等级保护制度是国家法律,不履行义务有可能面临刑事处罚。
在等保1.0时代,等保制度属于法规条例,网络运营者如果没有履行等保义务可能面临的是公安机关的行政处罚,但一般不会构成犯罪,更不会被追究刑事责任。
但是2017年实施的《网络安全法》第二十一条明确规定国家要实行网络安全等级保护制度,等保制度从此从法规,条例,上升为法律。二十一条同时给出了进一步的要求,网络运营者应当按照网络安全等级保护制度的要求进行网络的保护,否则,不仅仅会给予处罚,有可能会构成犯罪,依法追究刑事责任!
安全要求框架 等保2.0的核心文件之一 GBT22239-2019《信息安全技术网络安全等级保护基本要求》给出了一个新的安全要求框架。这个框架可以概括为 一个中心,三个重点防护。
一个中心即「安全管理中心」,三个重点防护分别是「安全计算环境」,「安全通信环境」和「安全区域边界」。
「安全计算环境」即要求与信息储存和处理相关的软硬件环境是安全的。
「安全通信网络」即要求进行通信或信息传输的软硬件环境是安全的。
「安全区域边界」即要求不同的安全计算环境和不同的安全通信网络之间的连接也是安全的。
「安全管理中心」实际上就是对上述的三重防护进行统一管理的平台或者区域。
等级分类 等保将主要的安全威胁分为恶意攻击,自然灾难,和其他相当程度的威胁。同时,也将网络运营者需要具备的安全能力划分为威胁防护能力,威胁发现处置能力和系统恢复能力。不同等级的定级对象要求具有不同的等级的安全防护能力和威胁对抗能力。
从「应对不同级别的恶意攻击能力」来看,一级能应对个人攻击,二级能应对小型组织攻击,三级能应对有组织攻击,四级以上则要求至少能对抗的攻击。
从「应对自然灾难的能力」来看,一级二级能应对一般的自然灾难,三级以上则需要则需要应对严重自然灾难。
从「威胁发现能力」来看,一级不要求,二级要求能发现重要漏洞,三级以上则要求能够及时发现,监测,处置安全事件。
从「系统恢复能力」上来看一级要求部分恢复,二级要求一段时间内恢复,三级要求较快恢复绝大部分,四级要求迅速恢复所有功能。
通用要求升级 等保2.0在对抗威胁和风险方面较1.0做出了很多的扩展,特别是在三级通用要求中明确提出应采用技术措施对网络行为进行分析,实现对网络攻击,特别是新型网络攻击的分析。
这就意味着,,等保2.0要求采取的技术措施不是局限的,而是开放的。
第二,网络技术和产品从等保1.0时代的入侵检测或入侵防范扩展到了对新型网络攻击行为的分析。例如高级威胁(APT)检测和威胁感知产品都是等保2.0时代扩展的。
三同步原则
信息系统要与网络安全同步规划,同步建设,同步运营,这就是网络安全的三同步原则。三同步原则是指导网络安全建设的重要方针之一,特别是同步规划,要求一个信息系统在刚开始设计规划的时候就必须充分考虑网络安全的问题。
等保实施步骤
等保制度的实施也要做到三同步,一个信息系统在规划阶段就要进行等保的定级和备案,建设落实后就要把等保要求应对成产品技术或安全配置落实在信息系统之中,并在正式运行之前进行等保测评,在运行阶段也要做好等保工作的监督检查真正达到等保制度的要求。
咨询热线
010-85377344
135-21581588
微信客服
QQ客服
3026106565 点击咨询