网络安全等级保护实践

微信扫码，打开到小程序

“ 网络安全等级保护测评 实践交流 ” 415全民国家安全教育日 网 络 安 全 等 级 保 护 制 度 相 关 的 法 律 法 规 PART 等保工作法律依据－网络安全法 PART ONE • 《网络安全法》第二十一条：国家实行 网络安全等级保护制度 。网络运营者应 当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干 扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改： 一． 制度内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任； 二． 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施； 三． 采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日 志不少于六个月； 四． 采取数据分类、重要数据备份和加密等措施； 五． 法律、行政法规规定的其他义务。 • 第五十九条：网络运营者不履行本法第二十一条、第二十五条规定的网络安全保 护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安 全等后果的，处一万元以上十万元以下罚款，对 直接负责的主管人员 处五千元 以上五万元以下罚款。 信息安全等级保护管理颁发 PART ONE 二级系统等保测试依据 PART ONE 等保工作法律依据－网络安全法 PART ONE • 《刑法》第二百八十六条之一：【拒不履行信息网络安全管理义务罪】网络服 务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责 令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役 或者管制，并处或者单处罚金： • （一）致使违法信息大量传播的； • （二）致使用户信息泄露，造成严重后果的； • （三）致使刑事案件证据灭失，情节严重的； • （四）有其他严重情节的。 • 单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责 任人员，依照前款的规定处罚。 • 有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。 不做等保就是违法 PART ONE 网络安全法与等级保护二者关系浅析 《网络安全法》于2017年6月1日正式施行，这是我 国第一部全面规范网络空间安全管理方面问题的基 础性法律，是我国网络空间法治建设的重要里程碑， 是依法治网、化解网络风险的法律重器，是让互联 网在法治轨道上健康运行的重要保障。该法的发布 也标志着国家网络安全等级保护工作正式进入2.0 时代，现在不做等保就是违法了。 http://www.djbh.net/webdev/web/HomeWebAction.do?p=getlistHomeGzj b# 等保工作对企业的意义 PART ONE 维护单位良好的形象 通 过 等 级 保 护 工 作 发 现 单 位 信 息 系 统 存 在 的 安 全 隐 患 和 不 足 ， 进 行 安 全 整 改 之 后 ， 提 高 信 息 系 统 的 信 息 安 全 防 护 能 力 ， 降 低 系 统 被 各 种 攻 击 的 风 险 。 等级保护是我国关于信息安全 的基本政策 国 家 法 律 法 规 、 相 关 政 策 制 度 要 求 单 位 开 展 等 级 保 护 工 作 ， 如 《 信 息 安 全 等 级 保 护 管 理 办 法 》 和 《 中 华 人 民 共 和 国 网 络 安 全 法 》 。 合理规避风险 落 实 个 人 及 单 位 的 网 络 安 全 保 护 义 务 ， 第 三 方 权 威 证 明 企 业 已 尽 到 网 络 安 全 基 本 义 务 。 不允许分包、转包、代理等保测评项目 PART ONE • 《网络安全等级保护测评机构管理办法》第十五条：测评机构应与被测评单位签 署测评服务协议，依据有关标准规范开展测评业务，防范测评风险，客观准确地反 映被测评对象的安全保护状况。对第三级以上网络提供等级测评服务的，测评师人 数不得少于4名，其中高级测评师、中级测评师应各不少于1名。 • 第四十三条：测评机构有下列情形之一的，等保办责令其限期整改；情形严重的， 责令整改期间暂停测评业务，并予通报。 一． 未按照有关标准规范开展测评，或未按规定出具测评报告的； 二． 分包、转包、代理测评项目，或恶意竞争，扰乱测评工作正常开展的； 五． 影响被测评网络正常运行，或因测评不到位，未发现网络中存在相关漏洞隐患， 导致被测评网络发生重大网络安全事件的。 • 第四十四条：测评机构有下列情形之一的，等保办应取消其推荐证书，并向社会公 告，三年内不得再次申请。 三． 有网络安全产品开发、销售或系统安全集成等影响测评结果公正性行为；与产品 提供商、服务商或被测评方存在利益勾结，扰乱测评业务正常开展的； 不允许分包、转包、代理等保测评项目 PART ONE • 《网络安全等级测评与检测评估机构自律规范》第九条：会员单位提供测评服务不受低于、 行业、领域限制。对第三级以上网络提供等级测评服务的，测评师人数不得少于4名，其中 高级测评师、中级测评师应各不少于1名。 • 第二十九条：测评机构有下列情形之一的，等保办责令其限期整改；情形严重的，责令整改 期间暂停测评业务，并予通报认证机构。 一． 未按照有关标准规范开展测评，或未按规定出具测评报告的； 二． 分包、转包、代理测评项目，或恶意竞争，扰乱测评工作正常开展的； 五． 非本机构测评师或测评人员未取得等级测评师证书和上岗证从事等保测评活动的。 三． 第二十一条：会员单位不得从事系统安全集成或网络安全产品研发、生产、销售等。 等保测评中的“一条龙一站式现象” PART ONE 加强等保制度学习，提升认知免疫力 如何寻找靠谱合适的等保测评机构？ PART ONE http://www.djbh.net/ 寻找联系方式 如何寻找靠谱合适的等保测评机构？ PART ONE http://www.djbh.net/ 查看测评机构的人员规模 如何寻找靠谱合适的等保测评机构？ PART ONE http://www.djbh.net/ 追溯测评人员的身份 如何寻找靠谱合适的等保测评机构？ PART ONE http://www.djbh.net/ 查询网专产品认证的有效性 等保测评机构认证合同直签 PART ONE 网络安全等级测评机构此次是由公安部第三研究所认证发放的， 通知里明确说了公安部第三研究所是由国家认证认可委员会批准 的认证机构。 当前全国测评机构均由公安部第三研究所进行管理和认证。 PART 网 络 安 全 等 级 保 护 制 度 的 演 变 等级保护制度25年演变史 PART TWO 《计算机信息系统安全保护条例》第九条规定， 计算机信息系统试行安全等级保护。 1994年 《信息系统安全等级保护管理办法》正式颁行。 2007年 等保1.0核心标准相继发布 2008-2012年 《网络安全法》第二十一条规定，国家实行网络安全 等级保护制度。 2017年 《网络安全等级保护条例（征求意见稿） 》相继发 布 2017-2018年 等保2.0正式颁布，12月1号正式实施 2019年12月1日 等保2.0国家标准在2019年12月1日实施 PART TWO 2019.5.16 等保2.0宣贯会 北京站 2019.6.3 等保2.0宣贯会 上海站 2019.6.6 等保2.0宣贯会 广东站 2019.6.19 等保2.0宣贯会 湖南站 2019.6.28 等保2.0宣贯会 海南站 2019.9.5 等保2.0宣贯会 陕西站 2019.9.17 等保2.0宣贯会 四川站 ü 深入推进国家网络安全等级保护制度 一．《网络安全法》第二十一条明确要求：国家实行网络安全等级保护制度。 二．中央关于加强社会治安防控体系建设的意见、公安改革若干重大问题的框架意见要求“健全完善信息安全等级保护制 度”。 三．习近平总书记等中央领导批示要求：健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度。 两个全覆盖：全社会覆盖，全系统覆盖。 等保测评标准起草！ PART TWO GB/T 22239一2019 信息安全技术 网络安全等级保护基本要求 （等保2.0标准） GB/T 25058 信息安全技术 信息系统安全等级保护实施指南 GB/T 22240 信息安全技术 信息系统安全等级保护定级指南 GB/T 25070 信息安全技术 网络安全等级保护安全设计技术要求； GB/T 28448 信息安全技术 网络安全等级保护测评要求； GB/T 28449 信息安全技术 网络安全等级保护测评过程指南。 企业实施等保工作基本概念及关注要点 PART TWO 基本内容 ü 基本概念 信息安全等级保护是指对国家重要信息、法人和其他 组织及公民的专有信息以及公开信息和存储、传输、 处理这些信息的信息系统分等级实行安全保护，对信 息系统中使用的信息安全产品实行按等级管理，对信 息系统中发生的信息安全事件分等级响应、处置。 ü 五个等级 由低到高一到五级，二级和三级最为常见。 关注要点 ü 主管单位：公安机关负责监督、检查、指导。 ü 监管力度：二级以上系统均纳入公安机关监管范围， 其中三级系统至少每年测评一次。 ü 覆盖范围：中华人民共和国境内的计算机信息系统。 