您的位置:360文档中心› 我国等级保护发展历程

我国等级保护发展历程

合集下载

等级保护的时间历程及事项

等级保护的时间历程及事项

等级保护的时间历程及事项等级保护是一种保护机密信息的措施,它将信息分为不同的等级,根据等级的不同采取不同的保护措施。

下面将以等级保护的时间历程及事项为标题,来介绍等级保护的相关内容。

一、等级保护的起源等级保护最早起源于军事领域,用于保护军事机密。

随着社会的发展,等级保护逐渐应用于政府、企事业单位等领域,成为一种重要的信息保护措施。

二、等级保护的等级划分等级保护根据信息的重要程度和保密性质,将信息分为不同的等级,通常分为绝密、机密、秘密、内部和公开等五个等级。

不同等级的信息需要采取不同的保护措施,以确保信息的安全。

三、等级保护的实施等级保护的实施需要遵循一定的程序和规定。

首先,需要对信息进行分类和等级划分,确定信息的保密等级。

其次,需要制定相应的保密制度和管理办法,明确保密责任和保密措施。

最后,需要对保密人员进行培训和考核,确保他们能够正确地执行保密制度和措施。

四、等级保护的管理等级保护的管理是保证信息安全的关键。

管理人员需要对保密制度和措施进行监督和检查,发现问题及时处理。

同时,需要对保密人员进行定期的安全教育和培训,提高他们的保密意识和技能。

此外,还需要建立健全的保密档案和安全审计制度,确保信息的安全。

五、等级保护的应用等级保护广泛应用于政府、军队、企事业单位等领域。

在政府领域,等级保护用于保护国家机密和重要信息;在军队领域,等级保护用于保护军事机密和作战计划;在企事业单位领域,等级保护用于保护商业机密和技术秘密。

等级保护是一种重要的信息保护措施,它能够有效地保护机密信息的安全。

在实施等级保护时,需要遵循一定的程序和规定,建立健全的保密制度和管理办法,加强保密人员的培训和管理,确保信息的安全。

等级保护讲解

等级保护讲解

05
等级保护的挑战与未来
等级保护当前面临的挑战
法规和标准不完善
当前等级保护相关的法规和标准尚不 完善,需要进一步完善和补充。
技术手段不足
现有的技术手段不足以应对不断变化 的网络攻击手段,需要加强技术创新 和研发。
意识和重视程度不够
部分单位和企业对等级保护的意识和 重视程度不够,需要加强宣传和教育 。
目的
通过信息安全等级保护,发现和纠正存在的薄弱环节,提高 信息系统的安全防范能力,预防和减少信息安全事件的发生 。
等级保护的历史与发展
起源
等级保护起源于美国,最初针对 核设施的安全管理,后来逐步扩 大到其他重要基础设施和信息系 统的安全管理。
我国等级保护
我国于2007年6月开始实施信息 安全等级保护制度,标志着我国 信息安全工作进入一个新的发展 阶段。
需要加强等级保护的培训和教育,提高全社 会的信息安全意识,培养更多的信息安全专 业人才。
THANKS
谢谢您的观看
加强网络和系统安全 防护
医疗机构应加强网络和系统安全 防护,建立完善的网络安全体系 和应急预案,并定期开展安全风 险评估和演练,确保医疗信息的 安全性和可靠性。
加强数据管理和应用 安全
医疗机构应加强数据管理和应用 安全,建立完善的数据管理制度 和流程,并采取加密和安全存储 等措施,确保医疗数据的机密性 和完整性。
保障国家安全和社会稳定
信息安全事件可能对国家安全和社会稳定造成严重影响,等级保护有助于预防和减少这类事件的发生,保障国家安全和社 会稳定。
促进信息化建设健康发展
随着信息化建设的深入发展,信息和信息系统的安全问题越来越突出,等级保护可以促进信息化建设健康发展,推动信息 化建设的良性循环。

