網絡安全等級保護制度

網絡安全等級保護制度介紹2007年，隨著《信息安全等級保護管理辦法》文件的發(fā)布，我國信息安全等級保護制度正式實施，標志著等保1.0的正式啟動。后續(xù)通過十余年的發(fā)展和實踐，形成了一套我國網絡安全建設的重要標準體系。2017年，《中華人民共和國網絡安全法》正式實施，標志著等保2.0的正式啟動。網絡安全法第21條明確“國家實行網絡安全等級保護制度”，其第31條明確“國家對一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護”。上述要求為網絡安全等級保護賦予了新的含義，等保2.0已上升至法律層面。等保2.0的保護對象包括網絡基礎設施、信息系統(tǒng)、大數(shù)據(jù)、物聯(lián)網、云平臺、工控系統(tǒng)、移動互聯(lián)網、智能設備等。等保2.0要求組織企業(yè)和個人對信息系統(tǒng)進行分等級的安全保護，對安全保護的實施進行監(jiān)督和管理，從而保證安全信息系統(tǒng)的基礎安全。等保2.0標準體系的主要標準如下圖所示。中華人民共和國網絡安全法（法律）中華人民共和國網絡安全法（法律）網絡安全等級保護條例（行政法規(guī)）《GB/T25058-2020信息安全技術網絡安全等級保護實施指南》《GB/T22240-2020網絡安全等級保護定級指南》《信息安全等級保護備案實施細則》公信安[2007]1360號《GB/T22239-2019網絡安全等級保護基本要求》《GB/T25070-2019網絡安全等級保護設計技術要求》《GB/T28448-2019網絡安全等級保護測評要求》定級備案建設與整改測評標準體系采取了統(tǒng)一的安全框架結構，分為技術要求和管理要求，其中技術要求包括安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心；管理要求包括安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理。等保2.0針對新技術、新應用領域也提出了擴展要求，形成了安全通用要求與新應用安全擴展要求構成的標準要求內容。同時強化了建立縱深防御和精細防御體系的思想，強化了密碼技術和可信計算技術的使用。過等保需要經過5個階段，分別是：定級、備案、建設整改、測評以及監(jiān)督檢查。定級2020年4月28日國家市場監(jiān)管總局和國標委發(fā)布GB/T22240-2020《信息安全技術網絡安全等級保護定級指南》，對非涉及國家秘密等級保護對象的定級方法和定級流程做出了規(guī)定，為后續(xù)安全建設整改、等級測評等工作奠定了良好的基礎。網絡安全等級保護是國家網絡安全保障的基本制度、基本策略、基本方法?！吨腥A人民共和國網絡安全法》第二十一條規(guī)定，網絡運營者應當按照網絡安全等級保護制度的要求，履行相關的安全保護義務。作為落實等級保護制度的五個規(guī)定基本動作的第一步，了解如何對信息系統(tǒng)進行合規(guī)定級至關重要。定級對象：網絡安全定級對象主要包括信息系統(tǒng)（辦公自動化系統(tǒng)、云計算平臺/系統(tǒng)、物聯(lián)網、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術的系統(tǒng)等）、通信網絡設施（主要包括電信網、廣播電視傳輸網和行業(yè)或單位的專用通信網等）和數(shù)據(jù)資源等。強調：數(shù)據(jù)資源可以做為獨立定級對象。