这两天大家的朋友圈想必已被等保2.0发布的消息刷屏了,作为唯一全部参与等保2.0 三个部分(基本、测评、安全设计)标准起草单位的安全厂商,本人总结了非常“接地气”的系列问答,不论您是哪类客户,希望对您都有所帮助。
第1问:什么是等级保护2.0?
等级保护1.0指的是在《GB17859 计算机信息系统安全保护等级划分准则 》以及随后多项政策文件引导下,并最终在2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》、《GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》等一系列信息安全等级保护标准,我们将2008版本的一系列标准及其配套政策文件习惯称为等保1.0。
在经历多年的试点、推广、行业标准制定、落实工作后,由于新技术、新应用、新业务形态的大量出现,尤其是大数据、物联网、云计算等的大量应用,同时安全趋势和形势的变化,原来发布的标准已经不再适用于当前安全要求,或者在新技术和新应用下已经不能满足,需要重新制定新的等保基础要求标准,因此从2015年开始,等级保护的安全要求逐步开始制定2.0标准,但此次除了对通用系统制定一般要求外,还增加了对云计算、大数据、移动互联、工控、物联网等方面的安全扩展性要求,丰富了防护内容和要求。
第2问:等级保护和网络安全法的关系?
等级保护工作是国家网络安全的基础性工作,是网络安全法要求我们履行的一项安全责任。网络安全法是网络安全领域的基本法,从国家层面对等级保护工作的法律认可,网络安全法中明确的提到信息安全的建设要遵照等级保护标准来建设。
《网络安全法》第二十一条明确规定 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第3问:等级保护2.0与关键信息基础设施保护之间的关系是什么?
为落实《网络安全法》关于保护关键信息基础设施的运行安全的要求,在国家等级保护制度基础上,充分借鉴我国相关部门在重要领域网络安全审查、网络安全检查等重点工作的成熟经验,充分吸纳国外在关键基础设施安全保护方面的成功举措,结合我国现有针对传统信息系统的信息安全保障体系等成果,在等级保护基础上,从识别认定、安全防护、检测评估、监测预警、应急处置等环节,提出关键信息基础设施网络安全保护要求,采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏,切实加强关键信息基础设施安全防护。
简言之,关键信息基础设施保护就是在等级保护基础上,对包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统、工业控制系统等关键信息基础设施进行增强防护。
第4问:等级测评与风险评估是什么关系?
等级测评由具备检验技术能力和政府授权资格的权威机构(等级保护测评机构),依据国家标准、行业标准、地方标准或相关技术规范,按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动,以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题,并提供安全改进建议,从而最大程度地降低系统的安全风险。
风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。
风险评估与等级测评分别是针对系统生命周期建设不同阶段存在的安全风险的相近判断方法。对同一个生命周期的系统,风险评估是安全建设的起点,等级测评是安全建设的合规性评价。或者可以理解为,等级测评是实施风险管理措施后的风险再评估。
风险评估是系统明确安全需求,确定成本-效益适合的安全控制措施的出发点,风险评估通过对被评估用户广泛的、战略性的分析来判断机构内各类重要资产的风险级别。
等级测评则是对已采取的安全控制措施(如管理措施、运行措施、技术措施等)有效性的验证,等级测评更关注于对系统现有安全控制措施的技术验证,从而给出系统现存安全脆弱性的准确判断。行业主管部门或信息化主管部门在系统测评结果的基础上,判断系统安全风险是否可接受或已得到了有效的管理,从而给出是否批准系统投入运行或继续运行的最终结论。
第5问:我单位需要开展等级保护建设工作吗?
是否开展等级保护建设工作需要根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。
不同级别的等级保护对象应具备的基本安全保护能力如下:
第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。
第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。
第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。
第五级安全保护能力:第五级安全保护能力,不在等保系列标准中阐述。
后续,我们将继续为您揭晓如何开展等级保护建设的相关工作、如何确定定级对象的保护等级和备案、如何平滑过渡到符合2.0各项要求、以及“云大物移智”用户如何满足等保2.0要求等相关问题的解答!
第6问:我单位如何开展等级保护建设的相关工作?