等级保护与分级保护

等级保护与分级保护

等级保护与分级保护一、信息系统等级保护1999年国家发布并于2001年1月1日开始实施GB17859计算机信息系统安全保护等级划分准则;2003年,中办、国办转发国家信息化领导小组关于加强信息安全保障工作的意见中办发〔2003〕27号,提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求;2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了关于信息安全等级保护工作的实施意见,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划;2006年1月17日,四部门又下发了信息安全等级保护管理办法试行,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求;涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护;由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值;系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现;信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提;信息系统安全等级保护将安全保护的监管级别划分为五个级别:第一级:用户自主保护级完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护;第二级:系统审计保护级本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力;即能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审计记录,分析追查事故责任人,使所有的用户对自己行为的合法性负责;第三级:安全标记保护级除具有第二级系统审计保护级的所有功能外,还它要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督、审计;通过对访问者和访问对象指定不同安全标记,监督、限制访问者的权限,实现对访问对象的强制访问控制;第四级:结构化保护级将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略;其本身构造也是结构化的,将安全保护机制划分为关键部分和非关键部分,对关键部分强制性地直接控制访问者对访问对象的存取,使之具有相当的抗渗透能力;本级的安全保护机制能够使信息系统实施一种系统化的安全保护;第五级:访问验证保护级这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动,仲裁访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取;因此,本级的安全保护机制不易被攻击、被篡改,具有极强的抗渗透的保护能力;在等级保护的实际操作中,强调从五个部分进行保护,即:物理部分:包括周边环境,门禁检查,防火、防水、防潮、防鼠、虫害和防雷,防电磁泄漏和干扰,电源备份和管理,设备的标识、使用、存放和管理等;支撑系统:包括计算机系统、操作系统、数据库系统和通信系统;网络部分:包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警,网络攻击的监察和处理;应用系统:包括系统登录、权限划分与识别、数据备份与容灾处理,运行管理和访问控制,密码保护机制和信息存储管理;管理制度:包括管理的组织机构和各级的职责、权限划分和责任追究制度,人员的管理和培训、教育制度,设备的管理和引进、退出制度,环境管理和监控,安防和巡查制度,应急响应制度和程序,规章制度的建立、更改和废止的控制程序;由这五部分的安全控制机制构成系统整体安全控制机制;二、涉密信息系统分级保护1997年中共中央关于加强新形势下保密工作的决定明确了在新形势下保密工作的指导思想和基本任务,提出要建立与保密法相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系;中央保密委员会于2004年12月23日下发了关于加强信息安全保障工作中保密管理若干意见明确提出要建立健全涉密信息系统分级保护制度;2005年12月28日,国家保密局下发了涉及国家秘密的信息系统分级保护管理办法,同时,保密法修订草案也增加了网络安全保密管理的条款;随着保密法的贯彻实施,国家已经基本形成了完善的保密法规体系;涉密信息系统实行分级保护,先要根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级;涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督;国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17涉及国家秘密的信息系统分级保护技术要求和BMB20涉及国家秘密的信息系统分级保护管理规范;从物理安全、信息安全、运行安全和安全保密管理等方面,对不同级别的涉密信息系统有明确的分级保护措施,从技术要求和管理标准两个层面解决涉密信息系统的分级保护问题;涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级增强、绝密级三个等级:秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求;机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求;属于下列情况之一的机密级信息系统应选择机密级增强的要求:1信息系统的使用单位为副省级以上的党政首脑机关,以及国防、外交、国家安全、军工等要害部门;2信息系统中的机密级信息含量较高或数量较多;3信息系统使用单位对信息系统的依赖程度较高;绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联;涉密信息系统分级保护的管理过程分为八个阶段,即系统定级阶段、安全规划方案设计阶段、安全工程实施阶段、信息系统测评阶段、系统审批阶段、安全运行及维护阶段、定期评测与检查阶段和系统隐退终止阶段等;在实际工作中,涉密信息系统的定级、安全规划方案设计的实施与调整、安全运行及维护三个阶段,尤其要引起重视;系统定级决定了系统方案的设计实施、安全措施、运行维护等涉密信息系统建设的各个环节,因此如何准确地对涉密信息系统进行定级在涉密信息系统实施分级保护中尤为重要;涉密信息系统定级遵循“谁建设、谁定级"的原则,可以根据信息密级、系统重要性和安全策略划分为不同的安全域,针对不同的安全域确定不同的等级,并进行相应的保护;在涉密信息系统定级时,可以综合考虑涉密信息系统中资产、威胁、受到损害后的影响,以及使用单位对涉密信息系统的信赖性等因素对涉密信息系统进行整体定级;同时,在同一个系统里,还允许划