等保浅尝-网络安全等级保护/等保2.0
一、等级保护是什么
等保1.0,信息安全技术 信息安全等级保护;等保2.0,信息安全技术 网络安全等级保护
网络安全等级保护是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
二、等保发展史
1、发展路线
等保1.0依托于94年国务院颁布147号令,等保2.0依托于16年《中华人民共和国网络安全法》。
我国的法律体系是由宪法、法律、行政法规、地方性法规和部门规章组成的。下位法低于上位法,法律是由全国人大或者全国人大常委会制定的;行政法规是由国务院制定的,其法律效力低于法律;地方性法规是由省级人大或国务院批准的较大城市人大经省级人大批准制定的,其法律效力低于行政法规;部门规章是中央各部委制定的,其法律效力低于地方性法规。
附:中华人民共和国网络安全法
https://duxiaofa.baidu.com/detail?searchType=statute&from=aladdin_28231&originquery=中华人民共和国网络安全法&count=79&cid=f66f830e45c0490d589f1de2fe05e942_law
三、相对于1.0的变与不变
第一,名称变化。等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《网络安全法》保持一致。
第二、法律法规变化
从条例法规提升到法律层面。等保 1.0 的最高国家政策是国务院 147 号令,而等保 2.0 标准的最高国家政策是网络安全法。
第三,定级对象变化。等保1.0的定级对象是信息系统,现在2.0更为广泛,包含:信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。
第四,定级流程的变化
等保 2.0 标准不再自主定级,而是通过 “确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级” 这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。
第五,安全要求变化。基本要求的内容,由安全要求变革为安全通用要求与安全扩展要求(含云计算、移动互联、物联网、工业控制)。
第六,控制措施分类结构变化。等保2.0依旧保留技术和管理两个维度。在技术上,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;在管理上,结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
第七,内容变化。
从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作,变更为五个规定动作+新的安全要求(风险评估、安全监测、通报预警、态势感知等)。
第八,等级保护 “五个级别” 不变
第一级:用户自主保护级;
第二级:系统保护审计级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级
第九,等级保护流程不变
等级保护五个规定动作是指:定级、备案、建设整改、等级测评、监督检查。等保 2.0 标准仍然将围绕这 5 个规定动作开展工作。
第十,等级保护 “主体职责” 不变
- 运营使用单位对定级对象的等级保护职责不变;
- 上级主管单位对所属单位的安全管理职责不变;
- 第三方测评机构对定级对象的安全评估职责不变;
- 网安对定级对象的备案受理及监督检查职责不变。
四、等保级别
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
第一级 用户自主保护级 (自主保护级,无需备案,对测评周期无要求;一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息统)
- 由用户来决定如何对资源进行保护,以及采用何种方式进行保护。
- 此类信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成一般损害,不损害国家安全、社会秩序和公共利益。
- 应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。
第二级 系统保护审计级 (指导保护级,公安部门备案,建议两年测评一次;一般适用于县级其些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。)
- 要求创建和维护访问的审计跟踪记录使所有的用户对自己行为的合法性负责。
- 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
- 应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。
第三级 安全标记保护级(监督保护级,公安部门备案,要求每年测评一次;般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等)
- 要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制访问。
- 信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
- 应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
第四级 结构化保护级(强制保护级,公安部门备案,要求半年一次;一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。)
- 将保护机制划分为关键部分和非关键部分,对于关键部分,直接控制访问者对访问对象的存取,加强系统的抗渗透能力。
- 信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
- 应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。
第五级 访问验证保护级(专控保护级,公安部门备案,依据特殊安全需求进行;一般适用于国家重要领域、重要部门中的极端重要系统。)
- 增加了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。
- 信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
五、等保与备份容灾
级别 技术要求
一级 本地备份与恢复
二级 本地备份与恢复+异地定时备份
三级 本地备份与恢复+异地数据实时备份+本地业务高可用
四级 本地备份与恢复+异地数据实时备份+本地业务高可用+异地业务高可用
级别 管理要求
一级 a.应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b.应规定备份信息的备份方式、备份频度、存储介质、保存期等。
二级 a. 应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b. 应规定备份信息的备份方式、备份频度、存储介质、保存期等。
c. 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。
三级 同上
四级 同上
六、医疗行业等保相关法律法规
卫办发〔2011〕85号
重要卫生信息系统安全保护等级原则上不低于第三级:
(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;
(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;
(3)三级甲等医院的核心业务信息系统;
(4)卫生部网站系统;
(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。
三级综合医院评审标准实施细则
2011年
国家卫健委《卫生行业信息安全等级保护工作的指导意见》规定了三级医院重要业务系统(可由各省卫健委自己定义)必须通过等保三级测评;
2016年
国家卫健委《2016 三级综合医院评审标准考评办法 ( 完整版 )》规定了重要业务系统必须达到等保三级标准才满足三级医院评审标准中对于网络安全的要求;
2018年
国家卫健委《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定了承载健康医疗大数据的平台必须通过等级保护(未规定级别),一般引入大数据技术的医院都是三级甲等医院,基本以三级等保为主;
2018年
国家卫健委《互联网医院管理办法(试行)》规定了承载互联网医院的平台必须通过等保三级测评。
2018年
全国医院信息化建设标准与规范 (试行)
2020年
民办发〔2020〕5号 新冠肺炎疫情社区防控工作信息化建设和应用指引
社区防控信息化产品(服务)提供者应参照等级保护三级以上要求进行安全防护,应当为其产品(服务)持续提供安全维护,在规定或与产品(服务)使用者约定的期限内,不得终止提供安全维护。
医院内部重要的信息系统,建议这些内网的数据信息系统开展等级保护三级测评,并且实现相关的等保建设和安全防护,具体的测评对象如下:
医院信息系统(HIS)
实验室(检验科)信息系统(LIS)
医学影像信息系统(PACS)
电子病历系统
与患者交流的其他服务系统
等级保护二级:一些对外开放的信息系统或者网站,主要用于OA,建议这些信息系统实施等级保护二级工作,开展相关的测评和建设,具体的测评对象如下:
门户网站
医院资源(财务业务一体化)规划系统(HRP)
其他涉及重要信息的业务系统
等级保护二级,一般每两年至少开展一次测评,等级保护三级以上的系统,每年都需要开展测评,这是都所有行业的规定,因此医院也需要按照这些规定开展测评工作。