【等保:网络安全等级保护】
指国家通过制定统一的安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和储存、传输、处理这些信息的信息系统 分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
保护对象包括运营商和服务提供商:电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 重要行业铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理邮政等行业、部门的生产、调度、管理、办公等重要信息系统。重要机关:市(地)级以上党政机关的重要网站和办公信息系统。
等保1.0(已作废):2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这部法规被称为等保1.0。经过10余年的实践,等保1.0为保障我国信息安全打下了坚实的基础。
等保2.0(已发布实施):《信息安全技术网络安全等级保护基本要求》于2019年5月10日正式发布。2019年12月1日开始实施。
等保2.0较1.0区别主要在于两个方面:一是定级对象变化。等保1.0的定级对象是信息系统,现在2.0更为广泛,包含:信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。二是安全要求的变化。等保2.0由一个单独的基本要求演变为通用安全要求+新技术安全扩展要求,其中安全通用要求是不管等级保护对象形态如何都必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。
等保2.0充分体现了“一个中心三重防御”的思想,一个中心指“安全管理中心”,三重防御指“安全计算环境”、安全区域边界、安全网络通信“,同时等保2.0强化可信计算安全技术要求的使用。
【分保:涉密系统分级保护】
涉密信息系统是指由计算机及其相关和配套设备、设施构成的,按照一定的应用目标和规则存储、处理、传输国家秘密信息的系统或者网络。
涉密系统分级保护是指涉密信息系统的建设和使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的的保护等级实施监督管理,确保系统和信息安全。
保护对象包括所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位。
系统定级:秘密级、机密级、机密级(增强)、绝密级三个等级。分别在物理安全、运行安全和信息安全保密方面强度累加,绝密级要求最高。
分级保护技术要求:
分保工作重点内容:
新建涉密网络都须经过测评(国家保密局设立或者授权的保密测评机构)、审批(地市以上保密局)才能正式投入运行。
涉密网络投入运行后,应接受保密局组织的安全保密风险评估,秘密级、机密级每两年至少一次,绝密级每年至少一次。
涉密网络中使用的信息设备,应当从国家有关主管部门发布的涉密专用信息设备名录中选择 未纳入名录的,应选择政府采购目录中的产品,确实需要选用进口产品的,应当进行安全保密检测,安全保密产品应通过国家保密科技测评中心检测。
计算机病毒防护产品应选用取得计算机信息系统安全专用产品销售许可证的可靠产品。
密码产品应当选用国家密码管理局批准的产品。
【关保:关键信息基础设施保护】
针对面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统、工业控制系统等关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护 。
关键信息基础设施是指面向公众提供的网络信息服务或支撑能源、交通、水利、金融、公共服务、电子政务公用事业等重要行业和领域以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。
保护对象 :电信、广播电视、能源、金融、交通运输、水利、应急管理、卫生健康、社会保障、国防科技等行业和领域中一旦遭到破坏或者丧失功能,会严重危害国家安全、经济安全、社会稳定、公众健康和安全的业务。
公众服务:如党政机关网站、企事业单位网站、新闻网站等;
民生服务:包括金融、电子政务、公共服务等;
基础生产:能源、水利、交通、数据中心、电视广播等。
关键信息基础设施安全防护能力:依据5个能力域完成程度的高低进行分级评估,包括3个能力等级,从能力等级1到能力等级3,逐级增高,能力等级之间为递进关系,高一级的能力要求包括所有低等级能力要求。
关键信息基础设施安全防护所需具备的能力:包括识别认定、安全防护、检测评估、监测预警、事件处置5个方面的关键能力,每个安全能力包含若干能力指标,每个能力指标包含若干评价内容。
关键信息基础设施安全防护能力等级:
能力等级1:能力能识别相关风险,防护措施成体系,能够开展检测评估活动,具备监测预警 ;能够按规定接受和报送相关信息;在突发事件发生后能应对并按计划恢复。
能力等级2 :能清晰识别相关风险,防护措施有效,能够检测评估出主要安全风险,主动监测预警和态势感知,事件响应较为及时,业务能够及时恢复。
能力等级3: 识别认定完整清晰,防护措施体系化、自动化高,能够及时检测评估出主要 安全风险,使用自动化工具进行监测预警和态势感知,信息共享和协同程度高,事件响应及时有效,业务可近实时恢复。
【密评:商用密码应用安全评估】
商用密码应用安全评估:是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
商用密码:是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。商用密码技术是商用密码的核心,是信息化时代社会团体、组织、企事业单位和个人用于保护自身权益的重要工具。国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。
商用密码安全性评估:
商用密码应用安全性评估(简称”密评“),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
第一级是信息系统密码应用安全要求等级的最低等级,信息系统管理者可按照业务实际情况自主应用密码技术应对可能的安全威胁。
第二级是在第一级的等级要求上,要求信息系统具备身份鉴别、数据安全保护的非体系化密码保障能力,可应对当前部分安全威胁;密码评估等级划分
第三级是在第二级的等级要求上,要求更强的身份鉴别、数据安全、访问控制等方面密码应用技术能力与管理能力,要求信息系统建设有规范可靠、完整的密码保障体系,是体系化密码应用引导性要求;
第四级是在第三级的等级要求上,要求更强的身份鉴别、数据安全、访问控制等方面密码应用技术能力与管理能力,信息系统建设有规范、可靠、完整、主动防御的密码保障体系,是体系化密码应用的强制要求;
【安评:安全评估】
是对一个系统、网络、设施或组织的安全状况进行系统的分析和评价的过程。安全评估的目的是识别潜在的安全风险和漏洞,并提出相应的改进措施,以增强整体的安全性。
- 资产识别:确定组织内的所有重要资产,包括硬件、软件、数据和人员。
- 风险评估:分析资产面临的威胁和脆弱性,评估这些威胁可能带来的影响。
- 安全控制评估:评价现有的安全措施和控制手段的有效性,包括技术措施和管理措施。
- 合规性评估:检查组织的安全措施是否符合相关的法律法规、标准和政策。
- 风险管理:基于评估结果,制定风险管理计划,包括风险接受、避免、转移或减轻的策略。
- 安全建议:提出改进安全状况的建议和措施。
- 报告和记录:编制详细的安全评估报告,记录评估过程和结果。
- 持续监控:建立持续的监控机制,以便及时发现新出现的安全问题。
在特定领域,如网络安全领域,安全评估可能还会包括渗透测试、漏洞扫描、配置审计等专业技术手段,以确保评估的全面性和深入性。安全评估是一个持续的过程,需要定期重复进行,以应对不断变化的威胁环境。
扫一扫
2404
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
