中文

【等保解读】网络安全等级保护常见问题解答

文章发布日期:2017-10-13

[摘要] 没有网络安全就没有国家安全。从1.0到2.0,我国等级保护制度走过了十几年。等级保护2.0是网络安全的一次重大升级,等级保护对象范围在传统系统的基础上扩大了云计算、移动互联、
没有网络安全就没有国家安全。从1.0到2.0,我国等级保护制度走过了十几年。等级保护2.0是网络安全的一次重大升级,等级保护对象范围在传统系统的基础上扩大了云计算、移动互联、物联网、大数据等,对等级保护制度提出了新的要求。本文时代新威主要分享对等保政策、如何定级、等级工作如何开展进行简要的介绍。
 
  等级保护2.0在这基础之上有啥变化?

什么是等级保护?等级保护2.0在这基础之上有啥变化?
 
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。
 
简单而言,就是将全国的信息系统(包括网络)按照重要性和受破坏后的危害性分成五个安全保护等级(从第一级到第五级逐级增高),定级后第二级以上信息系统到公安机关备案,公安机关对备案材料审核合格后颁发备案证明;各单位各部门根据系统等级按照国家标准进行安全建设整改,备案单位聘请符合国家规定的等级测评机构进行等级测评(第二级系统备案前要进行一次测评、第三级系统每年要进行一次测评);公安机关对第二级信息系统进行指导,对第三级、第四级信息系统定期开展监督、检查。等保2.0在1.0的基础上四个大的变化,一个是名称的变化,二是范围的变化,三是定级的变化,四是内容的变化
等级保护2.0名称、定级、范围、内容
 
名称:信息系统等级保护改为了网络安全等级保护范围,原来只是信息系统要做等保。
 
范围:2.0把云计算、移动互联、物联网、工业控制系统也被纳入了等级保护的范围。
 
定级:等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,原来定为二级,2.0后改为三级。原来是用户自主定级,2.0在定级流程上加入了主管部门审核、专家评审环节,也就是不完全是自主定级了。
 
内容:2.0新标准针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求。传统信息系统需要满足安全通用要求,云计算、移动互联、物联网、工业控制系统在安全通用要求的基础上还需要实现安全扩展要求。原来针对传统信息系统的标准也进行了更新。
 
提问:
信息安全等级保护的等级划分原则是什么,是如何划分的?

回答:信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
 
按照公安部《网络安全保护等级定级指南》的要求,非涉密信息系统的安全保护等级分为以下五级:
 
  • 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
  • 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
  • 第三级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成特别严重损害,对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
  • 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
  • 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息安全等级保护的等级划分
 
提问:等级保护测评主要测试哪些呢?

回答:等级保护测评包括技术测评和管理测评2个部分。技术测评主要包括物理环境安全(机房)、网络通信安全(网络结构)、区域边界安全(边界安全防护措施)、计算环境安全(包括网络设备、安全设备、操作系统、数据库、应用软件、中间件、数据)、安全管理中心(安全管理中心仅三级及以上要求)五个层面,还需进行工具测试和渗透测试(如有特殊原因,客户可以选择不进行,但需签署自愿放弃验证声明)。管理测评主要包括安全策略和管理制度、安全管理机构和人员、安全建设管理和安全运维管理四个层面。
 
提问等级保护测评流程是什么,对公司人员要求是什么??

回答:信息安全等级保护工作包括定级(用户自主定级)、备案(到公安机关备案)、安全建设和整改、等级测评(根据定级报告中的级别测评看是否达到该级别应达到的要求)、监督检查五个环节。等级测评前需对系统进行定级和备案,等级测评流程分为项目准备阶段、方案编制阶段、现场测评阶段和报告编制阶段四个阶段。为避免测评结论为不符合且能获得较高分数,等级测评前建议公司人员先对系统进行基础加固和整改,其中包括机房整改、网络结构调整、安全设备部署、网络设备和服务器操作系统、数据库、中间件的策略加固、应用整改和漏洞修复等。
 

提问:等级保护对于企业中的意义在哪里?

回答:一是政策合规,等级保护是我国关于信息安全的基本政策,《网络安全法》第二十一条明确规定:国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。网络运营者不履行第二十一条规定的网络安全保护义务的,可以由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
 
二是满足自身业务安全需求,互联网企业包括电商、金融、旅游、医疗、教育、媒体等,业务系统中大多承载了大量用户信息、业务信息,其中电商和金融系统还包括交付功能,如未开展等级保护,这些系统的安全问题不会被提前发现,一旦被不法分子利用,将可能造成服务器被控制、用户不需付钱就可支付,用户信息泄露、重要数据泄露和新闻数据被篡改等严重后果。通过等级测评工作可以提前信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被攻击的风险,维护单位良好的形象。
 
三是落实个人及单位的网络安全保护义务,合理规避风险。
 
网络安全等级保护制度是我国网络安全保障领域普适性的制度,对国家网络安全保障有着不可替代的作用。时代新威认为等保2.0标准在1.0标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。


时代新威—等级保护和IT审计服务专家版权所有 京ICP备13008575号-2
免费来电

返回
顶部