一、前言
近年来,随着互联网技术的不断发展及与社会的持续深入,我们享受互联网时代红利的时候,也不断遭受日益严峻的安全风险,网络安全问题不断增加,网络安全问题带来的影响范围不断加大。因此,网络不再是法律不管地带,因此针对网络安全的相关法律法规纷纷出台,其中包括《网络安全法》和网络安全等级保护制度。对于你所运营的网络设备、系统和网站等,一旦出现网络安全问题,会损害国家利益、社会利益和人民利益的,都需要落实网络安全等级保护制度。因此,依法开展网络安全等级保护备案工作,定级为等保二级以上的建议开展等级保护测评制度。等级保护三级必须每年进行等级保护测评。
通过等级保护测评工作,发现单位系统内、外部存在的安全风险和脆弱性,通过等级保护去梳理和分析我们现有的信息系统,将不同系统分不同重要等级进行分等级保护;梳理出了不同等级的系统后,我们就要对不同系统进行不同等级的安全防护建设,保证重要的信息系统在有攻击的情况下能够很好地抵御攻击或者被攻击后能够快速的恢复应用,不造成重大损失或影响。通过整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。
等保的意义:
一、降低信息安全风险,提高信息系统的安全防护能力;
二、满足国家相关法律法规和制度的要求;
三、满足相关主管单位和行业要求;
四、合理地规避或降低风险
二、等保和分保区别
2.1 区分
1)责任主体和保护对象不同
等级保护:是实施信息安全管理的一项法定制度,是针对非涉密网来说。等级保护坚持自主定级、自主保护的原则。
分级保护:是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现,是针对涉密网来说。
2)等级划分
等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)。
分级保护分3个级别:秘密级、机密级、绝密级(实际中,有的已经分2个级别处理)。
分级保护与等级保护对应关系:秘密级对应三级、机密级对应四级、绝密级对应五级。
涉密信息系统分级保护工作包括系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、测评与检查和系统废止八个环节。
3)主管部门
分级保护是由国家保密局发起的,推广带有强制性的。等级保护是公安部门发起的,执行力相对分保要弱一点。
等级保护的主管部门:
1. 公安机关:等级保护工作的主管部门,负责信息安全等级保护工作的监督、检查、指导
2. 国家保密工作部门、国家密码管理部门:负责等级保护工作中有关保密工作和密码工作的监督、检查、指导
3. 国信办及地方信息化领导小组办事机构:负责等级保护工作部门间的协调,涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责
分级保护的主管部门:
1. 国家保密局及地方各级保密局:监督,检查,指导
2. 中央和国家机关(本部门):主管和指导
3. 建设使用单位:具体实施
2.2、等保二级和三级
等保二级测评每两年开展一次,而等保三级测评,每年开展一次。那么,除了开展的时间周期不一样,这两者,还有哪些区别呢?
1)定级要求不一样
就是测评的定级要求是不一样的,二级对于客体对象的影响和损害程度比三级的小。其外,二级等保测评的定级对象受到破坏时,没有对国家安全造成损害。而等保三级的定级对象被破坏有可能会对国家安全造成损害。
2)适用的场景不一样
三级的信息和数据涉及面更广,在地域跨度也更大:
二级信息系统适用于地市级以上国家机关、企业、事业单位内部一般的信息系统,小的局域网,非涉及秘密、敏感信息的办公系统等。
就企业来说,一般网站定级填写公安备案信息时,可参考论坛、微博、博客填选二级;其他类型网站全部选填三级。
三级信息系统适用于地级市以上的国家机关、企业、事业单位的内部重要信息系统,重要领域、重要部门跨省、跨市或全国(省)联网运营的信息系统,各部委官网等。
3)等级测评强度不一样
等级测评强度由测评广度和深度来描述:测评广度越大,范围越大,包含的测评对象就越多,测评实际投入程度越高。测评的深度越深,越需要在细节上展开,测评实际投入程度也越高。
就深度而言,二级级测评无需进行测试验证,而三级是需要进行测试验证的,而就测试范围来说,三级测评对象更加多,更加全面,而二级只是进行多种类的抽样测评。
另外,在此提醒大家开展测评工作需要在期限时间内进行哦,否则容易收到整改要求,相关规定如下:
已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
三、等保流程
等保测评备案,是开展网络安全等级保护测评工作的第二个阶段,当我们的信息系统被定级后,就需要到相关的公安机关办理备案手续。备案流程比较简单,在规定时间内开展即可。
3.1、怎么开展网络安全等级保护定级备案工作?
