❶ 國家計算機病毒應急處理中心是什麼部門
國 家 計 算 機 病 毒 應 急 處 理 中 心
隨著計算機技術的發展,計算機病毒製造技術也在不斷的發展變化。並且隨著國際互聯網日新月異的蓬勃發展,計算機病毒的傳播方式也有了很大變化。Melissa和今年的「愛蟲」病毒都是新型的具有網路特點的病毒,它們具有突發性、變異快、破壞力強的特點。也就是在短時間內可以迅速傳播、蔓延,導致計算機網路陷於癱瘓,造成重要信息的丟失。另外,還出現很多具有攻擊性的黑客程序和其他破壞性程序。這些類型的病毒和有害程序都利用了計算機網路的技術,進行傳播、破壞,使用戶防不勝防。嚴重威脅著計算機信息系統和網路的安全。而且,最近發生的計算機病毒事件頻度越來越快,影響越來越廣,損失越來越大。我們國家目前正在積極進行信息化建設,如何應對日益嚴重的計算機病毒問題,已經成為我們當務之急。
根據計算機病毒的特點,和多年病毒防治工作的經驗來看,從根本上完全杜絕和預防計算機病毒的產生和發展是不可能的。我們目前面臨的計算機病毒的攻擊事件不但沒有減少,而是日益增多,並且,病毒的種類越來越多,破壞方式日趨多樣化。每出現一種新病毒,就要有一些用戶成為病毒的受害者。面對此種形勢,我們不能坐以待斃,而是要尋求一種解決方案,力爭將計算機病毒的危害性降至最低。因此,因此,急需建立一種快速的預警機制,能夠在最短的時間內發現並捕獲病毒,向計算機用戶發出警報,保障我國計算機信息系統和網路的安全。
在歐美信息化發達的國家,為了解決信息時代存在的安全問題,歐、美一些發達國家都建立了計算機安全事件的快速發應機制。對其國內、外發生的有關計算機安全的事件進行分析,提出解決方案和應急對策。來保證計算機信息系統和網路免遭破壞。例如,美國梅隆大學在聯邦政府的要求下,建立了計算機安全事件應急中心。德國的計算機安全應急中心建立在漢堡大學,同時,在漢堡大學還建立了計算機病毒檢驗中心,專門對世界各國的計算機病毒防治產品進行檢驗認證。這些應急中心,對1998年6月份出現的CIH病毒在其WEB站點上及時公布了該病毒的特徵、傳播途徑和發作破壞的結果,對計算機用戶發出警告,防止被該病毒感染。同時公布了哪些產品可以檢測、清除CIH病毒。
1994年2月18日,我國正式頒布實施了《計算機信息系統安全保護條例》,該《條例》第六條正式明確指出公安部主管全國計算機信息系統安全保護工作。同時,規定了對計算機病毒和危害社會公共安全的其他有害數據的防治研究工作,由公安部歸口管理。對計算機信息系統安全專用產品的銷售實行許可證制度。今年,公安部頒布了《計算機病毒防治管理辦法》。在我國新頒布的《刑法》中,也對故意製造、傳播計算機病毒的行為進行相應處罰。我國對計算機病毒的防治已經逐步走上法制化軌道。根據法令、法規的要求,對計算機安全專用產品實施銷售許可證制度,按照此規定公安部委託建立了相應的產品檢驗中心。
天津市公安局與天津市技術監督局在1996年建立了我國唯一的計算機病毒防治產品檢驗中心(天津市質量檢驗站第70站),該檢驗中心承擔著對在我國銷售的計算機病毒防治產品的質量檢驗認證工作。該站自1996年建立以來,在公安部和天津市技術監督局的領導和支持下,已對國內外十多個病毒防治產品進行了質量檢驗工作。並建立了我國計算機病毒標准樣本庫,填補了我國一項空白。在檢驗工作中,我們積累了大量的計算機病毒的技術資料,對目前流行的計算機病毒有了深入的了解和實踐經驗。我們並參加了亞洲計算機病毒研究會,與國際反病毒組織建立的合作和交流關系。編制起草了用於檢驗的公安部公共安全行業標准GA 135-1996《DOS操作系統環境下計算機病毒檢測方法》、GA 243-2000《計算機病毒防治產品評級准則》,今年,在公安部又立項起草新的標准《計算機病毒庫建立准則》,用以規范中國計算機病毒庫的建立工作。