等級保護2.0系列問答(一)

發布時間 2019-05-14

這兩天大家的朋友圈想必已被等保2.0發布的消息刷屏了,作爲唯一全部參與等保2.0 三個部分(基本、測評、安全設計)標准起草單位的安全廠商,啓明星辰集團總結了非常“接地氣”的系列問答,不論您是哪類客戶,希望對您都有所幫助。



第1問:什麽是等級保護2.0?



等級保護1.0指的是在《GB17859 計算機信息系統安全保護等級劃分准則 》以及隨後多項政策文件引導下,並最終在2008年發布的《GB/T22239-2008 信息安全技術 信息系統安全等級保護基本要求 》、《GB/T 22240-2008《信息安全技術 信息系統安全等級保護定級指南》等一系列信息安全等級保護標准,我們將2008版本的一系列標准及其配套政策文件習慣稱爲等保1.0。
 
在經曆多年的試點、推廣、行業標准制定、落實工作後,由于新技術、新應用、新業務形態的大量出現,尤其是大數據、物聯網、雲計算等的大量應用,同時安全趨勢和形勢的變化,原來發布的標准已經不再適用于當前安全要求,或者在新技術和新應用下已經不能滿足,需要重新制定新的等保基礎要求標准,因此從2015年開始,等級保護的安全要求逐步開始制定2.0標准,但此次除了對通用系統制定一般要求外,還增加了對雲計算、大數據、移動互聯、工控、物聯網等方面的安全擴展性要求,豐富了防護內容和要求。



第2問:等級保護和網絡安全法的關系?



等級保護工作是國家網絡安全的基礎性工作,是網絡安全法要求我們履行的一項安全責任。網絡安全法是網絡安全領域的基本法,從國家層面對等級保護工作的法律認可,網絡安全法中明確的提到信息安全的建設要遵照等級保護標准來建設。

《網絡安全法》第二十一條明確規定 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:

(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
(二)采取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行爲的技術措施;
(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日志不少于六個月;
(四)采取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。


第3問:等級保護2.0與關鍵信息基礎設施保護之間的關系是什麽?



爲落實《網絡安全法》關于保護關鍵信息基礎設施的運行安全的要求,在國家等級保護制度基礎上,充分借鑒我國相關部門在重要領域網絡安全審查、網絡安全檢查等重點工作的成熟經驗,充分吸納國外在關鍵基礎設施安全保護方面的成功舉措,結合我國現有針對傳統信息系統的信息安全保障體系等成果,在等級保護基礎上,從識別認定、安全防護、檢測評估、監測預警、應急處置等環節,提出關鍵信息基礎設施網絡安全保護要求,采取一切必要措施保護關鍵信息基礎設施及其重要數據不受攻擊破壞,切實加強關鍵信息基礎設施安全防護。

簡言之,關鍵信息基礎設施保護就是在等級保護基礎上,對包括但不限于提供公共通信、廣播電視傳輸等服務的基礎信息網絡,能源、金融、交通、教育、科研、水利、工業制造、醫療衛生、社會保障、公用事業等領域和國家機關的重要信息系統、工業控制系統等關鍵信息基礎設施進行增強防護。



第4問:等級測評與風險評估是什麽關系?



等級測評由具備檢驗技術能力和政府授權資格的權威機構(等級保護測評機構),依據國家標准、行業標准、地方標准或相關技術規範,按照嚴格程序對信息系統的安全保障能力進行的科學公正的綜合測試評估活動,以幫助系統運行單位分析系統當前的安全運行狀況、查找存在的安全問題,並提供安全改進建議,從而最大程度地降低系統的安全風險。

風險評估是參照風險評估標准和管理規範,對信息系統的資産價值、潛在威脅、薄弱環節、已采取的防護措施等進行分析,判斷安全事件發生的概率以及可能造成的損失,提出風險管理措施的過程。

風險評估與等級測評分別是針對系統生命周期建設不同階段存在的安全風險的相近判斷方法。對同一個生命周期的系統,風險評估是安全建設的起點,等級測評是安全建設的合規性評價。或者可以理解爲,等級測評是實施風險管理措施後的風險再評估。

風險評估是系統明確安全需求,確定成本-效益適合的安全控制措施的出發點,風險評估通過對被評估用戶廣泛的、戰略性的分析來判斷機構內各類重要資産的風險級別。

等級測評則是對已采取的安全控制措施(如管理措施、運行措施、技術措施等)有效性的驗證,等級測評更關注于對系統現有安全控制措施的技術驗證,從而給出系統現存安全脆弱性的准確判斷。行業主管部門或信息化主管部門在系統測評結果的基礎上,判斷系統安全風險是否可接受或已得到了有效的管理,從而給出是否批准系統投入運行或繼續運行的最終結論。



第5問:我單位需要開展等級保護建設工作嗎?



是否開展等級保護建設工作需要根據其在國家安全、經濟建設、社會生活中的重要程度,遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等,由低到高被劃分爲五個安全保護等級。

不同級別的等級保護對象應具備的基本安全保護能力如下:
 
第一級安全保護能力:應能夠防護免受來自個人的、擁有很少資源的威脅源發起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的關鍵資源損害,在自身遭到損害後,能夠恢複部分功能。

第二級安全保護能力:應能夠防護免受來自外部小型組織的、擁有少量資源的威脅源發起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的重要資源損害,能夠發現重要的安全漏洞和處置安全事件,在自身遭到損害後,能夠在一段時間內恢複部分功能。

第三級安全保護能力:應能夠在統一安全策略下防護免受來自外部有組織的團體、擁有較爲豐富資源的威脅源發起的惡意攻擊、較爲嚴重的自然災難、以及其他相當危害程度的威脅所造成的主要資源損害,能夠及時發現、監測攻擊行爲和處置安全事件,在自身遭到損害後,能夠較快恢複絕大部分功能。

第四級安全保護能力:應能夠在統一安全策略下防護免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發起的惡意攻擊、嚴重的自然災難、以及其他相當危害程度的威脅所造成的資源損害,能夠及時發現、監測發現攻擊行爲和安全事件,在自身遭到損害後,能夠迅速恢複所有功能。

第五級安全保護能力:第五級安全保護能力,不在等保系列標准中闡述。

後續,我們將繼續爲您揭曉如何開展等級保護建設的相關工作、如何確定定級對象的保護等級和備案、如何平滑過渡到符合2.0各項要求、以及“雲大物移智”用戶如何滿足等保2.0要求等相關問題的解答!






相關鏈接:


等級保護2.0系列問答(二)

等級保護2.0系列問答(三)

等級保護2.0系列問答(四)

等級保護2.0系列問答(五)