网络系统运营使用单位在初步确定网络系统安全保护等级后,对于第二级(含)以上网络系统,在安全保护等级确定后30日内,由其运营使用单位或者主管部门到所在地设区的地市级以上公安机关办理备案手续。
公安机关收到网络系统运营使用单位的备案材料后,对系统定级基本准确的,颁发由公安部统一监制的《备案证明》;对于定级不准的;会向备案单位发整改通知,建议组织专家重新进行定级评审,并报上级主管部门审批。备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位的上级主管部门。
对拒不备案的,公安机关依据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规规定,责令其限期整改。逾期仍不备案的,应予以警告,并向其上级主管部门通报。需要向中央和国家机关通报的,要报经公安部同意。
3.2、办理信息安全等级保护定级备案的申请材料(大概,具体视当地公安局要求):
1、填写《信息系统安全等级保护备案表》(以下简称《备案表》),纸质材料,一式两份;包括:《单位基本情况》(表一)、《信息系统情况》(表二)、《信息系统定级情况》(表三)和《第三级以上信息系统提交材料情况》(表四)。第二级以上信息系统备案时需提交《备案表》中的表一、二、三;第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。
《备案表》需通过“等级保护备案端软件”填写信息,并导出word文档生成。另,在填写表三“09 系统定级报告”时,需把《信息系统安全等级保护定级报告》上传到“附件”再导出word文档。
2、《信息系统安全等级保护定级报告》(以下简称《定级报告》),纸质材料,一式两份。每个备案的信息系统均需提供对应的《定级报告》,《定级报告》参照模版格式填写。
3、备案电子数据,刻录光盘。每个备案的信息系统,均需通过“等级保护备案端软件”填写信息,并保存为一个压缩文件(压缩文件需包含sysdata.xml、orgdata.xml及《定级报告》3个文件)。另,第三级以上系统备案电子数据还应包括《备案表》表四所列的各项内容。
4、《信息安全等级保护工作小组名单表》,刻录光盘。参照模版格式填写。
3.3、备案申请后还有哪些步骤?
1. 备案材料审核
接收备案材料后,应当对下列内容进行审核:备案材料填写是否完整,是否符合要求,其纸质材料和电子文档是否一致,网络系统所定安全保护等级是否准确。
收到备案单位提交的备案材料后,对属于本级公安机关受理范围且备案材料齐全的,应当向备案单位出具《信息系统安全等级保护备案材料接收回执》;备案材料不齐全的,应当当场或者在5日内一次性告知其补正内容;对不属于本级公安机关受理范围的,应当书面告知备案单位到有管辖权的管安机关办理。
2. 审核通过
经审核符合等级保护要求的 ,公安机关应当自收到备案材料之日起的10个工作日内,将加盖本级公安机关印章(或等级保护专用章)的《备案表》一份反馈备案单位,一份存档;对不符合等级保护要求的,公安机关网安部门应当在10个工作日内通知备案单位进行整改,并出具《信息系统安全等级保护备案审核结果通知》。
备案材料经审核合格的,公安机关出具《信息系统安全等级保护备案证明》。《备案证明》由公安部统一监制。
公安机关对定级不准的备案单位,在通知整改的同时,应当建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。
备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位上级主管部门。
要做好等保测评,开展等保定级、网络系统备案这两项工作是为接下来的整改、测评做铺垫的,没有做好备案工作,是无法开展测评工作的,因此,想要跳过定级、备案这两步,是不可以的。