分不同的安全域,在每个安全域可以分别定级,不同的级别采取不同的安全措施,更加科学地实施分级保护,在一定程度上可以解决保重点,保核心的问题,也可以有效地避免因过度保护而造成应用系统运行效能降低以及投资浪费等问题;涉密信息系统建设单位在定级的同时,必须报主管部门审批;涉密信息系统要按照分级保护的标准,结合涉密信息系统应用的实际情况进行方案设计;设计时要逐项进行安全风险分析,并根据安全风险分析的结果,对部分保护要求进行适当的调整和改造,调整应以不降低涉密信息系统整体安全保护强度,确保国家秘密安全为原则;当保护要求不能满足实际安全需求时,应适当选择采用部分较高的保护要求,当保护要求明显高于实际安全需求时,可适当选择采用部分较低的保护要求;对于安全策略的调整以及改造方案进行论证,综合考虑修改项和其他保护要求之间的相关性,综合分析,改造方案的实施以及后续测评要按照国家的标准执行,并且要求文档化;在设计完成之后要进行方案论证,由建设使用单位组织有关的专家和部门进行方案设计论证,确定总体方案达到分级保护技术的要求后再开始实施;在工程建设实施过程中注意工程监理的要求;建设完成之后应该进行审批;审批前由国家保密局授权的涉密信息系统测评机构进行系统测评,确定在技术层面是否达到了涉密信息系统分级保护的要求;运行及维护过程的不可控性以及随意性,往往是涉密信息系统安全运行的重大隐患;通过运行管理和控制、变更管理和控制,对安全状态进行监控,对发生的安全事件及时响应,在流程上对系统的运行维护进行规范,从而确保涉密信息系统正常运行;通过安全检查和持续改进,不断跟踪涉密信息系统的变化,并依据变化进行调整,确保涉密信息系统满足相应分级的安全要求,并处于良好安全状态;由于运行维护的规范化能够大幅度地提高系统运行及维护的安全级别,所以在运行维护中应尽可能地实现流程固化,操作自动化,减少人员参与带来的风险;还需要注意的是在安全运行及维护中保持系统安全策略的准确性以及与安全目标的一致性,使安全策略作为安全运行的驱动力以及重要的制约规则,从而保持整个涉密信息系统能够按照既定的安全策略运行;在安全运行及维护阶段,当局部调整等原因导致安全措施变化时,如果不影响系统的安全分级,应从安全运行及维护阶段进入安全工程实施阶段,重新调整和实施安全措施,确保满足分级保护的要求;当系统发生重大变更影响系统的安全分级时,应从安全运行及维护阶段进入系统定级阶段,重新开始一次分级保护实施过程;随着我们国家民主与法制建设进程的不断推进,保密的范围和事项正在逐步减少,致使一些涉密人员保密意识和敌情观念淡化,对保密工作的必要性和重要性认识不足;虽然长期处于和平时期,但并不意味着无密可保;事实上,政府部门掌握着大量重要甚至核心的机密,已成为各种窃密活动的重点目标;我党政机关和军工单位也是国家秘密非常集中的领域,一直是窃密与反窃密,渗透与反渗透的主战场;据国家有关部门统计,在全国泄密事件中,军工系统占有很大比例;境内外敌对势力和情报机构以我党政军机关和军工单位为主要目标的窃密活动更加突出,渗透与反渗透、窃密与反窃密的斗争更加激烈;由于一些单位涉密信息系统安全保障能力不够、管理不力,导致涉密信息系统泄密案件的比例逐年上升,安全保密形势非常严峻;因此严格按照涉密信息系统分级保护的要求,加强涉密信息系统建设意义重大;三、等级保护和分级保护之间的关系国家信息安全等级保护与涉密信息系统分级保护是两个既有联系又有区别的概念;涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现;国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信息系统,而不论它是否涉密;如:1 国家事务处理信息系统党政机关办公系统;2 金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统;3 国防工业企业、科研等单位的信息系统;4 公用通信、广播电视传输等基础信息网络中的计算机信息系统;5 互联网网络管理中心、关键节点、重要网站以及重要应用系统;6其他领域的重要信息系统;国家实行信息安全等级保护制度,有利于建立长效机制,保证安全保护工作稳固、持久地进行下去;有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于突出重点,加强对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的安全保护和管理监督;有利于明确国家、企业、个人的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施;有利于提高安全保护的科学性、针对性,推动网络安全服务机制的建立和完善;有利于采取系统、规范、经济有效、科学的管理和技术保障措施,提高整体安全保护水平,保障信息系统安全正常运行,保障信息安全,进而保障各行业、部门和单位的职能与业务安全、高速、高效地运转;有利于根据所保护的信息的重要程度,决定保护等级,防止“过保护”和“欠保护”的情况发生;有利于信息安全保护科学技术和产业化发展;涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位,由各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全,确保国家秘密不被泄漏;国家秘密信息是国家主权的重要内容,关系到国家的安全和利益,一旦泄露,必将直接危害国家的政治安全、经济安全、国防安全、科技安全和文化安全;没有国家秘密的信息安全,国家就会丧失信息主权和信息控制权,所以国家秘密的信息安全是国家信息安全保障体系中的重要组成部分;因为不同类别、不同层次的国家秘密信息,对于维护国家安全和利益具有不同的价值,所以需要不同的保护强度种措施;对不同密级的信息,应当合理平衡安全风险与成本,采取不同强度的保护措施,这就是分级保护的核心思想;对涉密信息系统的保护,既要反对只重应用不讲安全,防护措施不到位造成各种泄密隐患和漏洞的“弱保护”现象;同时也要反对不从实际出发,防护措施“一刀切”,造成经费与资源浪费的“过保护”现象;对涉密信息系统实行分级保护,就是要使保护重点更加突出,保护方法更加科学,保护的投入产出比更加合理,从而彻底解决长期困扰涉密单位在涉密信息系统建设使用中的网络互联与安全保密问题;由上可以看出国家信息安全等级保护是国家从整体上、根本上解决国家信息安全问题的办法, 进一步确定了信息安全发展的主线和中心任务, 提出了总体要求;对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向;而涉密信息系统分级保护则是国家信息安全等级保护在涉及国家秘密信息的信息系统中的特殊保护措施与方法;由于国家秘密信息与公开信息在内容和特性上有着明显的区别,所以涉密信息系统和公众信息系统在保障安全的原则、系统和方法等方面也有不同的要求;既不能用维护国家秘密信息安全的办法去维护国家公众信息安全,以至于影响信息的合理利用,阻碍信息化的发展;也不能用维护公众信息安全的办法来维护国家的秘密信息安全,以至于窃密、泄密事件的发生,危害国家的安全和利益,同样影响信息化的健康发展;。

