互联网课堂
Internet classroom

网络安全等级保护基础知识概览

发布时间:2023-03-08 浏览次数:
前言

网络安全等级保护是国家网络安全工作的基本制度、基本国策,是维护国家关键信息基础设施安全的重要手段。从1994年至今,网络安全等级保护制度工作经过实践及改进,不断丰富制度内涵、拓展保护范围、完善监管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系,对我国的网络信息安全建设具有重要的指导作用。

等级保护发展史

等级保护工作经过近二十年的发展已经从1.0阶段发展到2.0阶段,从制度上升到法律:

等级保护1.0:1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。


图1 等保1.0阶段大事件回顾

等级保护2.0:2016年10月10日,第五届全国信息安全等级保护技术大会召开,公安部网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。

2017年6月1日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全等级保护制度……”,等级保护制度正式进入有法可依阶段。


图2 等保2.0阶段大事件回顾

等保基础之十问十答

Q1:等保2.0、等保3.0是什么?

A1:等保中提到的“二级”、“三级”,意指信息系统运营者根据信息系统在国家安全、经济建设、社会生活中的重要程度及遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。

等保二级指对信息系统进行第二级安全保护,等保三级指对信息系统进行第三级安全保护,并非是“等保2.0”及“等保3.0”。

等级保护根据《GB 17859-1999 计算机信息系统安全保护等级划分准则》(网络安全领域唯一一个强制标准)规定共分五级,分别是:


表1 等保定级分类

Q2:等级保护的工作流程是什么?

A2:等级保护主要工作流程为定级、备案、建设整改、等级测评、监督检查五个环节。


图3 等保工作流程图

等保工作重点注意事项:

定级环节:二级及以上的系统必须经过专家评审、主管部门审核(此要求为等保2.0新增);

备案环节:网安备案的审批处理时间为10个工作日;

建设整改环节:需参照最新的等保2.0国标进行规划设计;

测评环节:找具有测评资质的测评机构进行测评。

Q3:不同等级多少分可以通过等保测评?

A3:2021年6月18日执行的新测评标准(等保测评报告模板(2021 版)),计分方式由得分制调整为缺陷扣分制,由“符合”、“不符合”调整为“优、良、中、差”四个等级测评结论。


表2 新版测评结论


表3 老版测评结论(废弃)

Q4:等保测评通过后,多久需要复测?

A4:二级信息系统每两年测评一次,三级信息系统明确规定每年测评一次,四级信息系统每半年测评一次。

Q5:有包过的技术解决方案吗?

A5:不存在包过的技术方案。等级保护测评包含技术部分和管理部分,单纯的技术解决方案默认分数占比只有50%,管理部分的建设也至关重要,可以选取专业的安全厂商及专业的测评机构来开展等保建设及测评工作,更加容易通过。

Q6:业务系统在云上,如何进行等保建设工作?

A6:根据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)附录D,云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后,云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任,根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则,云平台与云租户应根据平台建设模式承担相应的网络安全责任。

Q7:什么是“一个中心,三重防护”?

A7:”一个中心、三重防护“是等级保护安全设计技术框架,”一个中心“指安全管理中心, ”三重防护“指安全通信网络、安全区域边界、安全计算环境。此框架是网络安全整体架构设计、方案编制的基本参考原则。


图4 等级保护安全设计技术框架

Q8:什么是网络安全建设“三同步”?

A8:“三同步”指网络运营者应在网络建设和运营过程中,同步规划、同步建设、同步使用有关网络安全保护措施。

Q9:“三化六防”是什么?

A9:“三化六防”是公网安〔2020〕1960号《贯彻落实网络安全等保制度和关保制度的指导意见》中要求深入贯彻实施网络安全等级保护制度,落实“三化六防”的措施,即实战化、体系化、常态化的思路,以及动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的措施。

Q10:等保1.0到2.0有什么变化?

A10:等保1.0到2.0从名称、定级对象、安全要求、控制措施分类结构、规定动作等多个方面都有明显的变化。


表4 等保1.0与2.0变化对比

总结

信息化的建设和实施是一个系统且复杂的工程,积极落实关键信息系统的等级保护建设不仅可以帮助企业快速提高信息系统的安全水平,同时可以避免因信息系统安全漏洞带来的经济风险,从而有利的降低信息化投入,同时满足国家相关法律法规的要求,进一步提升国家整体的信息化安全水平。因此,坚持落地实践网络安全等级保护建设工作是我们需要长期坚守的方向。