网络安全等级保护 2.0 ,,

网络安全等级保护 2.0 ,,

第一章 概述

1.1 等保2.0时代网络安全形式

1.1.1 信息化应用发展迅速,信息安全需求提升

  • 基础资源状况持续优化,安全保障能力稳步提升
  • 互联网普及率64.5%,数字鸿沟不断缩小
  • 网络零售持续稳健发展,成为消费增长主要动力
  • 网络娱乐内容品质提升,用户规模迅速增长
  • 用户需求充分释放,在线教育课程爆发时增长
  • 数字政府加快建设,全国一体化政务平台初步建成
  • 上市企业市值普遍增涨,独角兽🦄企业发展迅速
  • 核心技术创新能力不断增强,产业融合加速推进

1.1.2 信息技术的不断改革对网络安全的需求

  • 云计算、大数据等新应用的自身安全问题日益凸显
  • 工业4.0的发展,控制系统面临重大安全隐患
  • 网络技术的发展面临新的风险与挑战

1.1.3 中国面临复杂的网络安全环境


1.2 等保2.0时代的主要变化

  1. 法律法规:《中华人民共和国网络安全法》2016年11月7日通过,自2017年6月1日起施行
  2. 标准要求:云计算扩展要求、大数据扩展要求、物联网扩展要求、移动互联扩展要求
  3. 安全体系:“一个中心、三重反复”建立安全技术体系和安全管理体系;构建具备相应等级安全保护能力的网络防御体系
  4. 实施环节:
    1. 定级对象的变化:扩展到基础信息网络、工业控制系统、云计算平台、物联网、移动互联网、其他网络以及大数据多个系统平台
    2. 定级级别的变化:公民、法人和其他组织的合法权益产生特别严重损害时,相应的系统等级保护从第二级第三级
    3. 定级流程的变化:通过“确定定级对象初步确定定级专家评审主管部门审核公安部门备案审查最终确定等级”

1.3 等保2.0时代网络安全项目概述

网络安全等级保护项目分为:

  1. 等级保护对象定级与备案
  2. 总体安全规划
  3. 安全设计与实施
  4. 安全运行与维护
  5. 定级对象终止

第二章 信息安全法律法规及标准

国家网络安全等级保护制度体系架构:网络安全法律政策体系 与 网络安全标准体系

2.1 网络安全法律政策体系

第一层:法律

第二层:行政法规

第三层:规章、地方性法规以及规范性文件

2.2 网络安全标准体系

2.2.1 通用、基础标准

  1. 《计算机信息系统安全保护等级划分准则》(GB 17859 — 1999)
  2. 《信息安全技术 网络安全等级保护实施指南》(GB / T 25058 — 2019)

2.2.2 系统定级标准

  1. 《信息安全技术 网络安全等级保护定级指南》(GB / T 22240 — 2020)
  2. 《信息安全技术 网络安全等级保护定级指南》(GB / A 1389 — 2017)

2.2.3 建设标准

  1. 《信息安全技术 网络安全等级保护基本要求》(GB / T 22239 — 2019)
  2. 《信息安全技术 网络安全等级保护安全设计技术要求》(GB / T 25070 — 2019)
  3. 《信息安全技术 信息系统安全管理要求》(GB / T 20269 — 2006)
  4. 《信息安全技术 信息系统安全工程管理要求》(GB / T 20282 — 2006)

2.2.4 等级测试标准

  1. 《信息安全技术 网络安全等级保护测评要求》(GB / T 28448 — 2019)
  2. 《信息安全技术 信息系统安全等级保护测评过程指南》(GB / T 28449 — 2012)

2.2.5 运行维护及其太标准

  1. 《信息技术 安全技术 信息安全时间管理指南》(GB / Z 20985 — 2007)
  2. 《信息安全技术 信息安全时间分类指南》(GB / T 20988 — 2007)
  3. 《信息安全技术 信息系统灾难恢复规范》(GB / T 20988 — 2007)
  4. 《信息安全技术 信息安全风险评估规范》(GB / T 20984 — 2007)
  5. 《信息安全技术 信息系统物理安全技术要求》(GB / T 21052 — 2007)
  6. 《信息安全技术 网络基础安全技术要求》(GB / T 20270 — 2006)


