信息系统安全等级保护

等保分级

等级保护定义

《网络安全法》规定"国家实行网络安全等级保护制度",公司应当按照网络安全等级保护制度的要求,履行安全保护义务,不履行的将会面临相关法律责任的处罚,要求各企业借助等保推动风险隐患问题改进。

《计算机信息系统安全保护等级划分准则(GB 17859-1999)》,将系统划分为 5 个级别:

定级要求 防护水平 处理能力 恢复能力
一级:用户自主保护级 信息系统收到破坏后,会对公民,法人和其它组织的合法权益造成损害,担不损害国家安全,社会秩序和公共利益。 防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害 - 在自身遭到损害后,能够恢复部分功能
二级:系统审计保护级 破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或对社会秩序和公共利益造成损害,但不损害国家安全 防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、 一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害 能够发现重要的安全漏洞和处置安 全事件 自身遭到损害后,能够在一段时间内恢复部分功能
三级:安全标记保护级。

三级以上(含三级)信息系统应明确网络安全负责人		 破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,或对公民、法人和其他组织的合法权益产生特别严重损害。 在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害 能够及时发现、监测攻击行为和处置安全事件 自身遭到损害后,能够较快恢复绝大部分功能
四级:结构化保护级 破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害 应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资 源的威胁源发起的恶意攻击、严重的自然灾难 能够及时发现、监测发现攻击行为和安全事件 在自身遭到损害后,能够迅速恢复所有功能
五级:访问验证保护级 破坏后,会对国家安全造成特别严重损害

一般来说,公司是一到四级。二级以上(含二级)必须参加等保测评工作。

二级系统每两年进行一次等保测评,三级每一年,四级每半年

三级等保是对非银行机构的最高等级保护认证

举两个四级的例子:国家级广播电视中心播出系统;国有商业银行、全国性股份制商业银行和中国邮政储蓄银行的核心业务信息系统或综合业务信息系统

等保 2.0 安全通用要求

每一级的标准都有详细的技术和管理指导,可查阅详细的标准文件,摘抄太长,只简要列一下标准骨架。

mindmap
  root((安全通用要求))
    技术要求
      安全物理环境
      安全通信网络
      安全区域边界
      安全计算中心
      安全管理中心
    管理要求
      安全管理制度
      安全管理机构
      安全管理人员
      安全建设管理
      安全运维管理

概念解释

社会秩序

  • 影响国家机关,企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序
  • 影响公共场所活动秩序、公共交通秩序
  • 影响人民群众生活秩序
  • 其它影响社会秩序的事项

公共利益

不特定社会成员所共同享有的,维持其生产、生活、教育、卫生等方面的利益,表现为:

  • 社会成员使用公共设施
  • 社会成员获取公开信息资源
  • 社会成员获取公共服务等

国家安全

  • 影响国家政权稳固和领土主权、海洋权益完整
  • 影响国家统一、民族团结和社会稳定
  • 影响国家社会主义市场经济秩序和文化实力
  • 其它影响国家安全的事项

损害程度

一般损害

  • 对客体造成一定损害和影响,经采取恢复和弥补措施,可消除部分影响
  • 工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻法律问题,较低财产损失,有限的社会不良影响,对其他组织和个人造成较低损害

严重损害

  • 指对客体造成严重损害,经采取恢复和弥补措施,仍产生较大影响
  • 工作职能受到严重影响,业务能力显著下降且严重影响主要功能的执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害

特别严重损害

  • 是指对客体造成特别严重损害,后果特别严重,影响重大且无法弥补
  • 工作职能收到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害

定级参考

伤害程度定级

系统服务安全被破坏时所侵害的客体 对客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第三级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级

业务类型定级

云平台类型系统(IAAS、PAAS、SAAS)

  • 考虑属于系统基础设施,一般建议至少定三级。IAAS,PAAS 需要着重考虑
  • 不得低于云上部署的系统最高级别

在线交易类型系统

  • 一般至少定三级,另参考行业标准
  • 必须具备业务监管部门下发的业务许可,才能开展系统备案工作

大数据平台

  • 涉及个人信息处理的大数据平台,至少定三级
    • 最高法定义用户信息泄露『造成严重后果』定义:致使泄露行踪轨迹信息,通信内容,征信信息,财产信息 500 条以上的;致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息5000 条以上的;致使泄露如上规定以外用户信息 5w 条以上的。
    • 系统涉及个人信息类型及数量超过以上数量的,会建议定三级。行业主管部门有另行定义的,参考主管部门定义为主
  • 处理个人信息必须获得个人信息主体授权,并需制定个人信息保护相关制度规范

应对加固举例

标准的制定有很多服务商的参与,各家也各有应对方案整理,举例如下

mindmap
  false
    威胁预测
(攻击控制)
      威胁情报预警
      应急预案及演练
    威胁防护
(事件预防)
      安全策略优化
      安全基线评估加固
      系统上线安全检查
      安全产品运行维护
    响应处置
(事件控制)
      安全事件研判分析
      安全应急响应处置
      安全事件实时通报
    持续检测
(事件检测)
      全流量风险分析
      网站检测
      web失陷检测
      渗透测试

参考