網(wǎng)絡(luò)安全等級保護制度

網(wǎng)絡(luò)安全等級保護制度介紹2007年，隨著《信息安全等級保護管理辦法》文件的發(fā)布，我國信息安全等級保護制度正式實施，標(biāo)志著等保1.0的正式啟動。后續(xù)通過十余年的發(fā)展和實踐，形成了一套我國網(wǎng)絡(luò)安全建設(shè)的重要標(biāo)準(zhǔn)體系。2017年，《中華人民共和國網(wǎng)絡(luò)安全法》正式實施，標(biāo)志著等保2.0的正式啟動。網(wǎng)絡(luò)安全法第21條明確“國家實行網(wǎng)絡(luò)安全等級保護制度”，其第31條明確“國家對一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護”。上述要求為網(wǎng)絡(luò)安全等級保護賦予了新的含義，等保2.0已上升至法律層面。等保2.0的保護對象包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)、大數(shù)據(jù)、物聯(lián)網(wǎng)、云平臺、工控系統(tǒng)、移動互聯(lián)網(wǎng)、智能設(shè)備等。等保2.0要求組織企業(yè)和個人對信息系統(tǒng)進行分等級的安全保護，對安全保護的實施進行監(jiān)督和管理，從而保證安全信息系統(tǒng)的基礎(chǔ)安全。等保2.0標(biāo)準(zhǔn)體系的主要標(biāo)準(zhǔn)如下圖所示。中華人民共和國網(wǎng)絡(luò)安全法（法律）中華人民共和國網(wǎng)絡(luò)安全法（法律）網(wǎng)絡(luò)安全等級保護條例（行政法規(guī)）《GB/T25058-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護實施指南》《GB/T22240-2020網(wǎng)絡(luò)安全等級保護定級指南》《信息安全等級保護備案實施細(xì)則》公信安[2007]1360號《GB/T22239-2019網(wǎng)絡(luò)安全等級保護基本要求》《GB/T25070-2019網(wǎng)絡(luò)安全等級保護設(shè)計技術(shù)要求》《GB/T28448-2019網(wǎng)絡(luò)安全等級保護測評要求》定級備案建設(shè)與整改測評標(biāo)準(zhǔn)體系采取了統(tǒng)一的安全框架結(jié)構(gòu)，分為技術(shù)要求和管理要求，其中技術(shù)要求包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心；管理要求包括安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理。等保2.0針對新技術(shù)、新應(yīng)用領(lǐng)域也提出了擴展要求，形成了安全通用要求與新應(yīng)用安全擴展要求構(gòu)成的標(biāo)準(zhǔn)要求內(nèi)容。同時強化了建立縱深防御和精細(xì)防御體系的思想，強化了密碼技術(shù)和可信計算技術(shù)的使用。過等保需要經(jīng)過5個階段，分別是：定級、備案、建設(shè)整改、測評以及監(jiān)督檢查。定級2020年4月28日國家市場監(jiān)管總局和國標(biāo)委發(fā)布GB/T22240-2020《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》，對非涉及國家秘密等級保護對象的定級方法和定級流程做出了規(guī)定，為后續(xù)安全建設(shè)整改、等級測評等工作奠定了良好的基礎(chǔ)。網(wǎng)絡(luò)安全等級保護是國家網(wǎng)絡(luò)安全保障的基本制度、基本策略、基本方法?！吨腥A人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行相關(guān)的安全保護義務(wù)。作為落實等級保護制度的五個規(guī)定基本動作的第一步，了解如何對信息系統(tǒng)進行合規(guī)定級至關(guān)重要。定級對象：網(wǎng)絡(luò)安全定級對象主要包括信息系統(tǒng)（辦公自動化系統(tǒng)、云計算平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng)等）、通信網(wǎng)絡(luò)設(shè)施（主要包括電信網(wǎng)、廣播電視傳輸網(wǎng)和行業(yè)或單位的專用通信網(wǎng)等）和數(shù)據(jù)資源等。強調(diào)：數(shù)據(jù)資源可以做為獨立定級對象。當(dāng)安全責(zé)任主體相同時，大數(shù)據(jù)、大數(shù)據(jù)平臺/系統(tǒng)宜作為一個整體對象定級；當(dāng)安全責(zé)任主體不同時，大數(shù)據(jù)應(yīng)獨立定級；涉及到大量公民個人信息以及為公民提供公共服務(wù)的大數(shù)據(jù)平臺/系統(tǒng)，原則上其安全保護等級不低于三級，例如，數(shù)據(jù)分布在多個平臺，每個平臺都有獨立的負(fù)責(zé)人來管理、使用，這屬于安全責(zé)任主體不同的情況，需要把數(shù)據(jù)資源單獨作為定級對象，數(shù)據(jù)集中處理平臺作為另一個定級對象。