网络安全法与等级保护

网络安全法与等级保护一、网络安全法二、信息安全等级保护目录一、网络安全法制定网络安全法的意义《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，是依法治网、化解网络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障。《网络安全法》将近年来一些成熟的好做法制度化，并为将来可能的制度创新做了原则性规定，为网络安全工作提供切实法律保障。1、总体框架共7章79条。第一章总则第二章网络安全支持与促进第三章网络运行安全第一节一般规定第二节关键信息基础设施的运行安全第四章网络信息安全第五章监测预警与应急处置第六章法律责任第七章附则（一）综述2、定位是互联网领域、网络安全的基础性法律。是党的十八大以来的又一部重要法律。3、制定过程2013年下半年提上日程，2014年形成草案，15年初形成征求意见稿，15年6月一审，16年6月二审、10月31日三审、11月7日人大通过，2017年6月1日起施行。154票赞成、0票反对、1票弃权。确立了网络安全法律规范的基本原则明确了网络安全工作的重点提出制定网络安全战略，明确网络空间治理目标完善了网络安全监管体制强化了网络运行安全，重点保护关键信息基础设施完善了网络安全义务和责任将监测预警与应急处置措施制度化、规范化制定网络安全法的意义5、有关概念网络：是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。网络安全：是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。网络运营者：是指网络的所有者、管理者和网络服务提供者。网络数据：是指通过网络收集、存储、传输、处理和产生的各种电子数据。个人信息：是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务。第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。（等级测评）网络安全等级保护制度（上升为法律）（1）安全风险评估要求①具体内容：应当自行或者委托网络安全服务机构对其网络的安全性和可能风险每年至少1次检测评估；检测评估情况和改进措施报送相关负责部门。②法律责任：由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10-100万罚款，对直接负责的主管人员处1-10万罚款。网络安全法要求及处罚（2）网络安全等级保护要求①具体内容：制度建设与负责人；安全防范技术措施；不少于6个月的安全日志；数据分类与备份加密。②法律责任：责令改正及警告；警告不改罚款公司1-10万，主管5千-5万。网络安全法要求及处罚（3）安全技术措施同步要求①具体内容：建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。②法律责任：由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。网络安全法要求及处罚（4）采购安全保密要求①具体内容:采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。②法律责任：责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10-100万罚款，对直接负责的主管人员处1-10万罚款。网络安全法要求及处罚（5）信息与数据境内存储及跨境数据传输的安全评估要求①具体内容:境内运营中收集和产生的个人信息和重要数据应当在境内存储；需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。②法律责任：责令改正，给予警告，没收违法所得；处5-50万罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责主管和直接责任人处1-10万罚款。网络安全法要求及处罚（6）应急预案要求①具体内容：制定网络安全事件应急预案；在发生危害网络安全的事件时，立即启动应急预案；按照规定向有关主管部门报告。②法律责任：责令改正及警告；警告不改罚款公司1-10万，主管5千-5万。网络安全法要求及处罚二、信息安全等级保护信息安全等级保护定义•《信息安全等级保护管理办法（试行）》：信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。•《信息安全等级保护管理办法》国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益造成一定损害，但不损害国家安全、社会秩序和公共利益。第二级为指导保护级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。