❶ 國家安全等級劃分方法,定級對象
2018年6月27日,公安部正式發布《網路安全等級保護條例(徵求意見稿)》(以下稱「《等保條例》」),標志著《網路安全法》(以下稱「《網安法》」)第二十一條所確立的網路安全等級保護制度有了具體的實施依據與有力抓手。《等保條例》共八章七十三條,包括總則、支持與保障、網路的安全保護、涉密網路的安全保護、密碼管理、監督管理、法律責任和附則。相較於2007年實施的《信息安全等級保護管理辦法》(以下稱「《管理辦法》」)所確立的等級保護1.0體系,《等保條例》在國家支持、定級備案、密碼管理等多個方面進行了更新與完善,適應了現階段網路安全的新形勢、新變化以及新技術、新應用發展的要求,標志著等級保護正式邁入2.0時代。
《等保條例》的具體規定
《管理辦法》由公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室共同發布,作為等保1.0體系的核心規定,其法律效力為部門規范性文件。另根據《管理辦法》第一條規定,其制定依據為國務院行政法規《計算機信息系統安全保護條例》。
《等保條例》雖尚在徵求意見稿階段,根據《行政法規制定程序條例》第五條,行政法規的名稱一般稱「條例」,國務院各部門和地方人民政府制定的規章不得稱「條例」,因此,《等保條例》應當屬於行政法規范疇。此外,《等保條例》第一條規定了其制定依據為《網安法》與《保守國家秘密法》。
綜上可知,《管理辦法》為依據行政法規制定的部門規范性文件,而《等保條例》則屬於依據國家法律制定的行政法規,顯然,無論是自身法律效力亦或法律依據的效力位階,等保2.0均優於等保1.0。
等級保護的適用范圍
對於適用范圍,《等保條例》概括性地規定為適用於網路運營者在我國境內建設、運營、維護、使用網路,開展網路安全等級保護以及監督管理工作,而個人及家庭自建自用的網路除外,內容較為簡略。2018年1月19日,全國信息安全標准化技術委員會發布了《信息安全技術網路安全等級保護定級指南2.0(徵求意見稿)》(以下稱「《定級指南2.0》」),為等保的具體適用提供了指引。
等保1.0體系中,《管理辦法》在第十條明確提到信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》(以下稱「《定級指南1.0》」)確定信息系統的安全保護等級。因此,《定級指南2.0》的出台很大程度上得益於《定級指南1.0》的已有規定。
相比《定級指南1.0》將等級保護的對象籠統地定義為信息安全等級保護工作直接作用的具體的信息和信息系統,《定級指南2.0》細化了網路安全等級保護制度定級對象的具體范圍,主要包括基礎信息網路、工業控制系統、雲計算平台、物聯網、使用移動互聯技術的網路、其他網路以及大數據等多個系統平台。另外,作為定級對象的網路還應當滿足三個基本特徵:第一,具有確定的主要安全責任主體;第二,承載相對獨立的業務應用;第三,包含相互關聯的多個資源
根據《定級指南2.0》,定級對象在滿足上述基本特徵後仍需遵循相關要求。對於電信網、廣播電視傳輸網、互聯網等基礎信息網路,應分別依據服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象,而跨省業務專網既可以作為一個整體定級,也可根據區域劃分為若干對象定級。對於工業控制系統,應將現場採集/執行、現場控制和過程式控制制等要素應作為一個整體對象定級,而生產管理要素可以單獨定級。對於雲計算平台,則應區分為服務提供方與租戶方,各自分別作為定級對象。對於物聯網,雖然其包括感知、網路傳輸和處理應用等多種特徵因素,但仍應將以上要素作為一個整體的定級對象,各要素並不單獨定級。採用移動互聯技術的網路與物聯網類似,應將移動終端、移動應用、無線網路等要素與相關有線網路業務系統作為整體對象定級。對於大數據,除安全責任主體相同的平台和應用可以整體定級外,應單獨定級。
網路等級
《等保條例》繼受了《管理辦法》所確立的五級安全保護等級體系,但進一步強化了對公民、法人和其他組織合法權益的保護。《管理辦法》並未在主文中規定當遭受破壞後會對公民、法人和其他組織合法權益產生特別嚴重損害的信息系統應當如何定級,《定級指南1.0》僅在之後定級要素與安保等級關系的表格中顯示上述信息系統應列為第二級,而《等保條例》則進行了相應修改,當等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害時,相應系統應當定為第三級保護對象。具體等級劃分請參照以下表格:
網路安全保護義務
《管理辦法》第五條規定信息系統的運營、使用單位應當依照該辦法及其相關標准規范履行信息安全等級保護的義務和責任,但並未明確對應的義務。作為《網安法》配套法規的《等保條例》則沿襲了《網安法》已有的規定,就網路運營者的一般和特殊安全保護義務、網路產品和服務采購、應急預案制定等進行了詳細的規定。
對於安全保護義務,除《網安法》第二十一條已經明確的內容外,一般網路運營者還應:一、建立安全管理和技術保護制度,建立人員管理、教育培訓、系統安全建設、系統安全運維等制度;二、落實機房安全管理、設備和介質安全管理、網路安全管理等制度,制定操作規范和工作流程;三、在收集使用和處理個人信息時採取保護措施防止其泄露、損毀、篡改、竊取、丟失和濫用;四、落實違法信息發現、阻斷、消除等措施,落實防範違法信息大量傳播、違法犯罪證據滅失等措施;五、落實違法信息發現、阻斷、消除等措施,防範違法信息大量傳播和違法犯罪證據的滅失。第三級以上的網路運營者除上述義務外,還應當著重落實網路安全管理負責人、關鍵崗位技術人員的安全背景審查和持證上崗制度,同時定期開展等級測評工作。
對於網路產品和服務采購,網路運營者應當采購、使用符合國家法律法規和有關標准規范要求的網路產品和服務,第三級以上網路運營者應當採用與其安全保護等級相適應的網路產品和服務,對重要部位使用的網路產品,還應當委託專業測評機構進行專項測試。2017年6月1日生效的《網路關鍵設備和網路安全專用產品目錄(第一批)》與國家認監委等四部門於2018年3月15日發布的《承擔網路關鍵設備和網路安全專用產品安全認證和安全檢測任務機構名錄(第一批)》對網路運營者使用的網路產品的要求進行了詳細的規定,因此建議網路運營者在采購網路產品和服務要求供應商提供專業機構出具的安全認證或檢測證書,以減少運營法律風險。
對於應急預案的制定,第三級以上網路的運營者應當按照國家有關規定,制定網路安全應急預案,定期開展網路安全應急演練。除及時記錄並留存事件數據信息,向公安機關和行業主管部門報告外,網路運營者還應當為重大網路安全事件處置和恢復提供支持和協助。根據工信部《公共互聯網網路安全突發事件應急預案》,報告網路安全事件信息時,還應當說明事件發生時間、初步判定的影響范圍和危害、已採取的應急處置措施和有關建議等。
網路安全保護要求
近年來,隨著人工智慧、大數據、物聯網、雲計算等的快速發展,安全趨勢和形勢的急速變化,2008年發布的《GB/T22239-2008 信息安全技術 信息系統安全等級保護基本要求》(簡稱等保1.0)已經不再適用於當前安全要求。從2015年開始,等級保護的安全要求逐步開始制定2.0標准,包括5個部分:安全通用要求、雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制安全擴展要求。2017年8月,公安部評估中心根據網信辦和安標委的意見將等級保護在編的5個基本要求分冊標准進行了合並形成《網路安全等級保護基本要求》一個標准。等保1.0標准更偏重於對於防護的要求,而等保2.0標准更適應當前網路安全形勢的發展,結合《網安法》中對於持續監測、威脅情報、快速響應類的要求提出了具體的落地措施。
❷ 信息安全風險評估的基本過程包括哪些階段
信息安全風險評估的基本過程主要分為:
1.風險評估准備過程
2.資產識別過程
3.威脅識別過程
4.脆弱性識別過程
5.風險分析過程
信息安全風險評估的概念涉及資產、威脅、脆弱性和風險4個主要因素。信息安全風險評估就是從管理的角度,運用科學的方法和手段,系統分析網路與信息系統所面臨的威脅及存在的脆弱性。評估安全事件一旦發生可能造成的危害程度,提出有針對性地抵禦安全威脅的防護措施,為防範和化解信息安全風險,將風險控制在可以接受的水平,最大限度地保障網路正常運行和信息安全提供科學依據。
❸ 績效評估表自評如何填。
1.評估期間主要工作職責與目標:實事求是地寫,如:部門給你的崗位職責是啥?工作標准(目標)是啥?以及完成情況。2.評估期間還有需改進事項:按照完成情況找差距,如:准確性、時效性還有些不足,今後在這些方面重點改進等。
❹ 簡述網路安全的相關評估標准.