安全等级保护制度的发展

安全等级保护制度的发展

随着信息技术的飞速发展,网络安全问题日益突出,数据泄露、网络攻击等安全事件频发,严重威胁着国家安全、经济安全和人民群众的切身利益。

为了有效应对网络安全威胁,我国逐步建立了安全等级保护制度,本文将从安全等级保护制度的起源、发展历程、现状及未来展望等方面进行阐述。

一、安全等级保护制度的起源安全等级保护制度起源于20世纪70年代的美国。

当时,美国国防部为了应对日益严重的计算机安全威胁,提出了“可信计算机系统评估准则”(Trusted Computer System Evaluation Criteria,TCSEC),即“橘皮书”。

该准则将计算机系统的安全等级分为A、B、C、D四个等级,为计算机系统的安全评估提供了理论依据。

二、安全等级保护制度的发展历程1. 我国安全等级保护制度的起步20世纪90年代,我国开始关注网络安全问题,并借鉴了美国的TCSEC。

1994年,我国发布了《计算机信息系统安全保护等级划分准则》(GB/T 17859-1999),将计算机系统的安全等级划分为A、B、C、D四个等级,为我国网络安全工作提供了基本准则。

2. 安全等级保护制度的完善进入21世纪,我国网络安全形势日益严峻,安全等级保护制度不断完善。

2003年,我国发布了《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008),明确了信息系统安全等级保护的基本要求。

2011年,我国发布了《信息安全技术信息系统安全等级保护管理办法》,对信息系统安全等级保护工作进行了规范。

3. 安全等级保护制度的深化近年来,我国网络安全战略地位不断提升,安全等级保护制度得到进一步深化。

2014年,我国发布了《国家安全法》,将网络安全纳入国家安全体系。

2016年,我国发布了《网络安全法》,明确了网络安全等级保护制度在国家法律体系中的地位。

三、安全等级保护制度的现状1. 安全等级保护制度已在我国全面实施目前,我国网络安全等级保护制度已在全国范围内全面实施。

等级保护政策、流程、内容、定级介绍 ppt课件

等级保护政策、流程、内容、定级介绍 ppt课件

2010年10月15日,第十七届中央委员会第五次全体会议 中提出的十二五规划中要求“健全网络与信息安全法律 法规,完善信息安全标准体系和认证认可体系,实施信 息安全等级保护、风险评估等制度”。
2012年7月17日,国务院办公厅(国发[2012]23号)——
《国务院关于大力推进信息化发展和切实保障信息安全
ppt课件
9
4 主要工作内容
工作实施过程中涉及到的角色和职责:
系统定级 系统备案 安全建设 等级测评 监督检查
ppt课件
10
5 等级保护主要工作流程
业务流程
•不合格项整改 •整改后测评
备案
测评申请
信息系统
测评
测评准备
ppt课件
11
6 等级保护定级工作流程
定级流程4 Biblioteka 级备案ppt课件8
3 等保测评作用
工作实施过程中涉及到的角色和职责: 在信息系统建设、整改时,信息系统运营使用单位通过
等级测评进行安全需求分析,确定系统的特殊安全需求 。信息系统等级保护基本安全要求与确定的特殊安全需 求共同确定了该系统的安全需求。 在系统运维过程中,定期委托测评机构开展等级测评, 对信息系统安全等级保护状况、安全保障性能进行安全 测试,对信息安全管控能力进行考察和评价,从而判定 是否具备《信息系统安全等级保护基本要求》中相应等 级安全保护能力。 等级测评报告是信息系统后期开展整改加固的重要指导 性文件,也是信息系统备案的重要附件材料。等级测评 结论是信息系统满足要求程度的证明文件。
信息安全等级保护基本介绍
河南天祺信息安全技术有限公司
信息安全系统等级保护
1 信息安全等级保护发展历程
2 等级保护的基本概念和含义

