1、网络安全法与等级保护12022-12-1一、网络安全法二、信息安全等级保护目 录212/1/2022一、网络安全法312/1/2022制定网络安全法的意义 网络安全法是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。网络安全法将近年来一些成熟的好做法制度化,并为将来可能的制度创新做了原则性规定,为网络安全工作提供切实法律保障。42022-12-11、总体框架 共7章79条。第一章总则第二章网络安全支持与促进第三章网络运行安全 第一节一般规定 第二节关键信息基础设施的运行安全
2、第四章网络信息安全 第五章监测预警与应急处置 第六章法律责任第七章附 则(一)综述52022-12-12、定位是互联网领域、网络安全的基础性法律。是党的十八大以来的又一部重要法律。3、制定过程2013年下半年提上日程,2014年形成草案,15年初形成征求意见稿,15年6月一审,16年6月二审、10月31日三审、11月7日人大通过,2017年6月1日起施行。154票赞成、0票反对、1票弃权。62022-12-1 确立了网络安全法律规范的基本原则 明确了网络安全工作的重点 提出制定网络安全战略,明确网络空间治理目标 完善了网络安全监管体制 强化了网络运行安全,重点保护关键信息基础设施 完善了网络安
3、全义务和责任 将监测预警与应急处置措施制度化、规范化制定网络安全法的意义72022-12-15、有关概念网络:是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。网络安全:是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。82022-12-1 网络运营者:是指网络的所有者、管理者和网络服务提供者。网络数据:是指通过网络收集、存储、传输、处理和产生的各种电子数据。个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自
4、然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。912/1/2022第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务。第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行
5、一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。(等级测评)网络安全等级保护制度(上升为法律)102022-12-1 (1)安全风险评估要求 具体内容:应当自行或者委托网络安全服务机构对其网络的安全性和可能风险每年至少1次检测评估;检测评估情况和改进措施报送相关负责部门。法律责任:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10-100万罚款,对直接负责的主管人员处1-10万罚款。网络安全法要求及处罚112022-12-1(2)网络安全等级保护要求 具体内容:制度建设与负责人;安全防范技术措施;不少于6个月的安全日志;数据分
6、类与备份加密。法律责任:责令改正及警告;警告不改罚款公司1-10万,主管5千-5万。网络安全法要求及处罚122022-12-1(3)安全技术措施同步要求 具体内容:建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。法律责任:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。网络安全法要求及处罚132022-12-1(4)采购安全保密要求具体内容:采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
7、法律责任:责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10-100万罚款,对直接负责的主管人员处1-10万罚款。网络安全法要求及处罚142022-12-1(5)信息与数据境内存储及跨境数据传输的安全评估要求 具体内容:境内运营中收集和产生的个人信息和重要数据应当在境内存储;需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。法律责任:责令改正,给予警告,没收违法所得;处 5-50万罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责主管和直接责任人处1-10万罚款。网络安全法要求及处罚152022-12-1(
