正文

【安全学习】了解网络安全等级保护

admin
admin V管理员 /0 评论 /11 阅读
0305
文章最后更新时间2025年03月05日,若文章内容或图片失效,请留言反馈!

等级保护定义

       是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。等级保护,即分等级保护,分等级监管

发展经历

等级保护1.0时代

1994-2003 等级保护政策环境营造

1. 1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。
2. 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出实行信息安全等级保护。(27号文件)

2004-2006 等级保护工作开展准备

1.  公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作为全面开展等级保护工作奠定基础。

2007-2010:等级保护工作正式启动

  1. 2007年6月,四部门(公安部、国家保密局、国家密码管理局、国务院信息工作办公室)联合出台《信息安全等级保护管理办法》
2. 2007年7月四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》
3. 2007年7月20日召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信息安全等级保护制度正式开始实施。

2010-2016: 等保工作规模推进

  1. 2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。(303号文件)
2. 2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。
等保2.0

2016 修订等保 1.0

  1. 2016年10月公安部网络安全保卫局组织对原有国家标准 《GB/T 22239-2008》等系列标准进行了修订。

2017 等保2.0系列标准编制工作

  1. 2017年1月至2月,全国信息安全标准化技术委员会发布 《网络安全等级保护测评要求》系列标准、《网络安全等级保护测评要求》系列标准等“征求意见稿”。
  2. 2017年5月,国家公安部发布《GA/T 1390.2-2017 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》等4个公共安全行业等级保护标准《GA/T 1389-2017 网络安全等级保护定级指南》

2019 等保2.0 开始实施 

  1. 《网络安全等级保护条例》
    征求意见稿发布。7月再次调整分类结构和强化可信计算。充分体现一个中心,三重防御的思想(与《GB/T 25070》保持一致)充分强化可信计算技术使用的要求(和《GB/T25070》保持一致),等保2.0标准在2019年5月13号正式发布,12月1号正式实施,进入等保2.0时代。

等保1.0与等保2.0对比

等级保护依据的法律法规、标准体系

上述涉及的法规及标准体系推进,另外几条:

  1. 自2017年6月1日起施行《中华人民共和国网络安全法》第二十一条明确要求:国家实行网络安全等级保护制度
  2. 《网络安全等级保护条例》第三条【确立制度】国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管(征求意见稿)。
  3. 网络安全等级保护基本要求(GR/T 22239-2019)
  4. 网络安全等级保护 安全设计技术要求(GB/T25070-2019)
  5. 网络安全等级保护 测评要求(GB/T 28448-2019)
  6. 网络安全等级保护 测评过程指南(GB/T28449-2018)
  7. 网络安全等级保护 定级指南(GB/T22240)(修订)
  8. 网络安全等级保护 实施指南(GB/T25058)(修订)

等级保护等级划分

第一级 自主保护级:  

无需备案,对测评周期无要求

此类信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成一般损害,不损害国家安全、社会秩序和公共利益。

第二级 指导保护级:

公安部门备案,建议两年测评一次

此类信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,会对社会秩序、公共利益造成 一般损害不损害国家安全

第三级 监督保护级:

公安部门备案,要求每年测评一次

此类信息系统受到破坏后,会对国家安全、社会秩序造成 损害,对公共利益造成严重损害,对公民、法人和其他组织的合法权益造成特别严重的损害

第四级 强制保护级:

公安部门备案,要求半年一次

此类信息系统受到破坏后,会对国家安全造成严重损害,对社会秩序、公共利益造成特别严重损害

第五级 专控保护级:

公安部门备案,依据特殊安全需求进行

此类信息系统受到破坏后,会对国家安全造成特别严重损害。

等级保护政策内容

  1. 对信息系统中使用的信息安全产品实行按等级管理。
  2. 对信息系统中发生的信息安全事件分等级响应、处置。

物理安全:由客户方根据预测评整改意见进行机房建设与整改。

网络安全,主机安全、应用安全、数据安全,由专业安全厂商根据预测评整改意见提供相关安全产品与部署方案,由集成商实现安全产品部署与现有操作系统、数据库等系统的安全设置。

管理要求,由客户方根据预测评整改意见完善管理方面的建设其中涉及必要的技术手段由安全厂商提供。

等级保护必要性

  1. 根据《网络安全法》,网络运营者必须履行等级保护义务,未落实可能面临法律责任;国家出台多项政策,明确要求关键信息基础设施实施等级保护。
  2. 通过分级防护,识别并应对不同级别的安全威胁,降低数据泄露、系统瘫痪等风险,确保敏感数据得到有效保护,防止被篡改或破坏。
  3. 面对日益复杂的网络攻击,等级保护提供系统化的防护措施,有效应对各类威胁,通过分级管理,能够快速定位并响应安全事件,减少损失。
  4. 保障信息系统稳定运行,确保业务不受安全事件影响,为数字化转型和创新提供安全基础,推动业务持续发展。

等级保护工作实施步骤

网络安全等级保护工作包括系统定级、系统备案、系统安全建设整改、系统等级测评、监督单位定期监督检查 五个阶段。

定级阶段

网络运营者依据《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》,确定等级保护对象,明确定级对象,梳理等级保护对象受到破坏时所侵害的客体及对客体造成侵害的程度。根据下列矩阵表分别确定等级保护对象业务信息等级和系统服务等级:

       在分别确定业务信息安全的安全等级和系统服务的安全等级后,由二者中较高级别确定等级保护对象的安全级别

具体的定级流程如下:

备案阶段

第二级以上网络运营者在定级、撤销或变更调整网络安全保护等级时,在明确安全保护等级后需在10个工作日内,到县级以上公安机关备案,提交相关材料。

北京为例:

建设整改阶段:

安全建设整改工作分五步进行:

  • 落实安全建设整改工作部门,建设整改工作规划,进行总体部署;
  • 确定网络安全建设需求并论证;
  • 确定安全防护策略,制定网络安全建设整改方案(安全建设方案经专家评审论证,三级以上报公安机关审核);
  • 根据网络安全建设整改方案,实施安全建设工程;
  • 开展安全自查和等级测评,及时发现安全风险及安全问题,进一步开展整改

等级测评阶段:

网络安全等级保护测评过程分为4个基本活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。

监督检查阶段:

公安机关对第三级以上网络运营者每年至少开展一次安全检查,涉及相关行业的可以会同其行业主管部门开展安全检查。必要时,公安机关可以委托社会力量提供技术支持。

县级以上公安机关对网络运营者开展下列网络安全工作情况进行监督检查:

(一)日常网络安全防范工作;

(二)重大网络安全风险隐患整改情况;

(三)重大网络安全事件应急处置和恢复工作;

(四)重大活动网络安全保护工作落实情况;

(五)其他网络安全保护工作情况。

测评流程

网络安全等级保护基本要求

等级保护解读


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com