當安全責任主體相同時，大數(shù)據(jù)、大數(shù)據(jù)平臺/系統(tǒng)宜作為一個整體對象定級；當安全責任主體不同時，大數(shù)據(jù)應獨立定級；涉及到大量公民個人信息以及為公民提供公共服務的大數(shù)據(jù)平臺/系統(tǒng)，原則上其安全保護等級不低于三級，例如，數(shù)據(jù)分布在多個平臺，每個平臺都有獨立的負責人來管理、使用，這屬于安全責任主體不同的情況，需要把數(shù)據(jù)資源單獨作為定級對象，數(shù)據(jù)集中處理平臺作為另一個定級對象。定級要素：依據(jù)安全保護等級的定義，定級應綜合考慮“等級保護對象在國家安全、經濟建設、社會生活中的重要程度，以及一旦遭受到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的侵害程度等因素”。因此本標準中明確等級保護對象的定級要素為兩個，分別為“受侵害的客體”和“對客體的侵害程度”。定級方法安全保護等級由業(yè)務信息安全和系統(tǒng)服務安全兩方面確定。網絡安全定級流程：備案關于印發(fā)《信息安全等級保護備案實施細則》的通知公信安[2007]1360號各省、自治區(qū)、直轄市公安廳（局）公共信息網絡安全監(jiān)察總隊（處），新疆生產建設兵團公安局公共信息網絡安全監(jiān)察處：為配合《信息安全等級保護管理辦法》（公通字[2007]43號）和《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2007]861號）的貫徹實施，嚴格規(guī)范備案管理工作，實現(xiàn)備案工作的規(guī)范化、制度化，我局制定了《信息安全等級保護備案實施細則》及配套法律文書，現(xiàn)印發(fā)給你們，請認真貫徹執(zhí)行。信息安全等級保護備案實施細則第一條為加強和指導信息安全等級保護備案工作，規(guī)范備案受理、審核和管理等工作，根據(jù)《信息安全等級保護管理辦法》制定本實施細則。第二條本細則適用于非涉及國家秘密的第二級以上信息系統(tǒng)的備案。第三條地市級以上公安機關公共信息網絡安全監(jiān)察部門受理本轄區(qū)內備案單位的備案。隸屬于省級的備案單位，其跨地（市）聯(lián)網運行的信息系統(tǒng)，由省級公安機關公共信息網絡安全監(jiān)察部門受理備案。第四條隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由公安部公共信息網絡安全監(jiān)察局受理備案，其他信息系統(tǒng)由北京市公安局公共信息網絡安全監(jiān)察部門受理備案。隸屬于中央的非在京單位的信息系統(tǒng)，由當?shù)厥〖壒矙C關公共信息網絡安全監(jiān)察部門（或其指定的地市級公安機關公共信息網絡安全監(jiān)察部門）受理備案?？缡』蛘呷珖y(tǒng)一聯(lián)網運行并由主管部門統(tǒng)一定級的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)（包括由上級主管部門定級，在當?shù)赜袘玫男畔⑾到y(tǒng)），由所在地地市級以上公安機關公共信息網絡安全監(jiān)察部門受理備案。第五條受理備案的公安機關公共信息網絡安全監(jiān)察部門應該設立專門的備案窗口，配備必要的設備和警力，專門負責受理備案工作，受理備案地點、時間、聯(lián)系人和聯(lián)系方式等應向社會公布。第六條信息系統(tǒng)運營、使用單位或者其主管部門（以下簡稱“備案單位”）應當在信息系統(tǒng)安全保護等級確定后30日內，到公安機關公共信息網絡安全監(jiān)察部門辦理備案手續(xù)。辦理備案手續(xù)時，應當首先到公安機關指定的網址下載并填寫備案表，準備好備案文件，然后到指定的地點備案。第七條備案時應當提交《信息系統(tǒng)安全等級保護備案表》（以下簡稱《備案表》）（一式兩份）及其電子文檔。第二級以上信息系統(tǒng)備案時需提交《備案表》中的表一、二、三；第三級以上信息系統(tǒng)還應當在系統(tǒng)整改、測評完成后30日內提交《備案表》表四及其有關材料。