Image
全國(guó)統(tǒng)一服務(wù)熱線
0351-4073466

等保&分保&關(guān)保&密評(píng) | 四道防線守護(hù)網(wǎng)絡(luò)信息安全

編輯:2023-04-28 09:56:37

“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”。近幾年,我國(guó)《網(wǎng)絡(luò)安全法》《密碼法》《保守國(guó)家秘密法(修訂)》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《數(shù)據(jù)安全法》等法律法規(guī)陸續(xù)發(fā)布實(shí)施,為承載我國(guó)國(guó)計(jì)民生的重要網(wǎng)絡(luò)信息系統(tǒng)的安全提供了法律保障,正在實(shí)施的網(wǎng)絡(luò)安全等級(jí)保護(hù)、涉密信息系統(tǒng)分級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、商用密碼應(yīng)用安全性評(píng)估為我國(guó)重要網(wǎng)絡(luò)信息系統(tǒng)的安全構(gòu)筑了四道防線。

01

等保

1、什么是等保

等保是指網(wǎng)絡(luò)安全等級(jí)保護(hù)。
中華人民共和國(guó)網(wǎng)絡(luò)安全法201761日起實(shí)施)第二十一條規(guī)定:國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。

2、等保的發(fā)展

等保1.0:
2007年6月,公安部發(fā)布《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào)),標(biāo)志著等級(jí)保護(hù)1.0的正式啟動(dòng)。
等級(jí)保護(hù)1.0的主要標(biāo)準(zhǔn)是:
?《信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB/T22239-2008》
?《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)要求 GB/T25070-2010》
?《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 GB/T28448-2012》
 
等保2.0:
2019年5月13日,國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布了3個(gè)網(wǎng)絡(luò)安全領(lǐng)域的國(guó)家標(biāo)準(zhǔn)(2019年12月1日起實(shí)施):
?《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)
?《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T 25070-2019)
?《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GB/T 28448-2019)
標(biāo)志著我國(guó)進(jìn)入等級(jí)保護(hù)2.0時(shí)代。

3、等保的級(jí)別

根據(jù)信息系統(tǒng)受到破壞后,對(duì)公民、法人和其他組織的合法權(quán)益,以及對(duì)公共利益、社會(huì)秩序和國(guó)家安全的損害程度,等級(jí)保護(hù)分為五級(jí):
第一級(jí):自主保護(hù)級(jí)
第二級(jí):指導(dǎo)保護(hù)級(jí)
第三級(jí):監(jiān)督保護(hù)級(jí)
第四級(jí):強(qiáng)制保護(hù)級(jí)
第五級(jí):專(zhuān)控保護(hù)級(jí)



02

分保

1、什么是分保

 “分?!笔侵干婷苄畔⑾到y(tǒng)分級(jí)保護(hù)。
中華人民共和國(guó)保守國(guó)家秘密法(2010年4月29日修訂,2010年10月1日起實(shí)施)第二十三條規(guī)定:存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)(以下簡(jiǎn)稱(chēng)涉密信息系統(tǒng))按照涉密程度實(shí)行分級(jí)保護(hù)。

 2、分保的發(fā)展

涉密信息系統(tǒng)的分級(jí)保護(hù)依據(jù)保守國(guó)家秘密法涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》(國(guó)保發(fā)[2005]16號(hào))等法律法規(guī)開(kāi)展。

3、分保的級(jí)別 

涉密信息系統(tǒng)的等級(jí)分為秘密級(jí)、機(jī)密級(jí)、絕密級(jí)三個(gè)級(jí)別。

保守國(guó)家秘密法第九條規(guī)定:下列涉及國(guó)家安全和利益的事項(xiàng),泄露后可能損害國(guó)家在政治、經(jīng)濟(jì)、國(guó)防、外交等領(lǐng)域的安全和利益的,應(yīng)當(dāng)確定為國(guó)家秘密:
(一) 國(guó)家事務(wù)重大決策中的秘密事項(xiàng);
(二) 國(guó)防建設(shè)和武裝力量活動(dòng)中的秘密事項(xiàng);
(三) 外交和外事活動(dòng)中的秘密事項(xiàng)以及對(duì)外承擔(dān)保密義務(wù)的秘密事項(xiàng);
(四) 國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展中的秘密事項(xiàng);
(五) 科學(xué)技術(shù)中的秘密事項(xiàng);
(六) 維護(hù)國(guó)家安全活動(dòng)和追查刑事犯罪中的秘密事項(xiàng);
(七) 經(jīng)國(guó)家保密行政管理部門(mén)確定的其他秘密事項(xiàng)。
  政黨的秘密事項(xiàng)中符合前款規(guī)定的,屬于國(guó)家秘密。

保守國(guó)家秘密法第十三條規(guī)定:中央國(guó)家機(jī)關(guān)、省級(jí)機(jī)關(guān)及其授權(quán)的機(jī)關(guān)、單位可以確定絕密級(jí)、機(jī)密級(jí)和秘密級(jí)國(guó)家秘密;設(shè)區(qū)的市、自治州一級(jí)的機(jī)關(guān)及其授權(quán)的機(jī)關(guān)、單位可以確定機(jī)密級(jí)和秘密級(jí)國(guó)家秘密。



03

關(guān)保


1、什么是關(guān)保

“關(guān)?!笔侵戈P(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)。
網(wǎng)絡(luò)安全法第三十一條:國(guó)家對(duì)提供公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò),能源、交通、水利、金融等重要行業(yè)和供電、供水、供氣、醫(yī)療衛(wèi)生、社會(huì)保障等公共服務(wù)領(lǐng)域的重要信息系統(tǒng),軍事網(wǎng)絡(luò),設(shè)區(qū)的市級(jí)以上國(guó)家機(jī)關(guān)等政務(wù)網(wǎng)絡(luò),用戶(hù)數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或者管理的網(wǎng)絡(luò)和系統(tǒng)(以下稱(chēng)關(guān)鍵信息基礎(chǔ)設(shè)施,實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)辦法由國(guó)務(wù)院制定。

