网络安全法与等级保护.ppt

网络安全法与等级保护 一、网络安全法 二 、 信息安全等级保护 目 录 一、网络安全法 制定网络安全法的 意义 网络安全法 是我国第一部全面规范网络空间安全管理 方面问题的基础性法律 ， 是我国网络空间法治建设的重要里 程碑 ， 是依法治网 、 化解网络风险的法律重器 ， 是让互联网 在法治轨道上健康运行的重要保障 。 网络安全法 将近年来一些成熟的好做法制度化 ， 并为 将来可能的制度创新做了原则性规定 ， 为网络安全工作提供 切实法律保障 。 1、总体框架 共 7章 79条。 第一章 总 则 第二章 网络安全支持与促进 第三章 网络运行安全 第一节 一般规定 第二节 关键信息基础设施的运行安全 第四章 网络信息安全 第五章 监测预警与应急处置 第六章 法律责任 第七章 附 则 （一）综述 2、 定位 是互联网领域 、 网络安全的 基础性法律 。 是党的十八大以来的又一部重要法律 。 3、 制定过程 2013年下半年提上日程 ， 2014年形成草案 ， 15年初 形成征求意见稿 ， 15年 6月一审 ， 16年 6月二审 、 10月 31日三审 、 11月 7日人大通过 ， 2017年 6月 1日起施行 。 154票赞成 、 0票反对 、 1票弃权 。 确立了网络安全法律规范的基本原则 明确了网络安全工作的重点 提出制定网络安全战略，明确网络空间治理目标 完善了网络安全监管体制 强化了网络运行安全，重点保护关键信息基础设施 完善了网络安全义务和责任 将监测预警与应急处置措施制度化、规范化 制定网络安全法的 意义 5、 有关概念 网络 ： 是指由计算机或者其他信息终端及相关设备组成的 按照一定的规则和程序对信息进行收集 、 存储 、 传输 、 交换 、 处理的系统 。 网络安全 ： 是指通过采取必要措施 ， 防范对网络的攻击 、 侵入 、 干扰 、 破坏和非法使用以及意外事故 ， 使网络处于稳 定可靠运行的状态 ， 以及保障网络数据的完整性 、 保密性 、 可用性的能力 。 网络运营者 ： 是指网络的所有者 、 管理者和网络服务提供 者 。 网络数据 ： 是指通过网络收集 、 存储 、 传输 、 处理和产生 的各种电子数据 。 个人信息 ： 是指以电子或者其他方式记录的能够单独或者 与其他信息结合识别自然人个人身份的各种信息 ， 包括但 不限于自然人的姓名 、 出生日期 、 身份证件号码 、 个人生 物识别信息 、 住址 、 电话号码等 。 第二十一条 国家实行网络安全等级保护制度 。 网络运营者应当按 照网络安全等级保护制度的要求 ， 履行下列安全保护义务 。 第三十一条 国家对公共通信和信息服务 、 能源 、 交通 、 水利 、 金 融 、 公共服务 、 电子政务等重要行业和领域 ， 以及其他一旦遭到破坏 、 丧失功能或者数据泄露 ， 可能严重危害 国家安全 、 国计民生 、 公共利 益的关键信息基础设施 ， 在网络安全等级保护制度的基础上 ， 实行重 点 保护 。 第三十八 条 关键信息基础设施的运营者应当自行或者委托网络安 全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检 测评估 ， 并将检测评估情况和改进措施报送相关负责关键信息基础设 施安全保护工作的部门 。 （ 等级测评 ） 网络安全等级保护制度（ 上升为法律） （ 1） 安全风险 评估要求 具体内容：应当自行或者委托网络安全服务机构对其网络的安 全性和可能风险每年至少 1次检测评估；检测评估情况和改进措 施报送相关负责部门。 法律责任：由有关主管部门责令改正， 给予警告；拒不改正或者导致危害网络安全等后果的， 处 10-100 万 罚款，对 直接负责的主管人员处 1-10万 罚款。 网络安全法要求及处罚 （ 2）网络 安全等级 保护要求 具体内容：制度建设与负责人；安全防范技术措施；不少于 6 个月的安全日志；数据分类与备份加密。 法律责任：责令改正及警告；警告不改 罚款公司 1-10万 ， 主管 5千 -5万 。 网络安全法要求及处罚 （ 3） 安全技术措施 同步要求 具体内容：建设关键信息基础设施应当确保其具有支持业务稳 定、持续运行的性能，并保证安全技术措施同步规划、同步建设 、同步使用。 法律责任：由有关主管部门责令改正，给予警告；拒不改正或 者导致危害网络安全等后果的， 处 10万元以上 100万元以下 罚款 ，对 直接负责的主管人员处 1万元以上 10万元以下 罚款。 