安全資訊

• 1994年2月，國務(wù)院發(fā)布《中華人民共和國計算機信息系統安全保護條例》（國務(wù)院147號令），規定“計算機信息系統實(shí)行安全等級保護”的制度框架。

• 2007年6月,公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室制定了《信息安全等級保護管理辦法》（公通字[2007]43號），形成信息安全等級保護的基本理論框架。

• 2008年6月，《GB/T 22239-2008 信息安全技術(shù) 信息系統安全等級保護基本要求》標準正式頒布。

• 2014年2月，中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組成立。中共中央總書(shū)記、國家主席、中央軍委主席習近平親自擔任組長(cháng)；李克強、劉云山任副組長(cháng)。

• 2017年6月1日，《中華人民共和國網(wǎng)絡(luò )安全法》正式實(shí)施。明確了“國家實(shí)行網(wǎng)絡(luò )安全等級保護制度”，同時(shí)第七十四條明確規定“違反本法規定，給他人造成損害的，依法承擔民事責任。違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。”自此，公安執法部門(mén)有了安全執法依據。

• 2019年12月1日，GB/T 22239-2008 等級保護基本要求更新為《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》，針對信息技術(shù)的發(fā)展對標準要求進(jìn)行了更新。

2、分級保護標準(保密標準：BMB)：

• 1997年《中共中央關(guān)于加強新形勢下保密工作的決定》明確了在新形勢下保密工作的指導思想和基本任務(wù)，提出要建立與《保密法》相配套的保密法規體系和執法體系，建立現代化的保密技術(shù)防范體系。

• 2004年12月23日中央保密委員會(huì )下發(fā)了《關(guān)于加強信息安全保障工作中保密管理若干意見(jiàn)》明確提出要建立健全涉密信息系統分級保護制度。

• 2005年12月28日，國家保密局下發(fā)了《涉及國家秘密的信息系統分級保護管理辦法》。

3、關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全保護(國家標準：GB，今年7月正式發(fā)布)

• 2016年12月，全國信安標委秘書(shū)處邀請專(zhuān)家研討《關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全框架》標準，并討論關(guān)鍵信息基礎設施安全保護現狀；

• 2018年06月，全國信安標委秘書(shū)處發(fā)布《信息安全技術(shù) 關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全保護要求》征求意見(jiàn)稿。

• 2019年11月5日，《信息安全技術(shù) 關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全保護基本要求》(報批稿)完稿。

• 2019年12月3日，《信息安全技術(shù) 關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全保護基本要求》（報批稿）試點(diǎn)工作啟動(dòng)。

• 2021年7月份，公布《關(guān)鍵信息基礎設施安全保護條例》，自2021年9月1日起施行。

  
  

4、信息系統密碼應用基本要求(國家標準：GB，于今年3月份正式發(fā)布)

• 2018年2月，國家保密局正式發(fā)布實(shí)施密碼行業(yè)標準《GM:T 0054-2018信息系統密碼應用基本要求》。

• 2018年2月，經(jīng)國密局批準，行標（GM/T 0054-2018 《信息系統密碼應用基本要求》）升國標《信息安全技術(shù) 信息系統密碼應用基本要求》。2018年7月獲得國家標準化管理委員會(huì )的立項批準。

• 2019年6月，全國信安標委秘書(shū)處發(fā)布《信息安全技術(shù) 信息系統密碼應用基本要求》征求意見(jiàn)稿。

• 2021年3月，國家正式發(fā)布國家標準GB/T 39786-2021《信息安全技術(shù) 信息系統密碼應用基本要求》，于2021年10月1日起實(shí)施。

1、分級保護標準(簡(jiǎn)稱(chēng)：分保)

a)管理對象：所有涉及國家秘密的信息系統，重點(diǎn)是黨政機關(guān)、軍隊和軍工單位。

b)標準要求文件：

BMB17《涉及國家秘密的信息系統分級保護技術(shù)要求》

BMB20《涉及國家秘密的信息系統分級保護管理規范》

c)系統定級：根據其涉密信息系統處理信息的最高密級，可以劃分為秘密級、機密級和機密級（增強）、絕密級三個(gè)等級。

d)分級保護部分涉及產(chǎn)品(僅供參考)：屏蔽機房、手機屏蔽柜、保密文件柜、紅黑隔離電源、微機視頻信息保護系統、手機屏蔽儀、主機監控與審計系統、光盤(pán)刻錄監控和審計系統、打印監控和審計系統、三合一（違規外聯(lián)監控、涉密移動(dòng)存儲介質(zhì)使用管控、非涉密信息單向導入）系統、涉密專(zhuān)用優(yōu)盤(pán)、存儲介質(zhì)信息消除工具、計算機終端保密檢查系統、惡意代碼輔助檢測系統、保密碎紙機、存儲介質(zhì)銷(xiāo)毀機、身份鑒別系統等等。

