【中级】网络安全等级保护与关键信息基础设施安全保护制度及相关政策要求

2024-02-10
2024-02-10
12 min read
Hits

  本文是 2022 年公安三所给中级测评师培训《网络安全等级保护与关键信息基础设施安全保护制度及相关政策要求》的笔记。

习近平总书记关于网络安全系列指示精神

要树立正确的网络安全观

  没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。

  要正确处理安全和发展的关系,以安全保发展、以发展促安全。

  作为总体国家安全观的重要组成部分,网络安全与政治安全、经济安全、国土安全、社会安全并列作为当前国家安全工作五个重点领域。

明确了网络安全的本质

  网络安全的本质在对抗,对抗的本质在攻防两端能力较量,提升网络空间防护能力必须从攻防两端集中发力。

  网络属非传统领域,这方面风险与威胁更具有杀伤力和破坏性,必须引起我们高度重视。

确定了建设网络强国的战略目标

  技术要、内容要、基础要、人才要、国际话语权要

明确提出以人民为中心的发展思想

  坚持以人民为中心,建设网络强国,建立网络综合治理体系。

  网络安全为人民,网络安全靠人民,必须坚定不移依靠群众力量。

关键信息基础设施的极端重要性

  关键信息基础设施是防护中的重中之重,各部门必须守土尽责。

深刻指出网上斗争的总体态势

  美国垄断网路霸权的格局没有根本改变

  网络空间敌强我弱的总体态势没有根本改变

  敌对势力利用网络妄图“扳倒中国”的政治图谋没有根本改变

  我国技术上受制于人的被动局面没有根本改变

要高度重视数据安全

  大数据涉及国家安全方方面面,如政治安全、经济安全、文化安全、社会安全等,应切实采取措施,加强对关键信息基础设施大数据安全的监管和防护,消除危及国家安全隐患,保障国家绝对安全。

  “要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力”。

打造核心技术这个战略“杀手锏”

  要实施核心技术发展战略,牢牢掌握命门

  要大力发展基础技术、通用技术、非对称技术、“杀手锏”技术、前沿技术和颠覆性技术。

要全天候全方位感知网络安全态势

  网络安全具有很强的隐蔽性,感知网络安全态势是最基本最基础的工作。

要有强大的产业、企业支撑

  没有强大的网络安全产业,国家网络安全就缺乏支撑;没有强大的网络安全企业,就形成不了强大的网络安全产业。

要严厉打击网络违法犯罪

  网络空间不是法外之地,要依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为

网络空间的竞争归根结底是人才竞争

  建设网路强国,就要把人才资源汇聚起来,建成一支政治强、业务精、作风好的强大网军

指出必须有效应对网络战威胁

  网络战已经不是我们主观上想不想打的问题,而是必须有效应对问题。

深入贯彻落实网络安全等级保护制度

2017 年 6 月 1 日正式实施的《网络安全法》明确规定

  1. 第二十一条 国家实行网络安全等级保护制度。网络建立按照网络安全等级保护制度的要求,履行安全保护义务
  2. 第三十一条 国家对关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

  两个制度是推动国家网络安全保障工作的重要引擎,两个制度的建立这是一项事关国家安全、社会稳定、国家利益的重要任务

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(1960 号文)

  1. 贯彻实施等保制度
  2. 建立实施关保制度

等级保护制度成果与成功经验

  经过 10 多年的实施和发展,不断健全完善等级保护制度体系,组织对各单位、部门、地区网络安全等级保护工作开展监督、检查、指导,有效提升了国家关键信息基础设施的安全保护能力。

  网络安全等级保护工作成为网络安全保障工作的核心、抓手和主线

新形势下网络安全等级保护制度体系

  1. 构建新的组织领导体系
  2. 构建新的法律、政策体系
  3. 构建新的标准体系
  4. 构建新的技术支撑体系
  5. 构建新的人才队伍体系
  6. 构建新的教育训练体系
  7. 构建新的保障体系

网络安全等级保护制度 2.0 的基本含义

  国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。

  重新定义:“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。与网络安全法保持一致

新时期国家网络安全等级保护制度的鲜明特点

两个全覆盖(新版 54 页)

  覆盖各地区、各单位、各部门、各企业、各机构,即是覆盖全社会。

  覆盖所有保护对象,包括网络、信息系统、信息,以及云平台、物联网、工控系统、大数据、移动互联等各类新技术应用。

工作内涵的丰富(2018 版 78 页)