网络安全法要求及处罚 （ 4）采购 安全保密要求 具体内容 :采购网络产品和服务，应当按照规定与提供者签订安 全保密协议，明确安全和保密义务与责任。 法律责任：责令改正，给予警告；拒不改正或者导致危害网络安 全等后果的， 处 10-100万 罚款，对 直接负责的主管人员处 1-10万 罚款。 网络安全法要求及处罚 （ 5） 信息与数据境内存储及跨境数据传输的安全 评估要求 具体内容 :境内运营中收集和产生的个人信息和重要数据应当 在境内存储；需向境外提供的，应当按照国家网信部门会同国务 院有关部门制定的办法进行安全评估。 法律责任：责令改正，给予警告，没收违法所得；处 5-50万 罚款 ，并可以责令 暂停相关业务、停业整顿、关闭网站、吊销相 关业务许可证或者吊销营业执照 ；对 直接负责主管和直接责任人 处 1-10万 罚款。 网络安全法要求及处罚 （ 6） 应急 预案要求 具体内容：制定网络安全事件应急预案；在发生危害网络安全 的事件时，立即启动应急预案；按照规定向有关主管部门报告。 法律责任：责令改正及警告；警告不改罚款 公司 1-10万，主管 5千 -5万 。 网络安全法要求及处罚 根据 网络安全法 第六章 -法律责任相关条款解释：本法律处罚力度空前严格 ， 处 罚不仅涉及到企业 ， 而且涉及到法人 、 管理人员 、 一般员工等多个层面；既有经济处罚 ， 也有行政处罚 。 对于违法问题有关主管部门责令改正 ， 给予警告；拒不改正或者情节严重的 ， 处一 万元以上一百万元以下罚款 ， 并可以由有关主管部门责令暂停相关业务 、 停业整顿 、 关 闭网站 、 吊销相关业务许可证或者吊销营业执照 ， 对直接负责的主管人员和其他直接责 任人员处五千元以上十万元以下罚款 。 尚不构成犯罪的 ， 由公安机关没收违法所得 ， 处五日以下拘留 ， 可以并处五万元以 上五十万元以下罚款；情节较重的 ， 处五日以上十五日以下拘留 ， 可以并处十万元以上 一百万元以下罚款 。 受到治安管理处罚的人员 ， 五年内不得从事网络安全管理和网络运营关键岗位的工 作；受到刑事处罚的人员 ， 终身不得从事网络安全管理和网络运营关键岗位的工作 。 依照有关法律 、 行政法规的规定记入信用档案 ， 并予以公示 。 网络安全法 自 2017年 6月 1日正式实施 ， 网络安全等级保护制度已经上升为 法律规定的强制义务 ， 这是我国自 1994年发布实施 中华人民共和国计算机信息 系统保护条例 将 “ 等级保护 ” 明确为我国计算机安全保护的根本制度以来 ， 首 次将其写入法律 。 从实施以来已经处罚腾讯微信 、 新浪微博 、 百度贴吧 、 boss直聘 、 京东 、 淘宝 网 、 虾米音乐网 、 蘑菇街互动网等上百家的企事业单位 。 对于违反 网络安全法 的处罚视情节严重 ， 处罚措施分为： 1、 责令改正 ， 给予警告； 2、 拒不改正或者导致危害网络安全等后果的 ， 对企业处 1-100万罚款 ， 对直接负 责的主管 员和其他直接责任人员处 1-10万罚款； 3、 并可以责令暂停相关业务 、 停业整顿 、 关闭网站 、 吊销相关业务许可证或者吊 销营业执照 。 二 、 信息安全等级保护 信息安全等级保护定义 信息安全等级保护管理办法（试行） ：信息安全等级保护是指 对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息 和存储、传输、处理这些信息的信息系统分等级实行安全保护，对 信息系统中使用的信息安全产品实行按等级管理，对信息系统中发 生的信息安全事件分等级响应、处置。 信息安全等级保护管理办法 国家通过制定统一的信息安全等级 保护管理规范和技术标准，组织公民、法人和其他组织对信息系统 分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第一级为自主保护级，适用于一般的信息和信息系统，其受到破 坏后，会对公民、法人和其他组织的合法权益造成一定损害，但不损 害国家安全、社会秩序和公共利益。 第二级为指导保护级，信息系统受到破坏后，会对公民、法人 和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造 成损害，但不损害国家安全。 划分准则 -GB 17859-1999 第三级为监督保护级，信息系统受到破坏后，会对社会秩序和公 共利益造成严重损害，或者对国家安全造成损害。 第四级为强制保护级，信息系统受到破坏后，会对社会秩序和 公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级为专控保护级，适用于涉及国家安全的重要信息和信息系 统的核心子系统，其受到破坏后，会对国家安全造成特别严重损害。 