❶ 国家安全等级划分方法,定级对象
2018年6月27日,公安部正式发布《网络安全等级保护条例(征求意见稿)》(以下称“《等保条例》”),标志着《网络安全法》(以下称“《网安法》”)第二十一条所确立的网络安全等级保护制度有了具体的实施依据与有力抓手。《等保条例》共八章七十三条,包括总则、支持与保障、网络的安全保护、涉密网络的安全保护、密码管理、监督管理、法律责任和附则。相较于2007年实施的《信息安全等级保护管理办法》(以下称“《管理办法》”)所确立的等级保护1.0体系,《等保条例》在国家支持、定级备案、密码管理等多个方面进行了更新与完善,适应了现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求,标志着等级保护正式迈入2.0时代。
《等保条例》的具体规定
《管理办法》由公安部、国家保密局、国家密码管理局、国务院信息工作办公室共同发布,作为等保1.0体系的核心规定,其法律效力为部门规范性文件。另根据《管理办法》第一条规定,其制定依据为国务院行政法规《计算机信息系统安全保护条例》。
《等保条例》虽尚在征求意见稿阶段,根据《行政法规制定程序条例》第五条,行政法规的名称一般称“条例”,国务院各部门和地方人民政府制定的规章不得称“条例”,因此,《等保条例》应当属于行政法规范畴。此外,《等保条例》第一条规定了其制定依据为《网安法》与《保守国家秘密法》。
综上可知,《管理办法》为依据行政法规制定的部门规范性文件,而《等保条例》则属于依据国家法律制定的行政法规,显然,无论是自身法律效力亦或法律依据的效力位阶,等保2.0均优于等保1.0。
等级保护的适用范围
对于适用范围,《等保条例》概括性地规定为适用于网络运营者在我国境内建设、运营、维护、使用网络,开展网络安全等级保护以及监督管理工作,而个人及家庭自建自用的网络除外,内容较为简略。2018年1月19日,全国信息安全标准化技术委员会发布了《信息安全技术网络安全等级保护定级指南2.0(征求意见稿)》(以下称“《定级指南2.0》”),为等保的具体适用提供了指引。
等保1.0体系中,《管理办法》在第十条明确提到信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》(以下称“《定级指南1.0》”)确定信息系统的安全保护等级。因此,《定级指南2.0》的出台很大程度上得益于《定级指南1.0》的已有规定。
相比《定级指南1.0》将等级保护的对象笼统地定义为信息安全等级保护工作直接作用的具体的信息和信息系统,《定级指南2.0》细化了网络安全等级保护制度定级对象的具体范围,主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。另外,作为定级对象的网络还应当满足三个基本特征:第一,具有确定的主要安全责任主体;第二,承载相对独立的业务应用;第三,包含相互关联的多个资源
根据《定级指南2.0》,定级对象在满足上述基本特征后仍需遵循相关要求。对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象,而跨省业务专网既可以作为一个整体定级,也可根据区域划分为若干对象定级。对于工业控制系统,应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,而生产管理要素可以单独定级。对于云计算平台,则应区分为服务提供方与租户方,各自分别作为定级对象。对于物联网,虽然其包括感知、网络传输和处理应用等多种特征因素,但仍应将以上要素作为一个整体的定级对象,各要素并不单独定级。采用移动互联技术的网络与物联网类似,应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。对于大数据,除安全责任主体相同的平台和应用可以整体定级外,应单独定级。
网络等级
《等保条例》继受了《管理办法》所确立的五级安全保护等级体系,但进一步强化了对公民、法人和其他组织合法权益的保护。《管理办法》并未在主文中规定当遭受破坏后会对公民、法人和其他组织合法权益产生特别严重损害的信息系统应当如何定级,《定级指南1.0》仅在之后定级要素与安保等级关系的表格中显示上述信息系统应列为第二级,而《等保条例》则进行了相应修改,当等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害时,相应系统应当定为第三级保护对象。具体等级划分请参照以下表格:
