公安部信息安全等级保护评估中心视频会议《网络安全等级测评师通用基础课》培训笔记- 2022/09/01

2022-09-10
2022-10-05
4 min read
Hits

  本文是 2022 年 09 月 01 日公安部信息安全等级保护评估中心视频会议《网络安全等级测评师通用基础课》培训笔记,仅供学习交流,切勿作为官方文档

认真落实习近平总书记关于网络安全的一系列指示精神

树立正确的网络安全观

  没有网络安全就没有国家安全。—— 2018 年 04 月 20 日习总书记在国家网络安全和信息化工作会议上的讲话

  网络安全作为总体国家安全观的重要组成部分,网络安全与政治安全、经济安全、国土安全、社会安全并列作为当前国家安全工作五个重点领域。—— 2017 年 10 月习总书记的工作报告中提出

明确了网络安全的本质

  网络安全的本质在对抗,对抗的本质在攻防两端能力的较量。

  网络属非传统领域,这方面风险与威胁更具有杀伤力和破坏性,必须引起我们高度重视。

确定了建设网络强国的战略目标

  技术要、内容要、基础要、人才要、国际话语权要

明确提出以人民为中心的发展思想

  坚持以人民为中心,建设网络强国,建立网络综合治理体系。

  网络安全为人民,网络安全靠人民。

关键信息基础设施的极端重要性

  关键信息基础设施是防护的重中之重,各部门必须守土尽责。

深刻指出往上斗争的总体态势

  美国垄断网络霸权的格局没有根本改变

  网络空间敌强我弱的总体态势没有根本改变

  敌对势力利用网络妄图“扳倒中国”的政治图谋没有根本改变

  我国技术上受制于人的被动局面没有根本改变

要高度重视数据安全

  大数据涉及国家安全的方方面面,如政治安全、经济安全、文化安全、社会安全等。

  要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。

打造核心技术这个战略“杀手锏”

  要大力发展基础技术、通用技术、非对称技术、“杀手锏” 技术、前沿技术和颠覆性技术。

要全天候全方位感知网络安全态势

  网络安全具有很强的隐蔽性,感知网络安全态势是最基本最基础的工作。—— 2016 年 04 月 19 日习总书记在网络安全和信息化工作座谈会(419 讲话)提出

要有强大的产业、企业支撑

要严厉打击网络违法犯罪

  网络空间不是法外之地。

网络空间的竞争归根结底是人才竞争

指出必须有效应对网络战威胁

  网络战已经不是我们主观上想不想打的问题,而是必须有效应对问题。

2017 年 06 月 01 日《网络安全法》中有关于等保的条款

  第二十一条 国家实行网络安全等级保护制度。网络建立按照网络安全等级保护制度的要求,履行安全保护义务。

  第三十一条 国家对关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

  两个制度是推动国家网络安全保障工作的重要引擎,两个制度的建立这是一项事关国际安全、社会稳定、国家利益的重要任务

等级保护制度成果与成功经验

  网络安全等级保护工作成为网络安全保障工作的核心、抓手和主线

网络安全等级保护制度 2.0 的基本含义

  国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全时间分等级相应、处置。

  重新定义:“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。与网络安全法保持一致。

新时期国家网络安全等级保护制度的鲜明特点

  1. 两个全覆盖(覆盖全社会、保护对象广)
  2. 工作内涵的丰富(增加了对测评、服务、产品、技术、监测预警和信息通报、数据和个人信息安全保护、应急处置要求等内容)
  3. 加强保护、保卫、保障
  4. 技术和理论创新
    1. 按照“一个中心,三重防护”的总体思路开展网络安全技术设计
    2. 构建以可信计算、密码保护、人工智能、大数据分析、生物识别等技术为核心的网络安全技术保护体系
    3. 落实网络安全管理要求、技术要求、测评要求、设计要求等。构建国家网络安全科学生态,建立“打防管控”一体化的网络安全综合防御体系

网络安全等级保护制度 1.0 和 2.0 的变化

  1.0 是传统分类,2.0 是纵深防御模型分类(IATF)

  等级保护的五个动作不变:定级、备案、等级测评、安全建设整改和监督检查。

  等级测评的定义不变:测评机构按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全保护状况进行检测评估的活动。

  2.0 在 1.0 现有的关键环节基础之上,在法律层面上升到了国家基本制度;保护对象有了很大的扩充;安全保护措施有了更高的要求;技术标准层面上有了升级和修订;工作机制上有了新的要求和升级。

深入贯彻等级保护制度

  1. 定级备案
  2. 等级测评
  3. 安全建设整改(基本原则:三同步 —— 同步规划、同步建设、同步使用)
  4. 加强供应链安全
  5. 落实密码安全防护要求
Avatar

Hui.Ke

❤ Cyber Security | Safety is a priority.