定級要素：依據(jù)安全保護等級的定義，定級應(yīng)綜合考慮“等級保護對象在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，以及一旦遭受到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的侵害程度等因素”。因此本標(biāo)準(zhǔn)中明確等級保護對象的定級要素為兩個，分別為“受侵害的客體”和“對客體的侵害程度”。定級方法安全保護等級由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。網(wǎng)絡(luò)安全定級流程：備案關(guān)于印發(fā)《信息安全等級保護備案實施細(xì)則》的通知公信安[2007]1360號各省、自治區(qū)、直轄市公安廳（局）公共信息網(wǎng)絡(luò)安全監(jiān)察總隊（處），新疆生產(chǎn)建設(shè)兵團公安局公共信息網(wǎng)絡(luò)安全監(jiān)察處：為配合《信息安全等級保護管理辦法》（公通字[2007]43號）和《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號）的貫徹實施，嚴(yán)格規(guī)范備案管理工作，實現(xiàn)備案工作的規(guī)范化、制度化，我局制定了《信息安全等級保護備案實施細(xì)則》及配套法律文書，現(xiàn)印發(fā)給你們，請認(rèn)真貫徹執(zhí)行。信息安全等級保護備案實施細(xì)則第一條為加強和指導(dǎo)信息安全等級保護備案工作，規(guī)范備案受理、審核和管理等工作，根據(jù)《信息安全等級保護管理辦法》制定本實施細(xì)則。第二條本細(xì)則適用于非涉及國家秘密的第二級以上信息系統(tǒng)的備案。第三條地市級以上公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理本轄區(qū)內(nèi)備案單位的備案。隸屬于省級的備案單位，其跨地（市）聯(lián)網(wǎng)運行的信息系統(tǒng)，由省級公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案。第四條隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局受理備案，其他信息系統(tǒng)由北京市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案。隸屬于中央的非在京單位的信息系統(tǒng)，由當(dāng)?shù)厥〖壒矙C關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門（或其指定的地市級公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門）受理備案?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)（包括由上級主管部門定級，在當(dāng)?shù)赜袘?yīng)用的信息系統(tǒng)），由所在地地市級以上公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案。第五條受理備案的公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)該設(shè)立專門的備案窗口，配備必要的設(shè)備和警力，專門負(fù)責(zé)受理備案工作，受理備案地點、時間、聯(lián)系人和聯(lián)系方式等應(yīng)向社會公布。第六條信息系統(tǒng)運營、使用單位或者其主管部門（以下簡稱“備案單位”）應(yīng)當(dāng)在信息系統(tǒng)安全保護等級確定后30日內(nèi)，到公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門辦理備案手續(xù)。辦理備案手續(xù)時，應(yīng)當(dāng)首先到公安機關(guān)指定的網(wǎng)址下載并填寫備案表，準(zhǔn)備好備案文件，然后到指定的地點備案。第七條備案時應(yīng)當(dāng)提交《信息系統(tǒng)安全等級保護備案表》（以下簡稱《備案表》）（一式兩份）及其電子文檔。第二級以上信息系統(tǒng)備案時需提交《備案表》中的表一、二、三；第三級以上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、測評完成后30日內(nèi)提交《備案表》表四及其有關(guān)材料。第八條公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門收到備案單位提交的備案材料后，對屬于本級公安機關(guān)受理范圍且備案材料齊全的，應(yīng)當(dāng)向備案單位出具《信息系統(tǒng)安全等級保護備案材料接收回執(zhí)》；備案材料不齊全的，應(yīng)當(dāng)當(dāng)場或者在五日內(nèi)一次性告知其補正內(nèi)容；對不屬于本級公安機關(guān)受理范圍的，應(yīng)當(dāng)書面告知備案單位到有管轄權(quán)的公安機關(guān)辦理。