在1992年編寫了一套計算機安全叢書《計算機安全管理》、《計算機網路》、《計算機病毒》。在1994年我們又編寫了《計算機安全實用技術》一書,由天津教育出版社出版。並利用編寫的書籍作為天津和其他省市的計算機安全培訓教材。1997年我們參加了公安部全國計算機安全培訓教材的編寫工作。這套教材共分三冊:《計算機信息系統安全管理與法規相關基礎知識》、《計算機信息系統安全技術》、《計算機信息系統安全法規匯編》。該培訓教材已於1998年由群眾出版社出版發行。因此,我們具有較高的計算機病毒防治技術和檢驗技術以及實踐經驗。
在2000年到來之際,國外黑客組織宣稱要在新世紀交替之時,通過國際互聯網釋放大量病毒和有害程序,干擾、破壞世界的計算機網路。檢驗中心通過監控獲取了這種情況,及時上報公安部,建議檢驗中心牽頭,組織國內所有計算機病毒防治產品生產廠家,組成中國2000年計算機病毒應急中心,對我國的計算機網路和信息系統的運行情況進行24小時的監控,並將發現的問題隨時通報中心,應急中心將情況通報轉給應急小組成員,在最短時間內提供解決方案。應急中心並通過人民日報和各大媒體公布了熱線電話和電子郵件地址。熱線開通後,共接到來自全國幾百個咨詢電話。保障了2000年的順利過渡。因此,我國在計算機病毒應急機制已經進行了有益的嘗試,積累了經驗。
2000年5月8日,檢驗中心收集到在歐美國家肆虐的「愛蟲」病毒後,著手對該病毒的傳染性和破壞性進行分析。經分析,發現該病毒的傳播特點與國內、外宣傳的內容有很大出入。最後通過實驗和分析得出該病毒目前在我國不具備大規模傳播的條件。並且檢驗中心與廣東、江蘇、上海等公安機關和有關計算機用戶及時溝通信息,了解「愛蟲」病毒在我國的傳播、流行情況。反饋的情況與實驗分析結果相吻合。檢驗中心將「愛蟲」分析報告及時上報公安部。公安部根據此報告,制定了相應防治措施,並通報各公安省廳和市局,採取防控措施。
計算機病毒防治產品檢驗中心自從96年成立以來,已經建立收集我國流行的計算機病毒的渠道,並且與計算機病毒防治產品的生產和研製單位建立了密切的聯系。通過檢驗工作,培養了很多技術人員,與國外的病毒防治機構和廠家建立了合作機制。而且,已多次處理了我國發生的計算機病毒事件,取得很好的效果和經驗。
2000年8月,國家信息化工作領導小組計算機網路與信息安全管理辦公室和公安部公共信息網路安全監察局的領導對計算機病毒防治產品檢驗中心進行了考察,考察中詳細了解的檢驗中心自建立以來的工作情況和中心對我國病毒防治工作的建議和設想,最後決定,充分利用我國病毒防治工作的現有資源,在計算機病毒防治產品檢驗中心的基礎上,建立國家計算機病毒應急處理中心。該中心的主要工作任務是充分調動國內防病毒力量,快速發現病毒疫情,快速發應,快速處置,防止計算機病毒對我國的計算機網路和信息系統造成重大破壞。
❷ 求開題報告《我國信息安全的現狀及對策研究》
長期以來,人們對保障信息安全的手段偏重於依靠技術, 從早期的加密技術、數據備份、防病毒到近期網路環境下的防火牆、 入侵檢測、身份認證等等。 廠商在安全技術和產品的研發上不遺餘力, 新的技術和產品不斷涌現;消費者也更加相信安全產品, 把僅有的預算也都投入到安全產品的采購上。 但事實上僅僅依靠技術和產品保障信息安全的願望卻往往難盡人意, 許多復雜、多變的安全威脅和隱患靠產品是無法消除的。「 三分技術,七分管理」這個在其他領域總結出來的實踐經驗和原則, 在信息安全領域也同樣適用。據有關部門統計, 在所有的計算機安全事件中,約有52%是人為因素造成的,25% 由火災、水災等自然災害引起,技術錯誤佔10%, 組織內部人員作案佔10%,僅有3% 左右是由外部不法人員的攻擊造成。簡單歸類, 屬於管理方面的原因比重高達70%以上, 而這些安全問題中的95%是可以通過科學的信息安全管理來避免。 