等级保护工作是一个系统性工程,根据网络安全等级保护相关标准,等级保护工作总共分五个阶段,分别为:系统定级、系统备案、建设整改、系统测评、监督管理。
一、系统定级
对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准;跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。
二、系统备案
各信息系统主管部门和运营使用单位应准备系统定级备案材料,材料包括:《信息系统安全等级保护备案表》:单位基本情况、信息系统情况、信息系统定级情况等材料。第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案。
各信息系统主管部门和运营使用单位按照属地原则,向其所在地县级以上公安机关办理备案手续。公安机关在接到备案材料及电子数据文件后,于10个工作日内完成材料审查,并对系统安全等级进行初步审核,并出具网络安全等级保护备案证明。
明显定级不准,提请当地公安机关等级保护专家组进行再评审,同时撰写《信息系统安全保护等级备案情况复函》,并正式复函备案信息系统主管部门和运营使用单位,并协调系统运营使用单位对系统级别进行调整。
三、建设整改
对于新建的信息系统,要按照等级保护相关标准,撰写等级保护建设方案,并根据建设方案组织集成实施。
对于已有信息系统,信息系统运营使用单位负责系统的风险评估和整改建设工作, 重要信息系统的运营使用单位应形成系统等级保护整改建设方案,并根据整改方案组织集成建设。
对于三级以上的信息系统建设整改方案,要组织专家进行评审,形成专家评审意见,并最终形成等级保护户整改建设方案。
四、系统测评
信息系统的运营使用单位应落实系统安全等级测评资金保障工作,同时开展等级测评工作。
信息系统建设完成后,运营、使用单位或者其主管部门应当选择第三方测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级以上信息系统应当每年至少进行一次等级测评(等保1.0标准里面等级保护四级系统需要每半年一次,现在调整为每年一次),第五级信息系统应当依据特殊安全需求进行等级测评。
第7问:如何理解等级保护2.0标准中的定级对象?
根据《定级指南》,对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象,而跨省业务专网既可以作为一个整体定级,也可根据区域划分为若干对象定级。
对于工业控制系统,应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,而生产管理要素可以单独定级。对于云计算平台,则应区分为服务提供方与租户方,各自分别作为定级对象。
对于物联网,虽然其包括感知、网络传输和处理应用等多种特征因素,但仍应将以上要素作为一个整体的定级对象,各要素并不单独定级。采用移动互联技术的网络与物联网类似,应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。
对于大数据,除安全责任主体相同的平台和应用可以整体定级外,应单独定级。
第8问:如何确定定级对象的保护等级?
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
◆ 公民、法人和其他组织的合法权益;
◆ 社会秩序、公共利益;
◆ 国家安全。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
◆ 造成一般损害;
◆ 造成严重损害;
◆ 造成特别严重损害。
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。
从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。
等级对象最终等级的确认是根据业务信息安全等级和系统服务安全等级,两者取其高者为最终等级。如下所示:
第9问:等级保护2.0的定级流程是什么?
等级保护定级流程可以大致分为六个步骤,分别是:
一、确定定级对象;
二、初步定级;
三、专家评审(二级以上定级,使用单位应组织专家对初步定级结果的合理性进行评审, 出具专家评审意见);
四、主管部门审核(使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核);
五、公安机关备案审查(使用单位应将初步定级结果10日内提交公安机关进行备案审查,审查不通过,其使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级);
六、等级变更(业务状态和系统服务范围发生变化,应根据本标准要求重新确定定级对象和安全保护等级)。
第10问:什么样的系统要求定级?系统备案去哪里?找谁备案?
对于如下信息系统,均属于等级保护定级备案的范畴,具体包括:
一、 对于电信网、广播电视传输网、互联网等基础信息网络。应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象,而跨省业务专网既可以作为一个整体定级,也可根据区域划分为若干对象定级。
二、对于工业控制系统。应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,而生产管理要素可以单独定级。
三、对于云计算平台。则应区分为服务提供方与租户方,各自分别作为定级对象。
四、对于物联网。虽然其包括感知、网络传输和处理应用等多种特征因素,但仍应将以上要素作为一个整体的定级对象,各要素并不单独定级。
五、采用移动互联技术的网络与物联网类似。应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。
六、对于大数据。除安全责任主体相同的平台和应用可以整体定级外,应单独定级。
第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内,到当地县级以上公安机关备案。
第11问:等保2.0与等保1.0有哪些区别?