第九條接收備案材料后，公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)對下列內(nèi)容進行審核：（一）備案材料填寫是否完整，是否符合要求，其紙質(zhì)材料和電子文檔是否一致；（二）信息系統(tǒng)所定安全保護等級是否準(zhǔn)確。第十條經(jīng)審核，對符合等級保護要求的，公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)自收到備案材料之日起的十個工作日內(nèi)，將加蓋本級公安機關(guān)印章（或等級保護專用章）的《備案表》一份反饋備案單位，一份存檔；對不符合等級保護要求的，公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)在十個工作日內(nèi)通知備案單位進行整改，并出具《信息系統(tǒng)安全等級保護備案審核結(jié)果通知》。第十一條《備案表》中表一、表二、表三內(nèi)容經(jīng)審核合格的，公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)出具《信息系統(tǒng)安全等級保護備案證明》（以下簡稱《備案證明》）?！秱浒缸C明》由公安部統(tǒng)一監(jiān)制。第十二條公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對定級不準(zhǔn)的備案單位，在通知整改的同時，應(yīng)當(dāng)建議備案單位組織專家進行重新定級評審，并報上級主管部門審批。備案單位仍然堅持原定等級的，公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門可以受理其備案，但應(yīng)當(dāng)書面告知其承擔(dān)由此引發(fā)的責(zé)任和后果，經(jīng)上級公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門同意后，同時通報備案單位上級主管部門。第十三條 對拒不備案的，公安機關(guān)應(yīng)當(dāng)依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等其他有關(guān)法律、法規(guī)規(guī)定，責(zé)令限期整改。逾期仍不備案的，予以警告，并向其上級主管部門通報。依照前款規(guī)定向中央和國家機關(guān)通報的，應(yīng)當(dāng)報經(jīng)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局同意。第十四條 受理備案的公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)及時將備案文件錄入到數(shù)據(jù)庫管理系統(tǒng)，并定期逐級上傳《備案表》中表一、表二、表三內(nèi)容的電子數(shù)據(jù)。上傳時間為每季度的第一天。受理備案的公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)建立管理制度，對備案材料按照等級進行嚴(yán)格管理，嚴(yán)格遵守保密制度，未經(jīng)批準(zhǔn)不得對外提供查詢。第十五條 公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案時不得收取任何費用。第十六條 本細(xì)則所稱“以上”包含本數(shù)（級）。第十七條各?。▍^(qū)、市）公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門可以依據(jù)本細(xì)則制定具體的備案工作規(guī)范，并報公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局備案。年 月 日等保要求《網(wǎng)絡(luò)安全等級保護基本要求（GB/T22239-2019）》《GB/TGB/T》將安全要求劃分為安全

建設(shè)規(guī)劃標(biāo)準(zhǔn)安全通用要求基本分類《GB/TGB/T22239-2019》提出的第三級安全要求基本結(jié)構(gòu)為：大類，如圖12).云計算安全擴展要求采用了云計算技術(shù)的信息系統(tǒng)通常稱為云計算平臺。云計算平臺由設(shè)施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應(yīng)用軟件等組成。云計算平臺中通常有云服務(wù)商和云服務(wù)客戶/云租戶兩種角色。根據(jù)云服務(wù)商所提供服務(wù)的類型，云計算平臺有軟件即服務(wù)（SaaS）、平臺即服務(wù)（PaaS）、基礎(chǔ)設(shè)施即服務(wù)（IaaS）3種基本的云計算服務(wù)模式。在不同的服務(wù)模式中，云服務(wù)商和云服務(wù)客戶對資源擁有不同的控制范圍，控制范圍決定了安全責(zé)任的邊界。云計算安全擴展要求是針對云計算平臺提出的安全通用要求之外額外需要實現(xiàn)的安全要求。