正文

网络安全等级保护:历史、概念与测评内涵

admin
admin V管理员 /0 评论 /20 阅读
0108
此篇文章发布距今已超过2天,您需要注意文章的内容或图片是否可用!

1-网络安全等级保护

测评的发展历史

等级保护最开始提出于1994年,中华人民共和国国务院发布了《中华人民共和国计算机信息系统安全保护条例》(国务院令147号),其中第九条提到“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。

而后在2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)明确了等级保护工作,这份文件明确了实行信息安全等级保护的重要性,并强调了信息化发展的不同阶段和不同的信息系统有着不同的安全需求。文件中指出,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。同时,文件中也强调了要抓紧建立信息安全等级保护制度,并制定信息安全等级保护的管理办法和技术指南。

2004年,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室四部门发布《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号),这份文件强调了开展信息安全等级保护工作的重要意义,并详细阐述了信息安全等级保护制度的原则、基本内容、工作职责分工、实施要求以及实施计划。而且该文件正式提出等级保护的概念,同时在该文件中也给出了“信息系统”和“信息”的定义。信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。信息是指在信息系统中存储、传输、处理的数字化信息。

2007年,发布了《信息安全等级保护管理办法》(公通字〔2007〕43号)等文件,明确了对信息安全等级保护的管理办法和备案的实施细则。

2017年,《中华人民共和国网络安全法》实施,“网络安全等级保护制度”首次从法律层面提及,经过历史变革与演进,信息安全等级保护的概念也随之改动为网络安全等级保护。网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括网络设施、信息系统、数据资源等。

2-网络安全等级保护

的概念

经过近二十年的发展网络安全等级保护已经从1.0阶段发展到2.0阶段,网络安全等级保护的概念也已发展完善,网络安全等级保护是指对网络(含信息系统、数据)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。

网络安全等级保护从网络(以责任主体为主的网络运营者)、安全产品(以责任主体、安全厂家、产品认证服务机构等为主的网络安全运营者)、安全事件(以责任主体、安全服务机构等为主的网络安全运营者),三个大维度将网络安全利益相关方全都覆盖到位,奠定了其基础制度的地位。

从《中华人民共和国网络安全法》出发,国家实行网络安全等级保护制度,由网信办统筹,公安主导,保密、密码等部门共同监管的监管体系,所以这项制度是国家的制度,需要共同参与建设。因此应当纠正等级保护仅是责任主体工作的想法,而要以责任主体为中心,所有网络相关方共同承担责任,这也是网络安全等级保护需要社会各方面共同实现的原因。

3-网络安全等级保护

测评的内涵

在《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)文件中对网络安全等级保护的内涵进行了定义,包含了五个级别:

根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,信息和信息系统的安全保护等级共分五级:

第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。

第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。

第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。

第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。

第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。

通过以上66号文的内容,结合《中华人民共和国网络安全法》,现今的内涵描述相对来说比以往更加完善,结合一些资料可以看到:网络安全等级保护是对网络进行分等级保护、分等级监管,是将信息网络、信息系统、网络上的数据和信息,按照重要性和遭受损坏后的危害性分成五个安全保护等级(从第一级到第五级,逐级增高);等级确定后,第二级(含)以上网络到公安机关备案,公安机关对备案材料和定级准确性进行审核,审核合格后颁发备案证明;备案单位根据网络的安全等级,按照国家标准开展安全建设整改,建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度;选择符合国家要求的测评机构开展等级测评;公安机关对第二级网络进行指导,对第三、第四级网络定期开展监督、检查

EBCloud

扫码关注

文章作者韩绍聪


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om