一、等保
1、什么是等保
“等保”是指网络安全等级保护。
《中华人民共和国网络安全法》(2017年6月1日起实施)第二十一条规定:国家实行网络安全等级保护制度。
2、等保的发展
等保1.0:
2007年6月,公安部发布《信息安全等级保护管理办法》(公通字[2007]43号),标志着等级保护1.0的正式启动。
等级保护1.0的主要标准是:
《信息系统安全等级保护基本要求 GB/T22239-2008》
《信息系统等级保护安全设计要求 GB/T25070-2010》
《信息系统安全等级保护测评要求 GB/T28448-2012》
等保2.0:
2019年5月13日,国家市场监督管理总局、国家标准化管理委员会发布了3个网络安全领域的国家标准(2019年12月1日起实施):
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
标志着我国进入等级保护2.0时代。
3、等保的级别
根据信息系统受到破坏后,对公民、法人和其他组织的合法权益,以及对公共利益、社会秩序和国家安全的损害程度,GB17859-1999标准规定了计算机系统安全保护能力的五个等级:
用户自主保护级
系统审计保护级
安全标记保护级
结构化保护级
访问验证保护级
用户自主保护级
通过隔离用户信息与数据,使用户具备自主安全保护的能力。对用户实施访问控制,避免其他用户对数据的非法读写与破坏
计算机信息系统可信计算机初始执行时,首先要求用户标识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据。
系统审计保护级
它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责
本级在自主访问控制的基础上控制访问权限扩散
本级的身份鉴别通过为用户提供唯一标识、计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力
安全标记保护级
本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误。
本级的主要特征是计算机信息系统可信计算基对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别的组合,它们是实施强制访问控制的依据,计算机信息系统可信计算基支持两种或两种以上成分组成的安全级
结构化保护级
在第三级实施的自主和强制访问控制基础上,进一步扩展到所有主体和客体
访问验证保护级
本机的计算机信息系统可信计算基满足访问监控器需求。访问监控器本身是抗篡改的;必须足够小,能够分析和测试。与第四级相比,自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体
4、等保2.0与等保1.0的差异
二、分保
1、什么是分保
“分保”是指涉密信息系统分级保护。
《中华人民共和国保守国家秘密法》(2010年4月29日修订,2010年10月1日起实施)第二十三条规定:存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。
2、分保的发展
涉密信息系统的分级保护依据《保守国家秘密法》《涉及国家秘密的信息系统分级保护管理办法》(国保发[2005]16号)等法律法规开展。
3、分保的级别
涉密信息系统的等级分为
秘密级:其防护水平不低于国家信息安全等级保护三级的要求;
机密级:其防护水平不低于国家信息安全等级保护四级的要求;
机密级(增强)的要求:使用单位为副省级以上的党政首脑机关,以及国防、外交、国家安全、军工等要害部门
绝密级:其防护水平不低于国家信息安全等级保护五级的要求。不能与城域网或广域网相连。
《保守国家秘密法》第九条规定:下列涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,应当确定为国家秘密:
(一) 国家事务重大决策中的秘密事项;
(二) 国防建设和武装力量活动中的秘密事项;
(三) 外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;
(四) 国民经济和社会发展中的秘密事项;
(五) 科学技术中的秘密事项;
(六) 维护国家安全活动和追查刑事犯罪中的秘密事项;
(七) 经国家保密行政管理部门确定的其他秘密事项。
政党的秘密事项中符合前款规定的,属于国家秘密。
《保守国家秘密法》第十三条规定:中央国家机关、省级机关及其授权的机关、单位可以确定绝密级、机密级和秘密级国家秘密;设区的市、自治州一级的机关及其授权的机关、单位可以确定机密级和秘密级国家秘密。
4、涉密信息系统分级保护的管理过程
分为八个阶段,即系统定级阶段、安全规划方案设计阶段、安全工程实施阶段、信息系统测评阶段、系统审批阶段、安全运行及维护阶段、定期评测与检查阶段和系统隐退终止阶段等。
涉密信息系统的定级