因此,管理已成為信息安全保障能力的重要基礎。 一、我國信息安全管理的現狀 (1)初步建成了國家信息安全組織保障體系 國務院信息辦專門成立了網路與信息安全領導小組, 成員有信息產業部、公安部、國家保密局、國家密碼管理會員會、 國家安全部等強力部門,各省、市、 自治州也設立了相應的管理機構。2003年7月, 國務院信息化領導小組第三次會議上專題討論並通過了《 關於加強信息安全保障工作的意見》, 同年9月,中央辦公廳、國務院辦公廳轉發了《 國家信息化領導小組關於加強信息安全保障工作的意見》( 2003[27]號文件)。 27號文件第一次把信息安全提到了促進經濟發展、維護社會穩定、 保障國家安全、加強精神文明建設的高度,並提出了「積極防禦、 綜合防範」的信息安全管理方針。 2003年7月成立了國家計算機網路應急技術處理協調中心( 簡稱CNCERT/CC),專門負責收集、匯總、核實、 發布權威性的應急處理信息、為國家重要部門提供應急處理服務、 協調全國的CERT組織共同處理大規模網路安全事件、 對全國范圍內計算機應急處理有關的數據進行統計、 根據當前情況提出相應的對策、 與其他國家和地區的CERT進行交流。 目前已經在全國各地建立了31個分中心, 並授權公共互聯網應急處理國家級服務試點單位10家、 公共互聯網應急處理省級服務試點單位20家, 還有國內的10家骨幹互聯網運營企業成立自己的應急處理中心( CERT),這10家互聯網運營企業與中國數千家的ISP、 個人用戶和企業用戶,成為了CNCERT/CC的主要聯系成員, 由此形成了一個立體交錯的應急體系, 形成了信息上下暢通傳遞的通報制度。 2001年5月成立了中國信息安全產品測評認證中心( 簡稱CNITSEC), 代表國家開展信息安全測評認證工作的職能機構, 依據國家有關產品質量認證和信息安全管理的法律法規管理和運行國 家信息安全測評認證體系。 負責對國內外信息安全產品和信息技術進行測評和認證、 對國內信息系統和工程進行安全性評估和認證、 對提供信息安全服務的組織和單位進行評估和認證、 對信息安全專業人員的資質進行評估和認證。目前建有上海、東北、 西南、華中、 華北五個授權評認證中心機構和兩個系統安全與測評技術實驗室 。 (2) 制定和引進了一批重要的信息安全管理標准 為了更好地推進我國信息安全管理工作,公安部主持制定、 國家質量技術監督局發布的中華人民共和國國家標准GB17895 -1999《計算機信息系統安全保護等級劃分准則》, 並引進了國際上著名的《ISO 17799:2000:信息安全管理實施准則》、《BS 7799-2:2002:信息安全管理體系實施規范》、《 ISO/IEC 15408:1999(GB/T 18336:2001)-信息技術安全性評估准則 》、《SSE-CMM:系統安全工程能力成熟度模型》 等信息安全管理標准。信息安全標准化委會設置了10個工作組, 其中信息安全管理工作組負責對信息安全的行政、技術、 人員等管理提出規范要求及指導指南,它包括信息安全管理指南、 信息安全管理實施規范、人員培訓教育及錄用要求、 信息安全社會化服務管理規范、 信息安全保險業務規范框架和安全策略要求與指南。 (3) 制定了一系列必須的信息安全管理的法律法規 從上世紀九十年代初起,為配合信息安全管理的需要,國家、 相關部門、行業和地方政府相繼制定了《 中華人民共和國計算機信息網路國際聯網管理暫行規定》、《 商用密碼管理條例》、《互聯網信息服務管理辦法》、《 計算機信息網路國際聯網安全保護管理辦法》、《 計算機病毒防治管理辦法》、《互聯網電子公告服務管理規定》、《 軟體產品管理辦法》、《電信網間互聯管理暫行規定》、《 電子簽名法》等有關信息安全管理的法律法規文件。 (4) 信息安全風險評估工作已經得到重視和開展 風險評估是信息安全管理的核心工作之一。2003年7月, 國信辦信息安全風險評估課題組就啟動了信息安全風險評估相關標准 的編制工作, 國家鐵路系統和北京移動通信公司作為先行者已完成了的信息安全風 險評估試點工作,國家其它關鍵行業或系統(如電力、電信、 銀行等)也將陸續開展這方面的工作。 二、 我國信息安全管理目前存在的一些問題 1、信息安全管理現狀仍還比較混亂, 缺乏一個國家層面上的整體策略。實際管理力度不夠, 政策的執行和監督力度不夠。部分規定過分強調部門的自身特點, 而忽略了在國際政治經濟的大環境下體現中國的特色。 部分規定沒有準確地區分技術、管理和法制之間的關系,以管代法, 用行政管技術的做法仍較普遍,造成制度的可操作性較差。 2、具有我國特點的、動態的和涵蓋組織機構、文件、控制措施、 操作過程和程序以及相關資源等要素的信息安全管理體系還未建立起 來。 3、具有我國特點的信息安全風險評估標准體系還有待完善, 信息安全的需求難以確定,要保護的對象和邊界難以確定, 缺乏系統、全面的信息安全風險評估和評價體系以及全面、 完善的信息安全保障體系。 4、信息安全意識缺乏,普遍存在重產品、輕服務,重技術、 輕管理的思想。 5、專項經費投入不足,管理人才極度缺乏, 基礎理論研究和關鍵技術薄弱,嚴重依賴國外, 對引進的信息技術和設備缺乏保護信息安全所必不可少的有效管理和 技術改造。 6、技術創新不夠,信息安全管理產品水平和質量不高, 尤其是以集中配置、集中管理、 狀態報告和策略互動為主要任務的安全管理平台產品的研究與開發還 很落後。 7、缺乏權威、統一、專門的組織、規劃、 管理和實施協調的立法管理機構, 致使我國現有的一些信息安全管理方面的法律法規,法階層次不高, 真正的法律少,行政規章多,結構不合理,不成體系; 執法主體不明確,多頭管理,政出多門、各行其是,規則沖突, 缺乏可操作性,執行難度較大,有法難依;數量上不夠, 內容上不完善,制定周期太長,時間上滯後,往往無法可依; 監督力度不夠,有法不依、執法不嚴; 缺乏專門的信息安全基本大法,如信息安全法和電子商務法等; 缺乏民事法方面的立法,如互聯網隱私法、互聯網名譽權、 網路版權保護法等;公民的法律意識較差,執法隊伍薄弱, 人才匱乏。 8、我國自己制定的信息安全管理標准太少,大多沿用國際標准。 在標準的實施過程中,缺乏必要的國家監督管理機制和法律保護, 致使有標准企業或用戶可以不執行, 而執行過程中出現的問題得不到及時、妥善解決。 三、對我國信息安全管理的一些對策 (1)在領導體系方面,建議建立 「國家信息安全委員會」, 作為國家機構和地方政府以及私營部門之間合作的主要聯絡人和推動 者,負責對跨部門保護工作做全面協調, 盡快建立具有信息安全防護能力、隱患發現能力、 網路應急反應能力和信息對抗能力的國家信息安全保障體系。 (2)以開放、發展、積極防禦的方式取代過去的以封堵、隔離、 被動防禦為主的方式,狠抓內網的用戶管理、行為管理、 內容控制和應用管理以及存儲管理,堅持「多層保護,主動防護」 的方針。加強信息安全策略的研究、制定和執行工作。 國家信息安全主管部門和標准委員會應該為組織制定信息安全策略提 供標准支持, 保證組織能夠以很低的費用制定出專業化的信息安全策略, 提高我國的整體信息安全管理水平。 (3)進一步完善國家互聯網應急響應管理體系的建設, 實現全國范圍內的統一指揮和分工協作, 全面提高預案制定水平和處理能力。 在建立象SARS一樣的信息分級匯報制度的同時, 在現有公安系統中建立一支象現在的「110」和「119」 一樣的「信息安全部隊」,專門負責信息網路方面安全保障、 安全監管、安全應急和安全威懾方面的工作。 