8、6)应急预案要求 具体内容:制定网络安全事件应急预案;在发生危害网络安全的事件时,立即启动应急预案;按照规定向有关主管部门报告。法律责任:责令改正及警告;警告不改罚款 公司1-10万,主管5千-5万。网络安全法要求及处罚162022-12-1 根据根据网络安全法网络安全法第六章第六章-法律责任相关条款解释:本法律处罚力度空前严格,处法律责任相关条款解释:本法律处罚力度空前严格,处罚不仅涉及到企业,而且涉及到法人、管理人员、一般员工等多个层面;既有经济处罚,罚不仅涉及到企业,而且涉及到法人、管理人员、一般员工等多个层面;既有经济处罚,也有行政处罚。也有行政处罚。对于违法问题有关主管部门责令改正,
9、给予警告;拒不改正或者情节严重的,处一万元以上一百万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上十万元以下罚款。尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。依照有关法律、行政法规的规定记入信用档案,并予以公示。1712/
10、1/2022 网络安全法网络安全法自自20172017年年6 6月月1 1日正式实施,网络安全等级保护制度已经上升为日正式实施,网络安全等级保护制度已经上升为法律规定的强制义务,这是我国自法律规定的强制义务,这是我国自19941994年发布实施年发布实施中华人民共和国计算机信息中华人民共和国计算机信息系统保护条例系统保护条例将将“等级保护等级保护”明确为我国计算机安全保护的根本制度以来,首明确为我国计算机安全保护的根本制度以来,首次将其写入法律。次将其写入法律。从实施以来已经处罚腾讯微信、新浪微博、百度贴吧、从实施以来已经处罚腾讯微信、新浪微博、百度贴吧、bossboss直聘、京东、淘宝直聘、
11、京东、淘宝网、虾米音乐网、蘑菇街互动网等上百家的企事业单位。网、虾米音乐网、蘑菇街互动网等上百家的企事业单位。对于违反对于违反网络安全法网络安全法的处罚视情节严重,处罚措施分为:的处罚视情节严重,处罚措施分为:1 1、责令改正,给予警告;、责令改正,给予警告;2 2、拒不改正或者导致危害网络安全等后果的,对企业处、拒不改正或者导致危害网络安全等后果的,对企业处1-1001-100万罚款,对直接负万罚款,对直接负责的主管责的主管员和其他直接责任人员处员和其他直接责任人员处1-101-10万罚款;万罚款;3 3、并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊、并可以责令暂停相
12、关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。销营业执照。1812/1/2022二、信息安全等级保护1912/1/2022信息安全等级保护定义 信息安全等级保护管理办法(试行):信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护管理办法国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。2020
13、22-12-1 第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益造成一定损害,但不损害国家安全、社会秩序和公共利益。第二级为指导保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。划分准则-GB 17859-1999 第三级为监督保护级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级为强制保护级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级为专控保护级,适用于涉及国家安全的重要信息和
14、信息系统的核心子系统,其受到破坏后,会对国家安全造成特别严重损害。212022-12-1实施指南GB/T 25058-2010等级保护实施过程基本原则主要过程及其活动角色、职责基本流程等级变更局部调整信息系统定级总体安全规划安全设计与实施安全运行维护信息系统终止国家管理部门信息系统主管部门信息系统运营、使用单位信息安全服务机构信息安全等级测评机构信息安全产品供应商22222022-12-1等级保护之十大标准 基础类 计算机信息系统安全保护等级划分准则GB 17859-1999 信息系统安全等级保护实施指南GB/T 25058-2010 应用类 定级:信息系统安全保护等级定级指南GB/T 222
15、40-2008 建设:信息系统安全等级保护基本要求GB/T 22239-2008 信息系统通用安全技术要求GB/T 20271-2006 信息系统等级保护安全设计技术要求GB/T 25070-2010 测评:信息系统安全等级保护测评要求GB/T 28448-2012 信息系统安全等级保护测评过程指南 GB/T 28449-2012 管理:信息系统安全管理要求GB/T 20269-2006 信息系统安全工程管理要求GB/T 20282-2006 23232022-12-17、系统服务安全等级等级保护定级指南GB/T 22240保护对象受到破坏时受侵害的客体保护对象受到破坏时受侵害的客体对客体的侵
