-
基本概念
- 网络安全等级保护是我国网络安全领域的一项基本制度。它是指对网络(含信息系统、数据)按照重要程度和遭到破坏后的危害程度划分等级,然后根据不同的等级采取相应强度的安全保护措施,以确保网络能够在合理的安全水平下稳定、可靠地运行,防止因网络安全事件导致的各种危害。
-
等级划分依据和级别介绍
- 划分依据 :
- 主要依据信息系统遭到破坏后,在国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益等方面可能造成的损害程度来划分等级。例如,考虑信息系统承载的业务类型,像金融交易系统、能源调度系统等涉及关键业务领域的系统通常更为重要;还要考虑系统存储、处理和传输的数据的敏感性,如包含国家机密、个人隐私等敏感数据的系统也会被视为重要系统。
- 等级介绍 :
- 第一级(自主保护级):一般适用于小型的、对安全要求相对较低的信息系统。这些系统遭到破坏后,可能会对公民、法人和其他组织的合法权益造成一定损害,但通常不会影响国家安全、社会秩序和公共利益。例如,一些小型企业内部用于员工考勤管理的简单信息系统。
- 第二级(指导保护级):适用于那些受到破坏后可能对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全的信息系统。比如普通的企业办公自动化系统、学校的教学管理系统等,这类系统需要按照相关标准和要求,在安全管理和技术防护方面采取一定的措施,并向公安机关备案。
- 第三级(监督保护级):针对那些遭到破坏后可能对社会秩序和公共利益造成严重损害,或者对国家安全造成损害的信息系统。像金融机构的网上银行系统、大型电商平台的核心交易系统等都属于此等级。这些系统的运营单位需要建立更严格的安全管理制度,采用更高级的安全技术措施,并且要接受国家有关部门的监督和检查。
- 第四级(强制保护级):信息系统被破坏后可能对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害的系统被划分为此等级。例如,国家关键基础设施中的部分核心信息系统,这类系统需要实施非常严格的安全保护措施,并且由国家指定的专门部门进行强制监督。
- 第五级(专控保护级):这是最高等级,用于那些受到破坏后可能对国家安全造成特别严重损害的信息系统,如涉及国家核心军事机密、国家高级别政务决策等的信息系统,其安全保护措施由国家专门机构进行严格管控。
- 划分依据 :
-
主要内容和措施
- 安全管理要求 :
- 安全管理制度:包括制定信息安全工作的总体方针和策略,明确各部门和人员的安全职责,建立人员安全管理、系统建设和运维安全管理等一系列制度。例如,规定新员工入职的安全培训流程,以及离职员工的账号权限回收制度。
- 安全管理机构:设立专门的安全管理部门或岗位,配备足够的安全管理人员,明确其职责和权限。这些安全管理人员负责组织和协调网络安全工作,如进行安全检查、应急处理等。
- 人员安全管理:对涉及信息系统的人员进行背景审查、安全意识培训和考核等。例如,对于能够接触到敏感数据的员工,进行严格的背景调查,确保其具备良好的道德品质和职业操守。
- 系统建设管理:在信息系统的规划、设计、开发、测试等建设阶段,融入安全理念和措施。例如,要求软件开发过程遵循安全编码规范,避免出现安全漏洞。
- 系统运维管理:对信息系统的日常运行和维护进行安全管理,包括设备维护、软件更新、数据备份等。例如,制定数据备份策略,确保数据在遭受破坏或丢失后能够及时恢复。
- 安全技术要求 :
- 物理安全:保护信息系统的物理环境,包括机房设施、设备的物理访问控制等。例如,机房设置门禁系统,只有授权人员能够进入;对服务器等重要设备进行物理防护,防止物理损坏或盗窃。
- 网络安全:保障网络通信的安全,包括网络架构安全、网络访问控制、网络入侵防范等。例如,通过防火墙对网络边界进行访问控制,阻止非法的外部访问;采用入侵检测系统检测和防范网络入侵行为。
- 主机安全:确保主机系统(如服务器、终端设备)的安全,包括身份认证、访问控制、系统安全审计等。例如,在主机上设置强密码策略,对用户登录进行身份认证;通过安全审计工具记录用户在主机上的操作行为。
- 应用安全:保护应用程序的安全,如防止应用层攻击(SQL注入、XSS等)、保障应用数据的完整性和保密性。例如,对Web应用程序进行代码安全审查,防止出现安全漏洞;采用加密技术保护应用程序中的敏感数据。
- 数据安全和备份恢复:保护数据的安全性,包括数据的存储安全、传输安全、数据备份和恢复策略等。例如,对重要数据进行加密存储;采用异地备份的方式,确保数据在本地遭受灾难时能够恢复。
- 安全管理要求 :
-
实施流程
- 定级:信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。
- 备案:第二级以上的信息系统定级后,市级单位到所在地社区的市级以上公安机关办理备案手续,省级单位到省公安厅网安总队备案,各地市单位一般直接到市级网安支队备案,也有部分地区市区县单位的定级备案资料是先交到区县公安网监大队的。
- 差距测评(初次测评):运营单位依据确定的等级标准,选取等保测评机构,对目标系统开展等级保护测评工作,找出信息系统现状与等级保护要求之间的差距。
- 安全整改:根据测评结果,针对存在的问题进行整改,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。
- 验收测评(二次测评):整改完成后,再次由测评机构进行测评,验证整改是否到位,信息系统是否符合相应等级的安全要求。
- 评测机构
- 国家信息安全产品质量监督检验中心:具有权威性和专业性,能对各类信息安全产品和系统进行严格检测和评估,为等保测评提供可靠依据。
- 中国信息安全评测认证中心:在信息安全评测领域经验丰富,拥有专业的测评团队和完善的测评流程,可开展等保测评及相关认证工作。
- 国家安全技术防范产品检测中心:主要负责对涉及国家安全的技术防范产品进行检测,在等保测评中对相关产品的安全性检测具有重要作用。
- 信息产业部通信设备认证中心:侧重于通信设备的认证和检测,在网络安全等级保护中,对通信设备的安全性评估具有专业性和权威性。