對關鍵設施或系統制定好應急預案, 並定期更新和測試信息安全應急預案。 (4)加快信息安全立法和實施監督工作,建議成立一個統一、 權威、專門的信息安全立法組織與管理機構, 對我國信息法律體系進行全面規劃、設計與實施監督與協調, 加快具有我國特點的信息安全法律體系的建設, 並按信息安全的要求修補已頒布的各項法律法規。 盡快制定出信息安全基本法和針對青少年的網上保護法以及政府信息 公開條例等政策法規。尤其是為配合《電子簽名法》的實施和落實《 國務院辦公廳關於加快電子商務發展的若干意見》, 應抓緊研究電子交易、信用管理、安全認證、在線支付、稅收、 市場准入、隱私權保護、信息資源管理等方面的法律法規問題, 盡快提出制定相關法律法規;推動網路仲裁、 網路公證等法律服務與保障體系的建設。 (5)加快信息安全標准化的制定和實施工作, 盡早制定出基於ISO/IEC 17799國際標準的、並適合我國的信息安全管理標准體系, 尤其是建立與完善信息安全風險評估規范標准和管理機制, 對國家一些關鍵基礎設施和重要信息系統,如經濟、科技、統計、 銀行、鐵路、民航、海關等, 要依法按國家標准實行定期的自評估和強制性檢查評估。 (6)堅持「防內為主,內外兼防」的方針,通過各種會議、網站、 廣播 電視、報紙等媒體加大信息安全普法和守法宣傳力度, 提高全民信息安全意識, 尤其是加強組織或企業內部人員的信息安全知識培訓與教育, 提高員工的信息安全自律水平。在國家關鍵部門和企事業單位中, 明確地指定信息安全工作的責職, 建議由黨政一把手作為本單位信息安全工作責任人, 在條件允許的企業里增設CSO(首席安全官)職位, 形成縱向到底、橫向到邊的領導管理體制。 (7)建議政府制定優惠政策,設立信息安全管理專項基金, 鼓勵風險投資,提高信息安全綜合管理平台、管理工具、網路取證、 事故恢復等關鍵技術的自主研究能力與產品開發水平。 (8)重視和加強信息安全等級保護工作, 對重要信息安全產品實行強制性認證, 特定領域用戶必須明確采購通過認證的信息安全產品。 (9)加強信息安全管理人才與執法隊伍的建設工作, 特別是加大既懂技術又懂管理的復合型人才的培養力度。 (10) 加大國際合作力度,尤其在標准、 技術和取證以及應急響應等方面的國際交流、協作與配合。( 作者系貴州大學信息工程學院國家信息安全有關課題負責人)
❸ 國家實行網路安全什麼制度
國家實行網路安全等級保護制度。
網路安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公信息和存儲、傳輸、處理這些信息的網路資源及功能組件分等級實行安全保護,對網路中使用的安全技術和管理制度實行按等級管理,對網路中發生的信息安全事件分等級響應、處置。
隨著時間流逝,等級保護制度也在逐漸發展,其對定級指南、基本要求、實施指南、測評過程指南、測評要求、設計技術要求等標准進行了進一步修訂和完善,以滿足了新形勢下等級保護工作的需要。《中華人民共和國網路安全法》已由中華人民共和國第十二屆全國人民代表大會常務委員會第二十四次會議於2016年11月7日通過,自2017年6月1日起施行。
一、《網路安全法》對我國互聯網影響如下:
1、等級保護制度越來越重要
現如今,諸如門戶網站等直接暴露在互聯網上的網站主要是公司和單位宣傳、辦事的窗口,內部系統種類繁多,而且多半涉及公民的隱私、敏感信息,或者涉及金融、財務等重要業務。而這些網站和系統往往缺乏基礎安全防護,容易導致網站和系統被黑客針對性攻擊、惡意入侵,導致系統被篡改或造成數據泄露。在公安部的主導下,多年以來開展的信息安全等級保護測評工作已經取得顯著成效,開展等級保護測評、安全建設整改的系統越來越多,網路安全整體情況有了一定提升。
2、關鍵信息基礎設施實行重點保護