“等保1.0” 在《GB17859 计算机信息系统安全保护等级划分准则 》以及随后多项政策文件引导下,并最终在2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》、《GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》等一系列信息安全等级保护标准,我们将2008版本的一系列标准及其配套政策文件习惯称为等保1.0。
“等保2.0”是2014年3月开始,由公安部牵头组织开展了等级保护重点标准申报国家标准的工作,并从2015年开始陆续对外发布草稿、征集意见稿,修订了通用安全要求,增加了云计算、大数据、移动互联、工控、物联网等安全扩展要求,内容包括 网络安全等级保护基本要求 、安全通用要求和安全扩展要求,我们习惯称为等保2.0。
等保1.0和等保2.0区别主要体现在以下几个方面:
一、 名称上的变化:
名称上由“信息安全等级保护”转变为“网络安全等级保护”;
二、 法律效力不同:
立法基础不同,等保1.0是以1994年国务院颁布的147号令《计算机信息系统安全保护条例》为立法依据,立法基础为行政法规。
而等保2.0则是以经过全国人力通过的《中华人民共和国网络安全法》为立法依据,《网络安全法》第21条“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”。
三、 保护对象有扩展:
等保1.0主要包括基础信息网络和信息系统。而等保2.0将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统 、公众服务平台、互联网企业等全部纳入等级保护监管。
四、 控制措施分类不同:
等保1.0按照技术和管理各5个方面的要求进行分类,技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,管理要求分我安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。
等保2.0则有很大的变化。技术要求分为安全物理环境、安全通信边界、安全区域边界、安全计算环境、安全管理中心,管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。明显可以看出,等保2.0的分类与等保安全设计要求保持了一致性。
五、 内容进行了扩充:
等保1.0规定了五个规定性动作,包括定级、备案、建设整改、测评和监督检查。而等保2.0除了定级、备案、建设整改、测评和监督检查之外,增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等。
六、 定级备案流程有所变化:
等保1.0定级原则是“自主定级、自主保护”。而等保2.0则采取了专家评审, 主管部门审核的方式。将原有的30天内备案缩短为10个工作日,并明确了定级流程分为:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案。
七、 等级测评要求不同:
等保1.0要求三级系统至少每年进行一次等级测评,四级系统至少每半年进行一次等级测评。而等保2.0则要求网络运营者选择符合国家规定条件的测评机构,对三级以上系统每年开展等级测评,也就是说四级系统每年至少保证一次等级测评,降低了网络运营者的管理压力。
等保1.0要求60分基本符合,而在等保2.0里,测评达到75分以上才算基本符合。
第12问:与等级保护1.0相比等级保护2.0定级方面有哪些改进?
首先,等保2.0中取消了“自主定级、自主保护”的定级原则。采取专家评审, 主管部门审核的定级方式。
其次,定级流程一般应当包括确定定级对象、初步确定等级、专家评审、主管部门审核以及公安机关备案审查等步骤,由公安机关审查通过后最终确定定级对象的安全保护等级。对于被初步确定为第二级及以上的定级对象,上述流程必须严格遵守,对于被初步确定为第四级的定级对象,在开展专家评审工作时,其运营使用单位还应当报请国家信息安全等级保护专家评审委员会进行评审。
再次,在具体定级时,《定级指南》针对基础信息网络、云计算平台和大数据平台进行了特别规定,相关平台应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。
最后,强化了对公民、法人和其他组织合法权益的保护。等保1.0中,对“公民、法人和其他组织”权益遭到特别严重侵害时,确定的保护等级为二级。而在等保2.0中,等级确定为三级。
等保1.0中的等级确定
等保2.0中的等级确定
第13问:等级保护2.0的安全通用要求有哪些变化?
一、等保2.0安全通用要求调整了控制措施分类
技术要求分为安全物理环境、安全通信边界、安全区域边界、安全计算环境、安全管理中心,管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。
安全要求项有所变化:
等保1.0二级系统要求为175项,等保2.0减少为145项;
等保1.0三级系统要求为290项,等保2.0减少为231项;
等保1.0四级系统要求为318项,等保2.0减少为241项。
二、安全防护思路变化
等保1.0防护思路是事前预防、事中响应、事后审计的纵深防御思路。
等保2.0标准则在“一个中心、三重防护” 的理念基础上,注重全方位主动防御、安全可信、动态感知和全面审计。
三、增加了新内容
等保2.0删除了过时的测评项,对测评项进行合理性修改,新增对新型网络攻击行为防护和个人信息保护等新要求。
对集中管控提出了明确要求,集中管控将成为一个新的需求点。
等保2.0中对可信计算及密码技术的应用提出了明确要求,这将很大促进可信计算及密码技术的推广及应用。
第14问:等保2.0安全通用要求与扩展安全要求之间的关系?
