网络安全等级保护2.0标准解析

目录

  • 背景介绍
  • 网络空间常见攻击
  • 等级保护定义与级别
  • 中华人民共和国网络安全法规定
  • 关键信息基础设施认定标准
  • 等级保护的实施阶段
  • 技术要求
    • 安全物理环境
    • 安全通信网络
    • 安全区域边界
    • 安全计算环境
    • 安全管理中心
  • 小结

背景介绍

  • 互联网空间正日益成为国际竞争的新焦点,在制定本国信息系统安全等级管理标准之外,美国、英国、德国等欧美发达国家纷纷制定网络安全国家战略,参与争夺全球网络空间主导权。

  • 国际信息安全环境日趋复杂,西方加紧对我国的网络遏制,并加快利用网络进行意识形态渗透;另一方面,重要信息系统、工业控制系统的安全风险日益突出,信息安全网络监管的难度和复杂性持续加大。

  • 网络安全成为关系经济平稳运行和安全的重要因素,国民经济对信息网络和系统的依赖性增强,我国重要信息系统和工业控制系统多使用国外的技术和产品,这些技术和产品的漏洞不可控,使网络和系统更易受到攻击,致使敏感信息泄露、系统停运等重大安全事件多发,安全状况堪忧。

网络空间常见攻击

网络安全等级保护2.0标准解析_第1张图片

等级保护定义与级别

网络安全等级保护是指国家通过制订统一的标准,根据信息系统不同重要程度,有针对性开展保护工作,分等级对信息系统进行保护,国家对不同等级的信息系统实行不同强度的监督管理。
网络安全等级保护2.0标准解析_第2张图片

中华人民共和国网络安全法规定

《中华人民共和国网络安全法》 第21条明确要求网络运营者应按等级保护要求开展网络安全建设,第31条明确要求关键信息基础设施必须落实等级保护制度,并要重点保护,第59条明确规定了不履行等保规定的相关处罚。

网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及其相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等。

等级保护与网络安全法:
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全
保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务
第三十一条 国家公共通信和信息服务、能源、交通、 水利、金融、公共服务、电子政务等重要行业和领域,以
及 一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家 安全、国计民生、公共利益的关键信息基础设施,
在网络安全等级保护制度的基础上,实行重点保护

国家互联网信息办公室《关键信息基础设施安全保护条例(征求意见稿)》已发布:
Ø 地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划,加大投入,开
展工作绩效考核评价;
Ø 国家行业主管或监管部门应当设立或明确专门负责本行业、本领域关键信息基础设施安全保护工作的机构和
人员,编制并组织实施本行业、本领域的网络安全规划、建立健全工作经费保障机制并督促落实。

关键信息基础设施认定标准

关键信息基础设施不低于等级保护三级
网络安全等级保护2.0标准解析_第3张图片

等级保护的实施阶段

网络安全等级保护2.0标准解析_第4张图片

技术要求

安全物理环境

网络安全等级保护2.0标准解析_第5张图片
网络安全等级保护2.0标准解析_第6张图片

安全通信网络

网络安全等级保护2.0标准解析_第7张图片

安全区域边界

网络安全等级保护2.0标准解析_第8张图片
网络安全等级保护2.0标准解析_第9张图片

安全计算环境

网络安全等级保护2.0标准解析_第10张图片
网络安全等级保护2.0标准解析_第11张图片

安全管理中心

网络安全等级保护2.0标准解析_第12张图片

小结

网络安全问题很迫切,网络安全法实施以后国家对信息安全的保障有了具体的实施标准,本文对等级保护的相关概念做了介绍,并对技术要求做了具体说明,除了上文所列技术要求外,还有管理上的要求和其他的扩展需求,此处不再一一展开。

你可能感兴趣的:(Web安全,web安全,网络,安全)