信息系统的处理能力和连通性不断提高。与此同时,基于网络连接的安全问题也日益突出。整体网络安全主要表现在以下几个方面:网络物理安全、网络拓扑安全、网络系统安全、应用系统安全和网络管理安全。
如何才能保证网络系统的软硬件和系统中的数据不受意外或恶意原因的破坏、更改或泄露,保证系统持续、可靠、正常运行,保证网络服务不中断?需要保证网络的物理安全以及网络拓扑和系统的安全。以下内容主要来自交流活动“你的网络安全吗?”能达到保险第三关吗?"
2018年6月27日,公安部发布《网络安全等级保护条例(征求意见稿)》(以下简称《保护条例》)。《保护条例》作为《网络安全法》的重要配套法规,对网络安全等级保护的适用范围、各监管部门的职责、网络运营商的安全保护义务、网络安全等级保护的建设等提出了更加具体和可操作的要求,为开展等级保护工作提供了重要的法律支持。
条例的适用范围
《保护条例》的适用范围已经扩大。各网络运营商应对相关网络进行平等保险工作。
监管部门
《保护条例》建立了各部门协调分工的监管机制,涉及的监管部门包括中央网络安全与信息领导机构、国家网络信息部、国务院公安部门、国家保密行政部门、国家密码管理部门、国务院其他有关部门、县级以上地方人民政府有关部门等。
各国行业主管或监管机构的监管权力和责任如下:
网络安全防护
网络分级
定级步骤:确定定级对象->:定级对象初步确认->:专家评审->:主管部门审核->:公安机关
备案审查
1)网络级
网络层面主要是通过网络的重要性和一旦被破坏的危害程度来评价的。
值得注意的是,在《信息安全等级保护管理办法》中,最高保护等级只是信息系统受损时的第二级保护,会严重损害公民、法人和其他组织的合法权益。《保护条例》在“造成特别严重损害”的情况下,将信息系统的保护级别提高到第三级,即使它没有对公共利益或国家安全造成损害。这也是本规程的主要变化之一。
2)网络分级
《保护条例》第16条规定,网络运营商应当在规划设计阶段确定网络的安全保护等级。这意味着系统在使用前必须分级。同时,当网络功能、服务范围、服务对象和处理的数据发生较大变化时,需要根据情况进行调整和分级。
3)等级评审
《保护条例》在分级阶段增加了新的要求,二级以上必须经过专家评审,并经行业主管部门批准。跨省或全国统一联网由行业主管部门统一制定,分级审查统一组织。
4)分级和归档
二级以上网络经营者在分级、撤销或者变更网络安全保护等级时,应当在10个工作日内报县级以上公安机关备案。
更方便的是将所在地从前区的市级以上公安机关扩展到县级。
5)记录评审
公安机关应当对备案材料进行审查,并在10个工作日内出具网络安全等级保护备案证明。
一般保护义务和特殊保护义务
一般安全防护义务对责任人、安全管理、技术防护体系等的要求。对应《网络安全法》第21条。同时,个人信息的保护、身份验证、举报时限要求等。
三级以上应履行专项安全防护义务,包括管理组织、总体规划和总体防护策略、背景审查等。要求落实网络安全态势感知监测预警措施,并与同级公安机关衔接。
在线检测
新二次系统上线前,应根据相关标准进行安全测试。
新建三级以上系统上线前应优先进行等保评估,通过等级评估后方可投入运行。
等级评定
《保护条例》降低了等级评定的周期。
对于四级网络来说,评估周期的向下调整带来了一些便利,但并不意味着安全防护和检查要求的降低。
安全整改
和以前一样,在保险评估中发现安全隐患时,要求所有网络运营商进行安全整改。
自检
要求各单位每年进行一次自查,并报公安机关备案。每年三级网络测评,也算是一次自查。对于二级网络,每年可能会向公安机关提交一份自查报告,实际上是对二级网络要求的补充和提高。
监测和预警通知
按照《网络安全法》的要求,进行安全监控和预警通报。涉及以下三方合作:
?地级以上人民政府应当建立监测预警系统和信息通报系统,开展安全监测、态势感知、通报预警等工作。
?三级以上网络经营者:向公安机关和行业主管部门提交安全预警信息和安全事件。
?行业主管部门:建立健全本行业/领域的安全监测预警和信息通报制度,向同级网络信息部门和公安机关报送监测预警信息和安全事件。
数据和信息安全保护
网络经营者应当建立并实施重要数据和个人信息的安全保护制度。确保重要数据的完整性、保密性和可用性,确保个人信息的安全。
紧急处置要求
三级以上网络运营商需要制定网络安全应急预案,并定期进行演练。在处理网络事件时,要保护现场,保存数据,并及时向公安机关和行业主管部门报告。
审计要求