等保2.0基本要求分为安全通用要求和安全扩展要求。其中安全通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现,必须根据安全保护等级实现相应级别的安全通用要求。
安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术或者特定的应用场景实现安全扩展要求。
第15问:等保2.0安全通用技术要求有哪些特点?
等保2.0安全通用要求在技术要求方面,“从面到点”提出安全要求,“安全物理环境”主要对机房设施提出要求,”安全通信网络”和“安全区域边界”主要对网络整体提出要求,”安全计算环境”主要对构成节点提出要求对数据完整性和数据备份恢复提出要求。
等保2.0安全通用要求在管理要求方面,“从元素到活动”提出安全要求,“安全管理制度”、“安全管理机构”及“安全管理人员”主要提出了管理不可缺少的制度、机构和人员三要素,“安全建设管理”及“安全运维管理”主要提出了建设过程和运维过程的安全活动管理要求。
第16问:我单位自建的云计算平台如何开展等级保护工作?
在云计算环境中,将云计算平台作为基础设施,云客户业务系统作为信息系统,分别作为定级对象进行定级。对于大型云计算平台,当运管平台共用时,可将云计算基础设施与运管平台系统分开定级。责任分离,分别定级,各自备案。云计算基础设施的安全保护等级不低于其所支撑的业务系统的等级。
针对私有云用户,也要按照云平台和云业务系统,分别进行定级。并且云平台的安全等级不低于其所支撑的业务系统的等级。
对于云计算平台和云业务系统,则分别依据等保基本要求中的云扩展要求和安全通用要求来开展等级保护工作。对于私有云,定级流程为云平台先定级测评,再将已定级应用系统向云平台迁移。
第17问:部署在公有云上的信息系统如何开展等级保护工作?
依据等保2.0,在对公有云环境下开展等级保护工作应遵循如下原则:
▶ 应确保云计算平台不承载高于其安全保护等级的业务应用系统。
▶ 应确保云计算基础设施位于中国境内。
▶ 云计算平台的运维地点应位于中国境内,如需境外对境内云计算平台实施运维操作应遵循国家相关规定。
▶ 云计算平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息等存储于中国境内,如需出境应遵循国家相关规定。
依据等保基本要求中的安全通用要求和云扩展要求开展云计算平台的等级保护工作。公有云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级,云平台的等级要不低于云上租户的业务应用系统的最高级。
公有云开展等级保护一般分为两个部分:
一是云平台本身,在等保2.0里面明确提出:对于公有云定级流程为云平台先定级测评,再提供云服务。
二是云租户信息系统,比如某政府单位门户网站系统,在嵌入公有云平台后,还需要对这个门户网站独立定级备案、进行等保测评。其中,涉及云平台部分的内容可以不重复测评,测评结论直接引用即可。
不同云计算服务模式需要采取不同职责划分方式:
(一)对于IaaS基础设施服务模式,云服务商的职责范围包括虚拟机监视器和硬件,云租户的职责范围包括操作系统、中间件和应用数据。
(二)对于PaaS平台即服务的服务模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统和中间件。云租户的职责范围为应用和数据。
(三)对于SaaS软件服务模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应用,云租户的职责范围包括部分应用职责及用户使用职责。
第18问:对于工业控制系统如何开展等级保护工作?
依据等保基本要求中的安全通用要求和工控扩展要求来对工业控制系统开展等级保护工作。
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单独定级;生产管理要素可单独定级。
对于大型工业控制系统,可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
工控扩展要求保护主要包括:室外控制设备防护、工业控制系统、网络架构安全、拨号使用控制无线使用控制、控制设备安全、漏洞和风险管理、恶意代码防范管理等方面内容。
工业控制系统安全扩展要求主要针对现场控制层和现场设备层提出特殊安全要求,其他层次使用安全通用要求条款,对工业控制系统的保护需要根据实际情况使用基本要求。
第19问:我单位有大数据系统、物联网系统、云系统如何按照等保2.0开展工作?
