等级保护2.0系列问答(三)

发布时间 2019-05-16

第11问:网络安全等级保护与关键信息基础设施保护的关系


网络安全等级保护制度是国家网络安全保障工作的基本制度,关键信息基础设施是网络安全等级保护的重点,网络安全等级保护制度涵盖关键信息基础设施保护。《中华人民共和国网络安全法》第三十一条规定对关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。两者的关系如下:


1) 等级保护制度是普适性的制度,是关键信息基础设施保护的基础,关键信息基础设施是等级保护制度的保护重点;

2) 关键信息基础设施必须按照网络安全等级保护制度要求,开展定级备案、等级测评、安全建设整改、安全检查等强制性、规定性工作;

3) 网络运营者应当在第三级(含)以上网络中确定关键信息基础设施;

4) 关键信息基础设施保护,要落实公安机关、保密部门、密码部门的保卫、保护、监管责任,落实网络运营者和行业主管部门的主体责任;

5) 公安机关在情报侦察、追踪溯源、快速处置、打击犯罪、等级保护、通报预警、互联网管理等方面,发挥职能作用,发挥主力军作用,保卫关键信息基础设施安全。


第12问:等级保护与风险评估的关系


“根据FIPS199《联邦信息和信息系统安全分类》,系统定级根据系统信息的机密性、完整性、可用性(简称CIA特性)等三性损失的最大值来确定”,即“明确各种信息类型---确定每种信息类型的安全类别---确定系统的安全类别”三个步骤进行系统最终的定级。


 风险评估是等级保护(不同等级不同安全需求)的出发点,风险评估中地风险等级和等级保护中的系统定级均充分考虑到信息资产CIA特性的高低,但风险评估中的风险等级加入了对现有安全控制措施的确认因素,也就是说,等级保护中高级别的信息系统不一定就有高级别的安全风险。


等级保护工作开展的前提是对等级保护对象进行定级。等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致,不同的是:等级保护的级别是从系统的业务需求或CIA特性出发,定义系统应具备的安全保障业务等级,而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果,即在风险评估中,CIA价值高的信息资产不一定风险等级就高。在确定等级保护对象安全等级后,风险评估的结果可作为实施等级保护、等级安全建设的出发点和参考。


第13问:云平台与云服务客户业务系统在开展等级保护工作的关系


在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。


尽管云平台和云服务客户系统单独定级,但在开展等级保护工作时,存在一定的关联性,云服务客户系统开展等级测评工作时,需首先确认云平台的下列信息:


● 云平台定级备案情况;

● 云平台开展等级测评情况;

● 云平台安全服务与扩展要求对标合规情况;

● 云平台存在的安全问题;

● 云平台安全问题整改情况。


第14问:网络安全等级保护安全类、安全控制点变化有哪些


网络安全等级保护基本要求较等级保护1.0阶段,在安全类、控制点、要求项主要变化有:


1) 增加安全管理中心

等保2.0新增“安全管理中心”相关控制点,基于等级保护2.0“主动防御、综合防控”的安全理念,在等保2.0中新增“安全管理中心”这一安全类,以此将”系统管理员、审计管理员、安全管理员“的职责落实到技术层面,并新增集中管控这一控制点。


2) 增加个人信息保护

随着个人信息监管风险日益加重,企业应当依据《网络安全法》及其配套法律法规对个人信息保护相关规定,开展个人信息保护合规治理工作,等保2.0中新增”个人信息保护“控制点。


3) 扩展要求中新增控制点

等级保护对象的变化,使得覆盖云大物移、工业控制新技术的等保2.0在传统安全防护控制点的基础上基于新应用的特性新增了部分控制点。


● 基于云计算的特性,新增的控制点有:

“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”;

● 基于移动互联的特性,新增的控制点有:

“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用App采购”和“移动应用App开发”;

● 基于物联网的特性,新增的控制点有:

感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”;

● 基于工控系统的特性,新增的控制点有:

室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”。


第15问:网络安全等级保护安全类、控制点与要求项的关系


网络安全等级保护共有十个安全类,安全类分为安全技术和安全管理类,安全技术类包括安全物理环境、安全计算环境、安全通信网络、安全区域边界和安全管理中心;安全管理类包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。


每个安全类包含多个控制点,基本要求中对控制点进行了属性表识,保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改的信息安全类要求,简记为S;保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致不可用的服务保证类要求,简记为A;其他安全要求保护类要求简记为G;安全管理要求所有控制点和扩展要求所有控制点均标注为G。


每个控制点对应多个要求项,各级等级保护对象安全要求项数目如下:


序号

类别

第一级

第二级

第三级

第四级

1

通用

55

135

211

228

(技术)

25

57

96

105

(管理)

30

78

115

123

2

云计算

11

29

46

49

3

移动互联

5

14

19

21

4

物联网

4

7

20

21

5

工业控制

9

15

21

22

6

大数据

3

12

24

25

7

总数

87

212

314

366


相关链接:

等级保护2.0系列问答(一)

等级保护2.0系列问答(二)

等级保护2.0系列问答(四)

等级保护2.0系列问答(五)