对于向公众提供经营活动的网络经营者,主管部门应当将等级保护纳入审核审查范围,这也意味着将对相关经营者进行审核审查。
新技术和应用的风险管理和控制
《保护条例》对云计算、人工智能、物联网等新技术需求进行风险识别和风险控制。体现了等级保护分级对象的极大拓展。
此外,《保护条例》还对评估活动的安全管理、网络服务组织、产品和服务的采购和使用、技术维护等提出了相应的要求。
涉密网络的安全防护
分级保护
分级保护是指对非分类系统和网络以及分类网络的分级保护。分级保护分三级:机密级机密级绝密级,安全要求依次增强。
网络分级
《保护条例》确定了分级保护网的分级流程:确定涉密网络的保密等级->:本单位保密委员会(领导小组)审批->:同级保密行政部门备案(保密局)。
方案评审和论证
规划和建设涉密网络的涉密网络运营商应当按照国家保密法规和标准的要求制定涉密保护方案,并采取身份认证、访问控制、安全审计、边境安全保护、信息流控制、电磁泄漏发射保护、病毒防护、密码保护、保密监管等技术和管理措施。这是分级保护方案的保护重点。
施工管理
对于等级保护项目,要选择具有涉密信息系统集成资质的单位承担建设,并与建设单位签订保密协议。
信息设备和安全产品的管理
涉密网络使用的安全产品应当从国家有关主管部门发布的涉密专用信息设备清单中选择,并由国家保密行政主管部门设立的检测机构进行检测。
评估审查和风险评估
绝密网络每年至少进行一次,机密和秘密网络每两年至少进行一次。
处理分类网络中的重大变更
有下列情形之一的,应当及时向保密行政部门报告并采取相应措施,保密行政部门应当评估是否对涉密网络进行重新测试和审查:
(a)安全等级已经改变;
(二)接线范围和接线端子数量超过审查批准的范围和数量的;
(3)物理环境或安全设施的变化可能导致新的安全风险;
(4)增加新的应用系统,或者改变或减少应用系统可能导致新的安全风险。
涉密网络撤销的处理
涉密网络不再使用的,应当向保密行政管理部门报告,并在具体场所和措施内处置,不得直接丢弃。
此外,涉密网络运营商要求建立安全保密管理制度,完善涉密网络预警通报制度,及时采取应急措施。
密码管理
涉密网络和传输的国家秘密信息应当依法接受密码保护。三级以上网络应当使用国家密码管理部门认可的密码技术、产品和服务(使用三级保护),并委托密码应用安全评估机构进行密码应用安全评估。
网络运营商应建立密码安全体系,完善密码安全管理措施,规范密码使用行为。任何单位和个人不得利用密码从事违法犯罪活动。
监督管理
1)三级以上网络运营商实施重点监督管理;每年将等级保护工作情况上报同级网络信息部门。
2)公安机关对三级以上网络经营者每年至少进行一次安全检查。安全检查可以会同行业主管部门进行。
3)明确公安机关的检查处置权。限期整改,通知三级以上行业主管部门,并通知同级网络信息部门。
(四)对监督检查中发现的重大隐患,公安机关应当向同级人民政府、网络信息部门和上级公安机关报告处置情况。
5)根据三级以上网络运营商关键人员(包括安全服务人员)的管理要求,不得擅自参与境外机构组织的网络攻防活动。
6)网络运营商应配合和支持公安机关及相关部门开展事件调查和处置工作。
7)网络中存在的安全隐患严重威胁国家安全、社会秩序和公共利益的,公安机关可以责令其停止联网,并在紧急情况下停机整改。
8)法定代表人、网络经营者主要负责人和行业主管部门对等级保护进行管理和监督。遇有重大安全隐患和隐患,省级以上人民政府公安部门、安全管理部门和密码管理部门有权对其进行约谈。
法律责任
《保护条例》规定的处罚基本符合《网络安全法》,处罚措施集中在警告、责令整改、罚款(包括单位和直接负责人)、责令停产停业、行政拘留等形式。值得注意的是,三级以上网络经营者违反第二十一条、第二十二条第二款、第二十三条、第二十八条第二款、第三十条第一款规定的,将从重处罚。
关于深度信任级别保护2.0解决方案
我们对等级保护2.0解决方案深信不疑,崇尚“持续保护,不仅仅是合规”的核心价值,从用户自身业务和安全运维的角度出发,在保证业务安全稳定运行的同时,结合与时俱进的安全防御体系和技术手段,让更多用户从等级保护建设中受益。
1.《三级网络 等级保护三级基本介绍》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《三级网络 等级保护三级基本介绍》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/jiaoyu/1119138.html