网络安全防护 第三章_等级保护与关键信息基础设施保护
本文是全系列中第6 / 7篇:网络安全防护
- 计划: 中国网络安全相关政策法规(2021.07更新)
- 中国网络安全相关政策法规
- 网络安全防护概述-前言-1
- 网络安全防护_前言_2
- 网络安全防护_第二章_发展与现状
- 网络安全防护 第三章_等级保护与关键信息基础设施保护
- 第四章 网络安全防护
1. 上一章已经对我国的等级保护和关键信息基础设施保护工作进行了简要的介绍。这章我们就详细分析等级保护和关键信息基础设施保护工作在我国的发展情况和意义。
1994年2月18日,李鹏总理签署的中华人民共和国国务院令 第147号 发布《中华人民共和国计算机信息系统安全保护条例》,共五章三十一条,在第九条规定,计算机信息系统实行安全等级保护。至今算起来已有24个年头,一路走来,等级保护与国家信息化发展相生相伴,从探索到成熟、从各方质疑到达成广泛共识,今天,它已经成为我们国家信息安全领域影响最为深远的保障制度。
自TCSEC开始,计算机系统安全的发展经历了很长时间,各个阶段都有不同的标准和法律,为互联网发展的安全带来了深远影响。TCSEC由美国国防部公布后,逐渐由军用走向了民用。其对计算机系统划分等级的方式,给以后的计算机安全标准指引了方向。欧盟的CC、我国的信息系统等级保护、关键信息基础设施保护,通信网络安全防护等标准和条例均沿用或者发展了此分级方法。
2.先不谈自TCSEC以后西方各国的ta准发展情况,就信息安全等级保护来说,,就信息安全等级保护来说,它将信息系统分为了五级:
(1)第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
(2)第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
(3)第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
(4)第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
(5)第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
3.三级及以上系统在日常管理中可以认为是重要信息系统,需要进行严格的信息系统保护和安全测评。同时,信息系统等级保护还明确了以下基本原则:
(1)自主保护原则:信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
(2)重点保护原则:根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
(3)同步建设原则:信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
(4)动态调整原则:要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
同时,信息系统等级保护还纳入多项标准和管理规范,如《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》、《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准,要求信息系统应同步建设符合该等级要求的信息安全设施,这对于各项标准的贯彻落实有着极其重要的意义。
4.信息系统等级保护作为我国网络安全工作的基本政策,是各个单位发现单位信息系统与国家安全标准之间存在差距的重要依据,从而查明目前系统存在的安全隐患和不足,通过自查整改,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。
随着《网络安全法》的颁布,等级保护也进入了一个新的时代,对等级保护工作也提出了新的要求。新发布的等级保护定级指南和强制性的级别要求都需要大量的工作。除此之外,《网络安全法》还提出了更加重要的一部分内容,那就是对于关键信息基础设施的概念和范围。
在《网络安全法》出台以前,现有法律条文中并没有给出关键信息基础设施的明确概念,在涉及重要或者关键的信息基础设施的保护时经常处于无法可依的状况或者存在相关法规层级较低而无法有力保护的情况。现有法规文件主要从重大基础设施、重点领域网络与信息系统等几个方面做出了规定。
重大基础设施:“《国务院办公厅关于开展重大基础设施安全隐患排查工作的通知》国办发〔2007〕58号”中使用了“重大基础设施”的概念,并列举了公路、铁路、水运交通设施、大型水利设施、大型煤矿、重要电力设施、石油天然气设施、城市基础设施等九种类别。重点领域网络与信息系统:《2012年重点领域网络与信息安全检查总结报告》中指出各重点领域的“重要网络与信息系统”,其中的调查报告则初步列举了我国多个关系国家安全、经济秩序正常运行和社会稳定的“关键网络与信息系统”。初步划定了我国信息安全保障的重点。
