前言
从多角度了解目前国家的网络安全态势、战略、方针政策是我们网络安全从业者的必修课,也是国家对各行各业需要共同参与、共同建设和同步防护的要求,本文从等保、分保、关保、密评四个层面介绍他们的区别与联系,让大家对等保、分保、关保、密评相关内容有基本的了解。本文将从以下七个层面概述等保、分保、关保、密评相关内容:1.认识网络安全;2.等保、分保、关保、密评概述;3.等保、分保、关保、密评的联系与区别;4.等保、分保、关保、密评的工作流程;5.等保、分保、关保、密评的网络安全防护方案;6.国家实施等保、分保、关保、密评的意义;7.等保、分保、关保、密评参考依据。
认识网络安全
网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,并保障网络数据的完整性、保密性、可用性的能力。
各行各业可通过以下两个网络安全模型实现自身的网络安全合规,满足基本要求。
等保、分保、关保、密评概述
1.什么是网络安全等级保护?
网络安全等级保护简称等保,是指对国家重要信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的不涉及秘密的信息系统,分不同等级实行网络安全等级保护,等级由低到高分为一级、二级、三级、四级和五级。
2.什么是涉密系统分级保护?
涉密系统分级保护简称分保,是指涉密信息系统分等级实施保护,保密工作部门根据涉及信息系统的保护等级实施监督管理,确保系统和信息在存储、传输、处理、使用过程中的安全。
3.什么是关键信息基础设施保护?
关键信息基础设施保护简称关保,是指对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要领域,关系国家安全、国计民生、公共利益的关键信息基础设施在等保基础上实行重点保护。
4.什么是商用密码应用安全性评估?
商用密码应用安全性评估简称密评,是指采用商用密码技术、产品和服务集成建设网络和信息系统中,对其密码应用的合规性、正确性、有效性等进行评估。
等保、分保、关保、密评的联系与区别
1.什么是网络安全等级保护?
联系:等保、分保、密评都属于《中华人民共和国网络安全法》中要求的“网络安全等级保护制度”中的一部分,三者都是网络安全运营者应履行的责任和义务。等保是关保的基础,关键信息基础设施是等级保护的重点防护对象。等保是支撑国家网络安全的基本制度和开展关保和密评的基础。从技术层面来说都涉及到信息在网络安全中的不可否认性、合规性、保密性、完整性、可控性等特性。
等保、分保、密评、分保的包含关系如下图:
区别:等保是针对不涉及国家秘密的系统,而分保针对的是涉及国家秘密的系统。等保侧重于整个信息系统的安全性,分保侧重于安全保密。关保强调数据安全,密评强调密码应用的安全性。四者的责任单位和工作流程也有所不同。
等保、分保、关保、密评的工作流程
等保的工作流程
等保的实施流程分为5个环节:系统定级、备案、建设整改、等级测评和监督检查。
密评的工作流程
分保的工作流程
关保的工作流程
等保、分保、关保、密评的网络安全防护方案
等保网络安全防护方案
防护方案需以《网络安全等级保护基本要求》、《网络安全等级保护安全设计技术要求》等国家标准文件为基准,结合行业特性要求、监管单位要求、用户提出的额外安全需求进行系统性方案设计。在满足相应等级安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心及管理部分要求基础上,Zui大程度发挥安全措施的保护能力。
密评网络安全防护方案
关保网络安全防护方案
方案由每一个重保涉及多个信息系统构成,需要将同类型关基系统进行整合,构建出工业控制、大数据、门户、移动应用、数据中心、云计算、重点生产系统等关基体系,每一个体系构建集中的安全防护平台,并根据需要设计基于专网的安全防护以及态势感知预警。
国家实施等保、分保、关保、密评的意义
等保、分保、关保、密评都是根据《中华人民共和国网络安全法》、《中华人民共和国密码法》、《关键信息基础设施安全保护条例》等相关法律法规的要求而开展的工作,是网络运营者履行法律责任和义务的体现。如果不按照规定进行密评和等保测评,可能会面临xingzhengchufa、民事赔偿或刑事追究。等保、分保、关保、密评测评都是通过专业的技术手段和方法,对网络系统的安全性能、风险状况、防护措施进行检查、分析、评价,从而发现并消除潜在的安全隐患,提高网络系统的安全防护能力,防止或减少因网络攻击、数据泄露、恶意篡改等造成的损失。等保、分保、关保、密评测评都是通过第三方quanwei机构的客观、公正、专业的审查与认证,为网络系统提供了一种可信度标识,增强了用户对网络系统安全性能、数据保密性、服务质量等方面的信任感,促进了网络系统与用户之间、不同网络系统之间、不同地区之间的互联互通与合作。我国主要从加强顶层设计和政策引导、强化基础设施建设、提高风险防控能力、加强网络安全宣传教育、加强国际合作完善法律法规、推动科技创新、加强网络安全应急处置等八个层面强化我国网络安全。
参考依据
《中华人民共和国网络安全法》
GB/T 17859-1999《计算机信息系统安全保护等级划分准则》
GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》
GB/T 22240-2020《信息安全技术网络安全等级保护定级指南》
GB/T 25058-2019《信息安全技术网络安全等级保护实施指南》
GB/T 25070-2019《信息安全技术网络安全等级保护安全设计技术要求》
GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》
GB/T 28449-2018《信息安全技术网络安全等级保护测评过程指南》
GB/T 36958-2018《信息安全技术网络安全等级保护安全管理中心技术要求》
T/ISEAA001-2020《网络安全等级保护测评高风险判定指引》
T/ISEAA002-2021《信息安全技术网络安全等级保护大数据基本要求》
T/ISEAA004-2023《网络安全等级保护容器安全要求》
《中华人民共和国密码法》
《商用密码管理条例》
《商用密码应用安全性评估管理办法》
GB/T 39786-2021《信息系统密码应用基本要求》
GB/T 43206-2023《信息系统密码应用测评要求》
GB/T 43207-2023《信息系统密码应用设计指南》
GM/T 0116-2021《信息系统密码应用测评过程指南》
GB/T 37092-2018《信息安全技术密码模块安全要求》
《信息系统密码应用高风险判定指引》(密评联委会2021版)
《商用密码应用安全性评估量化评估规则》(密评联委会2023版)
《贯彻落实网络安全等保制度和关保制度的指导意见》(公网安[2020]1960号)
《涉及国家秘密的信息系统分级保护管理办法》
《中华人民共和国保守国家秘密法》