大数据系统、物联网系统、云计算平台和云业务系统按照等保2.0相关标准分别进行定级、备案、方案设计、集成实施、系统测评等相关工作。
大数据系统应作为单独定级对象进行定级,安全责任主体相同的大数据、大数据平台和应用可作为一个整体对象定级。
物联网主要包括感知、网络传输和处理应用等特征要素,应将以上要素作为一个整体对象定级,各要素不单独定级。
云平台单独作为定级对象定级、云租户的等级保护对象也应单独作为定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助服务系统化为不同的定级对象。
在设计安全解决方案时,不仅要满足安全通用要求的共性安全需求,还要考虑大数据、物联网和云计算的扩展安全要求的个性安全需求。
第20问:视频监控系统是否需要开展等级保护工作?
视频监控系统是否需要开展等级保护工作,从两个方面来回答这个问题:
一方面是:等级20.里面在安全通用技术要求里面,安全物理环境中的防盗窃和防破坏控制项中,明确要求“应设置机房防盗窃报警系统或者设置有专人值守的视频监控系统”。视频监控系统作为等保2.0中安全物理环境中防盗窃和防破坏的技术手段之一,列入等保2.0基本要求的标准之中。
另外一方面,视频监控系统是否需要按照等级保护相关标准要求进行等级保护工作。视频监控系统本身也是重要的信息系统之一,也会存在诸多安全问题,如:弱口令漏洞、权限提升漏洞、拒绝服务漏洞、敏感信息泄露、资源非法利用等等。视频监控系统是否按照等保进行建设、管理和运维,需要看视频监控系统受到攻击或者破坏是是否影响到公民、法人和其他组织的合法权益,社会秩序、公共利益以及国家安全。以及受到攻击或者破坏时,受到何种程度的危害,是造成一般损害,还是造成严重损害,或者造成特别严重损害。
参照等级保护定级指南对公共安全视频监控系统进行安全等级划分。公共安全视频监控系统属于国家“平安城市”的重要组成部分,同时也是保障国家治安防护水平的关键基础设施,并且运行的业务数据包括重要、敏感的公共安全信息和个人隐私信息,如果系统遭受入侵或者破坏会给公共安全、社会秩序和公共利益、公民、法人和相关组织的合法权益造成损害。根据损害程度对公共安全视频监控系统的网络安全防护要求以及测评大致可以参照等级保护中对二级至三级系统的要求。
等级保护参考定级
等保2.0系列问答,已经发布4期啦!今天给大家准备了哪几个问答呢?往下看。
第21问:等保2.0在可信计算方面不同等级之间有哪些变化?
可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。《网络安全等级保护基本要求》中强化了可信计算,充分体现一个中心、三重防御的思想,由被动防御变成主动防御,并强化可信计算安全技术要求的使用,具体变化见下表所示:
第22问:等保2.0新增垃圾邮件防范在不同级别之间有哪些变化?
在等保2.0中新增垃圾邮件防范要求,三级以上系统中要求在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新具体变化见下表所示:
第23问:等保2.0新增个人信息防护在不同级别之间有哪些变化?
在等保2.0中新增个人信息保护要求,二级以上系统中要求应仅采集和保存业务必需的用户个人信息,应禁止未授权访问和非法使用用户个人信息,且二级以上个人信息防护要求没有变化。
第24问:视频监控系统是否需要开展等级保护工作?
在等保2.0中新增集中管控要求,三级以上系统中增加了集中管控要求,具体变化见下表所示:
第25问:等保2.0安全设计技术要求的设计思想是什么?
等保2.0的《信息安全技术 网络安全等级保护安全设计技术要求》的设计思想是以PPDR(以策略为中心,构建防护-检测-响应防护机制)为核心思想,以可信认证为基础、访问控制为核心,构建可信-可控-可管的立体化纵深防御体系。
▸可信
以可信计算技术为基础,构建一个可信的业务系统执行环境,即用户、平台、程序都是可信的,确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行,不会出现非预期的流程,从而保障了业务系统安全可信。
▸可控
以访问控制技术为核心,实现主体对客体的受控访问,保证所有的访问行为均在可控范围之内进行,在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作,永远都按系统设计的方式进行资源访问,保证了系统的信息安全可控。
▸可管
通过构建集中管控、最小权限管理与三权分立的管理平台,为管理员创建了一个工作平台,使其可以借助于本平台对系统进行更好的管理,从而弥补了我国现在重机制、轻管理的不足,保证信息系统安全可管。
