Image
全國統(tǒng)一服務(wù)熱線
0351-4073466

等級保護(hù)基礎(chǔ)知識概覽


編輯:2023-04-23 15:24:57

前言

網(wǎng)絡(luò)安全等級保護(hù)是國家網(wǎng)絡(luò)安全工作的基本制度、基本國策,是維護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施安全的重要手段。從1994年至今,網(wǎng)絡(luò)安全等級保護(hù)制度工作經(jīng)過實踐及改進(jìn),不斷豐富制度內(nèi)涵、拓展保護(hù)范圍、完善監(jiān)管措施,逐步健全網(wǎng)絡(luò)安全等級保護(hù)制度政策、標(biāo)準(zhǔn)和支撐體系,對我國的網(wǎng)絡(luò)信息安全建設(shè)具有重要的指導(dǎo)作用。

等級保護(hù)發(fā)展史

等級保護(hù)工作經(jīng)過近二十年的發(fā)展已經(jīng)從1.0階段發(fā)展到2.0階段,從制度上升到法律:

等級保護(hù)1.0:1994年,國務(wù)院頒布《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》,規(guī)定計算機信息系統(tǒng)實行安全等級保護(hù)。

452040

圖1 等保1.0階段大事件回顧

等級保護(hù)2.0:2016年10月10日,第五屆全國信息安全等級保護(hù)技術(shù)大會召開,公安部網(wǎng)絡(luò)安全保衛(wèi)局郭啟全總工指出“國家對網(wǎng)絡(luò)安全等級保護(hù)制度提出了新的要求,等級保護(hù)制度已進(jìn)入2.0時代”。

2017年6月1日,《中華人民共和國網(wǎng)絡(luò)安全法》正式頒布,第二十一條明確“國家實行網(wǎng)絡(luò)安全等級保護(hù)制度……”,等級保護(hù)制度正式進(jìn)入有法可依階段。

354126

圖2 等保2.0階段大事件回顧

等?;A(chǔ)之十問十答

Q1:等保2.0、等保3.0是什么?

A1等保中提到的“二級”、“三級”,意指信息系統(tǒng)運營者根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度及遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度,將信息系統(tǒng)劃分為不同的安全保護(hù)等級并對其實施不同的保護(hù)和監(jiān)管。

等保二級指對信息系統(tǒng)進(jìn)行第二級安全保護(hù),等保三級指對信息系統(tǒng)進(jìn)行第三級安全保護(hù),并非是“等保2.0”及“等保3.0”。

等級保護(hù)根據(jù)《GB 17859-1999 計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(網(wǎng)絡(luò)安全領(lǐng)域唯一一個強制標(biāo)準(zhǔn))規(guī)定共分五級,分別是:

2951161 等保定級分類

Q2:等級保護(hù)的工作流程是什么?

A2:等級保護(hù)主要工作流程為定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查五個環(huán)節(jié)。

41762

圖3 等保工作流程圖

等保工作重點注意事項:

定級環(huán)節(jié):二級及以上的系統(tǒng)必須經(jīng)過專家評審、主管部門審核(此要求為等保2.0新增);

備案環(huán)節(jié):網(wǎng)安備案的審批處理時間為10個工作日;

建設(shè)整改環(huán)節(jié):需參照最新的等保2.0國標(biāo)進(jìn)行規(guī)劃設(shè)計;

測評環(huán)節(jié):找具有測評資質(zhì)的測評機構(gòu)進(jìn)行測評。

Q3:不同等級多少分可以通過等保測評?

A3:2021年6月18日執(zhí)行的新測評標(biāo)準(zhǔn)(等保測評報告模板(2021 版)),計分方式由得分制調(diào)整為缺陷扣分制,由“符合”、“不符合”調(diào)整為“優(yōu)、良、中、差”四個等級測評結(jié)論。

3412382 新版測評結(jié)論

2158423 老版測評結(jié)論(廢棄)

Q4:等保測評通過后,多久需要復(fù)測?

