首頁 > 關于我們 > 新聞動態 > 深度解讀

等級保護2.0系列問答(一)

發布時間 2019-05-14

第1問:什么是等級保護?


等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作,是國家開展網絡安全工作的一項基本制度,是在很多國家都存在的一種網絡安全領域的工作。我國于1994年在國務院147號令《中華人民共和國計算機信息系統安全保護條例》中首次提出“等級保護”這一概念,確定計算機信息系統實行安全等級保護。


等級保護工作是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的網絡和信息系統分等級保護、分等級監管,對網絡和信息系統中使用的網絡安全產品實行按等級管理,對網絡和信息系統中發生的網絡安全事件分等級響應、處置。


第2問:什么是網絡安全等級保護(等保2.0)?


隨著云計算、物聯網、大數據、移動互聯、工業控制等新技術/新應用的發展,信息安全向網絡安全轉變勢在必行。2017年6月1日《中華人民共和國網絡安全法》正式實施,為了響應網絡安全法,等級保護標準體系重構,等保2.0順應而生,網絡安全等級保護進入有法可依的2.0時代。


網絡安全等級保護是指對網絡(含信息系統、數據,下同)實施分等級保護、分等級監管,對網絡中使用的網絡安全產品實行按等級管理,對網絡中發生的安全事件分等級響應、處置。


“網絡”是指由計算機或者其他信息終端及相關設備組成的按照一定規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統,包括網絡設施、信息系統、數據資源等。


2019年,網絡安全等級保護系列標準陸續發布,三大核心標準“基本要求、測評要求、設計要求”于12月1日起正式實施,標志著網絡安全等級保護正式開啟2.0時代。


第3問:等級保護有哪幾個安全級別?


GB 17859-1999和GB/T 22240-2020兩個標準都對網絡和信息系統進行了等級劃分,其中GB 17859-1999作為等級保護工作開展的“上位”標準,是等級保護系列標準制定的依據和參考。通常情況下,網絡和信息系統安全保護等級依據GB/T22240-2020進行確定,網絡和信息系統安全保護等級劃分的情況如下表:

計算機信息系統  安全等級保護劃分準則

(GB 17859-1999)

信息安全技術 網絡安全等級保護定級指南

(GB/T22240-2020)

第五級:訪問驗證保護

【??乇Wo級】

第五級:等級保護對象受到破壞后,會對國家安全造成特別嚴重危害。

第四級:結構化保護

【強制保護級】

第四級:等級保護對象受到破壞后,會對社會秩序和公共利益造成特別嚴重危害,或者對國家安全造成嚴重危害。

第三級:安全標記保護

【監督保護級】

第三級:等級保護對象受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成危害。

第二級:系統審計保護

【指導保護級】

第二級:等級保護對象受到破壞后,會對相關公民、法人和其他組織的合法權益造成嚴重損害或者特別嚴重損害,或者對社會秩序和公共利益造成危害,但不危害國家安全。

第一級:用戶自主保護

【自主保護級】

第一級:等級保護對象受到破壞后,會對相關公民、法人和其他組織的合法權益造成一般損害,但不危害國家安全、社會秩序和公共利益。


第4問:等級保護政策及法律法規發展歷程?


網絡安全等級保護是黨中央、國務院決定在網絡安全領域實施的基本國策?!毒W絡安全法》規定國家實行網絡安全等級保護制度,標志著等級保護從1994年國務院令第147號上升到國家法律。等級保護主要政策及法律法規發展歷程如下:


1994年,國務院147號令《計算機信息系統安全保護條例》規定計算機信息系統實行安全等級保護;

1999年,GB 17859-1999《計算機信息系統 安全等級保護劃分準則》把計算機信息安全劃分為了5個等級;

2003年,《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發〔2003〕27號)明確指出“實行信息安全等級保護”;

2004年,公通字[2004]66號《關于信息安全等級保護工作的實施意見》明確了貫徹落實等級保護制度的基本原則,確定了等級保護工作的基本內容、工作要求和實施計劃,以及各部門工作職責和分工等;

2007年,公通字[2007]43號《信息安全等級保護管理辦法》明確等級保護制度的基本內容、流程及工作要求,為開展等級保護工作提供了規范保障;

2007年7月,公安部組織召開全國重要信息系統安全等級保護定級工作部署專題電視電話會議,標志著信息安全等級保護制度正式開始實施;

2008年,GB/T 22239-2008《信息安全技術 信息系統安全等級保護基本要求》明確各等級信息系統的安全保護基本要求;

2010年,公安部聯合國務院國有資產監督管理委員會出臺《關于進一步推進中央企業信息安全等級保護工作的通知》要求中央企業貫徹落實等級保護制度;

2017年,《中華人民共和國網絡安全法》(第二十一條)規定國家實行網絡安全等級保護制度;

2019年,等級保護2.0三大核心標準GB/T22239-2019《信息安全技術 網絡安全等級保護基本要求》、GB/T25070-2019《信息安全技術 網絡安全等級保護安全設計技術要求》、GB/T28448-2019《信息安全技術 網絡安全等級保護測評要求》發布,標志等級保護正式進入2.0時代。


第5問:網絡安全等級保護(等保2.0)的主要特征?


等保2.0的主要特征包括:兩個全覆蓋、結構統一、強化可信計算這三部分:


1) 兩個全覆蓋

國家實行網絡安全等級保護制度,等級保護實現了對行業的全覆蓋;等級保護2.0將云計算、移動互聯、物聯網、工業控制系統、大數據等列入標準范圍,實現了等級保護對象的全覆蓋;


2) 結構統一

基于“同步規劃、同步建設、同步使用”的原則,等級保護2.0的基本要求、設計要求、測評要求同步修訂、同時發布,并統一結構,即“一個中心,三重防護”的體系架構。


3) 強化可信計算

等保2.0強化可信計算技術使用的要求,將可信驗證列入各安全保護級別,從第一級到第四級均在“安全通信網絡”、“安全區域邊界”和“安全計算環境”中增加了“可信驗證”控制點,利用可信計算3.0夯實網絡安全等級保護。


相關鏈接:

等級保護2.0系列問答(二)

等級保護2.0系列問答(三)

等級保護2.0系列問答(四)

等級保護2.0系列問答(五)

上一篇 下一篇