2、等級保護標準(簡(jiǎn)稱(chēng)：等保)

a)管理對象：

運營(yíng)商和服務(wù)提供商:電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎信息網(wǎng)絡(luò )，經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數據中心等單位的重要信息系統。

重要行業(yè):鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動(dòng)和社會(huì )保障、財政、審計、商務(wù)、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業(yè)、部門(mén)的生產(chǎn)、調度、管理、辦公等重要信息系統。

重要機關(guān):市（地）級以上黨政機關(guān)的重要網(wǎng)站和辦公信息系統。

b)標準文件：

GB-T 25070-2019 《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》

GB-T 28448-2019 《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評要求》

GB-T 22240-2020 《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護定級指南》

GB-T 22239-2019 《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》

GB_T 25058-2019 《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護實(shí)施指南》

c) 系統定級：

信息系統的安全防護共分為以下五個(gè)等級：

第一級（自主保護級 ）

第二級（指導保護級 ）

第三級（監督保護級 ）

第四級（強制保護級 ）

第五級（專(zhuān)控保護級 ）

3、關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全保護(簡(jiǎn)稱(chēng)：關(guān)基、關(guān)保)

a)管理對象：電信、廣播電視、能源、金融、交通運輸、水利、應急管理、衛生健康、社會(huì )保障、國防科技等行業(yè)和領(lǐng)域中一旦遭到破壞或者喪失功能，會(huì )嚴重危害國家安全、經(jīng)濟安全、社會(huì )穩定、公眾健康和安全的業(yè)務(wù)。

b)標準文件：《信息安全技術(shù) 關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全保護基本要求》2019年11月報批，未正式發(fā)布

c)什么是關(guān)鍵信息基礎設施(CII:critical information infrastructure)？

支撐關(guān)鍵業(yè)務(wù)持續、穩定運行不可或缺的網(wǎng)絡(luò )設施、信息系統。在形態(tài)構成上，可以是單個(gè)網(wǎng)絡(luò )設施、信息系統，也可以是由多個(gè)網(wǎng)絡(luò )設施、信息系統組成的集合。在本質(zhì)上，屬于關(guān)鍵業(yè)務(wù)的信息化部分，為關(guān)鍵業(yè)務(wù)提供信息化支撐。

d)關(guān)鍵信息基礎設施安全防護能力等級有幾個(gè)？

關(guān)鍵信息基礎設施安全防護能力依據5個(gè)能力域完成程度的高低進(jìn)行分級評估，包括3個(gè)能力等級，從能力等級1到能力等級3，逐級增高，能力等級之間為遞進(jìn)關(guān)系，高一級的能力要求包括所有低等級能力要求。

能力域明確了運營(yíng)者在關(guān)鍵信息基礎設施安全防護所需具備的能力，包括識別認定、安全防護、檢測評估、監測預警、事件處置5個(gè)方面的關(guān)鍵能力，每個(gè)安全能力包含若干能力指標，每個(gè)能力指標包含若干評價(jià)內容。

能力等級及特征如下表。

表 安全能力等級及特征

e)  關(guān)鍵信息基礎設施安全防護能力評價(jià)內容及方法是什么？

關(guān)鍵信息基礎設施安全防護能力評價(jià)包括能力域級別評價(jià)、等級保護測評和密碼測評三部分。關(guān)鍵信息基礎設施安全防護能力評價(jià)前，關(guān)鍵信息基礎設施應首先通過(guò)相應等級的等級保護測評和相關(guān)密碼測評。然后，組織應按照評價(jià)內容和評價(jià)操作方法開(kāi)展評價(jià)工作，給出對每項評價(jià)指標的判定結果和所處級別，得出每個(gè)能力域級別，綜合5個(gè)能力域級別以及等級保護測評結果得出關(guān)鍵信息基礎設施安全防護能力級別。

關(guān)鍵信息基礎設施安全防護能力應綜合考慮5個(gè)能力域級別與等級保護測評結果。對應能力等級1的關(guān)鍵信息基礎設施等級保護測評結果應至少為中；對應能力等級2的關(guān)鍵信息基礎設施等級保護測評結果應至少為良；對應能力等級3的關(guān)鍵信息基礎設施等級保護測評結果應為優(yōu)。

