网络安全防护等保2.0认证体系

来源:本站 作者:中联信科 日期:2022-09-16 11:48:30 浏览: 761

[摘要] 2019年12月24日,在2019龙芯新产品发布暨用户大会上,公安部信息安全等级保护评估中心 马力副研究员为现场参会者进行了《网络安全等级保护2.0标准体系介绍》的演讲。


公安部,等级保护,法律,等保2.0

以下为现场演讲原文:

今天简单把大家见到的一些等级保护内容做一些简单介绍。内容分为两个部分:

第一部分,主要带大家回顾一些等级保护的历程。等保并不是现在才出现,过去10年,我们一直在推广等级保护。这一部分讲一些过去的等保与现在的区别。第二部分,给大家介绍一些新的标准的变化。

2007年,公安部会同相关部门发布了一个非常重要的红头文件——《信息安全等级保护管理办法》,俗称“43号文件”。在这个文件中,明确了等级保护要做的事,包括定级备案、建设整改、等级测评。用户必须完成这三件事,并接受安全检查。这就是2007年提出的“规定动作”。为了支持这些规定动作,公安部会同相关部门起草了相关的准,我们称之为“标准体系”。三个动作中最为重要的动作就是建设整改。保护是核心,定级备案和等级测评只是辅助动作。

公安部,等级保护,法律,等保2.0

那么,二级标准、三级标准保护到什么水平,国家标准说了算。这就是国标——《信息系统安全等级保护基本要求》,英文叫“Base Line”,这是我们的底线,底线做不到,那就不达标,公安会给你开出整改通知书,强行要求整改,因此,基本要求起着非常重要的作用。

2019年5月13日,新的基本要求跟大家见面了。这个基本要求来源于很多重要要求,它包含技术,也包含管理。其中,重要的技术比如1.0时期的“加密技术”,2.0时期的“可信计算”,这些和芯片紧密挂钩。

总结一下,等级保护1.0标准体系构成了基本要求体系。

公安部,等级保护,法律,等保2.0

2007年到2017年,这期间使用等保1.0。为什么从2017年后叫做等保2.0了呢?原因是2017年6月1号,《中华人民共和国网络安全法》出台,它提到,国家实行等级安全保护制度,注意,这时候等级保护已经成为法律制度,不做等保就是违法。同时,第31条说,如果单位系统非常非常重要,称之为“关键信息基础设施”,那么这个系统做等保还不够,还要在等保的基础上做重点保护。

2.0的思想导致我们要调整在1.0的法律法规。这时候,要在《网络安全法》基础上添加《网络安全等级保护条例(起草中)》、《关键信息基础设施保护条例(起草中)》。现在,这两个条例即将和大家见面。标准体系也相应地做了调整,这些标准已经在2019年与大家见面了,并在12月1日正式实施,这也是今年标准为何如此受到重视。

也就是说,未来等级保护用的就是这个新标准。当然,这只是等保标准,在此基础上还有关键基础设施保护标准。如果你们单位系统非常重要,除了等保,还要做相应的关键基础设施保护。这套标准马上也要和大家见面了。

总结一下,等级保护对象分为五级,第一二级国家认为是一般资产,三级以上包含重要资产以及关键资产。这些不同对象对应的监管力度也不一样。这里我不做赘述。

公安部,等级保护,法律,等保2.0

等级保护2.0时期,所有保护对象,不管你叫什么名字,比如云平台、大数据、物联网、工控系统等,都要做等保,落实国家安全等级保护制度。注意,不落实是违法的。

那怎么做呢?完成以下几个动作:定级备案、安全建设、等级测评,如果等级测评出现问题还需要接受安全整改,接受监督检查。这几个动作,不做就违反了法律要求。如果你是关键基础设施,除了等级保护,还需要完成关键信息基础设施保护。只有这样,2.0的目标才真正完成。

接下来,给大家介绍一些第二部分:新标准的变化。

第一,对象范围扩大。新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。

公安部,等级保护,法律,等保2.0

注意:等级保护把所有系统都纳入了,包括云计算、物联网等等。这些系统只需要使用一个标准就可以了,这个标准的要求是通用要求加扩展要求。比如,云计算系统,是云计算扩展;工控系统是工控扩展。概括起来是:一个标准做等保。

第二,分类结构统一。新标准“基本要求、设计要求和测评要求”分类框架统一,形成了“安全通信网络”、“安全区域边界"安全计算环境”和“安全管理中心”支持下的三重防护体系架构。

公安部,等级保护,法律,等保2.0

注意:安全措施的分类,各有各的说法,1.0的分类是层次分类:物理安全、网络安全、主机安全、应用安全、数据安全,我们很容易接受。2.0强调纵深防御。请看,从外到内,通讯网络、区域边界、内部计算环境、通讯边界计算环境保护,形成纵深防御体系。同时这个防御体系上的控制措施要受大脑控制。大脑速成安全管理中心,一个中心,三重防御。