現階段,關鍵基礎設施、重點行業信息系統、國家社會層面的重大活動、政府機構的敏感信息,都屬於高級持續性威脅攻擊(APT)的主要目標。
3、網路產品、安全產品和服務規范化,符合國家標准
現階段,網路產品、安全產品和網路相關的服務,存在一些不符合國家標準的情況,存在一定的安全隱患。《網路安全法》中明確網路產品、服務應當符合相關國家標準的強制性要求。網路關鍵設備和網路安全專用產品應當按照相關國家標準的強制性要求。在信息化建設過程中,在網路產品采購,尤其是網路關鍵設備、網路安全專用產品等的采購,必須特別關注相關銷售產品是否符合國家標准,是否具有銷售許可,是否由具備資格的機構安全認證合格或者安全檢測符合要求;所選擇的網路服務、安全服務必須有相應符合國家標準的資質。
4、網信部門統籌協調安全監測預警和信息通報、應急處置等工作
以前,公安部、密碼局、銀監會、衛計委、互聯網應急中心等對各行業的網路安全保障工作基本上處於各自為政,缺乏必要的互相溝通。隨著《網路安全法》的出台,明確了國家網信部門負責統籌協調網路安全工作和相關監督管理工作,明確了網信部門與其他相關網路監管部門的職責分工。
5、關注網路信息安全
《網路安全法》第四章「網路信息安全」著重闡述了個人信息保護的基本原則和要求,相當於一部小型的個人信息保護法,明確網路運營者建立健全用戶信息保護制度,對網路信息安全、個人信息保護的內容進行了規范。
二、網路安全主要有系統安全、網路的安全、信息傳播安全、信息內容安全。具體如下:
1、系統安全
運行系統安全即保證信息處理和傳輸系統的安全,側重於保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻,產生信息泄露,干擾他人或受他人干擾。
2、網路的安全
網路上系統信息的安全,包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
3、信息傳播安全
網路上信息傳播安全,即信息傳播後果的安全,包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果,避免公用網路上大雲自由傳翰的信息失控。
4、信息內容安全
三、維護網路安全的工具
網路上信息內容的安全側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。
維護網路安全的工具有VIEID、數字證書、數字簽名和基於本地或雲端的殺毒軟體等構成。
1、Internet防火牆
它能增強機構內部網路的安全性。Internet防火牆負責管理Internet和機構內部網路之間的訪問。在沒有防火牆時,內部網路上的每個節點都暴露給Internet上的其它主機,極易受到攻擊。這就意味著內部網路的安全性要由每一個主機的堅固程度來決定,並且安全性等同於其中最弱的系統。
2、VIEID
在這個網路生態系統內,每個網路用戶都可以相互信任彼此的身份,網路用戶也可以自主選擇是否擁有電子標志。除了能夠增加網路安全,電子標志還可以讓網路用戶通過創建和應用更多可信的虛擬身份,讓網路用戶少記甚至完全不用去記那些煩人的密碼。
3、數字證書
CA中心採用的是以數字加密技術為核心的數字證書認證技術,通過數字證書,CA中心可以對互聯網上所傳輸的各種信息進行加密、解密、數字簽名與簽名認證等各種處理,同時也能保障在數字傳輸的過程中不被不法分子所侵入,或者即使受到侵入也無法查看其中的內容。
法律依據
《網路安全法》
第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
❹ 國家安全等級劃分方法,定級對象