4、密碼應用基本要求

a)管理要求：信息系統中的身份鑒別、數據加密、數據簽名等密碼技術(shù)功能由密碼算法、密碼技術(shù)、密碼產(chǎn)品、密碼服務(wù)等提供。從信息系統的物理和環(huán)境安全、網(wǎng)絡(luò )和通信安全、設備和計算安全、應用和數據安全的各個(gè)層面提供全面整體的密碼應用安全技術(shù)支撐，從而保障信息系統的用戶(hù)身份真實(shí)性、重要數據的機密性和完整性、操作行為的不可否認性。

b)標準文件：行標（GM/T 0054-2018 《信息系統密碼應用基本要求》）升國標GM/T 39786 2021《信息安全技術(shù) 信息系統密碼應用基本要求》，現已正式發(fā)布。

c)系統定級：

• 第一級，是信息系統密碼應用安全要求等級的最低等級，信息系統管理者可按照業(yè)務(wù)實(shí)際情況自主應用密碼技術(shù)應對可能的安全威脅。

• 第二級，是在第一級的等級要求上，要求信息系統具備身份鑒別、數據安全保護的非體系化密碼保障能力，可應對當前部分安全威脅；

• 第三級，是在第二級的等級要求上，要求更強的身份鑒別、數據安全、訪(fǎng)問(wèn)控制等方面密碼應用技術(shù)能力與管理能力，要求信息系統建設有規范、可靠、完整的密碼保障體系，是體系化密碼應用引導性要求；

• 第四級，是在第三級的等級要求上，要求更強的身份鑒別、數據安全、訪(fǎng)問(wèn)控制等方面密碼應用技術(shù)能力與管理能力，信息系統建設有規范、可靠、完整、主動(dòng)防御的密碼保障體系，是體系化密碼應用的強制要求；

三、網(wǎng)絡(luò )安全防護建設過(guò)程中的十問(wèn)：

1、去網(wǎng)安部門(mén)做了備案，拿到備案證明，是否等于通過(guò)等保？備案后多久需要完成等保測評？

2、通過(guò)等級保護測評以后，是不是不會(huì )再出安全事故？

• 駭客能力超過(guò)了業(yè)務(wù)系統所對應等級的防護強度

• 網(wǎng)絡(luò )安全防護設計存在不足、網(wǎng)絡(luò )安全設備未有效使用或策略設置不當、設備廠(chǎng)商出現漏洞被駭客利用、設備規則庫未及時(shí)更新或無(wú)法滿(mǎn)足業(yè)務(wù)系統所需性能等

• 安全管理制度落實(shí)不到位、安全管理人員缺乏培訓(安全能力、安全意識不足)、應急演練不足(出現安全事件時(shí)不能及時(shí)有效應對)等

  
  

3、拿到等保測評通過(guò)證書(shū)后，一但出現安全事故是否可以規避或減輕追責？

• 等保工作沒(méi)有開(kāi)展，出了網(wǎng)絡(luò )安全事故，安全責任肯定是甲方自己去承擔。

• 等保工作開(kāi)展了，高危風(fēng)險沒(méi)有及時(shí)去整改，出了問(wèn)題，安全責任主要責任也是甲方的。

• 等保工作開(kāi)展了，測評機構測評不合規，對已有高危風(fēng)險未檢測出而導致的安全問(wèn)題，主要責任應當由測評機構承擔，甲方負有次要責任。

• 等保工作開(kāi)展了，發(fā)現的高危風(fēng)險及其他風(fēng)險也及時(shí)整改了，出了網(wǎng)絡(luò )安全事故，主要責任不屬于甲方。

  
  

4、我已經(jīng)上了安全設備，為什么還會(huì )出現出安全事故？

• 網(wǎng)絡(luò )安全建設規劃不當：網(wǎng)絡(luò )架構不合理；系統安全區域劃分不合理；安全設備部署位置不當；安全設備功能及策略規劃不合理等

• 網(wǎng)絡(luò )安全運維管理不足：網(wǎng)絡(luò )設備規則庫未及時(shí)更新；性能不能滿(mǎn)足業(yè)務(wù)系統需求未及時(shí)更換；信息系統設備及網(wǎng)絡(luò )安全設備管理權限不清晰、責任劃分不明確等

• 安全管理執行不到位：安全管理制度浮于形式；網(wǎng)絡(luò )安全人員培訓不足，對新型威脅及行業(yè)發(fā)展動(dòng)態(tài)了解缺乏；應急響應方案設計不當；應急演練進(jìn)行過(guò)少，出現網(wǎng)絡(luò )安全事件時(shí)反應不當、反應不及時(shí)等。