云計算安全擴展要求涉及的控制點包括基礎(chǔ)設(shè)施位置、網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)邊界的訪問控制、網(wǎng)絡(luò)邊界的入侵防范、網(wǎng)絡(luò)邊界的安全審計、集中管控、計算環(huán)境的身份鑒別、計算環(huán)境的訪問控制、計算環(huán)境的入侵防范、鏡像和快照保護、數(shù)據(jù)安全性、數(shù)據(jù)備份恢復(fù)、剩余信息保護、云服務(wù)商選擇、供應(yīng)鏈管理和云計算環(huán)境管理。3)移動互聯(lián)安全擴展要求采用移動互聯(lián)技術(shù)的等級保護對象，其移動互聯(lián)部分通常由移動終端、移動應(yīng)用和無線網(wǎng)絡(luò)3部分組成。移動終端通過無線通道連接無線接入設(shè)備接入有線網(wǎng)絡(luò)；無線接入網(wǎng)關(guān)通過訪問控制策略限制移動終端的訪問行為；后臺的移動終端管理系統(tǒng)（如果配置）負(fù)責(zé)對移動終端的管理，包括向客戶端軟件發(fā)送移動設(shè)備管理、移動應(yīng)用管理和移動內(nèi)容管理策略等。移動互聯(lián)安全擴展要求是針對移動終端、移動應(yīng)用和無線網(wǎng)絡(luò)提出的特殊安全要求，它們與安全通用要求一起構(gòu)成針對采用移動互聯(lián)技術(shù)的等級保護對象的完整安全要求。移動互聯(lián)安全擴展要求涉及的控制點包括無線接入點的物理位置、無線和有線網(wǎng)絡(luò)之間的邊界防護、無線和有線網(wǎng)絡(luò)之間的訪問控制、無線和有線網(wǎng)絡(luò)之間的入侵防范，移動終端管控、移動應(yīng)用管控、移動應(yīng)用軟件采購、移動應(yīng)用軟件開發(fā)和配置管理。4)物聯(lián)網(wǎng)安全擴展要求物聯(lián)網(wǎng)從架構(gòu)上通?？煞譃?個邏輯層，即感知層、網(wǎng)絡(luò)傳輸層和處理應(yīng)用層。其中感知層包括傳感器節(jié)點和傳感網(wǎng)網(wǎng)關(guān)節(jié)點或RFID標(biāo)簽和RFID讀寫器，也包括感知設(shè)備與傳感網(wǎng)網(wǎng)關(guān)之間、RFID標(biāo)簽與RFID讀寫器之間的短距離通信（通常為無線）部分；網(wǎng)絡(luò)傳輸層包括將感知數(shù)據(jù)遠(yuǎn)距離傳輸?shù)教幚碇行牡木W(wǎng)絡(luò)，如互聯(lián)網(wǎng)、移動網(wǎng)或幾種不同網(wǎng)絡(luò)的融合；處理應(yīng)用層包括對感知數(shù)據(jù)進行存儲與智能處理的平臺，并對業(yè)務(wù)應(yīng)用終端提供服務(wù)。對大型物聯(lián)網(wǎng)來說，處理應(yīng)用層一般由云計算平臺和業(yè)務(wù)應(yīng)用終端構(gòu)成。對物聯(lián)網(wǎng)的安全防護應(yīng)包括感知層、網(wǎng)絡(luò)傳輸層和處理應(yīng)用層。由于網(wǎng)絡(luò)傳輸層和處理應(yīng)用層通常由計算機設(shè)備構(gòu)成，因此這兩部分按照安全通用要求提出的要求進行保護。物聯(lián)網(wǎng)安全擴展要求是針對感知層提出的特殊安全要求，它們與安全通用要求一起構(gòu)成針對物聯(lián)網(wǎng)的完整安全要求。物聯(lián)網(wǎng)安全擴展要求涉及的控制點包括感知節(jié)點的物理防護、感知網(wǎng)的入侵防范、感知網(wǎng)的接入控制、感知節(jié)點設(shè)備安全、網(wǎng)關(guān)節(jié)點設(shè)備安全、抗數(shù)據(jù)重放、數(shù)據(jù)融合處理和感知節(jié)點的管理。整改要求修訂情況《GB/T25070-2019網(wǎng)絡(luò)安全等級保護：《信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》（GB/T25070-2019）與《信息安全技術(shù)—信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》（GB/TT22239-2019）相比較，主要變化如下：將標(biāo)準(zhǔn)名稱變更為《信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》；各個級別的安全計算環(huán)境設(shè)計技術(shù)要求調(diào)整為通用安全計算環(huán)境設(shè)計技術(shù)要求、云安全計算環(huán)境設(shè)計技術(shù)要求、移動互聯(lián)安全計算環(huán)境設(shè)計技術(shù)要求、物聯(lián)網(wǎng)系統(tǒng)安全計算環(huán)境設(shè)計技術(shù)要求和工業(yè)控制系統(tǒng)安全計算環(huán)境設(shè)計技術(shù)要求；各個級別的安全區(qū)域邊界設(shè)計技術(shù)要求調(diào)整為通用安全區(qū)域邊界設(shè)計技術(shù)