背景介绍

BACKGROUND INTRODUCTION

基本概念

网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构,依据《信息安全技术网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评工作。

安全保护等级越高,要求安全保护能力就越强,既不能保护不足,也不能过度保护。

通过合理的等级保护,能够遵循客观规律,信息安全的等级是客观存在的;有利于突出重点,加强安全建设和管理;有利于控制信息安全建设的成本,平衡投入产出比例。

政策要求

《中华人民共和国网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。

第二十一条规定:

网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

第三十八条规定:

关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行1次检测评估,并将监测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

第五十九条规定:

网络运营者不履行义务的:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行义务的:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

行业要求

在政府、公共安全、金融、电信、医疗、教育、能源电力、企业等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作。

企业系统安全需求

信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。

发展历程

DEVELOPMENT HISTORY

--等保2.0 发展历程--
2.0系列
标准制工作
  1. 2017年5月,国家公安部发布《GA/T1389-2017 网络安全等级保护定级指南》、《GA/T1390.2—2017 网给安全等级保护基本要求第2部分:云计算安全扩展要求》带等4个公共安全行业等级保护标准。
  2. 2017年1月至2月,全国信息安全标准化技术委员会发布《网络安全等级保护基本要求》系列标准、《网络安全等级保护测评要求》系列标准等“征求意见稿”。
  3. 2017年,全国信息安全标准化技术委员会授权WG5-信息安全评估工作组开始启动等级保护新标准的硏究。
  4. 以《GB17859计算机信息系统安全保护等级划分准则》、《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》为代表的等级保护系列配套标佳,习惯称为等保1.0标准。
2016~
重要标志
  1. 2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全等级保护制度”。
  2. 2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提岀了新的要求,等级保护制度已进入了2.0时代”。
--等保1.0 发展历程--
2010-2016
工作规模推进
  1. 2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央贯彻执行等级保护工作。
  2. 2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。
2007-2010
工作正式启动
  1. 2007年7月20日,召开全国要信息系统安全等级保护定级工作部专题电视电话会议,标志着信息安全等级保护制度正式开始实施。
  2. 2007年6月,四部门联合出台《关于开展全国重要信息系统安全等级保护定级工作的通知》。
  3. 2007年6月,四部门联合出台《信息安全等级保护管理办法》。
2004-2006
工作开展准备
  1. 2004-2006年,公安部联合四委开及65117家单位,共115319个信息系统等保护基础调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
1994-2003
政策环境营造
  1. 2003年,中央办公厅、国务院办公厅颁发《国家信息化领见》(中发200327号)明确指出“实行信息安全等级保护”。
  2. 1994年,国务院演布《中华人民共和国计算机信患系统安全保护条例》规定计算机信息系统行安全等级保护。

实施过程

EXECUTING PROCESSES

等保2.0将落实到系统建设全生命周期的每个环节,从系统定级、系统备案、建设/整改、等级测评、再到监督与检查,每一环节都需要系统运营、使用单位重点留意。

等保2.0与网络攻击

CLASSIFIED PROTECTION & CYBER ATTACK

  • 关注内部/外部发起的网络攻击

    “安全通用要求-入侵防范”部分新增:

    “应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为”

    “应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为”

  • 关注新型网络攻击行为

    “安全通用要求-入侵防范”部分新增:

    “应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析”

    “当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警”

合规产品

COMPLIANT PRODUCT