今日頭條
官方微信
官方抖音
資訊頻道一.網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級(jí)保護(hù)制度
網(wǎng)絡(luò)安全法中明確地提到,國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,信息安全的建設(shè)要遵照等級(jí)保護(hù)標(biāo)準(zhǔn)來做。
二.為什么要開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作
(一)體現(xiàn)國家管理意志,構(gòu)建國家信息安全保護(hù)體系
等級(jí)保護(hù)是我國關(guān)于信息安全的基本政策,國家法律法規(guī)、相關(guān)政策制度要求單位開展等級(jí)保護(hù)工作,如《中華人民共和國網(wǎng)絡(luò)安全法》和《網(wǎng)絡(luò)安全管理辦法》。
(二)維護(hù)國家安全,保護(hù)公眾利益,保障和促進(jìn)信息化發(fā)展
落實(shí)個(gè)人及單位的網(wǎng)絡(luò)安全保護(hù)義務(wù),通過等級(jí)保護(hù)工作發(fā)現(xiàn)單位信息系統(tǒng)存在的安全隱患和不足,通過安全整改提高信息系統(tǒng)的信息安全防護(hù)能力,合理規(guī)避風(fēng)險(xiǎn)。
三.網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)入2.0時(shí)代
網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是國家網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度和基本方法,《網(wǎng)絡(luò)安全法》出臺(tái)后,網(wǎng)絡(luò)等級(jí)保護(hù)進(jìn)入2.0時(shí)代。2019年5月13日,網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)(以下簡稱等保2.0標(biāo)準(zhǔn))正式發(fā)布,將于2019年12月1日開始實(shí)施。
等保2.0標(biāo)準(zhǔn)在1.0標(biāo)準(zhǔn)的基礎(chǔ)上,注重全方位主動(dòng)防御、安全可信、動(dòng)態(tài)感知和全面審計(jì),實(shí)現(xiàn)了對(duì)傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制信息系統(tǒng)等保護(hù)對(duì)象的全覆蓋。
四.等級(jí)保護(hù)2.0的擴(kuò)展要求
為了便于實(shí)現(xiàn)對(duì)不同級(jí)別的和不同形態(tài)的等級(jí)保護(hù)對(duì)象的共性化和個(gè)性化保護(hù),等保2.0要求分為安全通用要求和安全擴(kuò)展要求。《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)提出了安全擴(kuò)展要求。
擴(kuò)展要求應(yīng)用場景說明:
(一)云計(jì)算應(yīng)用場景
云計(jì)算平臺(tái)/系統(tǒng)由設(shè)施、硬件、 資源抽象控制層、虛擬化計(jì)算資源、軟件平臺(tái)和應(yīng)用軟件等組成。軟件即服務(wù)(SaaS)、平臺(tái)即服務(wù)(PaaS)、 基礎(chǔ)設(shè)施即服務(wù)(IaaS)是三種基本的云計(jì)算服務(wù)模式。如圖所示,在不同的服務(wù)模式中,云服務(wù)商和云服務(wù)客戶對(duì)計(jì)算資源擁有不同的控制范圍,控制范圍則決定了安全責(zé)任的邊界。
(二)移動(dòng)互聯(lián)應(yīng)用場景
采用移動(dòng)互聯(lián)技術(shù)的等級(jí)保護(hù)對(duì)象其移動(dòng)互聯(lián)部分由移動(dòng)終端、移動(dòng)應(yīng)用和無線網(wǎng)絡(luò)三部分組成,移動(dòng)終端通過無線通道連接無線接入設(shè)備接入,無線接入網(wǎng)關(guān)通過訪問控制策略限制移動(dòng)終端的訪問行為。等保2.0移動(dòng)互聯(lián)安全擴(kuò)展要求主要針對(duì)移動(dòng)終端、移動(dòng)應(yīng)用和無線網(wǎng)絡(luò)部分提出特殊安全要求,與安全通用要求一起構(gòu)成對(duì)采用移動(dòng)互聯(lián)技術(shù)的等級(jí)保護(hù)對(duì)象的完整安全要求。
