关于等级保护2.0较为详细的个人理解

概述

等保2.0的主要变化

1. 法律地位得到确认
   1.0最高国家政策是《中华人民共和国计算机信息系统实行安全保护条例》；2.0最高国家政策是《中华人民共和国网络安全法》，不开展等级保护属于违法。
   《中华人民共和国网络安全法》第21条规定“国家实行网络安全等级保护制度”，要求“网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”；第31条规定“对于国家关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。
2. 等级保护对象不断拓展
   比1.0多了“云计算、大数据技术、物联网、工业控制、移动互联网”。
3. 强化可信计算
4. 通用要求的变化
   通用要求包括安全通用要求，云计算安全扩展要求，移动互联安全扩展要求，物联网安全扩展要求，工业控制系统安全扩展要求。网络安全等级保护2.0通用要求的核心是优化。
   新增重点内容：新型网络攻击防护从内到外、突出运维审计、安全管理中心、独立安全区域、邮件安全防护、运行状态监控、安全审计时间要求、集中日记审计、可信运算要求、安全事件识别分析、个人信息防护。
5. 扩展要求的变化
6. 测评合格要求提高：相较于等保1.0，等保2.0测评的标准发生了变化，2.0中测评结论分为：优（90分及以上）、良（80分及以上）、中（70分及以上）、差（低于70分），70分以上才算基本符合要求，基本分调高了，测评要求更加严格。
7. 安全体系：从1.0的被动防御，到2.0的事前预防、事中响应、事后审计

不变

1. 1.0和2.0都采用“一个中心、三重防护”
   一个中心：安全运营管理中心
   三重防护：安全区域边界、安全计算环境、安全通信网络
   三个体系：安全技术体系、安全管理体系、安全运营体系
2. 五个级别：第一级（用户自主保护级）、第二级（系统审计保护级）、第三级（安全标记保护级）、第四级（结构化保护级）、第五级（访问验证保护级）
3. 规定动作：定级、备案、建设整改、等级测评、监督检查
4. 主体职责：网安对定级对象的备案受理及监督检查职责、第三方测评机构对定级对象的安全评估职责、上级主管单位对所属单位的安全管理职责、运营使用单位对定级对象的等级保护职责。

等保2.0分数计算标准

等级保护项目实施过程

等级保护一般流程

1. 系统定级
2. 系统备案
3. 建设整改
4. 系统测评
5. 监督检查

系统定级

1. 定级流程

• 确定定级对象
• 初步确定等级
• 专家评审
• 主管部门核准
• 备案审核

2. 定级对象

• 定级对象有三种：信息系统、通信网络设施、数据资源
• 作为定级对象的信息系统应具有如下基本特征：
  A）具有确定的主要安全责任主体；
  B）承载相对独立的业务应用；
  C）包含相互关联的多个资源。
• 注：主要安全责任主体包括但不限于企业、机关和事业单位等法人，以及不具备法人资格的社会团体等其他组织。
  注：避免将某个单一的系统组件，如服务器、终端或网络设备作为定级对象。
  注：在确定定级对象时，云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统在满足以上基本特征的基础上，还需满足额外要求

3. 五个安全保护等级

• 第一级 信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益
• 第二级 信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全
• 第三级 信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害
• 第四级 信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害
• 第五级 信息系统受到破坏后，会对国家安全造成特别严重损害
  
  

4. 定级要素
   受侵害的客体、对客体的侵害程度

• 受侵害的客体
  1.公民、法人和其他组织的合法权益
  2.社会秩序、公共利益
  3.国家安全
  【解读】
  社会秩序：（1）其他影响社会秩序的事项（2）影响公众在法律约束和道德规范下的正常生活秩序等（3）影响各行业的科研、生产秩序（4）影响各种类型的经济活动秩序（5）影响国家机关社会管理和公共服务的工作秩序
  公共利益：（1）影响社会成员使用公共设施（2）影响社会成员接受公共服务等方面（3）影响社会成员获取信息资源（4）其他影响公共利益的事项
  国家安全：（1）影响国家政权稳固和主-权完整（2）影响国家统一、民族团结和社会稳定（3）影响国家经济秩序和文化实力（4）影响宗教活动秩序和反恐能力建设（5）其他影响国家安全的事项
• 对客体的侵害程度
  一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害
  严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害；
  特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害