第三章 网络安全定级与备案

3.1 定级原理及流程

3.1.1 安全保护等级

等级保护对象分为一下5级别:

  • 第一级:等级保护对象受到破坏后,会对相关公民、法人和其他社会组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益
  • 第二级:等级保护对象受到破坏后,会对相关公民、法人和其他社会组织的合法权益造成严重损害或特别严重损害,对社会秩序和公共利益造成危害,但不危害国家安全
  • 第三级:等级保护对象受到破坏后,会对社会秩序或公共利益造成严重损害或对国家安全造成危害
  • 第四级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害或对国家安全造成严重危害
  • 第五级:等级保护对象受到破坏后,对国家安全造成特别严重危害

3.1.2 定级要素

1. 要素概览:
  • 受侵害的客体
  • 对客体的侵害程度
2. 受侵害的客体:
  • 公民、法人和其他组织的合法权益
  • 社会秩序、公共利益
  • 国家安全
3. 对客体的侵害程度:
  • 造成一般损害
  • 造成严重损害
  • 造成特别严重损害

3.1.3 定级要素与安全保护等级的关系

3.1.4 定级流程

3.2 确定定级对象

3.2.1 信息系统:

  1. 定级对象的基本特征:
    • 具有确定的主要安全责任主体
    • 承载相对独立的业务应用
    • 包含互相关联的多个资源
  2. 云计算平台 / 系统
    • 对客户端和服务端分别单独定级
  3. 物联网
    • 感知、网络传输和处理应用——单独定级
  4. 工业控制系统

3.2.2 通信网络设施

  • 通信网络设施,根据安全责任主体、服务类型或者服务地域等因素或分为不同定级对象

3.2.3 数据资源

  • 数据资源单独定级

3.3 初步确定安全保护等级

3.3.1 定级方法述

3.3.2 确定受侵害的客体

  1. 侵害国家安全的主要事项:
    • 影响国家政权稳固和领土主权、海洋权益完整
    • 影响国家统一、民族团结和社会稳定
    • 影响国家社会主义市场经济秩序和文化实力
    • 其他影响国家安全事项
  2. 侵害社会秩序客体:
    • 影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序等
    • 影响公共场所的活动秩序、公共交通秩序
    • 影响人民社会秩序
    • 其他影响社会秩序的事项
  3. 侵害公共利益的事项:—— 首先判断对国家安全社会秩序或公共利益公民、法人和其他组织的合法权益
    • 影响社会成员使用公共设施
    • 影响社会成语获取公开数据资源
    • 影响社会成员接受公共服务等方面
    • 其他影响公共利益的事项

3.3.3 确定对客体的受侵害程度

  1. 侵害客观方面:对信息系统中的信息保密性、完整性、可用性;对系统服务可以及时、有效的提供服务
    • 影响行使工作职能
    • 导致业务能力下降
    • 引起法律纠纷
    • 导致财产损失
    • 造成社会不良影响
    • 对其他组织和个人造成损失
    • 其他影响
  2. 综合评定侵害程度:

3.3.4 初步确定等级

3.4 确定安全保护等级

  • 第二级及以上的定级对象,需要组织信息安全专家和业务专家对净化机结果的合理性进行评审,并给出具有专家评审意见;还需要将定级结果提交公安机关进行备案审核
  • 对于数据资源;涉及大量公民信息以及为公民提供公共服务的大数据平台/系统,原则上是到达第三级

3.5 等级变更

  • 根据业务的变化进行等级保护的变更

第四章 网络安全总体规划

4.1 总体安全规划工作流程

image

posted @   这只小恐龙已经躺下了  阅读(205)  评论(0编辑  收藏  举报
(评论功能已被禁用)
相关博文:
阅读排行:
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 没有源码,如何修改代码逻辑?
· NetPad:一个.NET开源、跨平台的C#编辑器
· PowerShell开发游戏 · 打蜜蜂
· 凌晨三点救火实录:Java内存泄漏的七个神坑,你至少踩过三个!
点击右上角即可分享
微信分享提示