第三:强化可信计算。新标准强化了可信计算技术使用的要求把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。

公安部,等级保护,法律,等保2.0

注意:新的2.0标准强调可信计算新技术的使用。1.0强调密码技术使用。

另外,简单介绍一下等保2.0的变化。

第一,名字变化,2.0叫网络安全等级保护。

第二,2.0的对象扩展到了所有系统。

第三,2.0的安全要求变化通用要求加扩展要求构成。

第四,章节结构发生了变化。

第五,纵深防御。

最后,关于等级测评结论发生了变化,分为:优、良、中、差几个级别,70分以上才算及格,90分以上算优秀。

2019年11月1日起,最高人民法院、最高人民检察院日前联合发布的《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(以下简称《解释》)正式实施。《解释》共十九条,对拒不履行信息网络安全管理义务罪的具体情形、定罪量刑标准及有关法律适用问题作了全面、系统的规定,具体如下:

第三条  拒不履行信息网络安全管理义务,具有下列情形之一的,应当认定为刑法第二百八十六条之一第一款第一项规定的“致使违法信息大量传播”:

(一)致使传播违法视频文件二百个以上的;

(二)致使传播违法视频文件以外的其他违法信息二千个以上的;

(三)致使传播违法信息,数量虽未达到第一项、第二项规定标准,但是按相应比例折算合计达到有关数量标准的;

(四)致使向二千个以上用户账号传播违法信息的;

(五)致使利用群组成员账号数累计三千以上的通讯群组或者关注人员账号数累计三万以上的社交网络传播违法信息的;

(六)致使违法信息实际被点击数达到五万以上的;

(七)其他致使违法信息大量传播的情形。

第四条  拒不履行信息网络安全管理义务,致使用户信息泄露,具有下列情形之一的,应当认定为刑法第二百八十六条之一第一款第二项规定的“造成严重后果”:

(一)致使泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上的;

(二)致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的;

(三)致使泄露第一项、第二项规定以外的用户信息五万条以上的;

(四)数量虽未达到第一项至第三项规定标准,但是按相应比例折算合计达到有关数量标准的;

(五)造成他人死亡、重伤、精神失常或者被绑架等严重后果的;

(六)造成重大经济损失的;

(七)严重扰乱社会秩序的;

(八)造成其他严重后果的。

第五条  拒不履行信息网络安全管理义务,致使影响定罪量刑的刑事案件证据灭失,具有下列情形之一的,应当认定为刑法第二百八十六条之一第一款第三项规定的“情节严重”:

(一)造成危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪案件的证据灭失的;

(二)造成可能判处五年有期徒刑以上刑罚犯罪案件的证据灭失的;

(三)多次造成刑事案件证据灭失的;

(四)致使刑事诉讼程序受到严重影响的;

(五)其他情节严重的情形。

第六条  拒不履行信息网络安全管理义务,具有下列情形之一的,应当认定为刑法第二百八十六条之一第一款第四项规定的“有其他严重情节”:

(一)对绝大多数用户日志未留存或者未落实真实身份信息认证义务的;

(二)二年内经多次责令改正拒不改正的;

(三)致使信息网络服务被主要用于违法犯罪的;

(四)致使信息网络服务、网络设施被用于实施网络攻击,严重影响生产、生活的;

(五)致使信息网络服务被用于实施危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪或者其他重大犯罪的;

(六)致使国家机关或者通信、能源、交通、水利、金融、教育、医疗等领域提供公共服务的信息网络受到破坏,严重影响生产、生活的;

(七)其他严重违反信息网络安全管理义务的情形。

《中华人民共和国刑法》第二百八十六条之一 拒不履行信息网络安全管理义务罪:

网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金: 

(一)致使违法信息大量传播的; 

(二)致使用户信息泄露,造成严重后果的; 

(三)致使刑事案件证据灭失,情节严重的; 

(四)有其他严重情节的。

单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。

那么对于“监管部门责令采取改正措施”如何认定,《解释》中做如下规定:

第二条  刑法第二百八十六条之一第一款规定的“监管部门责令采取改正措施”,是指网信、电信、公安等依照法律、行政法规的规定承担信息网络安全监管职责的部门,以责令整改通知书或者其他文书形式,责令网络服务提供者采取改正措施。

认定“经监管部门责令采取改正措施而拒不改正”,应当综合考虑监管部门责令改正是否具有法律、行政法规依据,改正措施及期限要求是否明确、合理,网络服务提供者是否具有按照要求采取改正措施的能力等因素进行判断。

以上信息整理于:《最高人民法院 最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》和《中华人民共和国刑法》。

上一篇:网络安全防护医疗行业等保介绍 ← 下一篇:等级保护测评认证2.0要注意的七个事情 →