he)設施(shi)、航(hang)空(kong)航(hang)天、先進制造(zao)、石油石化(hua)、油氣管網、電力系(xi)統(tong)、交通運輸、水利樞紐、城市(shi)設施(shi)等工業(ye)控(kong)制系(xi)統(tong);
面向社會服務的政務信息(xi)系統黨政機(ji)關和使(shi)用財政性(xing)資金的事業單位和團(tuan)體組織(zhi)使(shi)用的面向社會服務(wu)的信息系統。

關鍵信息基(ji)礎(chu)設施、網(wang)絡(luo)安全(quan)等(deng)級(ji)保護第三級(ji)及(ji)以上(shang)的(de)信息系統,密碼應(ying)用(yong)安全(quan)性(xing)評估每年至(zhi)少一(yi)次。

4、密評(ping)的(de)內容

對采用商用密碼技術、產(chan)品(pin)和服(fu)務集成(cheng)建(jian)設(she)的網(wang)絡和信息系統(tong),對其密碼應用的合規性、正確(que)性、有效性進行(xing)評估。
 
密(mi)碼應用合規性:
?使用(yong)的密碼算法、密碼技術符合法律法規和國家標(biao)準(zhun)、行(xing)業標(biao)準(zhun)的有關要求(qiu);
?使(shi)用的密(mi)碼(ma)產品、密(mi)碼(ma)模塊(kuai)通過(guo)國家密(mi)碼(ma)管理部門核準;
?使用的密(mi)碼服務(wu)符合國家密(mi)碼管(guan)理要求;
 
密碼應(ying)用正(zheng)確性
?密(mi)碼(ma)算法、密(mi)碼(ma)協議(yi)、密(mi)鑰管理、密(mi)碼(ma)產品和服(fu)務使(shi)用(yong)正(zheng)確;
?系(xi)統中采用標(biao)準的密(mi)(mi)碼算法、協(xie)議、密(mi)(mi)鑰(yao)管理,按照國(guo)家和(he)行業標(biao)準進(jin)行正確的設計和(he)實現;
?自定義密碼協議、密鑰管理機制(zhi)的設計和實(shi)現正確,符合標(biao)準(zhun)要求;
?密碼保障系統建(jian)設改造過程(cheng)中密碼產品和服務的部署和應用正確;
 
密碼應(ying)用有效性:
系(xi)統中(zhong)采用的密碼(ma)協議、密鑰管理(li)系(xi)統、密碼(ma)應(ying)用子系(xi)統和(he)密碼(ma)安全防護機制設計合理(li),在(zai)系(xi)統運行過程中(zhong)能夠發揮密碼(ma)作用,保障信息(xi)的機密性、完整性、真實性、不(bu)可否(fou)認性。 

商用密碼應(ying)用安(an)全(quan)(quan)性評估主要(yao)(yao)從:總(zong)體(ti)要(yao)(yao)求、物理(li)和環境、網(wang)絡和通信、設備(bei)和計算、應(ying)用和數(shu)據、密鑰管(guan)理(li)以及(ji)安(an)全(quan)(quan)管(guan)理(li)七(qi)個方面進行評估。


文章來(lai)源(yuan):信創(chuang)縱(zong)橫

Image
Image
版(ban)權所有:山西科信源科技股份有限(xian)公司(si)
咨詢熱線(xian):0351-4073466?
地址:(北(bei)區)山西省太(tai)原市迎澤區新建南路文源巷(xiang)24號文源公務中心5層
? ? ? ? ? ?(南區)太(tai)原市小店區南中環街529 號清控創新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術支持 - 資海科技集團