5、應該如何選擇安全廠(chǎng)商的產(chǎn)品？

網(wǎng)絡(luò )安全建設實(shí)踐過(guò)程中，我們應從等保合規和業(yè)務(wù)系統實(shí)際安全風(fēng)險兩個(gè)角度區選擇產(chǎn)品：

• 當信息系統相較無(wú)特殊安全風(fēng)險時(shí)，產(chǎn)品的選擇基本遵從等保合規的角度出發(fā)，選擇有相關(guān)認證證書(shū)的產(chǎn)品優(yōu)先。如“計算機信息系統安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證”，“中國國家信息安全產(chǎn)品認證證書(shū)”，“計算機軟件著(zhù)作權登記證書(shū)”，“信息技術(shù)產(chǎn)品安全分級評估”，“涉密信息系統產(chǎn)品檢測證書(shū)”，“軍用信息安全產(chǎn)認證證書(shū)”等；大部分主流安全廠(chǎng)商常規合規產(chǎn)品基本都能滿(mǎn)足，如啟明星辰、天融信、網(wǎng)御星云、奇安信(原360企業(yè)安全)、深信服等。

• 當信息系統有特殊安全風(fēng)險時(shí)，產(chǎn)品除了滿(mǎn)足等保合規的基礎上，也要考慮特殊安全風(fēng)險的防護，而這些特殊防護需求的安全防護設備是一些主流廠(chǎng)商沒(méi)有或者不具優(yōu)勢的。如業(yè)務(wù)系統數據庫中有公民個(gè)人信息，而業(yè)務(wù)系統有外包開(kāi)發(fā)或對外提供公民個(gè)人數據印證等情況，則涉及到數據脫敏相關(guān)設備；信息系統覆蓋范圍大、信息端口多，存在非法設備內聯(lián)網(wǎng)絡(luò )的風(fēng)險，則涉及到網(wǎng)絡(luò )準入相關(guān)設備；如業(yè)務(wù)系統操作者操作責任關(guān)聯(lián)現實(shí)身份較強，涉及到操作失誤后操作者身份的認定，身份鑒別需求較高，則涉及到CA數字證書(shū)相關(guān)設備等。

6、網(wǎng)絡(luò )完全建設時(shí)，是采購同一廠(chǎng)商的產(chǎn)品比較好，還是采購不同廠(chǎng)商的產(chǎn)品比較好？

• 網(wǎng)絡(luò )安全建設時(shí)，采購同一廠(chǎng)商同一品牌的產(chǎn)品好處在于后期安全運維難度較小、后續安全服務(wù)保障更好，會(huì )一定程度的降低安全管理人員的能力需求和運維壓力；缺點(diǎn)是該廠(chǎng)商出現安全漏洞時(shí)安全風(fēng)險加大，廠(chǎng)商服務(wù)不到位時(shí)替換成本較高，依賴(lài)性強等。

7、在預算有限的情況下，該如何合理的進(jìn)行網(wǎng)絡(luò )安全防護建設？

8、在對產(chǎn)品性能指標不太了解的情況下，該選擇什么性能的產(chǎn)品？

• 下一代防火墻：主要為吞吐量、應用層吞吐量、并發(fā)連接數、每秒新建連接數，主要考慮設備部署位置實(shí)際業(yè)務(wù)數據帶寬。需注意的是吞吐量參數不等同于實(shí)際可管理帶寬能力，不同廠(chǎng)商的相同吞吐量設備，因廠(chǎng)商設備硬件配置差異、軟件優(yōu)化差異等存在一定差異；特別是當下一代防火墻開(kāi)啟入侵防御、病毒查殺、VPN等功能后，其實(shí)際防護流量大幅下降的情況下。在無(wú)法有效判斷的情況下，可以考慮設備測試后再行采購。

• 上網(wǎng)行為管理：主要為可管理帶寬(推薦帶寬)、最大可管理人數，主要考慮互聯(lián)網(wǎng)出口帶寬及互聯(lián)網(wǎng)訪(fǎng)問(wèn)人數。

• 堡壘主機、日志審計：主要為授權管理設備數，主要考慮需管理的網(wǎng)絡(luò )設備及系統數量。

9、供應商提供一份產(chǎn)品采購清單后，承諾一定可以通過(guò)等保測評，是否可信？

• 先測評再整改：可以根據等級保護測評機構現場(chǎng)初測后的專(zhuān)業(yè)建議進(jìn)行整改，有的放矢。但如單位本身風(fēng)險較大、較多的情況，涉及到設備采購，需要方案立項、申請預算、招投標、合同供貨等流程后，等保測評機構再次測試通過(guò)才可以取得測評通過(guò)證書(shū)。適合于對通過(guò)測評時(shí)間不迫切，本身網(wǎng)絡(luò )安全建設了解不足、無(wú)專(zhuān)業(yè)人員協(xié)助網(wǎng)絡(luò )安全建設規劃的單位。

