等保浅尝-网络安全等级保护/等保2.0
一、等级保护是什么
等保1.0为GB/T 24258-1标准下的信息安全技术领域内的信息安全等级制度;等保2.0则为GB/T 24258-2标准下的网络安全等级制度
网络安全等级保护是我国网络安全工作的根本国策和制度保障。在1.0时代标准的基础上,我国不断优化完善网络安全等级保护标准体系,在强化主动防御能力的同时,在被动防御基础上逐步发展形成了事前防范、过程监控及事后处理三个环节的安全管理体系。这一系列规范性措施实现了对传统信息系统、基础信息网络以及云计算平台等关键领域资源的全方位安全防护覆盖
二、等保发展史
1、发展路线
等保1.0基于九十年代初国务院发布的《网络安全法实施办法》(编号为第十四十七号令),而等保2.0则由九十年代末发布的《中华人民共和国网络安全法》进行规范制定。
我国现行法律体系主要由宪法、法律、行政法规、地方性法规和部门规章构成。在规范层次上存在从高到低的等级关系,在具体效力上次级规范法(如行政法规、地方性法规)均低于其上位规范法(如基本法律)。其中基本法律由全国人民代表大会及其常务委员会根据宪法制定;部门性法律由国务院及其所属机构根据国家法律制定;部门规章则由国务院各部门根据国家法律和地方政府性法规进行规定
附:中华人民共和国网络安全法
中华人民共和国网络安全法
三、相对于1.0的变与不变
等保2.0旨在修改原有标准,并将其名称更新为新的标准与其相关法律文件保持统一。
第二、法律法规变化
从法规提升到法律层面。其最高国家政策为国务院发布的第一号令,网络安全法则是其最高国家政策。
第三阶段分级保护的对象主要是传统信息系统和基础信息网络等单一领域的信息系统。随着信息技术的发展和应用范围的拓展,在第四阶段中分级保护的对象更加多样化和综合化
第四,定级流程的变化
等保 2.0 标准不再由单位自行完成定级工作,而是需要依次经历以下几个步骤:首先确定需要评估的对象;接着进行初步等级判定;随后组织专家进行评审;然后由主管部门进行审核;之后提交至公安机关备案;最后才完成整个定级过程。只有经过专家评审以及主管部门审核后,系统才能进入公安机关备案阶段,整个流程更加严格和完善。
第五章 安性调整要点发生变化。原来的安全性相关内容将划分为通用性和扩展性两大类(其中包含云计算平台、移动互联设备、物联网终端以及工业控制系统)。
第六节:控制措施的分类结构发生变化。等保2.0仍然沿用技术与管理两大维度作为其核心框架。在技术方面,则由原先的技术层面的安全保护发展成为更加具体的各类保障性设施或体系,在实际应用中则表现为物理防护体系(如物理屏障)、网络防护体系(如防火墙)、区域防护边界(如 perimeter defense)、计算环境防护(如加密算法)以及集中管理体系(如安全管理平台)等多个层次的具体构成要素。而在管理层面,则未发生根本性变动,在实际操作中仍遵循原有的制度架构布局:即建立完善的安全管理制度体系→建立明确的安全管理部门→配备专业的安全管理人员→实施有效的系统建设规划→建立完善的运维管理体系
第七,内容变化。
自等保1.0实施以来,在定级分级管理、备案流程优化、系统优化工程推进、等级评定标准制定以及日常监督机制建立等方面开展工作。在原有五项规定动作的基础上增添新的安全管控措施
第八,等级保护 “五个级别” 不变
第一级:用户自主保护级;
第二级:系统保护审计级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级
第九,等级保护流程不变
等级保护规定的五个主要工作内容包括定级评估、内部备案准备、设施建设和整改落实以及定期测评与反馈等环节。等保2.0标准仍将以这些规定动作为基础进行具体实施和监督。
第十,等级保护 “主体职责” 不变
- 相关单位负责维护定级目标的安全防护责任不变;
- 上级主管部门须保障所属单位的安全管理制度不变;