基础知识培训

基础知识培训

监督检查
备案
2.持定级报告和备案表到当地 公安机关网监部门进行备案。
4.委托具备测评资质的测评机构对 信息系统进行等级测评,形成正式 的测评报告。
等级测评
建设整改
3.参照信息系统当前等级要 求和标准,对信息系统进行 整改加固。
信息来源:中国网络安全等级保护网
等保基础知识—定级&备案
关键信息基础设施的安全保护等级
不低于第三级
违反《网络安全法》需承担相关法律责任
第五十九条
网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令
改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款;对直接 负责的主管人员处五千元以上五万元以下罚款。
物理和 环境 安全 网络和 通信 安全
机房设施
无特别变化
三级及以上强 化了“集中管 控” 三级及以上强 化了“双因素 鉴别”和“基 于标记访问控 制” 强化“剩余信 息保护”和 “个人信息保 护”
通信网络
管理要求
人员安全管理
系统建设管理 系统运维管理
构成节点 设备和 (节点可能是 计算 网络设备、安 安全 全设备、服务 器、终端等,) 应用和 数据 安全 业务应用
等保业务交流沙龙
INNOVATION&INTEGRATION
你必须了解的 等保形势&基础知识
等级保护发展历程简介
1994年-国务院147号令
第九条:
计算机信息系统实行安全 等级保护。
1999年-GB 17859
强制性标准:
规定了我国计算机信息系统 安全保护能力的五个等级。
2003年-中办发27号文
对相应客体的侵害程度

了解网络安全等级保护发展历程 解读网络安全等级保护2.0背景及变化

了解网络安全等级保护发展历程 解读网络安全等级保护2.0背景及变化

了解网络安全等级保护发展历程解读网络安全等级保护2.0背景及变化一、首先跟大家讲讲什么是网络安全等级保护?网络安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

二、了解网络安全等级保护发展历程●1994-2007 网络安全等级保护起步与探索1994年2月18日《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)2004年9月15日《关于信息安全等级保护工作的实施意见》2007年6月22日《信息安全等级保护管理办法》(公通字[2007]43号)2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)●2007-2016 网络安全等级保护标准化与发展GB/T 22239—2008 基本要求;22240、25070、28448、28449等保国标系列标准。

●2016-2019 网络安全等级保护行业深耕落地2017年6月1日《中华人民共和国网络安全法》2018年6月27日《网络安全等级保护管理条例(征求意见稿)》●2019——进入网络安全等级保护2.0时代2019年5月13日《信息安全技术网络安全等级保护基本要求》2020年7月22日《贯彻落实网络安全等保制度和关保制度的指导意见》(公安部1960号)2020年11月1日《信息安全技术网络安全等级保护定级指南GB/T22240-2020》正式实施三、了解网络安全等级保护2.0的背景自1994年第“147号令”,我国开始实施信息系统等级保护。

十几年来,在金融、能源、电信、医疗卫生等多个行业都已深耕落地,但是随着云计算、大数据、物联网、移动互联以及人工智能等新技术的发展,等级保护1.0已无法有效的应对新技术带来的信息安全风险,为了满足新的技术挑战,有效防范和管理各种信息技术风险,提升国家层面的安全水平,等级保护2.0应时而生。

