3、关键信息基础设施网络安全保护(国家标准:GB,今年7月正式发布)
4、信息系统密码应用基本要求(国家标准:GB,于今年3月份正式发布)
1、分级保护标准(简称:分保)
a)管理对象:所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位。
b)标准要求文件:
BMB17《涉及国家秘密的信息系统分级保护技术要求》
BMB20《涉及国家秘密的信息系统分级保护管理规范》
c)系统定级:根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级。
d)分级保护标准框架:
e)分级保护部分涉及产品(仅供参考):屏蔽机房、手机屏蔽柜、保密文件柜、红黑隔离电源、微机视频信息保护系统、手机屏蔽仪、主机监控与审计系统、光盘刻录监控和审计系统、打印监控和审计系统、三合一(违规外联监控、涉密移动存储介质使用管控、非涉密信息单向导入)系统、涉密专用优盘、存储介质信息消除工具、计算机终端保密检查系统、恶意代码辅助检测系统、保密碎纸机、存储介质销毁机、身份鉴别系统等等。
2、等级保护标准(简称:等保)
a)管理对象:
运营商和服务提供商:电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
重要行业:铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
重要机关:市(地)级以上党政机关的重要网站和办公信息系统。
b)标准文件:
GB-T25070-2019《信息安全技术网络安全等级保护安全设计技术要求》
GB-T28448-2019《信息安全技术网络安全等级保护测评要求》
GB-T22240-2020《信息安全技术网络安全等级保护定级指南》
GB-T22239-2019《信息安全技术网络安全等级保护基本要求》
GB_T25058-2019《信息安全技术网络安全等级保护实施指南》
c)系统定级:
信息系统的安全防护共分为以下五个等级:
第一级(自主保护级)
第二级(指导保护级)
第三级(监督保护级)
第四级(强制保护级)
第五级(专控保护级)
d)等级保护标准体系框架:
e)等级保护涉及产品(仅供参考):
3、关键信息基础设施网络安全保护(简称:关基、关保)
a)管理对象:电信、广播电视、能源、金融、交通运输、水利、应急管理、卫生健康、社会保障、国防科技等行业和领域中一旦遭到破坏或者丧失功能,会严重危害国家安全、经济安全、社会稳定、公众健康和安全的业务。
b)标准文件:《信息安全技术关键信息基础设施网络安全保护基本要求》2019年11月报批,未正式发布
c)什么是关键信息基础设施(CII:criticalinformationinfrastructure)?
支撑关键业务持续、稳定运行不可或缺的网络设施、信息系统。在形态构成上,可以是单个网络设施、信息系统,也可以是由多个网络设施、信息系统组成的集合。在本质上,属于关键业务的信息化部分,为关键业务提供信息化支撑。
d)关键信息基础设施安全防护能力等级有几个?
关键信息基础设施安全防护能力依据5个能力域完成程度的高低进行分级评估,包括3个能力等级,从能力等级1到能力等级3,逐级增高,能力等级之间为递进关系,高一级的能力要求包括所有低等级能力要求。
能力域明确了运营者在关键信息基础设施安全防护所需具备的能力,包括识别认定、安全防护、检测评估、监测预警、事件处置5个方面的关键能力,每个安全能力包含若干能力指标,每个能力指标包含若干评价内容。
能力等级及特征如下表。
表安全能力等级及特征
关键信息基础设施安全防护能力等级
e)关键信息基础设施安全防护能力评价内容及方法是什么?
关键信息基础设施安全防护能力应综合考虑5个能力域级别与等级保护测评结果。对应能力等级1的关键信息基础设施等级保护测评结果应至少为中;对应能力等级2的关键信息基础设施等级保护测评结果应至少为良;对应能力等级3的关键信息基础设施等级保护测评结果应为优。
4、密码应用基本要求
a)管理要求:信息系统中的身份鉴别、数据加密、数据签名等密码技术功能由密码算法、密码技术、密码产品、密码服务等提供。从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全的各个层面提供全面整体的密码应用安全技术支撑,从而保障信息系统的用户身份真实性、重要数据的机密性和完整性、操作行为的不可否认性。
b)标准文件:行标(GM/T0054-2018《信息系统密码应用基本要求》)升国标GM/T397862021《信息安全技术信息系统密码应用基本要求》,现已正式发布。
d)基本要求框架:
5、几大标准关系图解:
1、去网安部门做了备案,拿到备案证明,是否等于通过等保?备案后多久需要完成等保测评?
2、通过等级保护测评以后,是不是不会再出安全事故?
3、拿到等保测评通过证书后,一但出现安全事故是否可以规避或减轻追责?
4、我已经上了安全设备,为什么还会出现出安全事故?
5、应该如何选择安全厂商的产品?
网络安全建设实践过程中,我们应从等保合规和业务系统实际安全风险两个角度区选择产品:
6、网络完全建设时,是采购同一厂商的产品比较好,还是采购不同厂商的产品比较好?
7、在预算有限的情况下,该如何合理的进行网络安全防护建设?
8、在对产品性能指标不太了解的情况下,该选择什么性能的产品?
9、供应商提供一份产品采购清单后,承诺一定可以通过等保测评,是否可信?
10、为什么不同供应商提供的方案清单会有不同,有的所采购的产品不同,有的同一产品采购的数量不同?
结论:采用“设备+模块”的方式,在产品性能及安全功能实现细节上要逊于“设备+设备”的方式,但在设备故障几率和价格上要优于“设备+设备”的方式。“设备+模块”的方式适用于网络安全防护流量较小、安全预算较少、对安全防护能力要求较低的单位;而“设备+设备”的方式适用于网络安全防护流量较大、安全预算充足、对安全防护能力要求较高的单位。