根据《网络安全法》的规定,我们可以大体将关键信息基础设施划分为以下五大类:(1)基础信息网络,主要包括广电网、电信网、互联网;(2)重要行业和公共服务领域的重要信息系统,例如核岛控制系统、银联交易系统、智能交通系统、供水管网信息管理系统、社保信息系统等;(3)电子政务,例如电子政务系统、政府门户网站等;(4)国家安全网络,例如军事通信网、军队指挥自动化系统等;(5)用户数量众多的网络服务商系统,例如百度、阿里、腾讯等IT巨头运营的特定网络和系统等。当然,这些分类和范围划分也是研究者们的一些解读,随着相关指导性文件和标准的进一步出台,相关行业领域关键信息基础设施的具体范围也会得到进一步的明确。
《网络安全法》对于关键信息基础设施还明确了三同步原则。三同步原则其实不是《网络安全法》首先提出的,在《安全生产法》、《环境影响评价法》、《网络安全防护管理办法》等相关法律法规和行政文件中,都有类似的规定,也在各行业中经过长期的实施,对于三同步相关规范性得到了保障。所以,在此提出的以“同步规划、同步建设、同步使用”为指导思想,落实执行“谁主管、谁负责”工作原则,在系统生命周期各阶段明确责任部门及安全职责,在全过程中推行安全同步开展,强化安全工作前移,降低运维阶段的服务压力。
“同步规划、同步建设、同步使用”这个指导思想如何理解,参照《安全生产法》二十四条内容,也就是说在新建、改建、扩建工程项目主体工程时,配套的安全设施必须同时设计、同时施工、同时投入生产和运行。具体来说,可以从以下几个方面进行解读:
(1)同步规划,也就是说在业务规划的阶段就要同步提出安全要求和引入安全措施。也就是安全设计要在工程设计时与主体工程同步进行设计。规划的主体和责任部门应该属于工程设计单位和工程建设单位。
(2)同步建设,也就是说在项目建设阶段,通过合同条款落实系统集成商、厂商的责任,保证相关安全技术措施的顺利准时建设;
(3)同步使用:保证项目上线时,安全措施的验收和工程验收同步,确保只有符合安全要求的系统才能上线。这个阶段的主体和责任部门属于工程建设单位。
此外,关键信息基础设施审查、网络安全服务资质和网络安全服务机构也都是网络安全法里面非常重要的内容。
4.依托网络安全法的顺利实施和逐步落实,我国关键信息基础设施保护工作也进入了一个新的时期,早在2016年,中央网络与信息化领导小组办公室就已经开展了全国关键信息基础设施自查梳理工作,对面向公众提供网络信息服务或支持能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统从管理和技术两个方面开展自查,落实各单位网络安全责任制、网络安全日常管理、网络与信息系统基本情况、网络安全技术防护、网络安全应急工作、网络安全教育培训、技术检测及网络安全事件、外包服务管理等八个方面内容。经过半年左右的普查,基本掌握了全国关键信息基础设施基本情况,我国关键信息基础设施安全防护工作已初见成效。可以从以下几个方面来说:
(1)法律法规逐步完善。一是《国家安全法》的出台,率先对关键信息基础设施自主可控提出明确要求,为关键信息基础设施管理、保护和检查等工作的开展提供了法律保障。二是《网络安全法》的出台,将关键信息基础设施安全保护上升至国家战略高度。《网络安全法》进一步明确国家关键信息基础设施范畴,为关键信息基础设施安全保护规定了责任划分和追责方式,对关键信息基础设施的建设要求、运营者义务、安全审查、数据存储、风险检测评估等重点作出了制度安排。三是启动《通信网络安全防护管理办法》修订工作,针对新情况新问题,进一步提高我国通信网络安全保障整体水平,增强网络安全事件预防保护能力。
(2)管理制度不断健全。一是开展全国范围内关键信息基础设施网络安全检查,不断强化关键信息基础设施的风险评估和安全防范,特别加强对金融、电力、交通等命脉行业重要信息系统安全隐患排查,取得了显著成效。二是完善各行业网络安全审查制度,对进入我国市场的重要信息技术产品及其提供者进行网络安全审查,确保产品安全性和可控性,防范非法控制、漏洞后门等安全威胁。三是大力开展电信与互联网行业网络安全试点示范,发挥典型带动作用,引导基础电信企业、互联网企业、安全企业加大网络安全投入,增强企业应对网络安全威胁的能力。
(3)技术能力有效提升。一是制定行业安全标准,电信和互联网行业已制订完成《固定通信网安全防护要求》等60余项通信网络安全防护标准。金融、能源等行业也发布了信息系统安全等级保护标准,有效提升了行业信息系统的安全保护能力和水平。二是提升漏洞挖掘、入侵检测、病毒防范等关键信息基础设施安全防护技术水平,重点突破网络测绘、攻击溯源等新型安全技术,关键信息基础设施抗侦听、抗攻击及恢复能力进一步增强。三是针对移动互联网、大数据、云计算、工业互联网等新技术新业务,制定专门的安全防护策略,出台系列标准提升防护技术水平。
同时,我国关键信息基础设施安全防护仍面临的挑战不容小视,主要表现在:核心技术受制于人,潜在安全风险巨大;关键信息基础设施保护体系尚不健全,政企联动、监测、预警、响应和恢复能力体系有待完善;信息基础设施相关防御技术手段的研发处于初级阶段;网络安全人才还不能更好满足发展需求等。