今日頭條
官方微信
官方抖音
資訊頻道一.網絡安全法和網絡安全等級保護制度
網絡安全法中明確地提到,國家實行網絡安全等級保護制度,信息安全的建設要遵照等級保護標準來做。
二.為什么要開展網絡安全等級保護工作
(一)體現國家管理意志,構建國家信息安全保護體系
等級保護是我國關于信息安全的基本政策,國家法律法規、相關政策制度要求單位開展等級保護工作,如《中華人民共和國網絡安全法》和《網絡安全管理辦法》。
(二)維護國家安全,保護公眾利益,保障和促進信息化發展
落實個人及單位的網絡安全保護義務,通過等級保護工作發現單位信息系統存在的安全隱患和不足,通過安全整改提高信息系統的信息安全防護能力,合理規避風險。
三.網絡安全等級保護進入2.0時代
網絡安全等級保護制度是國家網絡安全領域的基本國策、基本制度和基本方法,《網絡安全法》出臺后,網絡等級保護進入2.0時代。2019年5月13日,網絡安全等級保護制度2.0標準(以下簡稱等保2.0標準)正式發布,將于2019年12月1日開始實施。
等保2.0標準在1.0標準的基礎上,注重全方位主動防御、安全可信、動態感知和全面審計,實現了對傳統信息系統、基礎信息網絡、云計算、大數據、物聯網、移動互聯和工業控制信息系統等保護對象的全覆蓋。
四.等級保護2.0的擴展要求
為了便于實現對不同級別的和不同形態的等級保護對象的共性化和個性化保護,等保2.0要求分為安全通用要求和安全擴展要求。《網絡安全等級保護基本要求》針對云計算、移動互聯、物聯網、工業控制系統提出了安全擴展要求。
擴展要求應用場景說明:
(一)云計算應用場景
云計算平臺/系統由設施、硬件、 資源抽象控制層、虛擬化計算資源、軟件平臺和應用軟件等組成。軟件即服務(SaaS)、平臺即服務(PaaS)、 基礎設施即服務(IaaS)是三種基本的云計算服務模式。如圖所示,在不同的服務模式中,云服務商和云服務客戶對計算資源擁有不同的控制范圍,控制范圍則決定了安全責任的邊界。
(二)移動互聯應用場景
采用移動互聯技術的等級保護對象其移動互聯部分由移動終端、移動應用和無線網絡三部分組成,移動終端通過無線通道連接無線接入設備接入,無線接入網關通過訪問控制策略限制移動終端的訪問行為。等保2.0移動互聯安全擴展要求主要針對移動終端、移動應用和無線網絡部分提出特殊安全要求,與安全通用要求一起構成對采用移動互聯技術的等級保護對象的完整安全要求。
(三)物聯網應用場景
對物聯網的安全防護包括感知層、網絡傳輸層和處理應用層,由于網絡傳輸層和處理應用層通常是由計算機設備構成,因此這兩部分按照安全通用要求提出的要求進行保護。物聯網安全擴展要求針對感知層提出特殊安全要求,與安全通用要求一起構成對物聯網的完整安全要求。
(四)工業控制系統應用場景
等保2.0參考IE C 62264-1的層次結構模型劃分,同時將SC ADA 系統、DCS系統和 PLC 系統等模 荊的共性進行抽象,對工業控制系統采用層次模型進行說明。層次模型從上到下共分為5個層級,依次為企業資源層、生產管理 層、過程監控層、現場控制層和現場設備層,不同層級的實時性要求不同。
五.等級保護工作流程及標準體系
等級保護五個規定動作是指:定級、備案、建設整改、等級測評、監督檢查。等保2.0標準仍然將圍繞這5個規定動作開展工作。
● 《實施指南》的主要內容是描述等級保護工作整個過程。
● 《定級指南》主要內容是有關等保對象定級,基本要求是最為核心一個標準,主要內容是對等保對象提出安全保護能力。
● 《安全設計技術要求》是實現基本要求的最佳實踐。
● 《測評要求》是對等級保護對象的安全狀況進行安全測評并提供指南,也適用于網絡安全職能部門依法進行的網絡安全等級保護監督檢查參考使用。
● 《測評規程指南》是對測評機構的工作過程進行規范化管理。
六.等級保護工作主要內容
七.等級保護安全框架
等保2.0標準依然采用“一個中心、三重防護”的理念,通過實施三重防護主動防御框架,能夠實現攻擊者進不去、非授權者重要信息拿不到、竊取保密信息看不懂、系統和信息改不了、系統工作癱不了和攻擊行為賴不掉的安全防護效果。
八.基于安全框架的建設方案
(一)明確等級保護對象,開展定級備案工作
等保2.0標準不再自主定級,而是通過“確定定級對象——>初步確定等級——>專家評審——>主管部門審核——>公安機關備案審查——>最終確定等級”這種線性的定級流程,系統定級必須經過專家評審和主管部門審核,才能到公安機關備案,整體定級更加嚴格。
(二)安全建設及整改工作
確定等級保護對象的安全保護等級后,根據不同對象的安全保護等級完成安全建設或安全整改工作。構建具備相應等級安全保護能力的網絡安全綜合防御體系。
來源:等級保護中心公眾號
北京市公安局海淀分局備案號:11010802023656號