1 我國評價標准
1999年10月經過國家質量技術監督局批准發布的《計算機信息系統安全保護等級劃分准則》將計算機安全保護劃分為以下5個級別。
l 第1級為用戶自主保護級(GB1安全級):它的安全保護機制使用戶具備自主安全保護的能力,保護用戶的信息免受非法的讀寫破壞。
l 第2級為系統審計保護級(GB2安全級):除具備第一級所有的安全保護功能外,要求創建和維護訪問的審計跟蹤記錄,使所有的用戶對自己的行為的合法性負責。
l 第3級為安全標記保護級(GB3安全級):除繼承前一個級別的安全功能外,還要求以訪問對象標記的安全級別限制訪問者的訪問許可權,實現對訪問對象的強制保護。
l 第4級為結構化保護級(GB4安全級):在繼承前面安全級別安全功能的基礎上,將安全保護機制劃分為關鍵部分和非關鍵部分,對關鍵部分直接控制訪問者對訪問對象的存取,從而加強系統的抗滲透能力。
l 第5級為訪問驗證保護級(GB5安全級):這一個級別特別增設了訪問驗證功能,負責仲裁訪問者對訪問對象的所有訪問活動。
我國是國際標准化組織的成員國,信息安全標准化工作在各方面的努力下正在積極開展之中。從20世紀80年代中期開始,自主制定和採用了一批相應的信息安全標准。但是,應該承認,標準的制定需要較為廣泛的應用經驗和較為深入的研究背景。這兩方面的差距,使我國的信息安全標准化工作與國際已有的工作相比,覆蓋的范圍還不夠大,宏觀和微觀的指導作用也有待進一步提高。
2 國際評價標准
根據美國國防部開發的計算機安全標准——可信任計算機標准評價准則(Trusted Computer Standards Evaluation Criteria,TCSEC),即網路安全橙皮書,一些計算機安全級別被用來評價一個計算機系統的安全性。
自從1985年橙皮書成為美國國防部的標准以來,就一直沒有改變過,多年以來一直是評估多用戶主機和小型操作系統的主要方法。其他子系統(如資料庫和網路)也一直用橙皮書來解釋評估。橙皮書把安全的級別從低到高分成4個類別:D類、C類、B類和A類,每類又分幾個級別,如表1-1所示。
表 安全 級 別
類 別
級 別
名 稱
主 要 特 征
D
D
低級保護
沒有安全保護
C
C1
自主安全保護
自主存儲控制
C2
受控存儲控制
單獨的可查性,安全標識
B
B1
標識的安全保護
強制存取控制,安全標識
B2
結構化保護
面向安全的體系結構,較好的抗滲透能力
B3
安全區域
存取監控、高抗滲透能力
A
A
驗證設計
形式化的最高級描述和驗證
D級是最低的安全級別,擁有這個級別的操作系統就像一個門戶大開的房子,任何人都可以自由進出,是完全不可信任的。對於硬體來說,沒有任何保護措施,操作系統容易受到損害,沒有系統訪問限制和數據訪問限制,任何人不需任何賬戶都可以進入系統,不受任何限制可以訪問他人的數據文件。屬於這個級別的操作系統有DOS和Windows 98等。
C1是C類的一個安全子級。C1又稱選擇性安全保護(Discretionary Security Protection)系統,它描述了一個典型的用在UNIX系統上安全級別。這種級別的系統對硬體又有某種程度的保護,如用戶擁有注冊賬號和口令,系統通過賬號和口令來識別用戶是否合法,並決定用戶對程序和信息擁有什麼樣的訪問權,但硬體受到損害的可能性仍然存在。
用戶擁有的訪問權是指對文件和目標的訪問權。文件的擁有者和超級用戶可以改變文件的訪問屬性,從而對不同的用戶授予不通的訪問許可權。
C2級除了包含C1級的特徵外,應該具有訪問控制環境(Controlled Access Environment)權力。該環境具有進一步限制用戶執行某些命令或者訪問某些文件的許可權,而且還加入了身份認證等級。另外,系統對發生的事情加以審計,並寫入日誌中,如什麼時候開機,哪個用戶在什麼時候從什麼地方登錄,等等,這樣通過查看日誌,就可以發現入侵的痕跡,如多次登錄失敗,也可以大致推測出可能有人想入侵系統。審計除了可以記錄下系統管理員執行的活動以外,還加入了身份認證級別,這樣就可以知道誰在執行這些命令。審計的缺點在於它需要額外的處理時間和磁碟空間。
使用附加身份驗證就可以讓一個C2級系統用戶在不是超級用戶的情況下有權執行系統管理任務。授權分級使系統管理員能夠給用戶分組,授予他們訪問某些程序的許可權或訪問特定的目錄。能夠達到C2級別的常見操作系統有如下幾種:
(1)UNIX系統;
(2)Novell 3.X或者更高版本;
(3)Windows NT,Windows 2000和Windows 2003。
B級中有三個級別,B1級即標志安全保護(Labeled Security Protection),是支持多級安全(例如:秘密和絕密)的第一個級別,這個級別說明處於強制性訪問控制之下的對象,系統不允許文件的擁有者改變其許可許可權。
安全級別存在秘密和絕密級別,這種安全級別的計算機系統一般在政府機構中,比如國防部和國家安全局的計算機系統。
B2級,又叫結構保護(Structured Protection)級別,它要求計算機系統中所有的對象都要加上標簽,而且給設備(磁碟、磁帶和終端)分配單個或者多個安全級別。
B3級,又叫做安全域(Security Domain)級別,使用安裝硬體的方式來加強域的安全,例如,內存管理硬體用於保護安全域免遭無授權訪問或更改其他安全域的對象。該級別也要求用戶通過一條可信任途徑連接到系統上。
A級,又稱驗證設計(Verified Design)級別,是當前橙皮書的最高級別,它包含了一個嚴格的設計、控制和驗證過程。該級別包含較低級別的所有的安全特性。
安全級別設計必須從數學角度上進行驗證,而且必須進行秘密通道和可信任分布分析。可信任分布(Trusted Distribution)的含義是:硬體和軟體在物理傳輸過程中已經受到保護,以防止破壞安全系統。橙皮書也存在不足,TCSEC是針對孤立計算機系統,特別是小型機和主機系統。假設有一定的物理保障,該標准適合政府和軍隊,不適合企業,這個模型是靜態的。