Image
全國(guó)統一服務(wù)熱線(xiàn)
0351-4073466

等保&分(fēn)保&關保&密評 | 四道防線(xiàn)守護網絡信息安(ān)全

編輯:2023-04-28 09:56:37

“沒有(yǒu)網絡安(ān)全就沒有(yǒu)國(guó)家安(ān)全”。近幾年,我國(guó)《網絡安(ān)全法》《密碼法》《保守國(guó)家秘密法(修訂)》《關鍵信息基礎設施安(ān)全保護條例》《數據安(ān)全法》等法律法規陸續發布實施,為(wèi)承載我國(guó)國(guó)計民(mín)生的重要網絡信息系統的安(ān)全提供了法律保障,正在實施的網絡安(ān)全等級保護、涉密信息系統分(fēn)級保護、關鍵信息基礎設施保護、商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估為(wèi)我國(guó)重要網絡信息系統的安(ān)全構築了四道防線(xiàn)。

01

等保

1、什麽是等保

等保是指網絡安(ān)全等級保護。
中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法201761日起實施)第二十一條規定:國(guó)家實行網絡安(ān)全等級保護制度。

2、等保的發展

等保1.0:
2007年6月,公(gōng)安(ān)部發布《信息安(ān)全等級保護管理(lǐ)辦(bàn)法》(公(gōng)通字[2007]43号),标志(zhì)着等級保護1.0的正式啓動。
等級保護1.0的主要标準是:
•《信息系統安(ān)全等級保護基本要求 GB/T22239-2008》
•《信息系統等級保護安(ān)全設計要求 GB/T25070-2010》
•《信息系統安(ān)全等級保護測評要求 GB/T28448-2012》
 
等保2.0:
2019年5月13日,國(guó)家市場監督管理(lǐ)總局、國(guó)家标準化管理(lǐ)委員會發布了3個網絡安(ān)全領域的國(guó)家标準(2019年12月1日起實施):
•《信息安(ān)全技(jì )術 網絡安(ān)全等級保護基本要求》(GB/T 22239-2019)
•《信息安(ān)全技(jì )術 網絡安(ān)全等級保護安(ān)全設計技(jì )術要求》(GB/T 25070-2019)
•《信息安(ān)全技(jì )術 網絡安(ān)全等級保護測評要求》(GB/T 28448-2019)
标志(zhì)着我國(guó)進入等級保護2.0時代。

3、等保的級别

根據信息系統受到破壞後,對公(gōng)民(mín)、法人和其他(tā)組織的合法權益,以及對公(gōng)共利益、社會秩序和國(guó)家安(ān)全的損害程度,等級保護分(fēn)為(wèi)五級:
第一級:自主保護級
第二級:指導保護級
第三級:監督保護級
第四級:強制保護級
第五級:專控保護級



02

分(fēn)保

1、什麽是分(fēn)保

 “分(fēn)保”是指涉密信息系統分(fēn)級保護。
中(zhōng)華人民(mín)共和國(guó)保守國(guó)家秘密法(2010年4月29日修訂,2010年10月1日起實施)第二十三條規定:存儲、處理(lǐ)國(guó)家秘密的計算機信息系統(以下簡稱涉密信息系統)按照涉密程度實行分(fēn)級保護。

 2、分(fēn)保的發展

涉密信息系統的分(fēn)級保護依據保守國(guó)家秘密法涉及國(guó)家秘密的信息系統分(fēn)級保護管理(lǐ)辦(bàn)法》(國(guó)保發[2005]16号)等法律法規開展。

3、分(fēn)保的級别 

涉密信息系統的等級分(fēn)為(wèi)秘密級、機密級、絕密級三個級别。

保守國(guó)家秘密法第九條規定:下列涉及國(guó)家安(ān)全和利益的事項,洩露後可(kě)能(néng)損害國(guó)家在政治、經濟、國(guó)防、外交等領域的安(ān)全和利益的,應當确定為(wèi)國(guó)家秘密:
(一) 國(guó)家事務(wù)重大決策中(zhōng)的秘密事項;
(二) 國(guó)防建設和武裝(zhuāng)力量活動中(zhōng)的秘密事項;
(三) 外交和外事活動中(zhōng)的秘密事項以及對外承擔保密義務(wù)的秘密事項;
(四) 國(guó)民(mín)經濟和社會發展中(zhōng)的秘密事項;
(五) 科(kē)學(xué)技(jì )術中(zhōng)的秘密事項;
(六) 維護國(guó)家安(ān)全活動和追查刑事犯罪中(zhōng)的秘密事項;
(七) 經國(guó)家保密行政管理(lǐ)部門确定的其他(tā)秘密事項。
  政黨的秘密事項中(zhōng)符合前款規定的,屬于國(guó)家秘密。