实施指南 GB/T 25058-2010 等级保护实施过程 基本原则 主要过程及其活动 角色、职责 基本流程 等级变更 局部调整 信息系统定级 总体安全规划 安全设计与实施 安全运行维护 信息系统终止 国家管理部门 信息系统主管部门 信息系统运营、使用单位 信息安全服务机构 信息安全等级测评机构 信息安全产品供应商 22 等级保护之十大标准 基础类 计算机信息系统安全保护等级划分准则 GB 17859-1999 信息系统安全等级保护实施指南 GB/T 25058-2010 应用类 定级： 信息系统安全保护等级定级指南 GB/T 22240-2008 建设： 信息系统安全等级保护基本要求 GB/T 22239-2008 信息系统通用安全技术要求 GB/T 20271-2006 信息系统等级保护安全设计技术要求 GB/T 25070-2010 测评： 信息系统安全等级保护测评要求 GB/T 28448-2012 信息系统安全等级保护测评过程指南 GB/T 28449-2012 管理： 信息系统安全管理要求 GB/T 20269-2006 信息系统安全工程管理要求 GB/T 20282-2006 23 7、系统服务安全等级 等级保护定级指南 GB/T 22240 保护对象受到破坏时受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 等级保护定级方法 保护对象 对客体的侵害程度 客体：社会关系 受侵害的客体 信息系统安全 系统服务安全 业务信息安全 3、综合评定对客体的侵害程度 2、 确定业务信息安全受到破坏 时所侵害的客体 6、综合评定对客体的侵害程度 5、 确定系统服务安全受到破坏 时所侵害的客体 4、业务信息安全等级 8、定级对象的安全保护等级 8 MAX（ 4， 7） 1、确定定级对象 （系统边界） 一般流程 等级确定 24 安全保护等级 信息系统定级结果的组合 第一级 S1A1G1 第二级 S1A2G2， S2A2G2， S2A1G2 第三级 S1A3G3， S2A3G3， S3A3G3， S3A2G3， S3A1G3 第四级 S1A4G4， S2A4G4， S3A4G4， S4A4G4， S4A3G4， S4A2G4， S4A1G4 第五级 S1A5G5， S2A5G5， S3A5G5， S4A5G5， S5A4G5， S5A3G5， S5A2G5， S5A1G5 基本保护要求（最低） 保护能力 对抗能力 恢复能力 技术要求管理要求 物理、网络、主机、应用、数据 制度、机构、人员、建设、运维 纵深防御、互补关联、强度一致、 平台统一、 集中安管 业务信息安全类要求 S 系统服务保证类要求 A 通用安全保护类要求 G 整体安全保护能力 关键控制点 安全类 具体要求项 控制强度 基本要求 GB/T 22239 基本保护要求（最低） 保护能力 对抗能力恢复能力 物理、网络、主机、应用、数据 制度、机构、人员、建设、运维 纵深防御、互补关联、强度一致、 平台统一、 集中安管 通用安全保护类要求 关键控制点 安全类 等级 保护 的内容十个方面 业务安全 物 理 安 全 技术要求 管理要求 基本要求 网 络 安 全 主 机 安 全 应 用 安 全 数 据 安 全 安 全 管 理 机 构 安 全 管 理 制 度 人 员 安 全 管 理 系 统 建 设 管 理 系 统 运 维 管 理 安全要求类 层面 一级 二级 三级 四级 技术要求 物理安全 9 19 32 33 网络安全 9 18 33 32 主机安全 6 19 32 36 应用安全 7 19 31 36 数据安全及备份恢复 2 4 8 11 管理要求 安全管理制度 3 7 11 14 安全管理机构 4 9 20 20 人员安全管理 7 11 16 18 系统建设管理 20 28 45 48 系统运维管理 18 41 62 70 合计 / 85 175 290 318 级差 / / 90 115 28 控 制 项 28 基本要求 GB/T 22239 物理位置的选择 基本防护能力 高层、地下室 物理访问控制 基本出入控制 分区域管理 在机房中的活动 电子门禁 防盗窃和防破坏 存放位置、标记标识 监控报警系统 防雷击 建筑防雷、机房接地 设备防雷 防火 灭火设备、自动报警 自动消防系统 区域隔离措施 防 静电 关键设备 主要设备 防静电地板 电力供应 稳定电压、短期供应 主要设备 