  进一步明确网络定级、备案、等级测评、安全建设整改、自查等工作要求。

  增加了测评活动安全管理、网络服务管理、产品服务采购使用管理、技术维护管理、监测预警和信息通报管理、数据和个人信息安全保护要求、应急处置要求等内容。

加强保护、保卫、保障

  保护关键信息基础设施、重要网络和数据免受攻击、侵入、干扰和破坏,依法,切实提高网络安全保护能力。

  加强监督管理和执法,加强网络安全保卫,依法惩治打击网络违法犯罪活动。

  国家建立健全网络安全等级保护制度的工作体系和保障体系;政府扶持等级保护重点工程和项目,支持等级保护技术的研究开发和应用,推广安全可信的网络产品和服务。

技术和理论创新

  按照“一个中心、三重防护”的总体思路开展网络安全技术设计

  构建以可信计算、密码保护、人工智能、大数据分析、生物识别等技术为核心的网络安全技术保护体系

  落实网络安全管理要求、技术要求、测评要求、设计要求等。构建国家网络安全科学生态,建立“打防管控”一体化的网络安全综合防御体系

网络安全等级保护制度 1.0

  1. 定级:确定信息系统边界,依据重要性和受破坏后的危害程度确定
  2. 备案:第二级以上信息系统到公安机关办理备案手续
  3. 等级测评:测评机构按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全保护状况进行检测评估的活动
  4. 安全建设整改:依据国家标准开展落实信息系统安全保护责任,开展信息系统安全管理制度建设和技术措施建设
  5. 监督检查:网络运营者开展网络安全自查,接受公安机关和有关主管部门检查

网络安全等级保护制度 2.0

  1. 法律层面:《网络安全法》颁布实施,等级保护制度确定为网络安全领域的基本制度。
  2. 保护对象:定级对象由信息系统变更为网络,范围随信息技术和系统变化而变化。
  3. 保护措施:从定级、备案等五个规范性动作到进一步强化具体安全保护措施的落实,保护要求不断增强。
  4. 技术标准:等级保护基本要求、安全设计技术要求、测评要求修订完成,云计算、大数据等技术列入新标准体系。
  5. 工作机制:监管工作机制、合作机制、通报机制和应急处置机制等全面升级。

等级保护制度 2.0 的变化

国家网络安全等级保护制度(基本制度、基本国策,上升为法律

  公安部正会同中央网信办、国家保密局、国家密码管理局起草《网络安全等级保护条例》,构造全新的等级保护基本制度体系。

  目前《网络安全等级保护条例》已经四部委达成一致,报国务院立法部门,力争尽快出台。

网络安全等级保护对象进一步扩充

  网络和信息技术的发展使信息系统发生变化。

  修订等级保护定级指南。将电信网、广电网、互联网、移动互联网、物联网、行业业务专网等重要网络基础设施,重要行业部门的核心业务系统、工业控制系统等重要信息系统,党政机关、企事业单位、大型互联网企业等的重点网站、大数据资源、云平台、智能设备设施等全部纳入国家网络全等级保护制度。

网络安全等级保护措施进一步完善

  在定级方面:针对定级不准情况,增加二级以上定级评审要求。

  在备案方面:备案受理单位调整为县级以上公安机关。

  在测评方面:新建二级以上系统上线测评。四级系统调整为每年一次。

  在监督检查方面:强化执法检查、通报预警、事件调查和约谈等工作措施(责任追究)。

深入贯彻等级保护制度

定级备案

  定级备案回头看,科学合理定级(GB/T22240-2020)

  第二级以上备案

  新建网络,在规划设计阶段确定安全保护等级

  公安机关加强备案审核

等级测评

  第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告

  新建的第三级以上网络应当通过等级测评后投入运行。

  应当保守服务过程中知悉的国家秘密、个人信息和重要数据。

  不得非法使用或擅自发布、披露在提供服务中收集掌握的数据信息和系统漏洞、恶意代码、网络入侵攻击等网络安全信息。

安全建设整改

  三同步——同步规划、同步建设、同步使用

  参照标准,按照:“一个中心、三重防护”要求,应用新技术开展安全建设整改加固

  完善运维、人员管理、系统建设、教育培训等管理制度

加强供应链安全

  应加强网络关键人员的安全管理

  网络运维:互联网远程运维应进行评估,并采取管控措施

  采购产品和服务

落实密码安全防护要求

  落实密码法等法律法规和政策要求(新版 66 页)

  密码应用安全性评估

建立实施关键信息基础设施保护制度

《关键信息基础设施安全保护条例》

  第三十三条 公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫,防范打击针对和利用关键信息基础设施实施的违法犯罪活动。

  保护工作部门——重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门

认定

  认定对象定义:是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等

  认定依据:保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案

  认定过程:保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门

认定关键信息基础设施的原则

  聚焦本行业、本领域、本部门关键业务,支撑关键业务的重要网络、系统和大平台

  以网络安全等级保护制度为基础。可以是单独的第三级(含)以上信息系统,也可以是第三级(含)以上信息系统的集合。

  重点是**基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施(卫星)**等重点保护对象

运营者职责

  第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:

  1. 建立健全网络安全管理、评价考核制度,拟定关键信息基础设施安全保护计划;
  2. 组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估
  3. 按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;
  4. 认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;
  5. 组织网络安全教育、培训;
  6. 履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度
  7. 对关键信息基础设施设计、建设、运行、维护等服务实施安全管理
  8. 按照规定报告网络安全事件和重要事项。

促进人才、创新与服务

  第三十五条 国家采取措施,鼓励网络安全专门人才从事关键信息基础设施安全保护工作;将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系

  第三十六条 国家支持关键信息基础设施安全防护技术创新和产业发展,组织力量实施关键信息基础设施安全技术攻关。

  第三十七条 国家加强网络安全服务机构建设和管理,制定管理要求并加强监督指导,不断提升服务机构能力水平,充分发挥其在关键信息基础设施安全保护中的作用。

等级保护和关键信息基础设施保护的关系(2018 版 84 页)

  1. 要依据法律规定:网络安全法规定,国家实行网络安全等级保护制度;关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
  2. 要保持一致性:关键信息基础设施安全保护与网络安全等级保护,在法律法规、政策、标准、措施等方面必须保持一致。
  3. 要明确二者关系:等级保护是国家的基本制度,具有普适性,全覆盖;关键信息基础设施是等级保护制度保护的重点,加强保护、保卫和保障

《关于落实网络安全保护重点措施深入实施网络安全等级保护制度的指导意见》(公网安[2022]1058号)

  依据《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》以及《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安[2020]1960号),结合网络安全等级保护 2.0 系列国家标准,国家网络安全等级保护工作协调小组办公室研究提出了落实网络安全保护的总体要求、工作目标和 34项重点措施,指导各单位各部门深入实施网络安全等级保护制度。

  全面落实“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施。

  构建“打防管控”一体化的网络安全综合防御体系,不断提升国家网络安全整体防护能力和技术对抗能力,增强战略定力,切实保障涉及国计民生的重要网络系统安全和数据安全,维护国家安全和社会稳定。

  1. 开展顶层设计和统筹规划
    1. 措施 1:建立完善网络安全领导体系和工作体系。
    2. 措施 2:制定网络安全规划和行业标准规范。
    3. 措施 3:将网络安全等级保护制度与其他制度有机结合。
    4. 措施 4:建立网络安全责任制和问责制度。
  2. 落实网络安全等级保护制度 2.0 要求
    1. 措施 5:深化开展网络安全等级保护定级备案工作。
    2. 措施 6:制定网络安全等级保护建设方案并实施。
    3. 措施 7:认真组织开展网络安全等级测评工作。
    4. 措施 8:制定网络安全整改方案并实施。
  3. 深化落实网络安全基础性保障措施
    1. 措施 9:强化物理环境基础设施安全保障。
    2. 措施 10:加强网络通信安全保护。
    3. 措施 11:加强区域边界安全保护。
    4. 措施 12:加强计算环境安全保护。
    5. 措施 13:构建网络安全管理中心。
    6. 措施 14:健全完善网络安全管理体系。
    7. 措施 15:加强数据全生命周期安全保护。
    8. 措施 16:强化供应链安全管理。
    9. 措施 17:采取多种方式检验安全保护措施的有效性。
  4. 强化新技术新业态安全保护措施
    1. 措施 18:加强云平台的安全保护。
    2. 措施 19:加强移动互联网络系统安全保护。
    3. 措施 20:加强物联网安全保护。
    4. 措施 21:加强工业控制系统安全保护。
    5. 措施 22:加强大数据及平台安全保护。
    6. 措施 23:加强自主可控和创新工程安全管理。
    7. 措施 24:加强采用 5G 网络技术的网络系统安全保护。
    8. 措施 25:加强区块链技术架构安全保护。
    9. 措施 26:加强 IPv6 技术网络系统安全保护。
  5. 深化落实重点保障措施
    1. 措施 27:建设网络安全综合业务平台。
    2. 措施 28:落实网络安全实时监测措施。
    3. 措施 29:健全完善网络与信息安全信息通报机制。
    4. 措施 30:建立重大事件和威胁报告制度,落实重大事件处置措施。
    5. 措施 31:落实技术应对措施,提升技术对抗能力。
    6. 措施 32:实施“挂图作战”,提升综合防御能力。
    7. 措施 33:加强网络安全经费和设备设施改造升级经费保障。
    8. 措施 34:加强网络安全教育训练和人才培养。
Avatar

Hui.Ke

❤ Cyber Security | Safety is a priority.