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例2021年7月30日國(guó)務(wù)院令第745號(hào)公布,2021年9月1日起施行)第二條規(guī)定:本條例所稱(chēng)關(guān)鍵信息基礎(chǔ)設(shè)施,是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。


2、關(guān)保的發(fā)展

2017年7月10日,國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn)稿)》;
2019至2021年,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》連續(xù)三年納入國(guó)家立法計(jì)劃;
2021年4月27日,經(jīng)國(guó)務(wù)院第133次常務(wù)會(huì)議通過(guò);
2021年7月30日,國(guó)務(wù)院總理李克強(qiáng)簽署中華人民共和國(guó)國(guó)務(wù)院令第745號(hào)公布,自2021年9月1日起施行。

3、關(guān)保的內(nèi)容

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例第五條規(guī)定:國(guó)家對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù),采取措施,監(jiān)測(cè)、防御、處置來(lái)源于中華人民共和國(guó)境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅,保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、侵入、干擾和破壞,依法懲治危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的違法犯罪活動(dòng)。

“關(guān)?!庇蓢?guó)家網(wǎng)信部門(mén)統(tǒng)籌協(xié)調(diào);國(guó)務(wù)院公安部門(mén)負(fù)責(zé)指導(dǎo)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作;國(guó)務(wù)院電信主管部門(mén)和其他有關(guān)部門(mén)依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責(zé)范圍內(nèi)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理工作;省級(jí)人民政府有關(guān)部門(mén)依據(jù)各自職責(zé)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施安全保護(hù)和監(jiān)督管理。


04

密評(píng)


1、什么是密評(píng)

“密評(píng)”是指商用密碼應(yīng)用安全性評(píng)估。
中華人民共和國(guó)密碼法(2020年1月1日起實(shí)施)所述的密碼,是指采用特定變換的方法對(duì)信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)。
商用密碼用于保護(hù)不屬于國(guó)家秘密的信息。
 
中華人民共和國(guó)密碼法第二十七條規(guī)定:法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估。商用密碼應(yīng)用安全性評(píng)估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)制度相銜接,避免重復(fù)評(píng)估、測(cè)評(píng)。

2、密評(píng)的發(fā)展

《商用密碼應(yīng)用安全性評(píng)估管理辦法(試行)》(2017年4月22日起施行)
《信息系統(tǒng)密碼應(yīng)用基本要求》(GM/T 0054-2018 )

3、密評(píng)的對(duì)象

商用密碼應(yīng)用安全性評(píng)估的對(duì)象包括:

基礎(chǔ)信息網(wǎng)絡(luò)電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng);
涉及國(guó)計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)能源、教育、公安、測(cè)繪地理、社保、交通、衛(wèi)生計(jì)生、金融等信息系統(tǒng);
重要工業(yè)控制系統(tǒng)核設(shè)施、航空航天、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運(yùn)輸、水利樞紐、城市設(shè)施等工業(yè)控制系統(tǒng);
面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)黨政機(jī)關(guān)和使用財(cái)政性資金的事業(yè)單位和團(tuán)體組織使用的面向社會(huì)服務(wù)的信息系統(tǒng)。

關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上的信息系統(tǒng),密碼應(yīng)用安全性評(píng)估每年至少一次。

4、密評(píng)的內(nèi)容

對(duì)采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng),對(duì)其密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評(píng)估。
 
密碼應(yīng)用合規(guī)性:
?使用的密碼算法、密碼技術(shù)符合法律法規(guī)和國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求;
?使用的密碼產(chǎn)品、密碼模塊通過(guò)國(guó)家密碼管理部門(mén)核準(zhǔn);
?使用的密碼服務(wù)符合國(guó)家密碼管理要求;
 
密碼應(yīng)用正確性
?密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品和服務(wù)使用正確;
?系統(tǒng)中采用標(biāo)準(zhǔn)的密碼算法、協(xié)議、密鑰管理,按照國(guó)家和行業(yè)標(biāo)準(zhǔn)進(jìn)行正確的設(shè)計(jì)和實(shí)現(xiàn);
?自定義密碼協(xié)議、密鑰管理機(jī)制的設(shè)計(jì)和實(shí)現(xiàn)正確,符合標(biāo)準(zhǔn)要求;
?密碼保障系統(tǒng)建設(shè)改造過(guò)程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用正確;
 
密碼應(yīng)用有效性:
系統(tǒng)中采用的密碼協(xié)議、密鑰管理系統(tǒng)、密碼應(yīng)用子系統(tǒng)和密碼安全防護(hù)機(jī)制設(shè)計(jì)合理,在系統(tǒng)運(yùn)行過(guò)程中能夠發(fā)揮密碼作用,保障信息的機(jī)密性、完整性、真實(shí)性、不可否認(rèn)性。 

商用密碼應(yīng)用安全性評(píng)估主要從:總體要求、物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計(jì)算、應(yīng)用和數(shù)據(jù)、密鑰管理以及安全管理七個(gè)方面進(jìn)行評(píng)估。


文章來(lái)源:信創(chuàng)縱橫

Image
Image
版權(quán)所有:山西科信源信息科技有限公司??
咨詢(xún)熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號(hào)文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號(hào)清控創(chuàng)新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號(hào) 技術(shù)支持 - 資??萍技瘓F(tuán)