网络安全保护义务
《管理办法》第五条规定信息系统的运营、使用单位应当依照该办法及其相关标准规范履行信息安全等级保护的义务和责任,但并未明确对应的义务。作为《网安法》配套法规的《等保条例》则沿袭了《网安法》已有的规定,就网络运营者的一般和特殊安全保护义务、网络产品和服务采购、应急预案制定等进行了详细的规定。
对于安全保护义务,除《网安法》第二十一条已经明确的内容外,一般网络运营者还应:一、建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;二、落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程;三、在收集使用和处理个人信息时采取保护措施防止其泄露、损毁、篡改、窃取、丢失和滥用;四、落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;五、落实违法信息发现、阻断、消除等措施,防范违法信息大量传播和违法犯罪证据的灭失。第三级以上的网络运营者除上述义务外,还应当着重落实网络安全管理负责人、关键岗位技术人员的安全背景审查和持证上岗制度,同时定期开展等级测评工作。
对于网络产品和服务采购,网络运营者应当采购、使用符合国家法律法规和有关标准规范要求的网络产品和服务,第三级以上网络运营者应当采用与其安全保护等级相适应的网络产品和服务,对重要部位使用的网络产品,还应当委托专业测评机构进行专项测试。2017年6月1日生效的《网络关键设备和网络安全专用产品目录(第一批)》与国家认监委等四部门于2018年3月15日发布的《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)》对网络运营者使用的网络产品的要求进行了详细的规定,因此建议网络运营者在采购网络产品和服务要求供应商提供专业机构出具的安全认证或检测证书,以减少运营法律风险。
对于应急预案的制定,第三级以上网络的运营者应当按照国家有关规定,制定网络安全应急预案,定期开展网络安全应急演练。除及时记录并留存事件数据信息,向公安机关和行业主管部门报告外,网络运营者还应当为重大网络安全事件处置和恢复提供支持和协助。根据工信部《公共互联网网络安全突发事件应急预案》,报告网络安全事件信息时,还应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议等。
网络安全保护要求
近年来,随着人工智能、大数据、物联网、云计算等的快速发展,安全趋势和形势的急速变化,2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求》(简称等保1.0)已经不再适用于当前安全要求。从2015年开始,等级保护的安全要求逐步开始制定2.0标准,包括5个部分:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求。2017年8月,公安部评估中心根据网信办和安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《网络安全等级保护基本要求》一个标准。等保1.0标准更偏重于对于防护的要求,而等保2.0标准更适应当前网络安全角势的发展,结合《网安法》中对于持续监测、威胁情报、快速响应类的要求提出了具体的落地措施。
❷ 信息安全风险评估的基本过程包括哪些阶段
信息安全风险评估的基本过程主要分为:
1.风险评估准备过程
2.资产识别过程
3.威胁识别过程
4.脆弱性识别过程
5.风险分析过程
信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。信息安全风险评估就是从管理的角度,运用科学的方法和手段,系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度,提出有针对性地抵御安全威胁的防护措施,为防范和化解信息安全风险,将风险控制在可以接受的水平,最大限度地保障网络正常运行和信息安全提供科学依据。
❸ 绩效评估表自评如何填。
1.评估期间主要工作职责与目标:实事求是地写,如:部门给你的岗位职责是啥?工作标准(目标)是啥?以及完成情况。2.评估期间还有需改进事项:按照完成情况找差距,如:准确性、时效性还有些不足,今后在这些方面重点改进等。
❹ 简述网络安全的相关评估标准.