ü 严重性：发现不符合有关管理规范和技术标准要求， 公安机关会通知其运营单位限期整改，并发送《网 络安全等级保护限期整改通知书》，逾期不改正的， 给予警告并向上级主管部门通报，拒不改进的，由 公安机关处以警告或停机整顿。 政府 电子政务行业 税务行业 国土资源行业 大数据行业 云计算 物联网 工控行业 广电行业 电力行业 水利行业 能源行业 通信行业 金融行业 卫生行业 民航行业 教育行业 交通行业 商密行业 司法鉴定行业 关键信息基础设施等保是前提 PART TWO 如何全局开展网络安全工作 PART TWO PART 等保测评工作步骤 整改 1 3 5 2 4 定级咨询 资料评审 调研工作 正式测评 问题汇总 整改建设 复测指导 终测达标 协助换取 备案证明 等保工作流程 PART THREE 系统被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权 益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 定级 PART THREE 等级保护正式测评项目时间规划 PART THREE 阶段 完成时间 工作内容 企业参与人员 交付物 定级备案 4周 备案材料提交到某某公安局申请备案编号 1. 机房物理环境负责人员； 2. 网络环境负责人员； 3. 服务器负责人员； 4. 数据安全负责人员； 5. 应用系统负责人员； 6. 管理制度负责人员； 备案资料 备案编号 初测 2周 测评机构开展现场测评，包括物理安全、主机系统安全、网 络安全、应用安全、数据安全以及安全管理机构、安全管理 制度、人员安全管理、系统建设管理、系统运维管理等方面 进行测评。 《问题汇总及整改建议》 整改 1-2个月 根据问题汇总及其整改意见开展整改工作 管理安全涉及相关文档 终测 1-2个月 等保入场复测，测评机构开展现场测评，对整改后的系统进 行测评 《信息安全等级保护测评报 告》 换取备案证明 1个月 将等保测评报告提交某某市网安总队审核，根据网安审核情 况获取备案证明 / 备案证明 分类 测评模块 具体测评项 技术 安全物理环境 物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水 和防潮、防静电、温湿 度控制、电力供应、电磁防护 安全通信环境 网络架构、通信传输、可信验证 安全区域边界 边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、 可信验证 安全计算环境 身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、 数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护 安全管理中心 系统管理、审计管理、安全管理、集中管控 管理 安全管理制度 安全策略、管理制度、制定和发布、评审和修订 安全管理机构 岗位设置、人员配置、授权和审批、沟通和合作、审核和检查 安全管理人员 人员录用、人员离岗、人员考核、安全意识教育与培训、第三方人员管理 安全建设管理 定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件 开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择 安全运维管理 环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络 和系统安全管理、恶意 代码防范管理、配置管理、密码管理、变更管理、 备份与恢复管理、安全事件处置、应急预案管 理、外包运维管理 PART THREE 等级保护问题汇总报告 PART THREE 等保二级分阶段实施优先级 PART THREE 等保三级分阶段实施优先级 PART THREE 机构 体检机构 测评机构 岗位 B超医师 测评师 要求 熟悉测试 工具、熟 悉测试指 标 熟悉测试工 具方法、熟 悉测试指标 交付 检验报告 问题汇总 资质 要求 持证上岗 持证上岗 机构 医院 方案商 岗位 治疗医生 方案工程师 要求 望闻问切， 了解药效、 适用场景 熟悉用户业务、 行业发展、产 品功能、适用 场景 交付 处方 整改方案、设 备选型 资质 要求 持证上岗 无 机构 药厂 设备厂商 要求 加强疗效 产品功能、 性能、适用 场景 交付 药品 整改产品 资质 要求 销售许可 证 销售许可证 连接岗：医药代表、 集成商 截至到监管机构确认 全程辅导协调 连接岗：护士、网安小蜂队 业主 测评机构 评审专家 公安部门 测评师 方案商 集成商 制造商 测评师 公安部门 顾客 体检机构 - - 化验师 医生 药店 药厂 医生 - PART THREE 项目开展阶段 服务描述 服务名称 服务内容 一、项目规划 确定等保测评工作方法 根据系统安全等级情况、系统规模大小等，明确本次评估的方法。 