在涉密信息系统定级时,可以综合考虑涉密信息系统中资产、威胁、受到损害后的影响,以及使用单位对涉密信息系统的信赖性等因素对涉密信息系统进行整体定级
安全规划方案设计的设施与调整
涉密信息系统要按照分级保护的标准,结合涉密信息系统应用的实际情况进行方案设计。设计时要逐项进行安全风险分析,并根据安全风险分析的结果,对部分保护要求进行适当的调整和改造,调整应以不降低涉密信息系统整体安全保护强度,确保国家秘密安全为原则。当保护要求不能满足实际安全需求时,应适当选择采用部分较高的保护要求。当保护要求明显高于实际安全需求时,可适当选择采用部分较低的保护要求
安全运行与维护
运行及维护过程的不可控性以及随意性,往往是涉密信息系统安全运行的重大隐患。通过运行管理和控制、变更管理和控制,对安全状态进行监控,对发生的安全事件及时响应,在流程上对系统的运行维护进行规范,从而确保涉密信息系统正常运行
三、关保汇总|关键信息基础设施安全保护条例对比及相关标准
1、什么是关保
“关保”是指关键信息基础设施保护。
《网络安全法》第三十一条:国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统(以下称关键信息基础设施),实行重点保护。关键信息基础设施安全保护办法由国务院制定。
《关键信息基础设施安全保护条例》(2021年7月30日国务院令第745号公布,2021年9月1日起施行)第二条规定:本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
2、关保的发展
2017年7月10日,国家互联网信息办公室发布《关键信息基础设施安全保护条例(征求意见稿)》;
2019至2021年,《关键信息基础设施安全保护条例》连续三年纳入国家立法计划;
2021年4月27日,经国务院第133次常务会议通过;
2021年7月30日,国务院总理李克强签署中华人民共和国国务院令第745号公布,自2021年9月1日起施行。
3、关保的内容
《关键信息基础设施安全保护条例》第五条规定:国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。
“关保”由国家网信部门统筹协调;国务院公安部门负责指导监督关键信息基础设施安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作;省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
四、密评
1、什么是密评
“密评”是指商用密码应用安全性评估。
《中华人民共和国密码法》(2020年1月1日起实施)所述的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
商用密码用于保护不属于国家秘密的信息。
《中华人民共和国密码法》第二十七条规定:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
2、密评的发展
《商用密码应用安全性评估管理办法(试行)》(2017年4月22日起施行)
《信息系统密码应用基本要求》(GM/T 0054-2018 )
3、密评的对象
商用密码应用安全性评估的对象包括:
基础信息网络:电信网、广播电视网、互联网;
涉及国计民生和基础信息资源的重要信息系统:能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等信息系统;
重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等工业控制系统;
面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。
关键信息基础设施、网络安全等级保护第三级及以上的信息系统,密码应用安全性评估每年至少一次。
4、密评的内容
对采用商用密码技术、产品和服务集成建设的网络和信息系统,对其密码应用的合规性、正确性、有效性进行评估。
密码应用合规性:
使用的密码算法、密码技术符合法律法规和国家标准、行业标准的有关要求;
使用的密码产品、密码模块通过国家密码管理部门核准;
使用的密码服务符合国家密码管理要求;
密码应用正确性:
密码算法、密码协议、密钥管理、密码产品和服务使用正确;
系统中采用标准的密码算法、协议、密钥管理,按照国家和行业标准进行正确的设计和实现;
自定义密码协议、密钥管理机制的设计和实现正确,符合标准要求;
密码保障系统建设改造过程中密码产品和服务的部署和应用正确;
密码应用有效性:
系统中采用的密码协议、密钥管理系统、密码应用子系统和密码安全防护机制设计合理,在系统运行过程中能够发挥密码作用,保障信息的机密性、完整性、真实性、不可否认性。
商用密码应用安全性评估主要从:总体要求、物理和环境、网络和通信、设备和计算、应用和数据、密钥管理以及安全管理七个方面进行评估。
