明白 | 知识分享

明之道路,永无止境

0%

等保

发表于 分类于
本文字数: 3k

网络安全等级保护

什么是等保

定义

网络安全等级保护是指对国家重要信息、法人或其他组织和公民的专有信息、公开信息,以及存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

  • 三个分等级:信息系统、安全产品、安全事件。
  • 等级保护,即分等级保护、分等级监管。
  • 系统重要程度有多高,安全保护就应有多强,应避免保护不足或过度保护。

发展历程

  • 1994年:第一次提出等级保护概念。

    《中华人民共和国计算机信息系统安全保护条例》(国务院令147号)中,第一次提出了“计算机信息系统实行安全等级保护”概念。其中第九条:计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。

  • 1999年:国家强制标准发布。

    《计算机信息系统安全保护等级划分准则》(GB 17859-1999)规定了计算机系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。

  • 2007年:等保管理办法发布。

    公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(公通字[2007]43号),标志着等级保护1.0的正式启动

  • 2015年:全面落实等保制度。

    中共中央办公厅、国务院办公厅印发了《关于加强社会治安防控体系建设的意见》,其中指出“健全信息安全等级保护制度,加强公民个人信息安全保护”。

  • 2017年:等保成为国家制度。

    《中华人民共和国网络安全法》自2017年6月1日起施行,其中,第二十一条:“国家实行网络安全等级保护制度”。

  • 2019年:等保2.0标准正式实施。

    2019年5月13日,《信息安全技术 网络安全等级保护基本要求》发布,并于2019年12月1日正式实施,标志着等级保护2.0的正式启动

等保2.0的变化

名称变化

  • 等保1.0:信息系统安全等级保护。
  • 等保2.0:信息安全技术网络安全等级保护。

安全要求的变化

等保2.0将安全要求分为安全通用要求扩展要求

  • 安全通用要求:适用于各个行业和领域。
  • 扩展要求:针对云计算、移动互联、物联网、工业控制和大数据等具体领域。

对象的变化

等保2.0的对象不仅包括信息系统,还扩展到云计算、移动互联、物联网、工业控制和大数据等新兴技术领域。

测评项的变化

  • 等保1.0:二级测评项为175条,三级测评项为290条。
  • 等保2.0:二级测评项减少到135条,三级测评项减少到211条。

定级流程的变化

等保2.0的定级流程更加明确,包括以下步骤:

  1. 自主定级:根据信息系统的重要性进行初步定级。
  2. 专家评审:邀请网安网信或相关专家进行评审。
  3. 主管部门审核:由主管部门进行审核。
  4. 公安备案:最终定级结果需在公安部门备案。

测评结果的变化

  • 等保1.0:60分以上为基本符合。
  • 等保2.0:70分以上为基本符合。

等保流程

系统定级

确定定级对象

作为定级对象的信息系统应具有如下基本特征:

  • 具有确定的主要安全责任主体;

  • 承载相对独立的业务应用;

  • 包含相互关联的多个资源。

注:1. 主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。2. 避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。3. 在确定定级对象时,云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统在满足以上基本特征的基础上,还需满足定级指南中的具体要求。

等级划分

  • 第一级(自主保护级)。信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

    (适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。)

  • 第二级(指导保护级,两年一次测评)。信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

    (适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作机密、商业机密、敏感信息的办公系统和管理系统等。)

  • 第三级(监督保护级,一年一次测评)。信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

    (一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作机密、商业机密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。)

  • 第四级(强制保护级,半年一次测评)。信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

    (一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。)

  • 第五级(专控保护级,依据特殊安全需求进行测评)。信息系统受到破坏后,会对国家安全造成特别严重损害。

    (一般适用于国家重要领域、重要部门中的极端重要系统。)

系统备案

信息系统安全保护等级为第二级以上时,备案时应当提交《网络安全等级保护备案表》、定级报告和专家评审意见;第三级以上系统,还需提交系统拓扑和说明、安全管理制度、安全建设方案等。

建设整改

依据《网络安全等级保护基本要求》,利用自有或第三方的安全产品和专家服务,对信息系统进行安全建设和整改,同时制定相应的安全管理制度。

此步骤又被称为预测评差距分析,以安全服务商的角度来看就是对客户的系统进行一次和正式测评相同的流程,减少后续测评整改的工作量。

系统测评

测评机构按照管理规范和技术标准,运用科学的手段和方法,对处理特定应用的信息系统,采用安全技术测评安全管理测评方式,对保护状况进行初步检测评估,针对安全不符合项提出安全整改建议。

监督检查

对系统初测时的出现的安全问题进行整改加固后由测评机构进行复测,符合则出具测评后符合系统安全保护等级的技术检测评估报告

等保基本要求

技术要求

  1. 安全物理环境:机房环境的安全。
  2. 安全通信网络:网络架构的可靠性。
  3. 安全区域边界:边界防护设备的部署。
  4. 安全计算环境:身份鉴别、自主可控、安全审计等。
  5. 安全管理中心:统一管理审计设备、数据备份和安全设备。

管理要求

  1. 安全管理制度:制定和实施安全策略。
  2. 安全管理机构:设置安全管理机构和岗位。
  3. 安全管理人员:人员的安全意识和培训。
  4. 安全建设管理:信息系统建设的安全管理。
  5. 安全运维管理:信息系统运维的安全管理。

等保安全设备

等保三级设备推荐

机房方面
  • 需要使用彩钢板、防火门等进行区域隔离
  • 视频监控系统
  • 防盗报警系统
  • 灭火设备和火灾自动报警系统
  • 水敏感检测仪及漏水检测报警系统
  • 精密空调
  • 除湿装置
  • 备用发电机
  • 电磁屏蔽柜
主机和网络安全层面
  • 入侵防御系统
  • 上网行为管理系统
  • 网络准入系统
  • 统一监控平台(可满足主机、网络和应用层面的监控需求)
  • 防病毒软件
  • 堡垒机
  • 防火墙
  • 审计平台(满足对操作系统、数据库、网络设备的审计,在条件不允许的情况下,至少要使用数据库审计)
应用及数据安全层面
  • VPN
  • 网页防篡改系统(针对网站系统)
  • 数据异地备份存储设备
  • 主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)
  • 数据加密软件(满足加密存储,且加密算法需获得保密局认可)