第八條公安機關公共信息網絡安全監(jiān)察部門收到備案單位提交的備案材料后，對屬于本級公安機關受理范圍且備案材料齊全的，應當向備案單位出具《信息系統(tǒng)安全等級保護備案材料接收回執(zhí)》；備案材料不齊全的，應當當場或者在五日內一次性告知其補正內容；對不屬于本級公安機關受理范圍的，應當書面告知備案單位到有管轄權的公安機關辦理。第九條接收備案材料后，公安機關公共信息網絡安全監(jiān)察部門應當對下列內容進行審核：（一）備案材料填寫是否完整，是否符合要求，其紙質材料和電子文檔是否一致；（二）信息系統(tǒng)所定安全保護等級是否準確。第十條經審核，對符合等級保護要求的，公安機關公共信息網絡安全監(jiān)察部門應當自收到備案材料之日起的十個工作日內，將加蓋本級公安機關印章（或等級保護專用章）的《備案表》一份反饋備案單位，一份存檔；對不符合等級保護要求的，公安機關公共信息網絡安全監(jiān)察部門應當在十個工作日內通知備案單位進行整改，并出具《信息系統(tǒng)安全等級保護備案審核結果通知》。第十一條《備案表》中表一、表二、表三內容經審核合格的，公安機關公共信息網絡安全監(jiān)察部門應當出具《信息系統(tǒng)安全等級保護備案證明》（以下簡稱《備案證明》）?！秱浒缸C明》由公安部統(tǒng)一監(jiān)制。第十二條公安機關公共信息網絡安全監(jiān)察部門對定級不準的備案單位，在通知整改的同時，應當建議備案單位組織專家進行重新定級評審，并報上級主管部門審批。備案單位仍然堅持原定等級的，公安機關公共信息網絡安全監(jiān)察部門可以受理其備案，但應當書面告知其承擔由此引發(fā)的責任和后果，經上級公安機關公共信息網絡安全監(jiān)察部門同意后，同時通報備案單位上級主管部門。第十三條 對拒不備案的，公安機關應當依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等其他有關法律、法規(guī)規(guī)定，責令限期整改。逾期仍不備案的，予以警告，并向其上級主管部門通報。依照前款規(guī)定向中央和國家機關通報的，應當報經公安部公共信息網絡安全監(jiān)察局同意。第十四條 受理備案的公安機關公共信息網絡安全監(jiān)察部門應當及時將備案文件錄入到數(shù)據(jù)庫管理系統(tǒng)，并定期逐級上傳《備案表》中表一、表二、表三內容的電子數(shù)據(jù)。上傳時間為每季度的第一天。受理備案的公安機關公共信息網絡安全監(jiān)察部門應當建立管理制度，對備案材料按照等級進行嚴格管理，嚴格遵守保密制度，未經批準不得對外提供查詢。第十五條 公安機關公共信息網絡安全監(jiān)察部門受理備案時不得收取任何費用。第十六條 本細則所稱“以上”包含本數(shù)（級）。第十七條各?。▍^(qū)、市）公安機關公共信息網絡安全監(jiān)察部門可以依據(jù)本細則制定具體的備案工作規(guī)范，并報公安部公共信息網絡安全監(jiān)察局備案。年 月 日等保要求《網絡安全等級保護基本要求（GB/T22239-2019）》《GB/TGB/T》將安全要求劃分為安全

建設規(guī)劃標準安全通用要求基本分類《GB/TGB/T22239-2019》提出的第三級安全要求基本結構為：大類，如圖12).云計算安全擴展要求采用了云計算技術的信息系統(tǒng)通常稱為云計算平臺。云計算平臺由設施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應用軟件等組成。云計算平臺中通常有云服務商和云服務客戶/云租戶兩種角色。根據(jù)云服務商所提供服務的類型，云計算平臺有軟件即服務（SaaS）、平臺即服務（PaaS）、基礎設施即服務（IaaS）3種基本的云計算服務模式。