- 第三方安全机构承担定级目标的评估任务不变;
- 国家网络安全 Validate(NSV)负责对定级目标实施备案处理和监管检查等职责。
四、等保级别
信息系统安全防护等级取决于两个主要因素:当系统遭受破坏时所涉及的目标以及这些目标可能遭受的影响,并考虑其所能造成的危害程度。
第 初级 用户自主防护级别 (该级别具备以下特点:无需登记备案,不涉及测评周期管理;通常应用于小型私营企业和个体企业,中小学以及乡镇-level information systems;在县级单位中常用于统一信息管理)
- 用户将决定如何对资源进行保护,并确定采取的具体保护措施。
- 当此类信息系统遭受破坏时,通常会侵犯普通民众、企业和组织的合法权益,并不会影响国家安全和社会秩序。
- 该系统应具备抵御来自个人威胁者(这些威胁者拥有少量资源)发起的恶意攻击、自然灾害以及严重威胁所导致的关键性资源损害的能力,并能在遭受攻击后部分恢复功能。
二级系统的保护审计级别(指导性保护级别)需由公安机关备案,并建议每两年进行一次定期评估。此标准主要适用于县级及其以下某些单位中的重要信息系统;而对于属于地级以上国家机关或企事业单位内部的重要信息系统,则应普遍适用。具体实施时应确保不涉及工作秘密、商业秘密以及敏感信息的办公系统和管理系统等
- 该系统应规定创建和维护访问的审计日志,以使所有用户对自己的行为负责。
- 当信息系统遭受破坏时,其可能导致公民、法人或其他组织的重大损失,并可能影响社会秩序和公共利益;但不会威胁国家安全。
- 该系统应具备抵御来自外部小型组织(即攻击者)发起恶意攻击、应对一般自然灾害以及重大威胁所造成的重大资源损失的能力;此外,在遭受攻击后应能及时发现并修复关键安全漏洞,并在一定时间内部分恢复功能。
三级安全标记监管级别(监管级别分为监督性监管级别并由公安机关进行备案登记,并规定每年必须进行一次考核评估;通常应用于各级国家机关(包括中央与地方)及各类企业事业单位内部重要的信息系统中如涉及重要保密信息的企业办公系统及管理信息系统等;对于覆盖跨区域运行的各种大型网络信息系统以及这些系统的各级分支机构均需纳入此类管理范畴
- 为了保障系统的安全性,在确定统一的安全策略的基础上进行操作时,请确保通过特定的安全级别限定访客的信息类型,并采取相应的技术措施防止未经授权的数据访问。
- 当信息系统遭受破坏时,则可能导致严重的后果:
- 影响社会秩序与公共利益;
- 或者导致国家安全遭受侵害。
- 系统应具备在统一的安全策略指导下:
- 防御来自外部有组织团体(如犯罪团伙)及拥有丰富资源的威胁源发起的一系列恶意攻击;
- 防御较为严重的自然灾害等其他潜在风险;
- 在遭受破坏后能够快速恢复大部分正常功能。
- 当信息系统遭受破坏时,则可能导致严重的后果:
第四层级的结构化防护级别(强制性防护级别),需由公安机关备案,并每半年审核一次;该制度主要适用于关键国家领域中的重点专用系统以及核心系统中涉及国家安全与国计民生的重要业务运行机制。包括但不限于电力行业(含电网运营)、电信运营商等单位的相关业务调度与指挥流程。
- 将保护机制划分为关键部分和非关键部分,并采取措施限制访问者对访问对象的存取以增强系统的抗渗透能力。
- 当信息系统遭受破坏时会带来极其严重的后果包括影响社会秩序公共利益或威胁国家安全。
- 基于统一的安全策略该系统具备快速响应能力以抵御来自国家级别敌对组织拥有丰富资源以及可能引发严重灾害等威胁源的各项恶意攻击严重的自然灾害或其他危害性极大的威胁同时能够及时发现监测攻击行为和安全事件并在遭受损坏后迅速恢复所有功能。
第5等级别访问验证防护级别(专设防护级别经公安机关备案 依据特殊安全要求设立 一般情况下适用于国家关键领域以及对极端重要的系统给予相应的防护措施)
- 新增设置了访问验证功能项, 该系统由授权人员根据规则处理或决定所有用户的进出权限申请.