浅谈信息安全等级保护的发展历程及现状

浅谈信息安全等级保护的发展历程及现状

[ 关键 词 ] 等级 保 护 ; 等级 备案 ; 等级 测评
d o i :1 0 . 3 9 6 9 / j . i s s n . 1 6 7 3 —0 1 9 4 . 2 0 1 7 . 0 4 . 1 1 5
[ 中图分类 号 ] T P 3 0 9
0 引 言
[ 文献标 识码 ] A
2 0 0 4正 2 0 0 5 年 2 0 0 7 正
《 国家信息化领导小组关于加强信息安全保障工作的意见 》
《 关于 印发
中央办公厅 、国务 院办公厅
中办发 [ 2 0 0 3 ] 2 7 号
公安部 、国家保密局 、 <关于信息安全等级保护工作的实施意见 >的通知 》 国家密码管理局 公通字 [ 2 0 0 4 ] 6 6 号 国务 院信息化办公室
2 0 1 7年 1月
中 国 管 理 信 息 化
C h i n a Ma n a g e me n t I n f o r ma t i o n i z a t i o n
J a n . , 2 01 7
Vo 1 . 2 0. N0 . 2
第2 0 卷第展历程及现状
随着 全球 信 息技 术 的快速 发展 , 我 国国 民经济 的繁 荣 和社会 信 息 化水平 的 日益 提升 , 信息 安全 已上升 为 国家层 面 的重 要 内容 。为 进 一 步提 高信 息 安全 保 障 工作 的能 力 和水 平 ,2 0 1 6年 国家 网 络安 全 宣传 周首 次在 全 国范 围 内统 一举 办 , 并 首次 在地 方城 市举 行 开幕 式 等 重要 活 动 。 由此信 息 安全 等 级 保护 制 度 也越 来 越成 为 信 息社 会 必不 可少 的一 项制 度 , 等 级 测评 工作 也将 随之逐 步 成为 一项 常规 化 工作 , 对保 障 国家 网络安 全 具有 重要 意义 。下 文对 信息 安全 等级 保 护 的概 念及 发展 状况 进行 梳理 。 1 信息 安全 等级保 护 的概念 信 息 安全 等 级 保护 是 对信 息 及 信息 载 体按 照 重 要性 等 级 分别 进 行保 护 的一种 工作 , 是 国际 上很 多 国家都 实施 的一 项信 息安 全工 作 。在 中 国 , 信 息安全 等级 保 护广 义上 是为 涉及 信息 安全 工作 的标 准、 产品、 系统 、 信息 等依 据 等级 保护 思想 确 立 的安全 工作 ; 狭 义上 般指 信息 系统 安全 等级保 护 。

等级保护发展历程

等级保护发展历程

等级保护发展历程等级保护发展历程⼆⼗多年来,我国的计算机等级保护制度得到了完善的发展,并在各个⾏业中得到了切实的实践执⾏,对我国的⽹络信息安全具有重要的指导作⽤。

今天,等级保护2.0时代,将根据信息技术发展应⽤和⽹络安全态势,不断丰富制度内涵、拓展保护范围、完善监管措施,逐步健全⽹络安全等级保护制度政策、标准和⽀撑体系。

等级保护1.0:1994年,国务院颁布《》,规定计算机信息系统实⾏安全等级保护等保2.0:2016年10⽉10⽇,第五届全国信息安全等级保护技术⼤召开,公安部⽹络安全保卫局郭启全总⼯指出“国家对⽹络安全等级保护制度提出了新的要求,等级保护制度已进⼊2.0时代”。

下⾯来看下详细的发展历程:等级保护1.0时代:1994年,国务院颁布《》,规定计算机信息系统实⾏安全等级保护。

2003年,中央办公厅、国务院办公厅颁发《》(中办发[2003]27号)明确指出“实⾏信息安全等级保护”。

2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点⼯作,为全⾯开展等级保护⼯作奠定基础。

2007年6⽉,四部门联合出台《》。

2007年7⽉,四部门联合颁布《》。

2007年7⽉20⽇,召开全国重要信息系统安全等级保护定级⼯作部署专题电视电话会议,标志着信息安全等级保护制度正式开始实施。

2010年4⽉,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评⼯作的通知》,提出等级保护⼯作的阶段性⽬标。

2010年12⽉,公安部和国务院国有资产监督管理委员会联合出台《关于进⼀步推进中央企业信息安全等级保护⼯作的通知》,要求中央企业贯彻执⾏等级保护⼯作。

等级保护2.0:2016年10⽉10⽇,第五届全国信息安全等级保护技术⼤召开,公安部⽹络安全保卫局郭启全总⼯指出“国家对⽹络安全等级保护制度提出了新的要求,等级保护制度已进⼊2.0时代”。

2016年11⽉7⽇,《》正式颁布,第⼆⼗⼀条明确“国家实⾏⽹络安全等级保护制度……”以《GB17859》、《》为代表的等级保护系列配套标准,习惯称为等保1.0标准。

