随着信息技术的飞速发展,网络安全问题日益凸显。为了应对这一挑战,网络安全等级保护制度应运而生,旨在确保不同等级的信息和信息系统的安全。本文将探讨网络安全等级保护的基本概念、重要性及其实践方法。
一、信息安全等级保护的基本概念
1、信息安全等级保护是国家信息安全保障的基本制度
2、网络安全等级保护是指对网络(含信息系统、数据)实施分等级保护、分等级监管。
3、信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力。
二、等级划分
等级保护建设工作需要根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。根据如下步骤确认定级对象的安全保护等级:
(一) 按照如下方法确认业务信息安全保护等级
(二) 按照如下方法确认系统服务安全保护等级
(三) 将业务信息安全保护等级和系统服务安全保护等级的较高者初步确定为定级对象的安全保护等级。
三、等保流程
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
四、网络安全等级保护的实践方法
- 系统定级:根据信息系统的重要性、涉密程度、业务影响等因素,对系统进行合理定级。
- 备案:完成系统定级后,需向相关主管部门进行备案,获取备案证明。
- 安全建设和整改:依据系统等级,进行相应的安全建设和整改工作,包括物理安全、网络安全、应用安全等方面的防护措施。
- 信息安全等级测评:定期对信息系统进行等级测评,确保系统安全防护能力与等保要求相符。
- 安全检查与监控:对信息系统的安全状况进行实时监控和定期检查,及时发现和处理安全问题。
五、实施原则
根据《信息系统安全等级保护实施指南》精神,明确了以下基本原则:
自主保护原则:信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
重点保护原则:根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
同步建设原则:信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
动态调整原则:要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
六、政策标准
6.1、政策法规
中华人民共和国计算机信息系统安全保护条例(1994年国务院147号令)
("第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定")
计算机信息系统安全保护等级划分准则(GB 17859-1999)
("第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级")
国家信息化领导小组关于加强信息安全保障工作的意见 (中办发[2003]27号)
关于信息安全等级保护工作的实施意见 (公通字[2004]66号)
信息安全等级保护管理办法(公通字[2007]43号)
关于开展全国重要信息系统安全等级保护定级工作的通知 (公信安[2007]861号)
关于开展信息安全等级保护安全建设整改工作的指导意见 (公信安[2009]1429号)
中华人民共和国网络安全法(2017年6月1日实施)
6.2、地方及行业范例
关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 (发改高技[2008]2071号)
关于进一步推进中央企业信息安全等级保护工作的通知
水利网络与信息安全体系建设基本技术要求 (2010年3月)
证券期货业信息系统安全等级保护基本要求(试行) (JR/T 0060-2010)
山西省计算机信息系统安全保护条例(2009年1月)广东省计算机信息系统安全保护条例(2008年4月)
宁夏回族自治区计算机信息系统安全保护条例(2009年10月)
徐州市计算机信息系统安全保护条例(2009年1月)
七、标准规范
7.1、十三大重要标准
计算机信息系统安全等级保护划分准则 (GB 17859-1999) (基础类标准)
信息系统安全等级保护实施指南 (GB/T 25058-2010) (基础类标准)
信息系统安全保护等级定级指南 (GB/T 22240-2008) (应用类定级标准)
信息系统安全等级保护基本要求 (GB/T 22239-2008) (应用类建设标准)
信息系统通用安全技术要求 (GB/T 20271-2006) (应用类建设标准)
信息系统等级保护安全设计技术要求 (GB/T 25070-2010) (应用类建设标准)
信息系统安全等级保护测评要求 (GB/T 28448-2012)(应用类测评标准)
信息系统安全等级保护测评过程指南 (GB/T 28449-2012)(应用类测评标准)
信息系统安全管理要求 (GB/T 20269-2006) (应用类管理标准)
信息系统安全工程管理要求 (GB/T 20282-2006) (应用类管理标准)
信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)(基础类标准)
信息安全技术网络安全等级保护安全设计技术要求(GB/T 25070-2019)(应用类建设标准)
信息安全技术网络安全等级保护测评要求(GB/T 28448-2019)(应用类测评标准)
7.2、其它相关标准
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求
GB/T 20270-2006 信息安全技术 网络基础安全技术要求
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 20985-2007 信息安全技术 信息安全事件管理指南
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范
八、等级保护二级系统所需安全设备
8.1、物理和环境安全层面安全措施需求如下:
1、防盗报警系统
2、灭火设备和火灾自动报警系统
3、水敏感检测仪及漏水检测报警系统
4、精密空调
5、备用发电机
8.2、网络和通信安全及设备和计算安全层面需要部署的安全产品如下:
1、防火墙或者入侵防御系统
2、上网行为管理系统
3、网络准入系统
4、审计平台或者统一监控平台(可满足主机、网络和应用层面的监控需求,在条件不允许的情况下,至少要使用数据库审计)
5、防病毒软件
8.3、应用及数据安全层面需要部署的安全产品如下:
1、VPN
2、网页防篡改系统(针对网站系统)
3、数据异地备份存储设备
4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)。
九、等级保护三级系统所需安全设备
9.1、物理和环境安全层面安全措施需求如下:
1、需要使用彩钢板、防火门等进行区域隔离
2、视频监控系统
3、防盗报警系统
4、灭火设备和火灾自动报警系统
5、水敏感检测仪及漏水检测报警系统
6、精密空调
7、除湿装置
8、备用发电机
9、电磁屏蔽柜
9.2、网络和通信安全及设备和计算安全层面需要部署的安全产品如下:
1、入侵防御系统
2、上网行为管理系统
3、网络准入系统
4、统一监控平台(可满足主机、网络和应用层面的监控需求)
5、防病毒软件(网关)
6、堡垒机
7、防火墙
8、态势感知
9、漏洞扫描
10、高级持续威胁检测
11、邮件网关
12、工控安全
13、审计平台(满足对操作系统、数据库、网络设备的审计,在条件不允许的情况下,至少要使用数据库审计)
9.3、应用及数据安全层面需要部署的安全产品如下:
1、VPN
2、网页防篡改系统(针对网站系统)
3、数据异地备份存储设备
4、主要网络设备、通信线路和数据处理系统的硬件冗余(关键设备双机冗余)
5、数据加密软件(满足加密存储,且加密算法需获得保密局认可)