划分准则--GB17859-1999第三级为监督保护级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级为强制保护级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级为专控保护级，适用于涉及国家安全的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全造成特别严重损害。实施指南－－GB/T25058-2010等级保护实施过程基本原则主要过程及其活动角色、职责基本流程等级变更局部调整信息系统定级总体安全规划安全设计与实施安全运行维护信息系统终止国家管理部门信息系统主管部门信息系统运营、使用单位信息安全服务机构信息安全等级测评机构信息安全产品供应商20等级保护之十大标准•基础类•《计算机信息系统安全保护等级划分准则》GB17859-1999•《信息系统安全等级保护实施指南》GB/T25058-2010•应用类•定级：《信息系统安全保护等级定级指南》GB/T22240-2008•建设：《信息系统安全等级保护基本要求》GB/T22239-2008《信息系统通用安全技术要求》GB/T20271-2006《信息系统等级保护安全设计技术要求》GB/T25070-2010•测评：《信息系统安全等级保护测评要求》GB/T28448-2012《信息系统安全等级保护测评过程指南》GB/T28449-2012•管理：《信息系统安全管理要求》GB/T20269-2006《信息系统安全工程管理要求》GB/T20282-2006217、系统服务安全等级等级保护定级指南－－GB/T22240保护对象受到破坏时受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级等级保护定级方法保护对象对客体的侵害程度客体：社会关系受侵害的客体信息系统安全系统服务安全业务信息安全3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体4、业务信息安全等级8、定级对象的安全保护等级8＝MAX（4，7）1、确定定级对象（系统边界）一般流程等级确定22安全保护等级信息系统定级结果的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五级S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5基本保护要求（最低）保护能力对抗能力＋恢复能力技术要求＋管理要求物理、网络、主机、应用、数据制度、机构、人员、建设、运维纵深防御、互补关联、强度一致、平台统一、集中安管业务信息安全类要求S系统服务保证类要求A通用安全保护类要求G整体安全保护能力关键控制点安全类具体要求项控制强度基本要求－－GB/T22239基本保护要求（最低）保护能力对抗能力＋恢复能力物理、网络、主机、应用、数据制度、机构、人员、建设、运维纵深防御、互补关联、强度一致、平台统一、集中安管通用安全保护类要求G关键控制点安全类等级保护的内容－十个方面业务安全物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差//9011528控制项26基本要求－－GB/T22239物理位置的选择基本防护能力高层、地下室物理访问控制基本出入控制分区域管理在机房中的活动电子门禁防盗窃和防破坏存放位置、标记标识监控报警系统防雷击建筑防雷、机房接地设备防雷防火灭火设备、自动报警自动消防系统区域隔离措施防静电关键设备主要设备防静电地板电力供应稳定电压、短期供应主要设备冗余/并行线路备用供电系统电磁防护线缆隔离接地防干扰电磁屏蔽防水和防潮温湿度控制物理安全的整改要点结构安全关键设备冗余空间主要设备冗余空间访问控制访问控制设备（用户、网段）应用层协议过滤拨号访问限制会话终止安全审计日志记录审计报表边界完整性检查内部的非法联出非授权设备私自外联网络安全的整改要点子网/网段控制核心网络带宽整体网络带宽重要网段部署路由控制带宽分配优先级端口控制最大流量数及最大连接数防止地址欺骗审计记录的保护定位及阻断入侵防范检测常见攻击记录、报警恶意代码防范网络边界处防范网络设备防护基本的登录鉴别组合鉴别技术特权用户的权限分离身份鉴别基本的身份鉴别访问控制安全策略管理用户的权限分离特权用户的权限分离安全审计服务器基本运行情况审计审计报表剩余信息保护空间释放及信息清除主机安全的整改要点组合鉴别技术敏感标记的设置及操作审计记录的保护入侵防范最小安装原则重要服务器：检测、记录、报警恶意代码防范主机与网络的防范产品不同资源控制监视重要服务器最小服务水平的检测及报警重要客户端的审计升级服务器重要程序完整性防恶意代码软件、代码库统一管理对用户会话数及终端登录的限制身份鉴别基本的身份鉴别访问控制安全策略最小授权原则安全审计运行情况审计（用户级）审计报表剩余信息保护空间释放及信息清除应用安全的整改要点组合鉴别技术敏感标记的设置及操作审计过程的保护通信完整性校验码技术密码技术软件容错自动保护功能资源控制资源分配限制、资源分配优先级最小服务水平的检测及报警数据有效性检验、部分运行保护对用户会话数及系统最大并发会话数的限制审计记录的保护通信保密性初始化验证整个报文及会话过程加密敏感信息加密抗抵赖数据完整性鉴别数据传输的完整性备份和恢复重要数据的备份数据安全及备份恢复的整改要点各类数据传输及存