等级保护政策、流程、内容、定级介绍 ppt课件

等级保护政策、流程、内容、定级介绍 ppt课件

ppt课件
21
8 等级保护安全建设内容
安全建设
在信息系统安全保护等级确定以后,系统运营单位和使 用单位开展系统安全建设和改建工作,通常包括安全需 求分析、总体安全设计、详细安全设计、安全设施实现 和安全运行与维护等工作。
ppt课件
22
9 等级保护监督检查内容
监督检查
公安机关负责信息安全等级保护工作的督促、检查、指 导; 受理备案的公安机关对第三级信息系统的运营、使用单 位每年至少检查一次,对第四级每半年检查一次; 公安机关检查发现不符合有关管理规范和技术标准的, 发出整改通知并进行整改。
信息系统定级工作的主体是信息系统运营和使用单位, 坚持“自主定级、自主保护”原则,因此定级工作应当 由信息系统的运营和使用单位来完成。
ppt课件
13
6 等级保护定级工作流程
定级受理备案审核材料
管理办法规定第二级以上信息系统应当在安全保护等级 确定后30日内,由其运营、使用单位到所在地区的市级 以上公安机关办理系统备案手续。
ppt课件
8
3 等保测评作用
工作实施过程中涉及到的角色和职责: 在信息系统建设、整改时,信息系统运营使用单位通过
等级测评进行安全需求分析,确定系统的特殊安全需求 。信息系统等级保护基本安全要求与确定的特殊安全需 求共同确定了该系统的安全需求。 在系统运维过程中,定期委托测评机构开展等级测评, 对信息系统安全等级保护状况、安全保障性能进行安全 测试,对信息安全管控能力进行考察和评价,从而判定 是否具备《信息系统安全等级保护基本要求》中相应等 级安全保护能力。 等级测评报告是信息系统后期开展整改加固的重要指导 性文件,也是信息系统备案的重要附件材料。等级测评 结论是信息系统满足要求程度的证明文件。

等级保护发展历程共26页文档

等级保护发展历程共26页文档

云计算中心必须满足等级保护的政策要求
云计算中心仍然是一类信息系统,需要依照其重要 性不同进行分级保护。
云计算中心的安全工作必须依照等级保护的要求来 建设运维。
云安全还需要考虑虚拟化等新的技术和运营方式所 带来的安全问题。
常见的二级系统举例
地市政府办公自动化系统(内部使用的) 地市政府政务公开网站(外部信息发布) 地市政府间协同办公系统 企业电子商务网站 银行网站
目录
1 等级保护标准体系 2 等保要求下的云安全 3 云安全管理中心CloudFirm
等级保护发展历程
《中华人民共和国计算机信息 系统安全保护条例》(1994年 国务院147号令) 《国家信息化领导小组关于加 强信息安全保障工作的意见》 (中办发[2019]27号)
网监->网安 测评机构认证(100多家) 测评师培训认证
第四级
社会秩序和公共利益
国家安全
第五级 极端 国家安全 重要 系统
侵害程度
损害 严重损害 损害 严重损害 损害 特别严重损害 严重损害 特别严重损害
监管强度
自主保护 指导
监督检查
强制监督检查
专门监督检查
不同级别系统控制项的差异汇总
等级保护实施流程
目录
1 等级保护标准体系 2 等保要求下的云安全 3 云安全管理中心CloudFirm
安全管理平台
物理/虚拟安全设备管理 主机安全 数据安全
安全域隔离
安全运维平台
安全巡检、系统监控 事件管理、应急响应 备份管理、模拟演练
等保合规性平台
制度规范 系统设计文档 流程、运行记录
合规性检查
CloudFirm整体结构图
CloudFirm
安全技术 安全管理

我国信息安全等级保护制度的创新与发展

我国信息安全等级保护制度的创新与发展

我国信息安全等级保护制度的创新与发展作者:沈昌祥来源:《网络空间安全》2016年第12期建立等级保护制度就是要保护国家的网络空间安全,要抵御攻击。

“安全等级”溯源我国的等级保护制度的建立,学习和借鉴了发达国家的一些内容和经验,但是,我们国家也根据国情进行了一定的创新。

在20世纪80年代,美国国防部就推行“安全等级划分准则”,率先推出了等级保护TCSEC标准。

在2003年,美国制定了第一个网络空间安全战略——《保护网络空间国家战略》,提出了按重要程度不同,分为五个等级的保护制度,并通过了《联邦信息安全管理法案》(FISMA),要求NIST制定分类分级标准。

