一、《信息安全技术网络安全等级保护基本要求》
1. 出台背景及目的
为了配合《中华人民共和国网络安全法》(一下简称“《网安法》”)的实施,同时适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展,国家标准GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》(以下简称“《基本要求》”和/或“GB/T 22239”)应运而生。
《基本要求》代替了GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》,针对网络安全共性安全保护需求提出安全通用要求,针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全拓展要求,形成新的网络安全等级保护基本要求标准。
2. 关键定义
网络安全:通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,并保障网络数据的完整性、保密性、可用性的能力。
安全保护能力:能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程序。
等级保护对象:是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破化后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。
3. 不同安全保护等级的等级保护对象应具备的基本安全保护能力
在《网络安全等级保护制度2.0:回顾与展望》中,我们介绍了根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。在这里,根据《基本要求》,我们向大家说明不同级别的等级保护对象应具备的基本安全保护能力:
第一级:
能够防护免受来自个人的,拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。
第二级:
能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。
第三级:
能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快回复绝大部分功能。
第四级:
能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。
4. 安全要求的分类
《基本要求》将安全要求分为10个小项,分别是安全物理环节、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。为方便各位理解与记忆,我们可以将上述10个小项分为两个大类,即网络技术安全要求与网络管理安全要求:
网络技术安全要求:
安全物理环节、安全通信网络、安全区域边界、安全计算环境、安全管理中心
网络管理安全要求:
安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理
除此以外,《基本要求》又对以上每个小项做出安全通用要求和安全拓展要求。其中,通用要求针对共性化保护需求提出,安全拓展要求针对个性化保护需求提出,根据安全保护等级和使用的特定技术或特定应用场景选择实现拓展要求。安全通用要求和安全拓展要求企共同构成了安全要求的一部分。
5. 等级保护安全架构
开展网络等级保护是一个系统性、复杂性、细节性极强的工作,企业需要依据国家相关法律法规、政策、标准,开展一系列组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。