16、害程度对客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重损害公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级等级保护定级方法等级保护定级方法保护对象保护对象对客体的侵害程度对客体的侵害程度客体:社会关系客体:社会关系受侵害的客体受侵害的客体信息系统安全信息系统安全系统服务安全系统服务安全业务信息安全业务信息安全3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度
17、5、确定系统服务安全受到破坏时所侵害的客体4、业务信息安全等级8、定级对象的安全保护等级8MAX(4,7)1、确定定级对象(系统边界)一般流程一般流程等级确定等级确定24242022-12-1安全保护等级信息系统定级结果的组合第一级S1A1G1第二级S1A2G2,S2A2G2,S2A1G2第三级S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四级S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4第五级S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A4G5,S5A3G5,S5A2G5,S5A1G5基本保护要求(最低
18、)保护能力对抗能力恢复能力技术要求管理要求物理、网络、主机、应用、数据制度、机构、人员、建设、运维纵深防御、互补关联、强度一致、平台统一、集中安管业务信息安全类要求 S系统服务保证类要求 A通用安全保护类要求 G整体安全保护能力关键控制点安全类具体要求项控制强度基本保护要求(最低)保护能力对抗能力恢复能力物理、网络、主机、应用、数据制度、机构、人员、建设、运维纵深防御、互补关联、强度一致、平台统一、集中安管通用安全保护类要求 G关键控制点安全类252022-12-1等级保护的内容十个方面业务安全物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理
19、系统建设管理系统运维管理262022-12-1272022-12-1安全要求类安全要求类层面层面一级一级二级二级三级三级四级四级技术要求技术要求物理安全物理安全9 9191932323333网络安全网络安全9 9181833333232主机安全主机安全6 6191932323636应用安全应用安全7 7191931313636数据安全及备份恢复数据安全及备份恢复2 24 48 811 11管理要求管理要求安全管理制度安全管理制度3 37 711 111414安全管理机构安全管理机构4 49 920202020人员安全管理人员安全管理7 711 1116161818系统建设管理系统建设管理202
20、0282845454848系统运维管理系统运维管理1818414162627070合计合计/8585175175290290318318级差级差/90901151152828控制项28基本要求基本要求GB/T 22239GB/T 22239282022-12-1物理位置的选择物理位置的选择基本防护能力高层、地下室高层、地下室物理访问控制物理访问控制基本出入控制分区域管理分区域管理在机房中的活动电子门禁电子门禁防盗窃和防破坏防盗窃和防破坏存放位置、标记标识监控报警系统监控报警系统防雷击防雷击建筑防雷、机房接地设备防雷设备防雷防火防火灭火设备、自动报警自动消防系统自动消防系统区域隔离措施区域隔离措
21、施防防静电静电关键设备主要设备主要设备防静电地板防静电地板电力供应电力供应稳定电压、短期供应主要设备主要设备冗余冗余/并行线路并行线路备用供电系统备用供电系统电磁防护电磁防护线缆隔离接地防干扰接地防干扰电磁屏蔽电磁屏蔽防水和防潮防水和防潮温湿度控制温湿度控制物理安全的整改要点292022-12-1结构安全结构安全关键设备冗余空间主要设备冗余空间主要设备冗余空间访问控制访问控制访问控制设备(用户、网段)应用层协议过滤应用层协议过滤拨号访问限制会话终止会话终止安全审计安全审计日志记录审计报表审计报表边界完整性检查边界完整性检查内部的非法联出非授权设备私自外联非授权设备私自外联网络安全的整改要点子网
22、/网段控制核心网络带宽整体网络带宽整体网络带宽重要网段部署重要网段部署路由控制路由控制带宽分配优先级带宽分配优先级端口控制端口控制最大流量数及最大连接数最大流量数及最大连接数防止地址欺骗防止地址欺骗审计记录的保护审计记录的保护定位及阻断定位及阻断入侵防范入侵防范检测常见攻击记录、报警记录、报警恶意代码防范恶意代码防范网络边界处防范网络边界处防范网络设备防护网络设备防护基本的登录鉴别组合鉴别技术组合鉴别技术特权用户的权限分离特权用户的权限分离302022-12-1身份鉴别身份鉴别基本的身份鉴别访问控制访问控制安全策略管理用户的权限分离管理用户的权限分离特权用户的权限分离安全审计安全审计服务器基本