2005年这个标准变成了强制性标准(FIPS200),要求联邦机构无条件地执行。

尤其是2013年,在奥巴马上任后发布了《增强关键基础设施网络安全》行政令,按此令NIST于2014年2月12日提出了《美国增强关键基础设施网络安全框架》,要求按风险程度不同,分为四个等级进行保护,并实行了识别、保护、监测、响应、恢复全过程的风险管理。

我国等级保护工作有序推进我国等级保护制度的发展是领先于世界进程的,按照系统进行等级保护,我国走在了前面,因为美国和欧洲都是基于部件安保。

在1994年,国务院发布了《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号),同时为我国信息系统实行等级划分和保护提供了法律依据。

在1999年依据国务院第147号令制定发布了强制性国家标准《计算机信息体统安全保护等级划分准则》,为等级划分和保护奠定了技术基础。

2003年国家又出台制订了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),进一步明确要求“抓紧建立信息安全等级保护制度”,明确了抓紧建立信息安全等保制度。

国家有关部委多次联合发文,明确了等级保护的原则、基本内容、工作流程和方法、实施要求和计划等。

目前国家各部委都按照信息系统定级备案、整改建设和测评进行推进,国家重点工程的验收,要求必须通过信息安全等级保护的测评。

等级保护2.0解决方案

等级保护2.0解决方案
身份安全认证对授权主体进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。终端安全管理实时针对终端的安全关机,包括漏洞扫描,基线核查、主机防病毒等,保证内网终端环境安全;全面安全审计保证审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计,审计记录满足等保要求;数据安全保护保证数据传输过程、数据存储中的加密,个人信息数据使用的审计,非法访问的禁止。
未知威胁检测与分析
TAC-D
已知威胁检测与防御
FW/NIPS
智能安全管理
ISOP
Attacker
协同分析与联动防御
威胁情报上报与分发
集中管理与智能分析
全球威胁情报协同
邮件高级威胁检测与防御
TAC-E
Internet
SAS-W OSMS
NTI
安全计算环境建设
安全计算环境
安全计算环境建设
WEB
协同安全运营,提高安全能力
依托现有运营服务体系,支撑对保护对象,进行持续监测、预警和研判处置,提升其检测、保护和应急响应能力。
方案价值
谢谢!
SAG
区域A 区域B 区域C
安全区域边界建设
网络边界的安全防护,特别是无线网络与有线网络的边界控制。
实现对网络攻击特别是未知的新型网络攻击的检测和分析。关键节点分别具备限制,Fra bibliotek部发起的攻击行为。
特定用户要求单独进行行为审计和数据分析。(远程访问的用户行为、访问互联网的用户行为)
覆盖新场景、新应用、新技术;
等保2.0全流程服务
02
等保2.0全流程服务
等级保护工作流程
等保2.0全流程服务
定级、备案
拟定为二级以上的定级对象,需组织专家评审;有行业主管部门的,评审后报主管部门审核批准;跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。行业主管部门可以依据国家标准规范,结合本行业网络特点制定行业网络安全等级保护定级指导意见。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

我国等级保护发展历程
1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。

1999年9月13日,由国家公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》,并定于2001年1月1日实施其中把计算机信息安全划分为了5个等级。

2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。

2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作,为全面开展等级保护工作奠基。

2007年6月,四部门联合出台《信息安全等级保护管理办法》。

明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。

2007年7月,四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。

2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信息安全等级保护制度正式开始实施。

2009年10月,公安部出台了《关于开展信息安全等级保护建设整改工作的指导意见》(公信安[2009]1429号),并对中央和国家机关九十多个部委和直属机构等进行了等级保护建设整改工作培训,评估中心对建设整改工作的技术方法和流程进行了培训。

同年,公安部以(公信安[2009]1487号)文件的形式下发了由评估中心编写的《信息系统安全等级保护测评报告模板(试行)》。

2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。

2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。

以《GB17859计算机信息系统安全保护等级划分准则》、《GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求》为代表的等级保护系列配套标准,习惯称为等保1.0标准。

2013年,全国信息安全标准化技术委员会授权WG5-信息安全评估工作组开始启动等级保护新标准的研究。

2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。

2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全等级保护制度……”
2017年1月至2月,全国信息安全标准化技术委员会发布《网络安全等级保护基本要求》系列标准、《网络安全等级保护测评要求》系列标准等“征求意见稿”。

2017年5月,国家公安部发布《GA/T 1389—2017 网络安全等级保护定级指南》、《GA/T 1390.2—2017 网络安全等级保护基本要求第2 部分:云计算安全扩展要求》等4个公共安全行业等级保护标准。

2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,正式发布了等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准。

2019年12月1日,等级保护2.0正式实施。

相关文档
最新文档