目录
等级保护设立的背景
随着互联网的飞速发展,网络化已无处不在,网络安全已成为与国家、社会、个人息息相关的问题,并已上升到国防安全的层面,没有网络安全,社会的正常运转及发展都会受到严重的影响,甚至会造成社会乃至国家的动荡。国家基础网络设备的缺失、云服务受到的频繁攻击、重要行业和政府部门的高危漏洞及趋于新兴智能行业的安全威胁都让国家网络安全形势面临着前所未有的挑战。
我国在网络安全方面主要依据的是2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》等一系列文件,统称为等保1.0。但随着科技的发展,等保1.0的局限性逐渐显露,除了缺乏对一些新技术和新应用的保护规范,在风险评估、安全监测和通报预警等方面都有待完善。而近日等级保护2.0的发布则是网络安全的一次重大升级,对象范围在传统系统的基础上扩大了云计算、移动互联、物联网、大数据等,对等级保护制度提出了新的要求。
等级保护
基本概念
网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护是提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
等级划分
网络安全等级保护是根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及信息系统遭到破坏后对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统安全等级由低到高分为五个等级。
第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。
第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。
第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。
第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。
等保2.0的变化
“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统”,这个定义是网络安全法中的“关键信息基础设施”。所以说,等级保护的核心从未改变。但在互联网高速发展的环境下,新的系统形态、新型应用模式、新型服务方式、重要资料及数据的保护都成为等级保护的内容。这囊括了大型互联网企业、基础网络、重要信息系统、网站、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等。
在2.0时代之前,等级保护包括5个规定动作,即定级、备案、建设整改、等级测评和监督检查。那么在 2.0 时代,等保的内涵将更加精准化。风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。
2.0时代,主管部门将继续制定出台一系列政策法规和技术标准,形成运转顺畅的工作机制,在现有体系基础上,建立完善等级保护政策体系、标准体系、测评体系、技术体系、服务体系、关键技术研究体系、教育训练体系等。等级保护也将作为核心,围绕它来构建起安全监测、通报预警、快速处置、态势感知、安全防范、精确打击等为一体的国家关键信息基础设施安全保卫体系。
因此,等保2.0是从“信息安全等级保护制度”到“网络安全等级保护制度”的变更,这不仅从信息安全扩大到网络安全,更从国家制度变更为国家法律,这将为逐步健全国家网络安全提供有力保障及支撑作用。
等保1.0和等保2.0的变化对比
基本名称的变更:
等保1.0的名称为《信息安全技术信息系统安全等级保护基本要求》,而等保2.0的名称更改为《信息安全技术网络安全等级保护基本要求》(与《网络安全法》中的相关法律条文保持一致)。
定级对象的变化:
安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。定级程度有所上升,提高了对公民、法人和其他组织的合法权益这一侵害客体的侵害程度定级,其中特别严重损害程度由从原来的第二级升级为第三级。
安全要求的变化:
原来的“安全要求”变为“安全通用要求和安全扩展要求”。安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。
安全通用要求控制欲和控制节点的变化(结构和分类调整):
技术部分:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心
管理部分:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理
新增4个安全扩展要求:
云计算安全扩展要求:对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。
移动互联安全扩展要求:对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。
物联网安全扩展要求:对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。
工业控制系统安全扩展要求:对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
