首頁 > 關于我們 > 新聞動態 > 深度解讀

等級保護2.0系列問答(三)

發布時間 2019-05-16

第11問:網絡安全等級保護與關鍵信息基礎設施保護的關系?


網絡安全等級保護制度是國家網絡安全保障工作的基本制度,關鍵信息基礎設施是網絡安全等級保護的重點,網絡安全等級保護制度涵蓋關鍵信息基礎設施保護?!吨腥A人民共和國網絡安全法》第三十一條規定對關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。兩者的關系如下:


1) 等級保護制度是普適性的制度,是關鍵信息基礎設施保護的基礎,關鍵信息基礎設施是等級保護制度的保護重點;

2) 關鍵信息基礎設施必須按照網絡安全等級保護制度要求,開展定級備案、等級測評、安全建設整改、安全檢查等強制性、規定性工作;

3) 網絡運營者應當在第三級(含)以上網絡中確定關鍵信息基礎設施;

4) 關鍵信息基礎設施保護,要落實公安機關、保密部門、密碼部門的保衛、保護、監管責任,落實網絡運營者和行業主管部門的主體責任;

5) 公安機關在情報偵察、追蹤溯源、快速處置、打擊犯罪、等級保護、通報預警、互聯網管理等方面,發揮職能作用,發揮主力軍作用,保衛關鍵信息基礎設施安全。


第12問:等級保護與風險評估的關系?


“根據FIPS199《聯邦信息和信息系統安全分類》,系統定級根據系統信息的機密性、完整性、可用性(簡稱CIA特性)等三性損失的最大值來確定”,即“明確各種信息類型---確定每種信息類型的安全類別---確定系統的安全類別”三個步驟進行系統最終的定級。


 風險評估是等級保護(不同等級不同安全需求)的出發點,風險評估中地風險等級和等級保護中的系統定級均充分考慮到信息資產CIA特性的高低,但風險評估中的風險等級加入了對現有安全控制措施的確認因素,也就是說,等級保護中高級別的信息系統不一定就有高級別的安全風險。


等級保護工作開展的前提是對等級保護對象進行定級。等級保護中的系統分類分級的思想和風險評估中對信息資產的重要性分級基本一致,不同的是:等級保護的級別是從系統的業務需求或CIA特性出發,定義系統應具備的安全保障業務等級,而風險評估中最終風險的等級則是綜合考慮了信息的重要性、系統現有安全控制措施的有效性及運行現狀后的綜合評估結果,即在風險評估中,CIA價值高的信息資產不一定風險等級就高。在確定等級保護對象安全等級后,風險評估的結果可作為實施等級保護、等級安全建設的出發點和參考。


第13問:云平臺與云服務客戶業務系統在開展等級保護工作的關系?


在云計算環境中,云服務客戶側的等級保護對象和云服務商側的云計算平臺/系統需分別作為單獨的定級對象定級,并根據不同服務模式將云計算平臺/系統劃分為不同的定級對象。


盡管云平臺和云服務客戶系統單獨定級,但在開展等級保護工作時,存在一定的關聯性,云服務客戶系統開展等級測評工作時,需首先確認云平臺的下列信息:


● 云平臺定級備案情況;

● 云平臺開展等級測評情況;

● 云平臺安全服務與擴展要求對標合規情況;

● 云平臺存在的安全問題;

● 云平臺安全問題整改情況。


第14問:網絡安全等級保護安全類、安全控制點變化有哪些?


網絡安全等級保護基本要求較等級保護1.0階段,在安全類、控制點、要求項主要變化有:


1) 增加安全管理中心

等保2.0新增“安全管理中心”相關控制點,基于等級保護2.0“主動防御、綜合防控”的安全理念,在等保2.0中新增“安全管理中心”這一安全類,以此將”系統管理員、審計管理員、安全管理員“的職責落實到技術層面,并新增集中管控這一控制點。


2) 增加個人信息保護

隨著個人信息監管風險日益加重,企業應當依據《網絡安全法》及其配套法律法規對個人信息保護相關規定,開展個人信息保護合規治理工作,等保2.0中新增”個人信息保護“控制點。


3) 擴展要求中新增控制點

等級保護對象的變化,使得覆蓋云大物移、工業控制新技術的等保2.0在傳統安全防護控制點的基礎上基于新應用的特性新增了部分控制點。


● 基于云計算的特性,新增的控制點有:

“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務商選擇”和“云計算環境管理”;

● 基于移動互聯的特性,新增的控制點有:

“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件采購”和“移動應用軟件開發”;

● 基于物聯網的特性,新增的控制點有:

感知節點的物理防護”、“感知節點設備安全”、“感知網關節點設備安全”、“感知節點的管理”和“數據融合處理”;

● 基于工控系統的特性,新增的控制點有:

室外控制設備防護”、“工業控制系統網絡架構安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”。


第15問:網絡安全等級保護安全類、控制點與要求項的關系?


網絡安全等級保護共有十個安全類,安全類分為安全技術和安全管理類,安全技術類包括安全物理環境、安全計算環境、安全通信網絡、安全區域邊界和安全管理中心;安全管理類包括安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。


每個安全類包含多個控制點,基本要求中對控制點進行了屬性表識,保護數據在存儲、傳輸、處理過程中不被泄露、破壞和免受未授權的修改的信息安全類要求,簡記為S;保護系統連續正常的運行,免受對系統的未授權修改、破壞而導致不可用的服務保證類要求,簡記為A;其他安全要求保護類要求簡記為G;安全管理要求所有控制點和擴展要求所有控制點均標注為G。


每個控制點對應多個要求項,各級等級保護對象安全要求項數目如下:


序號

類別

第一級

第二級

第三級

第四級

1

通用

55

135

211

228

(技術)

25

57

96

105

(管理)

30

78

115

123

2

云計算

11

29

46

49

3

移動互聯

5

14

19

21

4

物聯網

4

7

20

21

5

工業控制

9

15

21

22

6

大數據

3

12

24

25

7

總數

87

212

314

366


相關鏈接:

等級保護2.0系列問答(一)

等級保護2.0系列問答(二)

等級保護2.0系列問答(四)

等級保護2.0系列問答(五)


上一篇 下一篇