一、中国网络安全发展的关键时间节点:
1、等级保护标准(国家标准:GB):
1994年2月,国务院发布《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),规定“计算机信息系统实行安全等级保护”的制度框架。
2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(公通字[2007]43号),形成信息安全等级保护的基本理论框架。
2008年6月,《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》标准正式颁布。
2014年2月,中央网络安全和信息化领导小组成立。中共中央总书记、国家主席、中央军委主席习近平亲自担任组长;李克强、刘云山任副组长。
2017年6月1日,《中华人民共和国网络安全法》正式实施。明确了“国家实行网络安全等级保护制度”,同时第七十四条明确规定“违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”自此,公安执法部门有了安全执法依据。
2019年12月1日,GB/T 22239-2008 等级保护基本要求更新为《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》,针对信息技术的发展对标准要求进行了更新。
2、分级保护标准(保密标准:BMB):
1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。
2004年12月23日中央保密委员会下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。
2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》。
3、关键信息基础设施网络安全保护(国家标准:GB,报批中未正式发布)
2016年12月,全国信安标委秘书处邀请专家研讨《关键信息基础设施网络安全框架》标准,并讨论关键信息基础设施安全保护现状;
2018年06月,全国信安标委秘书处发布《信息安全技术 关键信息基础设施网络安全保护要求》征求意见稿。
2019年11月5日,《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)完稿。
2019年12月3日,《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)试点工作启动。
4、信息系统密码应用基本要求(国家标准:GB,征求意见中未正式发布)
2018年2月,国家保密局正式发布实施密码行业标准《GM:T 0054-2018信息系统密码应用基本要求》。
2018年2月,经国密局批准,行标(GM/T 0054-2018 《信息系统密码应用基本要求》)升国标《信息安全技术 信息系统密码应用基本要求》。2018年7月获得国家标准化管理委员会的立项批准。
2019年6月,全国信安标委秘书处发布《信息安全技术 信息系统密码应用基本要求》征求意见稿。
二、目前网络安全主要的几大标准及其差异:
1、分级保护标准(简称:分保)
a)管理对象:所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位。
b)标准要求文件:
BMB17《涉及国家秘密的信息系统分级保护技术要求》
BMB20《涉及国家秘密的信息系统分级保护管理规范》
c)系统定级:根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机 密级和机密级(增强)、绝密级三个等级。
d)分级保护标准框架:
e)分级保护部分涉及产品(仅供参考):屏蔽机房、手机屏蔽柜、保密文件柜、红黑隔离电源、微机视频信息保护系统、手机屏蔽仪、主机监控与审计系统、光盘刻录监控和审计系统、打印监控和审计系统、三合一(违规外联监控、涉密移动存储介质使用管控、非涉密信息单向导入)系统、涉密专用优盘、存储介质信息消除工具、计算机终端保密检查系统、恶意代码辅助检测系统、保密碎纸机、存储介质销毁机、身份鉴别系统等等。
2、等级保护标准(简称:等保)
a)管理对象:
运营商和服务提供商:电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
重要行业:铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
重要机关:市(地)级以上党政机关的重要网站和办公信息系统。
b)标准文件:
GB-T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》
GB-T 28448-2019 《信息安全技术 网络安全等级保护测评要求》
GB-T 22240-2020 《信息安全技术 网络安全等级保护定级指南》
GB-T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
GB_T 25058-2019 《信息安全技术 网络安全等级保护实施指南》
c) 系统定级:
信息系统的安全防护共分为以下五个等级:
第一级(自主保护级 )
信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级(指导保护级 )
信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级(监督保护级 )
信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级(强制保护级 )
信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级(专控保护级 )
信息系统受到破坏后,会对国家安全造成特别严重损害。3、关键信息基础设施网络安全保护(简称:关基、关保)
a)管理对象:电信、广播电视、能源、金融、交通运输、水利、应急管理、卫生健康、社会保障、国防科技等行业和领域中一旦遭到破坏或者丧失功能,会严重危害国家安全、经济安全、社会稳定、公众健康和安全的业务。
b)标准文件:《信息安全技术 关键信息基础设施网络安全保护基本要求》2019年11月报批,未正式发布
c)什么是关键信息基础设施(CII:critical information infrastructure)?
支撑关键业务持续、稳定运行不可或缺的网络设施、信息系统。在形态构成上,可以是单个网络设施、信息系统,也可以是由多个网络设施、信息系统组成的集合。在本质上,属于关键业务的信息化部分,为关键业务提供信息化支撑。
d)关键信息基础设施安全防护能力等级有几个?
关键信息基础设施安全防护能力依据5个能力域完成程度的高低进行分级评估,包括3个能力等级,从能力等级1到能力等级3,逐级增高,能力等级之间为递进关系,高一级的能力要求包括所有低等级能力要求。
e) 关键信息基础设施安全防护能力评价内容及方法是什么?
关键信息基础设施安全防护能力评价包括能力域级别评价、等级保护测评和密码测评三部分。关键信息基础设施安全防护能力评价前,关键信息基础设施应首先通过相应等级的等级保护测评和相关密码测评。然后,组织应按照评价内容和评价操作方法开展评价工作,给出对每项评价指标的判定结果和所处级别,得出每个能力域级别,综合5个能力域级别以及等级保护测评结果得出关键信息基础设施安全防护能力级别。
关键信息基础设施安全防护能力应综合考虑5个能力域级别与等级保护测评结果。对应能力等级1的关键信息基础设施等级保护测评结果应至少为中;对应能力等级2的关键信息基础设施等级保护测评结果应至少为良;对应能力等级3的关键信息基础设施等级保护测评结果应为优。
4、密码应用基本要求
a)管理要求:信息系统中的身份鉴别、数据加密、数据签名等密码技术功能由密码算法、密码技术、密码产品、密码服务等提供。从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全的各个层面提供全面整体的密码应用安全技术支撑,从而保障信息系统的用户身份真实性、重要数据的机密性和完整性、操作行为的不可否认性。
b)标准文件:行标(GM/T 0054-2018 《信息系统密码应用基本要求》)升国标《信息安全技术 信息系统密码应用基本要求》,国标征求意见稿阶段,未正式发布。
c)系统定级:
第一级,是信息系统密码应用安全要求等级的最低等级,信息系统管理者可按照业务实际情况自主应用密码技术应对可能的安全威胁。
第二级,是在第一级的等级要求上,要求信息系统具备身份鉴别、数据安全保护的非体系化密码保障能力,可应对当前部分安全威胁;
第三级,是在第二级的等级要求上,要求更强的身份鉴别、数据安全、访问控制等方面密码应用技术能力与管理能力,要求信息系统建设有规范、可靠、完整的密码保障体系,是体系化密码应用引导性要求;
第四级,是在第三级的等级要求上,要求更强的身份鉴别、数据安全、访问控制等方面密码应用技术能力与管理能力,信息系统建设有规范、可靠、完整、主动防御的密码保障体系,是体系化密码应用的强制要求;
能力域明确了运营者在关键信息基础设施安全防护所需具备的能力,包括识别认定、安全防护、检测评估、监测预警、事件处置5个方面的关键能力,每个安全能力包含若干能力指标,每个能力指标包含若干评价内容。