1 我国评价标准
1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。
l 第1级为用户自主保护级(GB1安全级):它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。
l 第2级为系统审计保护级(GB2安全级):除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。
l 第3级为安全标记保护级(GB3安全级):除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制保护。
l 第4级为结构化保护级(GB4安全级):在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。
l 第5级为访问验证保护级(GB5安全级):这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。
我国是国际标准化组织的成员国,信息安全标准化工作在各方面的努力下正在积极开展之中。从20世纪80年代中期开始,自主制定和采用了一批相应的信息安全标准。但是,应该承认,标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面的差距,使我国的信息安全标准化工作与国际已有的工作相比,覆盖的范围还不够大,宏观和微观的指导作用也有待进一步提高。
2 国际评价标准
根据美国国防部开发的计算机安全标准——可信任计算机标准评价准则(Trusted Computer Standards Evaluation Criteria,TCSEC),即网络安全橙皮书,一些计算机安全级别被用来评价一个计算机系统的安全性。
自从1985年橙皮书成为美国国防部的标准以来,就一直没有改变过,多年以来一直是评估多用户主机和小型操作系统的主要方法。其他子系统(如数据库和网络)也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成4个类别:D类、C类、B类和A类,每类又分几个级别,如表1-1所示。
表 安全 级 别
类 别
级 别
名 称
主 要 特 征
D
D
低级保护
没有安全保护
C
C1
自主安全保护
自主存储控制
C2
受控存储控制
单独的可查性,安全标识
B
B1
标识的安全保护
强制存取控制,安全标识
B2
结构化保护
面向安全的体系结构,较好的抗渗透能力
B3
安全区域
存取监控、高抗渗透能力
A
A
验证设计
形式化的最高级描述和验证
D级是最低的安全级别,拥有这个级别的操作系统就像一个门户大开的房子,任何人都可以自由进出,是完全不可信任的。对于硬件来说,没有任何保护措施,操作系统容易受到损害,没有系统访问限制和数据访问限制,任何人不需任何账户都可以进入系统,不受任何限制可以访问他人的数据文件。属于这个级别的操作系统有DOS和Windows 98等。
C1是C类的一个安全子级。C1又称选择性安全保护(Discretionary Security Protection)系统,它描述了一个典型的用在UNIX系统上安全级别。这种级别的系统对硬件又有某种程度的保护,如用户拥有注册账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权,但硬件受到损害的可能性仍然存在。
用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性,从而对不同的用户授予不通的访问权限。
C2级除了包含C1级的特征外,应该具有访问控制环境(Controlled Access Environment)权力。该环境具有进一步限制用户执行某些命令或者访问某些文件的权限,而且还加入了身份认证等级。另外,系统对发生的事情加以审计,并写入日志中,如什么时候开机,哪个用户在什么时候从什么地方登录,等等,这样通过查看日志,就可以发现入侵的痕迹,如多次登录失败,也可以大致推测出可能有人想入侵系统。审计除了可以记录下系统管理员执行的活动以外,还加入了身份认证级别,这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理时间和磁盘空间。
使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组,授予他们访问某些程序的权限或访问特定的目录。能够达到C2级别的常见操作系统有如下几种:
(1)UNIX系统;
(2)Novell 3.X或者更高版本;
(3)Windows NT,Windows 2000和Windows 2003。
B级中有三个级别,B1级即标志安全保护(Labeled Security Protection),是支持多级安全(例如:秘密和绝密)的第一个级别,这个级别说明处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。
安全级别存在秘密和绝密级别,这种安全级别的计算机系统一般在政府机构中,比如国防部和国家安全局的计算机系统。
B2级,又叫结构保护(Structured Protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。
B3级,又叫做安全域(Security Domain)级别,使用安装硬件的方式来加强域的安全,例如,内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。
A级,又称验证设计(Verified Design)级别,是当前橙皮书的最高级别,它包含了一个严格的设计、控制和验证过程。该级别包含较低级别的所有的安全特性。
安全级别设计必须从数学角度上进行验证,而且必须进行秘密通道和可信任分布分析。可信任分布(Trusted Distribution)的含义是:硬件和软件在物理传输过程中已经受到保护,以防止破坏安全系统。橙皮书也存在不足,TCSEC是针对孤立计算机系统,特别是小型机和主机系统。假设有一定的物理保障,该标准适合政府和军队,不适合企业,这个模型是静态的。