等级保护
引言:自从17年网络安全法推出,根据《中华人民共和国网络安全法》第三章第二十一条规定,“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。”那么既然这个等级保护这么重要,那它到底是什么呢?今天,小丁就带大家一起解读等级保护。
一、什么是等级保护
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分为等级相应、处置。
一句话概括: 等保就是对信息和信息载体按照重要性等级,分级进行保护的一种工作。
二、等级保护中怎么评价安全
定义要素:受到破坏时所侵害的客体和对客体造成侵害的程度。
这个如何理解呢?为什么说收到破坏时所侵害的客体是一个评判标准呢?因为针对不同重要程度的系统在遭受同样程度损害时,所带来的影响是不一样的,比如说一个高级官员的手机掉了,和我们一个普通平民手机掉了所造成的的影响是不一样的。另外为什么说还要根据对客体造成的侵害程度也是一个评判标准呢?这个比较好理解,对于单个客体而言,损失越严重,造成的后果也越严重,就好比我们掉了一百块钱和一万块钱比,哪个更严重呢?
刚才在上面有提到,等级保护是对信息和信息载体按照重要性等级,分级进行保护的一种工作。那么到底怎么分级?分几级?分级的标准是什么?请看下面图片,等级保护规定了1-5级,根据不同系统造成的不同程度损坏而进行定级。
三、等级保护的基本流程
等级保护主要包括定级备案、建设整改、测评验收、检查评估四个阶段,如下图所示
1、定级备案
定级备案就是根据我们上面所说的评判标准,对现有系统进行一个定级备案。
常见的各个级别的单位如下图所示
2、建设整改
建设整改主要依据《信息系统安全等级保护基本要求》进行,《基本要求》中又将等级保护分为两个方向,分别为管理要求和技术要求,每个方向又分为五个维度。管理要求包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理,技术要求包括物理安全、网络安全、主机安全、应用安全、数据安全。
3、测评验收
测评验收包括访谈、检查、测试三种方法
访谈:通过与信息系统用户进行交流探讨等活动,获取相关证据证明信息系统安全保护措施是否落实的一种方法。
检查:通过对测评对象进行观察、查验、分析等活动,获取相关证据证明信息系统安全保护措施是否有效的一种方法。
测试:利用预定的方法/工具使测评对象产生特定的行为活动,查看输出结果与预期结果的差异,以获取证据证明信息系统安全保护措施是否有效的一种方法。
4、监督检查
因为信息安全具有动态性,并不是说我们将安全系统部署好,顺利通过了等级保护后,我们的系统就永远安全了。因为科技在进步,我们不能抱有一种一劳永逸的态度,因为我们不知道什么时候就会出现一种新的攻击手段、出现一个新的漏洞,导致我们原有的“铜墙铁壁”到那时全都变成一堆“废铜烂铁”。所以我们需要对完成了等级保护要求的企业和系统进行监督检查。一般规定,对三级系统,每一年检查一次,对四级系统,每半年检查一次。