制定等保测评工作总计 划 制定系统的工作计划或方案，说明评估服务范围、评估服务对象、工作方法、人员组成、角色 职责、时间计划等。 二、定级备案 确定测评范围 明确本次被测评系统的范围，包括信息系统的边界等。 获得信息系统的信息 通过调查或查阅资料的方式，了解系统的构成，包括网络拓扑、业务应用、业务流程、设备信 息、安全措施状况等。 确定具体的评估对象 初步确定信息系统的被测评对象，包括整体对象,如办公、网络环境等；也包括具体对象，如 边界设备、网关设备、服务器设备、工作站、应用系统等。 备案材料准备 协助甲方进行系统备案材料的整理填写，并报备公安机关，获取备案编号，完成定级备案工作。 三、辅导整改 管理文档补充完善 按照国家规定的三级等保测评基本要求，在等级保护正式测评前，完成系统所有文档的梳理及 完善工作。 组织整改方案的讨论 针对等级保护测评中的整改方案组织讨论交流，包括相关制度的梳理，最终达到等保测评标准， 并协助甲方做好准备工作。 四、备案证明 测评报告审核 测评报告正式盖章递交到网安前，进行内容、细节和格式等与用户再次确认。 换取备案证明 根据等级保护相关要求，协助甲方到公安机关领取系统备案证明。 五、增值服务 英文咨询（可选） 在等保工作过程中提供英文支持，包含英文版测评报告。 六、项目周期陪 跑 等保项目周期陪跑 贯穿整个等保测试周期的陪跑，包括项目进度把控和管理（周期3-6个月） PART THREE PART 相 关 内 容 网安小蜂队特有网络安全意识提升服务 PART FOUR 5 年 2 8 6 期 简 报 每周提供关于网络安全动态、新闻、安全事件等汇集的信息安全周报。 4 年 2 3 4 期 视 频 每周提供给企业员工安全意识培训短视频 副 高 以 上 专 家 培 训 为企业高管提供线下的安全培训，培训内容围绕网络安全、等级保护、网安法解 读等多方面要点。 C I I P 等 保 内 审 人 员 国家重要信息系统保护人员培训 公安部第三研究所源代码备案证明 PART FOUR 源代码备案证明 甲方和乙方之间信任的桥梁 异地产品送检陪跑服务（共享员工） PART FOUR PART 等 保 测 评 工 作 开 展 现 状 感谢网安小蜂队客户的信任 PART FIVE 上海范围已经开展数万个系统等保测评。 网安小蜂队6年来成功陪跑辅导的案例包括了以下行业 l 涉及行业：电信、银行、税务、电力、证券、保险、邮政、交通、检验检疫、征信等 l 涉及系统：核心系统、网上交易、SCADA、热线、客服、网站、OA、云平台等 感谢网安小蜂队客户的信任 PART FIVE 上海巧议网络科技有限公司 华东建筑设计研究院有限公司 上海华一保险经纪有限公司 第一三共（中国）投资有限公司 锅圈食品（上海）股份有限公司 上海韬奋纪念馆 上海完美时空软件有限公司 崇邦新基（上海）企业管理咨询有限公司 上海喜马拉雅科技有限公司 上海肇亿商贸有限公司 盈纬达（上海）医疗器械有限公司 上海机电设备招标有限公司 上海世好食品股份有限公司 光明房地产集团股份有限公司 上海陆杰电子科技有限公司 上海机场（集团）有限公司建设开发公司 感谢网安小蜂队客户的信任 PART FIVE 上海洽太信息科技有限公司 富达基金管理（中国）有限公司 上海会畅通讯股份有限公司 泰科电子（上海）有限公司 上海观测未来信息技术有限公司 上海丽人丽妆化妆品股份有限公司 博柏利（上海）贸易有限公司 上汽通用融资租赁有限公司 上海公安学院 上海海关学院 乔治阿玛尼（上海）商贸有限公司 资生堂（中国）投资有限公司 上海永业企业集团有限公司 国网上海市电力公司营销服务中心 上海家化联合股份有限公司 上海叠念信息科技有限公司 感谢网安小蜂队客户的信任 PART FIVE 上海瑞昕科技发展有限公司 富达基金管理（中国）有限公司 上海连尚网络科技有限公司 华泰柏瑞基金管理有限公司 史带财产保险股份有限公司 上海乐畅信息技术有限公司 上海证券交易所 企医（上海）信息科技有限公司 中国移动通信集团上海有限公司 百事食品（中国）有限公司 北京本来工坊科技有限公司 上海市测绘院 北京极致嘉科技有限公司 上海城投环境（集团）有限公司 电科云（北京）科技有限公司 上海地铁保障有限公司通号分公司 感谢网安小蜂队客户的信任 PART FIVE 上海华虹计通智能系统股份有限公司 上海浦东东方有线网路有限公司 咖世家咖啡（上海）有限公司 上海开创国际海洋资源股份有限公司 珐菲琦（上海）电子商务有限公司 帝亚吉欧洋酒贸易（上海）有限公司 米思米（中国）精密机械贸易有限公司 全联保险经纪有限公司 上海药明康德新药开发有限公司 上海耀皮玻璃集团股份有限公司 中国医药工业研究总