保守國(guó)家秘密法第十三條規定:中(zhōng)央國(guó)家機關、省級機關及其授權的機關、單位可(kě)以确定絕密級、機密級和秘密級國(guó)家秘密;設區(qū)的市、自治州一級的機關及其授權的機關、單位可(kě)以确定機密級和秘密級國(guó)家秘密。



03

關保


1、什麽是關保

“關保”是指關鍵信息基礎設施保護。
網絡安(ān)全法第三十一條:國(guó)家對提供公(gōng)共通信、廣播電(diàn)視傳輸等服務(wù)的基礎信息網絡,能(néng)源、交通、水利、金融等重要行業和供電(diàn)、供水、供氣、醫(yī)療衛生、社會保障等公(gōng)共服務(wù)領域的重要信息系統,軍事網絡,設區(qū)的市級以上國(guó)家機關等政務(wù)網絡,用(yòng)戶數量衆多(duō)的網絡服務(wù)提供者所有(yǒu)或者管理(lǐ)的網絡和系統(以下稱關鍵信息基礎設施實行重點保護。關鍵信息基礎設施安(ān)全保護辦(bàn)法由國(guó)務(wù)院制定。

關鍵信息基礎設施安(ān)全保護條例2021年7月30日國(guó)務(wù)院令第745号公(gōng)布,2021年9月1日起施行)第二條規定:本條例所稱關鍵信息基礎設施,是指公(gōng)共通信和信息服務(wù)、能(néng)源、交通、水利、金融、公(gōng)共服務(wù)、電(diàn)子政務(wù)、國(guó)防科(kē)技(jì )工(gōng)業等重要行業和領域的,以及其他(tā)一旦遭到破壞、喪失功能(néng)或者數據洩露,可(kě)能(néng)嚴重危害國(guó)家安(ān)全、國(guó)計民(mín)生、公(gōng)共利益的重要網絡設施、信息系統等。


2、關保的發展

2017年7月10日,國(guó)家互聯網信息辦(bàn)公(gōng)室發布《關鍵信息基礎設施安(ān)全保護條例(征求意見稿)》;
2019至2021年,《關鍵信息基礎設施安(ān)全保護條例》連續三年納入國(guó)家立法計劃;
2021年4月27日,經國(guó)務(wù)院第133次常務(wù)會議通過;
2021年7月30日,國(guó)務(wù)院總理(lǐ)李克強簽署中(zhōng)華人民(mín)共和國(guó)國(guó)務(wù)院令第745号公(gōng)布,自2021年9月1日起施行。

3、關保的内容

關鍵信息基礎設施安(ān)全保護條例第五條規定:國(guó)家對關鍵信息基礎設施實行重點保護,采取措施,監測、防禦、處置來源于中(zhōng)華人民(mín)共和國(guó)境内外的網絡安(ān)全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、幹擾和破壞,依法懲治危害關鍵信息基礎設施安(ān)全的違法犯罪活動。

“關保”由國(guó)家網信部門統籌協調;國(guó)務(wù)院公(gōng)安(ān)部門負責指導監督關鍵信息基礎設施安(ān)全保護工(gōng)作(zuò);國(guó)務(wù)院電(diàn)信主管部門和其他(tā)有(yǒu)關部門依照本條例和有(yǒu)關法律、行政法規的規定,在各自職責範圍内負責關鍵信息基礎設施安(ān)全保護和監督管理(lǐ)工(gōng)作(zuò);省級人民(mín)政府有(yǒu)關部門依據各自職責對關鍵信息基礎設施實施安(ān)全保護和監督管理(lǐ)。


04

密評


1、什麽是密評

“密評”是指商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估。
中(zhōng)華人民(mín)共和國(guó)密碼法(2020年1月1日起實施)所述的密碼,是指采用(yòng)特定變換的方法對信息等進行加密保護、安(ān)全認證的技(jì )術、産(chǎn)品和服務(wù)。
商(shāng)用(yòng)密碼用(yòng)于保護不屬于國(guó)家秘密的信息。
 