5. 定级方法
   定级对象的安全保护等级由业务信息安全保护等级和系统服务安全等级的较高者决定。
   业务信息安全：CIA
   系统服务安全：及时、有效

• 方法：确定受侵害客体、确定对客体的侵害程度、初步确定等级

6. 各级系统定级参考

• 第一级（自主保护级）：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
• 第二级（指导保护级）：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作机密、商业机密、敏感信息的办公系统和管理系统等。
• 第三级（监督保护级）：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作机密、商业机密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。
• 第四级（强制保护级）：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。
• 第五级（专控保护级）：一般适用于国家重要领域、重要部门中的极端重要系统。

系统备案

信息系统安全保护等级为第二级以上时，备案时应当提交《网络安全等级保护备案表》、定级报告和专家评审意见；第三级以上系统，还需提交系统拓扑和说明、安全管理制度、安全建设方案等。

1. 备案步骤

• 向公安机关网安部门申请备案（可以向各地公安机关电话咨询或当地公安机关官网查找在 办理渠道）
• 公安机关网安部门受理后提交备案材料（备案时限为网络安全等级保护确定后30日内，受理后10个工作日）
• 公安机关网安部门审核通过后颁发《信息系统安全等级保护备案证明》

2. 备案提交材料目录

• 信息系统安全等级保护备案表，纸质2份，原件；
• 信息系统安全等级保护自定级报告，纸质1份，原件；
• 信息安全等级保护定级评审结果（专家评审报告或主管部门审核批准信息系统安全保护等级意见），纸质1份，原件；
• 信息系统安全相关材料（本单位信息系统安全组织的建立情况、信息系统基本应用情况、、信息系统使用的主要设备、操作系统、数据库、防病毒软件以及网络拓扑图），纸质1份，原件；
• 信息系统备案电子数据，电子版1份，原件；
• 测评后符合系统安全保护等级的技术检测评估报告
• 系统安全保护设施设计实施方案或改建实施方案
• 办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：
  （1）系统拓扑结构及说明；
  （2）系统安全组织机构和管理制度；
  （3）系统安全保护设施设计实施方案或者改建实施方案；
  （4）系统使用的信息安全产品清单及其认证、销售许可证明；
  （5）测评后符合系统安全保护等级的技术检测评估报告；
  （6）信息系统安全保护等级专家评审意见；
  （7）主管部门审核批准信息系统安全保护等级的意见。

建设整改

依据《网络安全等级保护基本要求》，利用自有或第三方的安全产品和专家服务，对信息系统进行安全建设和整改，同时制定相应的安全管理制度。

此步骤又被称为预测评或差距分析，以安全服务商的角度来看就是对客户的系统进行一次和正式测评相同的流程，减少后续测评整改的工作量。

系统测评

测评机构按照管理规范和技术标准，运用科学的手段和方法，对处理特定应用的信息系统，采用安全技术测评和安全管理测评方式，对保护状况进行初步检测评估，针对安全不符合项提出安全整改建议。

监督检查

对系统初测时的出现的安全问题进行整改加固后由测评机构进行复测，符合则出具测评后符合系统安全保护等级的技术检测评估报告。

网络安全总体规划

主要过程及输出

安全需求分析—安全需求分析报告
总体安全设计—等级保护对象案例总体方案
安全建设项目规划—等级保护对象安全建设项目规划

系统安全风险及需求分析

安全技术风险分析/需求分析
安全管理风险分析/需求分析
安全运营风险分析/需求分析

安全防护体系架构

三个体系组成：安全技术体系、安全管理体系、安全运营体系

安全技术体系
一个中心：安全运营和管理中心
三重防护：计算环境安全、区域边界安全、通信网络安全

安全运营体系
以日常安全运营为基础、以重大安全事件保障为抓手
日常安全运营工作分为：风险管控、监控分析、安全运维

安全建设项目规划

步骤：目标确定、内容规划、项目计划

1. 目标确定
   输入：信息系统安全总体方案、机构或单位信息化建设的中长期发展规划
   输出：信息系统分阶段安全建设目标
2. 内容规划
   输入：信息系统安全总体方案、信息系统分阶段安全建设目标
   输出：安全建设项目列表（含安全建设内容）
3. 项目计划
   输入：信息系统安全总体方案、信息系统分阶段安全建设目标、安全建设内容等
   输出：信息系统安全建设项目计划