2018年6月27日,公安部正式發布《網路安全等級保護條例(徵求意見稿)》(以下稱「《等保條例》」),標志著《網路安全法》(以下稱「《網安法》」)第二十一條所確立的網路安全等級保護制度有了具體的實施依據與有力抓手。《等保條例》共八章七十三條,包括總則、支持與保障、網路的安全保護、涉密網路的安全保護、密碼管理、監督管理、法律責任和附則。相較於2007年實施的《信息安全等級保護管理辦法》(以下稱「《管理辦法》」)所確立的等級保護1.0體系,《等保條例》在國家支持、定級備案、密碼管理等多個方面進行了更新與完善,適應了現階段網路安全的新形勢、新變化以及新技術、新應用發展的要求,標志著等級保護正式邁入2.0時代。
《等保條例》的具體規定
《管理辦法》由公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室共同發布,作為等保1.0體系的核心規定,其法律效力為部門規范性文件。另根據《管理辦法》第一條規定,其制定依據為國務院行政法規《計算機信息系統安全保護條例》。
《等保條例》雖尚在徵求意見稿階段,根據《行政法規制定程序條例》第五條,行政法規的名稱一般稱「條例」,國務院各部門和地方人民政府制定的規章不得稱「條例」,因此,《等保條例》應當屬於行政法規范疇。此外,《等保條例》第一條規定了其制定依據為《網安法》與《保守國家秘密法》。
綜上可知,《管理辦法》為依據行政法規制定的部門規范性文件,而《等保條例》則屬於依據國家法律制定的行政法規,顯然,無論是自身法律效力亦或法律依據的效力位階,等保2.0均優於等保1.0。
等級保護的適用范圍
對於適用范圍,《等保條例》概括性地規定為適用於網路運營者在我國境內建設、運營、維護、使用網路,開展網路安全等級保護以及監督管理工作,而個人及家庭自建自用的網路除外,內容較為簡略。2018年1月19日,全國信息安全標准化技術委員會發布了《信息安全技術網路安全等級保護定級指南2.0(徵求意見稿)》(以下稱「《定級指南2.0》」),為等保的具體適用提供了指引。
等保1.0體系中,《管理辦法》在第十條明確提到信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》(以下稱「《定級指南1.0》」)確定信息系統的安全保護等級。因此,《定級指南2.0》的出台很大程度上得益於《定級指南1.0》的已有規定。
相比《定級指南1.0》將等級保護的對象籠統地定義為信息安全等級保護工作直接作用的具體的信息和信息系統,《定級指南2.0》細化了網路安全等級保護制度定級對象的具體范圍,主要包括基礎信息網路、工業控制系統、雲計算平台、物聯網、使用移動互聯技術的網路、其他網路以及大數據等多個系統平台。另外,作為定級對象的網路還應當滿足三個基本特徵:第一,具有確定的主要安全責任主體;第二,承載相對獨立的業務應用;第三,包含相互關聯的多個資源
根據《定級指南2.0》,定級對象在滿足上述基本特徵後仍需遵循相關要求。對於電信網、廣播電視傳輸網、互聯網等基礎信息網路,應分別依據服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象,而跨省業務專網既可以作為一個整體定級,也可根據區域劃分為若干對象定級。對於工業控制系統,應將現場採集/執行、現場控制和過程式控制制等要素應作為一個整體對象定級,而生產管理要素可以單獨定級。對於雲計算平台,則應區分為服務提供方與租戶方,各自分別作為定級對象。對於物聯網,雖然其包括感知、網路傳輸和處理應用等多種特徵因素,但仍應將以上要素作為一個整體的定級對象,各要素並不單獨定級。採用移動互聯技術的網路與物聯網類似,應將移動終端、移動應用、無線網路等要素與相關有線網路業務系統作為整體對象定級。對於大數據,除安全責任主體相同的平台和應用可以整體定級外,應單獨定級。
網路等級