3.4、等保2.0标准下,测评中重点关注内容
在等保2.0中,无论测评对象是什么,一定要符合安全测评通用要求,下面就针对这一部分,看看测评过程中,需要重点关注哪些内容。充分理解这些内容,对于开展测评实施工作非常重要。
1、完整性和保密性
▲网络和通信安全的控制点“通信传输”,提出数据完整性和保密性。
▲应用和数据安全中的“数据完整性”和“数据保密性”。
针对这个要求,测评实施时需要重点理解以下2点:
1、网络和通信层面实现或应用和数据安全层面实现均可,不必要求2个层面都要实现。
2、重点理解应用和数据中的“数据完整性”和“数据保密性”。
数据完整性:包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
数据保密性:包括但不限于鉴别数据、重要业务数据和重要个人信息等;
2、边界保护
▲来源于旧版的“边界完整性检查”。
▲对边界完整性保护提出更加完善的安全保护要求。
针对这个要求,测评实施时需要重点理解以下2点:
1.所有跨越边界的访问和数据流必须通过受控端口进行通信,在测评时候不但要考虑网络(大)边界和不同级别系统之间的边界(小),还要测评是否有非授权的移动数据上网卡、无线WIFI(随手WIFI)等。
2.限制无线网络的使用,测评时候要核查确保无线网络单独组网,然后通过边界防护设备统一接入内部有线网络。
3、访问控制(网络和通信安全)
▲与旧版相比变化非常比较大。
▲重点提出安全策略的完善和优化。
针对这个要求,测评实施时需要重点理解以下2点:
1.访问控制设备的最后一条安全策略是拒绝所有通信。
2.对进出网络的内容进行管控,需要使用下一代防火墙。
4、入侵防范(网络和通信安全)
▲不但要防范从外到内的网络攻击,还要防范从内发起的网络攻击。
▲注重对网络行为的分析。
针对这个要求,测评实施时需要重点理解以下2点:
1.测评是否能够对内部发起网络攻击进行防范。
2.测评是否能够对新型网络攻击行为的分析。
5、集中管控
▲新增控制点。
▲要求对分布网络中的安全设备或安全组件进行集中管控。
测评实施时需要重点理解以下5点:
在测评时候,核查是否包括但不限于以下安全设备或安全组件:
1.是否使用加密方式进行远程管理。
2.是否部署综合网管系统。
3.是否部署综合审计系统。
4.是否部署集中防病毒系统、补丁管理系统。
5.是否部署集中的安全事件识别、报警和分析系统。
6.等等。
6、双因素认证
▲涉及网络设备、安全设备、操作系统和应用系统等。
▲不同设备或系统实现双因素机制的技术方式是不同,尤其移动应用可以实现多因素认证。
测评实施时需要重点理解以下3点:
1.双因素认证在安全保护中非常重要。
2.相对来说,网络设备、安全设备和操作系统比较适用令牌方式(动态口令),应用系统比较适用数字证书或生物技术。
3.目前市场主流堡垒机无法根本上实现被测对象的双因素认证问题,主要提供网络访问控制功能和管理员操作审计功能。
7、其他新增测评要求
▲核查是否能够对互联网访问行为进行审计。
▲核查是否能够对恶意邮件、垃圾邮件进行安全保护。
▲在测评过程中注重对数据安全保护的测评工作。
▲整个测评要求IPv6商用环境适用。
四、附录
1)新的国标发布
GB 40050-2021《网络关键设备安全通用要求》是工业和信息化部网络安全管理局为落实《中华人民共和国网络安全法》中有关网络关键设备安全的要求,组织相关研究机构编制的一项重要标准。标准主要内容包括安全功能要求和安全保障要求。安全功能要求聚焦于保障和提升设备的安全技术能力,主要包括设备标识安全、冗余备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全、数据安全以及密码要求10个部分。