(三)物聯(lián)網(wǎng)應(yīng)用場景
對(duì)物聯(lián)網(wǎng)的安全防護(hù)包括感知層、網(wǎng)絡(luò)傳輸層和處理應(yīng)用層,由于網(wǎng)絡(luò)傳輸層和處理應(yīng)用層通常是由計(jì)算機(jī)設(shè)備構(gòu)成,因此這兩部分按照安全通用要求提出的要求進(jìn)行保護(hù)。物聯(lián)網(wǎng)安全擴(kuò)展要求針對(duì)感知層提出特殊安全要求,與安全通用要求一起構(gòu)成對(duì)物聯(lián)網(wǎng)的完整安全要求。
(四)工業(yè)控制系統(tǒng)應(yīng)用場景
等保2.0參考IE C 62264-1的層次結(jié)構(gòu)模型劃分,同時(shí)將SC ADA 系統(tǒng)、DCS系統(tǒng)和 PLC 系統(tǒng)等模 荊的共性進(jìn)行抽象,對(duì)工業(yè)控制系統(tǒng)采用層次模型進(jìn)行說明。層次模型從上到下共分為5個(gè)層級(jí),依次為企業(yè)資源層、生產(chǎn)管理 層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層,不同層級(jí)的實(shí)時(shí)性要求不同。
五.等級(jí)保護(hù)工作流程及標(biāo)準(zhǔn)體系
等級(jí)保護(hù)五個(gè)規(guī)定動(dòng)作是指:定級(jí)、備案、建設(shè)整改、等級(jí)測評(píng)、監(jiān)督檢查。等保2.0標(biāo)準(zhǔn)仍然將圍繞這5個(gè)規(guī)定動(dòng)作開展工作。
● 《實(shí)施指南》的主要內(nèi)容是描述等級(jí)保護(hù)工作整個(gè)過程。
● 《定級(jí)指南》主要內(nèi)容是有關(guān)等保對(duì)象定級(jí),基本要求是最為核心一個(gè)標(biāo)準(zhǔn),主要內(nèi)容是對(duì)等保對(duì)象提出安全保護(hù)能力。
● 《安全設(shè)計(jì)技術(shù)要求》是實(shí)現(xiàn)基本要求的最佳實(shí)踐。
● 《測評(píng)要求》是對(duì)等級(jí)保護(hù)對(duì)象的安全狀況進(jìn)行安全測評(píng)并提供指南,也適用于網(wǎng)絡(luò)安全職能部門依法進(jìn)行的網(wǎng)絡(luò)安全等級(jí)保護(hù)監(jiān)督檢查參考使用。
● 《測評(píng)規(guī)程指南》是對(duì)測評(píng)機(jī)構(gòu)的工作過程進(jìn)行規(guī)范化管理。
六.等級(jí)保護(hù)工作主要內(nèi)容
七.等級(jí)保護(hù)安全框架
等保2.0標(biāo)準(zhǔn)依然采用“一個(gè)中心、三重防護(hù)”的理念,通過實(shí)施三重防護(hù)主動(dòng)防御框架,能夠?qū)崿F(xiàn)攻擊者進(jìn)不去、非授權(quán)者重要信息拿不到、竊取保密信息看不懂、系統(tǒng)和信息改不了、系統(tǒng)工作癱不了和攻擊行為賴不掉的安全防護(hù)效果。
八.基于安全框架的建設(shè)方案
(一)明確等級(jí)保護(hù)對(duì)象,開展定級(jí)備案工作
等保2.0標(biāo)準(zhǔn)不再自主定級(jí),而是通過“確定定級(jí)對(duì)象——>初步確定等級(jí)——>專家評(píng)審——>主管部門審核——>公安機(jī)關(guān)備案審查——>最終確定等級(jí)”這種線性的定級(jí)流程,系統(tǒng)定級(jí)必須經(jīng)過專家評(píng)審和主管部門審核,才能到公安機(jī)關(guān)備案,整體定級(jí)更加嚴(yán)格。
(二)安全建設(shè)及整改工作
確定等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)后,根據(jù)不同對(duì)象的安全保護(hù)等級(jí)完成安全建設(shè)或安全整改工作。構(gòu)建具備相應(yīng)等級(jí)安全保護(hù)能力的網(wǎng)絡(luò)安全綜合防御體系。
來源:等級(jí)保護(hù)中心公眾號(hào)
北京市公安局海淀分局備案號(hào):11010802023656號(hào)