《等保條例》繼受了《管理辦法》所確立的五級安全保護等級體系,但進一步強化了對公民、法人和其他組織合法權益的保護。《管理辦法》並未在主文中規定當遭受破壞後會對公民、法人和其他組織合法權益產生特別嚴重損害的信息系統應當如何定級,《定級指南1.0》僅在之後定級要素與安保等級關系的表格中顯示上述信息系統應列為第二級,而《等保條例》則進行了相應修改,當等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害時,相應系統應當定為第三級保護對象。具體等級劃分請參照以下表格:
網路安全保護義務
《管理辦法》第五條規定信息系統的運營、使用單位應當依照該辦法及其相關標准規范履行信息安全等級保護的義務和責任,但並未明確對應的義務。作為《網安法》配套法規的《等保條例》則沿襲了《網安法》已有的規定,就網路運營者的一般和特殊安全保護義務、網路產品和服務采購、應急預案制定等進行了詳細的規定。
對於安全保護義務,除《網安法》第二十一條已經明確的內容外,一般網路運營者還應:一、建立安全管理和技術保護制度,建立人員管理、教育培訓、系統安全建設、系統安全運維等制度;二、落實機房安全管理、設備和介質安全管理、網路安全管理等制度,制定操作規范和工作流程;三、在收集使用和處理個人信息時採取保護措施防止其泄露、損毀、篡改、竊取、丟失和濫用;四、落實違法信息發現、阻斷、消除等措施,落實防範違法信息大量傳播、違法犯罪證據滅失等措施;五、落實違法信息發現、阻斷、消除等措施,防範違法信息大量傳播和違法犯罪證據的滅失。第三級以上的網路運營者除上述義務外,還應當著重落實網路安全管理負責人、關鍵崗位技術人員的安全背景審查和持證上崗制度,同時定期開展等級測評工作。
對於網路產品和服務采購,網路運營者應當采購、使用符合國家法律法規和有關標准規范要求的網路產品和服務,第三級以上網路運營者應當採用與其安全保護等級相適應的網路產品和服務,對重要部位使用的網路產品,還應當委託專業測評機構進行專項測試。2017年6月1日生效的《網路關鍵設備和網路安全專用產品目錄(第一批)》與國家認監委等四部門於2018年3月15日發布的《承擔網路關鍵設備和網路安全專用產品安全認證和安全檢測任務機構名錄(第一批)》對網路運營者使用的網路產品的要求進行了詳細的規定,因此建議網路運營者在采購網路產品和服務要求供應商提供專業機構出具的安全認證或檢測證書,以減少運營法律風險。
對於應急預案的制定,第三級以上網路的運營者應當按照國家有關規定,制定網路安全應急預案,定期開展網路安全應急演練。除及時記錄並留存事件數據信息,向公安機關和行業主管部門報告外,網路運營者還應當為重大網路安全事件處置和恢復提供支持和協助。根據工信部《公共互聯網網路安全突發事件應急預案》,報告網路安全事件信息時,還應當說明事件發生時間、初步判定的影響范圍和危害、已採取的應急處置措施和有關建議等。
網路安全保護要求
近年來,隨著人工智慧、大數據、物聯網、雲計算等的快速發展,安全趨勢和形勢的急速變化,2008年發布的《GB/T22239-2008 信息安全技術 信息系統安全等級保護基本要求》(簡稱等保1.0)已經不再適用於當前安全要求。從2015年開始,等級保護的安全要求逐步開始制定2.0標准,包括5個部分:安全通用要求、雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制安全擴展要求。2017年8月,公安部評估中心根據網信辦和安標委的意見將等級保護在編的5個基本要求分冊標准進行了合並形成《網路安全等級保護基本要求》一個標准。等保1.0標准更偏重於對於防護的要求,而等保2.0標准更適應當前網路安全形勢的發展,結合《網安法》中對於持續監測、威脅情報、快速響應類的要求提出了具體的落地措施。