中(zhōng)華人民(mín)共和國(guó)密碼法第二十七條規定:法律、行政法規和國(guó)家有(yǒu)關規定要求使用(yòng)商(shāng)用(yòng)密碼進行保護的關鍵信息基礎設施,其運營者應當使用(yòng)商(shāng)用(yòng)密碼進行保護,自行或者委托商(shāng)用(yòng)密碼檢測機構開展商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估。商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估應當與關鍵信息基礎設施安(ān)全檢測評估、網絡安(ān)全等級測評制度相銜接,避免重複評估、測評。

2、密評的發展

《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估管理(lǐ)辦(bàn)法(試行)》(2017年4月22日起施行)
《信息系統密碼應用(yòng)基本要求》(GM/T 0054-2018 )

3、密評的對象

商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估的對象包括:

• 基礎信息網絡電(diàn)信網、廣播電(diàn)視網、互聯網;
• 涉及國(guó)計民(mín)生和基礎信息資源的重要信息系統能(néng)源、教育、公(gōng)安(ān)、測繪地理(lǐ)、社保、交通、衛生計生、金融等信息系統;
• 重要工(gōng)業控制系統核設施、航空航天、先進制造、石油石化、油氣管網、電(diàn)力系統、交通運輸、水利樞紐、城市設施等工(gōng)業控制系統;
• 面向社會服務(wù)的政務(wù)信息系統黨政機關和使用(yòng)财政性資金的事業單位和團體(tǐ)組織使用(yòng)的面向社會服務(wù)的信息系統。

關鍵信息基礎設施、網絡安(ān)全等級保護第三級及以上的信息系統,密碼應用(yòng)安(ān)全性評估每年至少一次。

4、密評的内容

對采用(yòng)商(shāng)用(yòng)密碼技(jì )術、産(chǎn)品和服務(wù)集成建設的網絡和信息系統,對其密碼應用(yòng)的合規性、正确性、有(yǒu)效性進行評估。
 
密碼應用(yòng)合規性:
使用(yòng)的密碼算法、密碼技(jì )術符合法律法規和國(guó)家标準、行業标準的有(yǒu)關要求;
•使用(yòng)的密碼産(chǎn)品、密碼模塊通過國(guó)家密碼管理(lǐ)部門核準;
•使用(yòng)的密碼服務(wù)符合國(guó)家密碼管理(lǐ)要求;
 
密碼應用(yòng)正确性
密碼算法、密碼協議、密鑰管理(lǐ)、密碼産(chǎn)品和服務(wù)使用(yòng)正确;
•系統中(zhōng)采用(yòng)标準的密碼算法、協議、密鑰管理(lǐ),按照國(guó)家和行業标準進行正确的設計和實現;
•自定義密碼協議、密鑰管理(lǐ)機制的設計和實現正确,符合标準要求;
•密碼保障系統建設改造過程中(zhōng)密碼産(chǎn)品和服務(wù)的部署和應用(yòng)正确;
 
密碼應用(yòng)有(yǒu)效性:
系統中(zhōng)采用(yòng)的密碼協議、密鑰管理(lǐ)系統、密碼應用(yòng)子系統和密碼安(ān)全防護機制設計合理(lǐ),在系統運行過程中(zhōng)能(néng)夠發揮密碼作(zuò)用(yòng),保障信息的機密性、完整性、真實性、不可(kě)否認性。 

商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估主要從:總體(tǐ)要求、物(wù)理(lǐ)和環境、網絡和通信、設備和計算、應用(yòng)和數據、密鑰管理(lǐ)以及安(ān)全管理(lǐ)七個方面進行評估。


文(wén)章來源:信創縱橫
下一頁(yè)
Image
Image
版權所有(yǒu):山(shān)西科(kē)信源信息科(kē)技(jì )有(yǒu)限公(gōng)司  
咨詢熱線(xiàn):0351-4073466 
地址:(北區(qū))山(shān)西省太原市迎澤區(qū)新(xīn)建南路文(wén)源巷24号文(wén)源公(gōng)務(wù)中(zhōng)心5層
           (南區(qū))太原市小(xiǎo)店(diàn)區(qū)南中(zhōng)環街(jiē)529 号清控創新(xīn)基地A座4層
Image
©2021 山(shān)西科(kē)信源信息科(kē)技(jì )有(yǒu)限公(gōng)司 晉ICP備15000945号 技(jì )術支持 - 資海科(kē)技(jì )集團