冗余 /并行线路 备用供电系统 电磁防护 线缆隔离 接地防干扰 电磁屏蔽 防水和防潮 温湿度控制 物理安全的整改要点 结构安全 关键设备冗余空间 主要设备冗余空间 访问控制 访问控制设备（用户、网段） 应用层协议过滤 拨号访问限制 会话终止 安全审计 日志记录 审计报表 边界完整性检查 内部的非法联出 非授权设备私自外联 网络安全的整改要点 子网 /网段控制 核心网络带宽 整体网络带宽 重要网段部署 路由控制 带宽分配优先级 端口控制 最大流量数及最大连接数 防止地址欺骗 审计记录的保护 定位及阻断 入侵防范 检测常见攻击 记录、报警 恶意代码防范 网络边界处防范 网络设备防护 基本的登录鉴别 组合鉴别技术 特权用户的权限分离 身份鉴别 基本的身份鉴别 访问控制 安全策略 管理用户的权限分离 特权用户的权限分离 安全审计 服务器基本运行情况审计 审计报表 剩余信息保护 空间释放及信息清除 主机安全的整改要点 组合鉴别技术 敏感标记的设置及操作 审计记录的保护 入侵防范 最小安装原则 重要服务器：检测、记录、报警 恶意代码防范 主机与网络的防范产品不同 资源控制 监视重要服务器 最小服务水平的检测及报警 重要客户端的审计 升级服务器 重要程序完整性 防恶意代码软件、代码库统一管理 对用户会话数及终端登录的限制 身份鉴别 基本的身份鉴别 访问控制 安全策略 最小授权原则 安全审计 运行情况审计（用户级） 审计报表 剩余信息保护 空间释放及信息清除 应用安全的整改要点 组合鉴别技术 敏感标记的设置及操作 审计过程的保护 通信完整性 校验码技术 密码技术 软件容错 自动保护功能 资源控制 资源分配限制、资源分配优先级 最小服务水平的检测及报警 数据有效性检验、部分运行保护 对用户会话数及 系统最大并发会话数的限制 审计记录的保护 通信保密性 初始化验证 整个报文及会话过程加密 敏感信息加密 抗抵赖 数据完整性 鉴别数据传输的完整性 备份和恢复 重要数据的备份 数据安全及备份恢复的整改要点 各类数据传输及存储 异地备份 网络冗余、硬件冗余 本地完全备份 硬件冗余 检测和恢复 数据保密性 鉴别数据存储的保密性 各类数据的传输及存储 每天 1次 备份介质场外存放 合理分域，准确定级 信息系统等级保护以系统所处理信息的最高重要程度来确定 安全等级 在合理划分安全域边界安全可控的情况下，各安全域可根据 信息的最高重要程度单独定级，实施“分域分级防护”的策略 ，从而降低系统建设成本和管理风险 信息系统安全域之间的边界应划分明确，安全域与安全域之 间的所有数据通信都应安全可控 对于不同等级的安全域间通信，应实施有效的访问控制策略 和机制，控制高密级信息由高等级安全域流向低等级安全域。 安全域 （第 3级） 安全域 （第 2级） 监督保护级网络 安全域 （第 3级） 安全域 （第 2级） 安全域 （第 2级） 禁止高敏感级信息由高等级安全域流向低等级安全域 分域分级防护示意 等级保护相关的 体系架构 3 第一层 安全方针策略 第二层 安全管理制度 第三层 技术标准、规范 第四层 流程、表单、记录 信息安全方针策略，总体安全，说明机构安全 工作的总体目标、范围、原则和安全框架等。 对安全管理活动中的各类管理内容建立安全管 理制度，约束管理行为。 规范安全管理制度的具体技术实现细节，对管 理人员或操作人员执行的日常管理操作建立操 作规程。 安全制度、规范实施时所需履行的流程，及需 填写的表单，用于记录数据、监控实施。 安全管理测评实施 -安全管理制度 3 安全管理制度（三级） 管理制度 制定和发布 评审和修订 安全管理测评实施 -安全管理机构 安全管理机构（三级） 岗 位 设 置 人 员 配 备 授 权 和 审 批 沟 通 和 合 作 审 核 和 检 查 人员安全管理（三级） 人 员 考 核 安 全 意 识 教 育 和 培 训 外 部 人 员 访 问 管 理 人 员 离 岗 人 员 录 用 系统建设管理（三级） 系 统 交 付 系 统 备 案 等 级 测 评 安 全 服 务 商 选 择 测 试 验 收 工 程 实 施 外 包 软 件 开 发 自 行 软 件 开 发 产 品 采 购 安 全 方 案 设 计 系 统 定 级 系统运维管理（三级） 环 境 管 理 资 产 管 理 介 质 管 理 设 备 管 理 监 控 和 管 理 中 心 网 络 安 全 管 理 系 统 安 全 管 理 恶 意 代 码 防 范 管 理 密 码 管 理 变 更 管 理 备 份 与 恢 复 管 理 安 全 事 件 处 置 应 急 预 案 管 理 介绍完毕