A4:二級信息系統(tǒng)每兩年測評一次,三級信息系統(tǒng)明確規(guī)定每年測評一次,四級信息系統(tǒng)每半年測評一次。

Q5:有包過的技術(shù)解決方案嗎?

A5:不存在包過的技術(shù)方案。等級保護(hù)測評包含技術(shù)部分和管理部分,單純的技術(shù)解決方案默認(rèn)分?jǐn)?shù)占比只有50%,管理部分的建設(shè)也至關(guān)重要,可以選取專業(yè)的安全廠商及專業(yè)的測評機構(gòu)來開展等保建設(shè)及測評工作,更加容易通過。

Q6:業(yè)務(wù)系統(tǒng)在云上,如何進(jìn)行等保建設(shè)工作?

A6:根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)附錄D,云服務(wù)商根據(jù)提供的IaaS、PaaS、SaaS模式承擔(dān)不同的平臺安全責(zé)任。業(yè)務(wù)系統(tǒng)上云后,云租戶與云平臺服務(wù)商之間應(yīng)遵循責(zé)任分擔(dān)矩陣共同承擔(dān)相應(yīng)的安全責(zé)任,根據(jù)“誰運營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)、誰主管誰負(fù)責(zé)”的原則,云平臺與云租戶應(yīng)根據(jù)平臺建設(shè)模式承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任。

Q7:什么是“一個中心,三重防護(hù)”?

A7:”一個中心、三重防護(hù)“是等級保護(hù)安全設(shè)計技術(shù)框架,”一個中心“指安全管理中心, ”三重防護(hù)“指安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境。此框架是網(wǎng)絡(luò)安全整體架構(gòu)設(shè)計、方案編制的基本參考原則。

915984 等級保護(hù)安全設(shè)計技術(shù)框架

Q8:什么是網(wǎng)絡(luò)安全建設(shè)“三同步”?

A8:“三同步”指網(wǎng)絡(luò)運營者應(yīng)在網(wǎng)絡(luò)建設(shè)和運營過程中,同步規(guī)劃、同步建設(shè)、同步使用有關(guān)網(wǎng)絡(luò)安全保護(hù)措施。

Q9:“三化六防”是什么?

A9:“三化六防”是公網(wǎng)安〔2020〕1960號《貫徹落實網(wǎng)絡(luò)安全等保制度和關(guān)保制度的指導(dǎo)意見》中要求深入貫徹實施網(wǎng)絡(luò)安全等級保護(hù)制度,落實“三化六防”的措施,即實戰(zhàn)化、體系化、常態(tài)化的思路,以及動態(tài)防御、主動防御、縱深防御、精準(zhǔn)防護(hù)、整體防控、聯(lián)防聯(lián)控的措施。

Q10:等保1.02.0有什么變化?

A10:等保1.0到2.0從名稱、定級對象、安全要求、控制措施分類結(jié)構(gòu)、規(guī)定動作等多個方面都有明顯的變化。

486142?表4 等保1.02.0變化對比

總結(jié)

信息化的建設(shè)和實施是一個系統(tǒng)且復(fù)雜的工程,積極落實關(guān)鍵信息系統(tǒng)的等級保護(hù)建設(shè)不僅可以幫助企業(yè)快速提高信息系統(tǒng)的安全水平,同時可以避免因信息系統(tǒng)安全漏洞帶來的經(jīng)濟(jì)風(fēng)險,從而有利的降低信息化投入,同時滿足國家相關(guān)法律法規(guī)的要求,進(jìn)一步提升國家整體的信息化安全水平。因此,堅持落地實踐網(wǎng)絡(luò)安全等級保護(hù)建設(shè)工作是我們需要長期堅守的方向。

來源:等級保護(hù)測評


Image
Image
版權(quán)所有:山西科信源信息科技有限公司??
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號清控創(chuàng)新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術(shù)支持 - 資??萍技瘓F(tuán)