在不同的服務模式中，云服務商和云服務客戶對資源擁有不同的控制范圍，控制范圍決定了安全責任的邊界。云計算安全擴展要求是針對云計算平臺提出的安全通用要求之外額外需要實現(xiàn)的安全要求。云計算安全擴展要求涉及的控制點包括基礎設施位置、網絡架構、網絡邊界的訪問控制、網絡邊界的入侵防范、網絡邊界的安全審計、集中管控、計算環(huán)境的身份鑒別、計算環(huán)境的訪問控制、計算環(huán)境的入侵防范、鏡像和快照保護、數(shù)據(jù)安全性、數(shù)據(jù)備份恢復、剩余信息保護、云服務商選擇、供應鏈管理和云計算環(huán)境管理。3)移動互聯(lián)安全擴展要求采用移動互聯(lián)技術的等級保護對象，其移動互聯(lián)部分通常由移動終端、移動應用和無線網絡3部分組成。移動終端通過無線通道連接無線接入設備接入有線網絡；無線接入網關通過訪問控制策略限制移動終端的訪問行為；后臺的移動終端管理系統(tǒng)（如果配置）負責對移動終端的管理，包括向客戶端軟件發(fā)送移動設備管理、移動應用管理和移動內容管理策略等。移動互聯(lián)安全擴展要求是針對移動終端、移動應用和無線網絡提出的特殊安全要求，它們與安全通用要求一起構成針對采用移動互聯(lián)技術的等級保護對象的完整安全要求。移動互聯(lián)安全擴展要求涉及的控制點包括無線接入點的物理位置、無線和有線網絡之間的邊界防護、無線和有線網絡之間的訪問控制、無線和有線網絡之間的入侵防范，移動終端管控、移動應用管控、移動應用軟件采購、移動應用軟件開發(fā)和配置管理。4)物聯(lián)網安全擴展要求物聯(lián)網從架構上通?？煞譃?個邏輯層，即感知層、網絡傳輸層和處理應用層。其中感知層包括傳感器節(jié)點和傳感網網關節(jié)點或RFID標簽和RFID讀寫器，也包括感知設備與傳感網網關之間、RFID標簽與RFID讀寫器之間的短距離通信（通常為無線）部分；網絡傳輸層包括將感知數(shù)據(jù)遠距離傳輸?shù)教幚碇行牡木W絡，如互聯(lián)網、移動網或幾種不同網絡的融合；處理應用層包括對感知數(shù)據(jù)進行存儲與智能處理的平臺，并對業(yè)務應用終端提供服務。對大型物聯(lián)網來說，處理應用層一般由云計算平臺和業(yè)務應用終端構成。對物聯(lián)網的安全防護應包括感知層、網絡傳輸層和處理應用層。由于網絡傳輸層和處理應用層通常由計算機設備構成，因此這兩部分按照安全通用要求提出的要求進行保護。物聯(lián)網安全擴展要求是針對感知層提出的特殊安全要求，它們與安全通用要求一起構成針對物聯(lián)網的完整安全要求。物聯(lián)網安全擴展要求涉及的控制點包括感知節(jié)點的物理防護、感知網的入侵防范、感知網的接入控制、感知節(jié)點設備安全、網關節(jié)點設備安全、抗數(shù)據(jù)重放、數(shù)據(jù)融合處理和感知節(jié)點的管理。整改要求修訂情況《GB/T25070-2019網絡安全等級保護：《信息安全技術—網絡安全等級保護安全設計技術要求》（GB/T25070-2019）與《信息安全技術—信息系統(tǒng)等級保護安全設計技術要求》（GB/TT22239-2019）相比較，主要變化如下：將標準名稱變更為《信息安全技術—網絡安全等級保護安全設計技術要求》；各個級別的安全計算環(huán)境設計技術要求調整為通用安全計算環(huán)境設計技術要求、云安全計算環(huán)境設計技術要求、移動互聯(lián)安全計算環(huán)境設計技術要求、物聯(lián)網系統(tǒng)安全計算環(huán)境設計技術要求和工業(yè)控制系統(tǒng)安全計算環(huán)境設計技術要求；各個級別的安全區(qū)域邊界設計技術要求調整為通用安全區(qū)域邊界設計技術