23、运行情况审计审计报表审计报表剩余信息保护剩余信息保护空间释放及信息清除主机安全的整改要点组合鉴别技术组合鉴别技术敏感标记的设置及操作审计记录的保护审计记录的保护入侵防范入侵防范最小安装原则重要服务器:检测、记录、报警重要服务器:检测、记录、报警恶意代码防范恶意代码防范主机与网络的防范产品不同主机与网络的防范产品不同资源控制资源控制监视重要服务器监视重要服务器最小服务水平的检测及报警最小服务水平的检测及报警重要客户端的审计重要客户端的审计升级服务器重要程序完整性重要程序完整性防恶意代码软件、代码库统一管理对用户会话数及终端登录的限制312022-12-1身份鉴别身份鉴别基本的身份鉴别访问控制访问
24、控制安全策略最小授权原则安全审计安全审计运行情况审计(用户级)审计报表审计报表剩余信息保护剩余信息保护空间释放及信息清除应用安全的整改要点组合鉴别技术组合鉴别技术敏感标记的设置及操作审计过程的保护审计过程的保护通信完整性通信完整性校验码技术密码技术密码技术软件容错软件容错自动保护功能资源控制资源控制资源分配限制、资源分配优先级资源分配限制、资源分配优先级最小服务水平的检测及报警最小服务水平的检测及报警数据有效性检验、部分运行保护对用户会话数及 系统最大并发会话数的限制审计记录的保护通信保密性通信保密性初始化验证整个报文及会话过程加密整个报文及会话过程加密敏感信息加密抗抵赖抗抵赖322022-1
25、2-1数据完整性数据完整性鉴别数据传输的完整性备份和恢复备份和恢复重要数据的备份数据安全及备份恢复的整改要点各类数据传输及存储各类数据传输及存储异地备份异地备份网络冗余、硬件冗余网络冗余、硬件冗余本地完全备份本地完全备份硬件冗余检测和恢复数据保密性数据保密性鉴别数据存储的保密性各类数据的传输及存储各类数据的传输及存储每天每天1次次备份介质场外存放备份介质场外存放332022-12-1合理分域,准确定级合理分域,准确定级 信息系统等级保护以系统所处理信息的最高重要程度来确定安全等级 在合理划分安全域边界安全可控的情况下,各安全域可根据信息的最高重要程度单独定级,实施“分域分级防护”的策略,从而降
26、低系统建设成本和管理风险 信息系统安全域之间的边界应划分明确,安全域与安全域之间的所有数据通信都应安全可控 对于不同等级的安全域间通信,应实施有效的访问控制策略和机制,控制高密级信息由高等级安全域流向低等级安全域。342022-12-1安全域(第3级)安全域(第2级)监督保护级网络监督保护级网络安全域(第3级)安全域(第2级)安全域(第2级)禁止高敏感级信息由高等级安全域流向低等级安全域分域分级防护示意352022-12-1等级保护相关的等级保护相关的体系架构体系架构362022-12-13第一层第一层安全方针策略安全方针策略第二层第二层安全管理制度安全管理制度第三层第三层技术标准、规范技术标
27、准、规范第四层第四层流程、表单、记录流程、表单、记录信息安全方针策略,总体安全,说明机构安全信息安全方针策略,总体安全,说明机构安全工作的总体目标、范围、原则和安全框架等。工作的总体目标、范围、原则和安全框架等。对安全管理活动中的各类管理内容建立安全管对安全管理活动中的各类管理内容建立安全管理制度,约束管理行为。理制度,约束管理行为。规范安全管理制度的具体技术实现细节,对管规范安全管理制度的具体技术实现细节,对管理人员或操作人员执行的日常管理操作建立操理人员或操作人员执行的日常管理操作建立操作规程。作规程。安全制度、规范实施时所需履行的流程,及需安全制度、规范实施时所需履行的流程,及需填写的表
28、单,用于记录数据、监控实施。填写的表单,用于记录数据、监控实施。372022-12-1安全管理测评实施安全管理测评实施-安全管理制度安全管理制度3 安全管理制度(三级)管理制度制定和发布评审和修订382022-12-1安全管理测评实施安全管理测评实施-安全管理机构安全管理机构 安全管理机构(三级)岗位设置人员配备授权和审批沟通和合作审核和检查392022-12-1 人员安全管理(三级)人员考核安全意识教育和培训外 部 人 员 访 问 管 理人员离岗人员录用402022-12-1 系统建设管理(三级)系统交付系统备案等级测评安全服务商选择测试验收工程实施外包软件开发自行软件开发产品采购安全方案设计系统定级412022-12-1 系统运维管理(三级)环境管理资产管理介质管理设备管理监控和管理中心网络安全管理系统安全管理恶意代码防范管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理422022-12-1介绍完毕432022-12-1