- 当信息系统遭受破坏时, 则会严重影响国家安全. 国家信息安全监管部门将对该级系统的安全等级保护工作实施定期监控和审查.
五、等保与备份容灾
级别 技术要求
一级 本地备份与恢复
二级 本地备份与恢复+异地定时备份
三级 本地备份与恢复+异地数据实时备份+本地业务高可用
四个层级的系统架构设计包括:① 本地存储的数据备份及快速恢复机制;② 跨区域服务器的数据实时同步和备份方案;③ 在本地环境确保业务连续性的措施;④ 在异地环境保障业务稳定运行的策略
级别 管理要求
一级 a.应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b.应规定备份信息的备份方式、备份频度、存储介质、保存期等。
二级 a. 应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b. 应规定备份信息的备份方式、备份频度、存储介质、保存期等。
c. 应依据数据的重要性及其对系统运行的影响制定相应的数据备份及恢复策略,并相应地制定相应的备份程序及恢复程序等
三级 同上
四级 同上
六、医疗行业等保相关法律法规
卫办发〔2011〕85号
重要卫生信息系统安全保护等级原则上不低于第三级:
卫生统计 reporting 网络系统、infectious disease reporting 系统、health supervision information reporting 系统以及 dedicated emergency command system for sudden public health events等跨省全国联网运行的信息系统
(2)国家级卫生信息化平台在国家、省、地市多层次水平上构建,并包含新型农村合作医、卫生监管以及妇幼保健等多个国家级数据存储中心。
(3)三级甲等医院的核心业务信息系统;
(4)卫生部网站系统;
其他相关的信息系统经专家委员会审核达到或超过第三级。
三级综合医院评审标准实施细则
2011年
根据《卫生行业信息安全等级保护工作的指导意见》,国家卫健委明确了三级医院的重要业务系统(依据文件规定可由各省级卫健委自行设定)须完成等保三级测评工作。
2016年
根据《国家卫健委 2016年 三级综合医院评审标准考评办法完整版》,规定只有当重要业务系统的安全等级达到三级以上时才能符合三甲医院网络安全的标准要求
2018年
国家卫健委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》,明确要求承载健康医疗大数据的平台应当遵循无具体级别的等级保护制度;通常情况下,引入大数据技术的医疗机构多为三级甲等医院,在实际操作中主要采取三级等保作为防护标准。
2018年
国家卫健委《互联网医院管理办法(试行)》明确要求为开展互联网医疗服务提供技术支撑的平台应当满足网络安全等级保护制度的要求。
2018年
全国医院信息化建设标准与规范 (试行)
2020年
民办发〔2020〕5号 新冠肺炎疫情社区防控工作信息化建设和应用指引
社区防控信息化产品(服务)运营者应按照高于国家等级保护制度三级的要求执行相关安全防护工作,并长期为产品(服务)提供必要的安全维护支持,在合同约定的有效期内不得擅自解除其产品的安全维护责任。
医院内部重要信息系统的管理与应用中, 建议对网络数据信息系统的相关部分实施等级保护三级测评, 并推进相应的等保建设及安全防护工作, 具体的测评范围包括
医院信息系统(HIS)
实验室(检验科)信息系统(LIS)
医学影像信息系统(PACS)
电子病历系统
与患者交流的其他服务系统
采用分级保护二级标准进行防护的对外开放型信息系统或网站主要应用于企业内部的办公自动化系统对于这类信息系统而言可采取分级保护二级标准进行防护措施并配合相应的安全评估与建设工作具体的防护目标包括但不限于数据存储传输和应用系统的运行维护等关键环节
门户网站
医院资源(财务业务一体化)规划系统(HRP)
其他涉及重要信息的业务系统
第二级的网络安全等级保护标准通常每隔两年就需要至少进行一次安全测评;具备三级及以上网络安全等级保护资质的系统则必须每年进行安全评估。这些规定是适用于所有行业领域的标准要求;因此医院同样应当遵循这一行业标准来进行定期的安全评估。