• 先整改再測評(測評、整改同時(shí)進(jìn)行)：通過(guò)專(zhuān)業(yè)人員/專(zhuān)家的指導協(xié)助，提前對網(wǎng)絡(luò )安全風(fēng)險點(diǎn)進(jìn)行加固，爭取等級保護測評機構現場(chǎng)測評時(shí)一次通過(guò)。但需要單位本身對網(wǎng)絡(luò )安全建設標準由一定的了解，指導協(xié)助的專(zhuān)業(yè)人員不光對政策標準有足夠的研究，且對網(wǎng)絡(luò )安全建設有足夠的項目經(jīng)驗。適合于通過(guò)測評時(shí)間有要求，自身對網(wǎng)絡(luò )安全建設標準有一定的研究或有適合的專(zhuān)業(yè)人員協(xié)助的單位。

10、為什么不同供應商提供的方案清單會(huì )有不同，有的所采購的產(chǎn)品不同，有的同一產(chǎn)品采購的數量不同？

• 同樣要達成“網(wǎng)絡(luò )區域邊界”要求中的“邊界防護”“訪(fǎng)問(wèn)控制”“入侵防范”，是采用“下一代防火墻+開(kāi)啟入侵防御模塊”(設備+模塊)僅采購一臺設備的方式，還是采用“下一代防火墻+入侵防御系統”(設備+設備)采購兩臺設備的方式，就需要結合業(yè)務(wù)系統的實(shí)際情況以及相關(guān)廠(chǎng)商設備的功能性能實(shí)現來(lái)決定。在這需要說(shuō)明一點(diǎn)，廠(chǎng)商的網(wǎng)絡(luò )安全設備都是由硬件+軟件組成，其實(shí)際性能取決于所配置硬件的基礎算力和軟件算法優(yōu)化的程度決定的。采用“設備+模塊”必然對設備的性能有所影響。而采用“設備+設備”由于兩臺設備的硬件都是為自身軟件服務(wù)，性能上有保障。另外由于采用“開(kāi)啟入侵防御模塊”的方式，其軟件模塊在安全防護功能的實(shí)現深度上必然不如單獨的“入侵防御系統設備”。不過(guò)采用“設備+模塊”的方式由于出口網(wǎng)絡(luò )僅串聯(lián)一臺設備，故而其出現單點(diǎn)故障的幾率和產(chǎn)品性?xún)r(jià)比上要優(yōu)于采用“設備+設備”的方式。

結論：采用“設備+模塊”的方式，在產(chǎn)品性能及安全功能實(shí)現細節上要遜于“設備+設備”的方式，但在設備故障幾率和價(jià)格上要優(yōu)于“設備+設備”的方式?！霸O備+模塊”的方式適用于網(wǎng)絡(luò )安全防護流量較小、安全預算較少、對安全防護能力要求較低的單位；而“設備+設備”的方式適用于網(wǎng)絡(luò )安全防護流量較大、安全預算充足、對安全防護能力要求較高的單位。

• 互聯(lián)網(wǎng)出口、上/下級網(wǎng)絡(luò )聯(lián)網(wǎng)出口、服務(wù)器前端都部署下一代防火墻是不是為了多上設備坑預算，等保標準又沒(méi)有明確要部署。實(shí)際上不同位置的實(shí)現的功能效果及部署策略都是不同的，互聯(lián)網(wǎng)出口的防火墻主要過(guò)濾和防御來(lái)自互聯(lián)網(wǎng)的未知來(lái)源威脅，訪(fǎng)問(wèn)的業(yè)務(wù)相對較復雜，需要設置的防護策略相對較復雜、較難屏蔽安全風(fēng)險因素；而上下級網(wǎng)絡(luò )由于相對較安全，其訪(fǎng)問(wèn)來(lái)源可控，訪(fǎng)問(wèn)業(yè)務(wù)較明確，需要設置的防護策略相對較簡(jiǎn)單明了、比較容易屏蔽來(lái)自上下級網(wǎng)絡(luò )的安全風(fēng)險因素；而服務(wù)器前端部署防火墻，由于服務(wù)器業(yè)務(wù)訪(fǎng)問(wèn)的地址、端口、協(xié)議等相對比較清晰簡(jiǎn)明，在做安全防護策略時(shí)可以有針對性的屏蔽非業(yè)務(wù)訪(fǎng)問(wèn)，有效堵截攻擊者的攻擊手段。