等级保护2.0系列问答(一)

发布时间 2019-05-14

这两天大家的朋友圈想必已被等保2.0发布的消息刷屏了,作为唯一全部参与等保2.0 三个部分(基本、测评、安全设计)标准起草单位的安全厂商,v3盛星彩票集团总结了非常“接地气”的系列问答,不论您是哪类客户,希望对您都有所帮助。



第1问:什么是等级保护2.0?



等级保护1.0指的是在《GB17859 计算机信息系统安全保护等级划分准则 》以及随后多项政策文件引导下,并最终在2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》、《GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》等一系列信息安全等级保护标准,我们将2008版本的一系列标准及其配套政策文件习惯称为等保1.0。
 
在经历多年的试点、推广、行业标准制定、落实工作后,由于新技术、新应用、新业务形态的大量出现,尤其是大数据、物联网、云计算等的大量应用,同时安全趋势和形势的变化,原来发布的标准已经不再适用于当前安全要求,或者在新技术和新应用下已经不能满足,需要重新制定新的等保基础要求标准,因此从2015年开始,等级保护的安全要求逐步开始制定2.0标准,但此次除了对通用系统制定一般要求外,还增加了对云计算、大数据、移动互联、工控、物联网等方面的安全扩展性要求,丰富了防护内容和要求。



第2问:等级保护和网络安全法的关系?



等级保护工作是国家网络安全的基础性工作,是网络安全法要求我们履行的一项安全责任。网络安全法是网络安全领域的基本法,从国家层面对等级保护工作的法律认可,网络安全法中明确的提到信息安全的建设要遵照等级保护标准来建设。

《网络安全法》第二十一条明确规定 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。


第3问:等级保护2.0与关键信息基础设施保护之间的关系是什么?



为落实《网络安全法》关于保护关键信息基础设施的运行安全的要求,在国家等级保护制度基础上,充分借鉴我国相关部门在重要领域网络安全审查、网络安全检查等重点工作的成熟经验,充分吸纳国外在关键基础设施安全保护方面的成功举措,结合我国现有针对传统信息系统的信息安全保障体系等成果,在等级保护基础上,从识别认定、安全防护、检测评估、监测预警、应急处置等环节,提出关键信息基础设施网络安全保护要求,采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏,切实加强关键信息基础设施安全防护。

简言之,关键信息基础设施保护就是在等级保护基础上,对包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统、工业控制系统等关键信息基础设施进行增强防护。



第4问:等级测评与风险评估是什么关系?



等级测评由具备检验技术能力和政府授权资格的权威机构(等级保护测评机构),依据国家标准、行业标准、地方标准或相关技术规范,按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动,以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题,并提供安全改进建议,从而最大程度地降低系统的安全风险。

风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。

风险评估与等级测评分别是针对系统生命周期建设不同阶段存在的安全风险的相近判断方法。对同一个生命周期的系统,风险评估是安全建设的起点,等级测评是安全建设的合规性评价。或者可以理解为,等级测评是实施风险管理措施后的风险再评估。

风险评估是系统明确安全需求,确定成本-效益适合的安全控制措施的出发点,风险评估通过对被评估用户广泛的、战略性的分析来判断机构内各类重要资产的风险级别。

等级测评则是对已采取的安全控制措施(如管理措施、运行措施、技术措施等)有效性的验证,等级测评更关注于对系统现有安全控制措施的技术验证,从而给出系统现存安全脆弱性的准确判断。行业主管部门或信息化主管部门在系统测评结果的基础上,判断系统安全风险是否可接受或已得到了有效的管理,从而给出是否批准系统投入运行或继续运行的最终结论。



第5问:我单位需要开展等级保护建设工作吗?



是否开展等级保护建设工作需要根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。

不同级别的等级保护对象应具备的基本安全保护能力如下:
 
第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。

第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。

第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。

第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。

第五级安全保护能力:第五级安全保护能力,不在等保系列标准中阐述。

后续,我们将继续为您揭晓如何开展等级保护建设的相关工作、如何确定定级对象的保护等级和备案、如何平滑过渡到符合2.0各项要求、以及“云大物移智”用户如何满足等保2.0要求等相关问题的解答!






相关链接:


等级保护2.0系列问答(二)

等级保护2.0系列问答(三)

等级保护2.0系列问答(四)

等级保护2.0系列问答(五)