❶ 国家计算机病毒应急处理中心是什么部门
国 家 计 算 机 病 毒 应 急 处 理 中 心
随着计算机技术的发展,计算机病毒制造技术也在不断的发展变化。并且随着国际互联网日新月异的蓬勃发展,计算机病毒的传播方式也有了很大变化。Melissa和今年的“爱虫”病毒都是新型的具有网络特点的病毒,它们具有突发性、变异快、破坏力强的特点。也就是在短时间内可以迅速传播、蔓延,导致计算机网络陷于瘫痪,造成重要信息的丢失。另外,还出现很多具有攻击性的黑客程序和其他破坏性程序。这些类型的病毒和有害程序都利用了计算机网络的技术,进行传播、破坏,使用户防不胜防。严重威胁着计算机信息系统和网络的安全。而且,最近发生的计算机病毒事件频度越来越快,影响越来越广,损失越来越大。我们国家目前正在积极进行信息化建设,如何应对日益严重的计算机病毒问题,已经成为我们当务之急。
根据计算机病毒的特点,和多年病毒防治工作的经验来看,从根本上完全杜绝和预防计算机病毒的产生和发展是不可能的。我们目前面临的计算机病毒的攻击事件不但没有减少,而是日益增多,并且,病毒的种类越来越多,破坏方式日趋多样化。每出现一种新病毒,就要有一些用户成为病毒的受害者。面对此种形势,我们不能坐以待毙,而是要寻求一种解决方案,力争将计算机病毒的危害性降至最低。因此,因此,急需建立一种快速的预警机制,能够在最短的时间内发现并捕获病毒,向计算机用户发出警报,保障我国计算机信息系统和网络的安全。
在欧美信息化发达的国家,为了解决信息时代存在的安全问题,欧、美一些发达国家都建立了计算机安全事件的快速发应机制。对其国内、外发生的有关计算机安全的事件进行分析,提出解决方案和应急对策。来保证计算机信息系统和网络免遭破坏。例如,美国梅隆大学在联邦政府的要求下,建立了计算机安全事件应急中心。德国的计算机安全应急中心建立在汉堡大学,同时,在汉堡大学还建立了计算机病毒检验中心,专门对世界各国的计算机病毒防治产品进行检验认证。这些应急中心,对1998年6月份出现的CIH病毒在其WEB站点上及时公布了该病毒的特征、传播途径和发作破坏的结果,对计算机用户发出警告,防止被该病毒感染。同时公布了哪些产品可以检测、清除CIH病毒。
1994年2月18日,我国正式颁布实施了《计算机信息系统安全保护条例》,该《条例》第六条正式明确指出公安部主管全国计算机信息系统安全保护工作。同时,规定了对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由公安部归口管理。对计算机信息系统安全专用产品的销售实行许可证制度。今年,公安部颁布了《计算机病毒防治管理办法》。在我国新颁布的《刑法》中,也对故意制造、传播计算机病毒的行为进行相应处罚。我国对计算机病毒的防治已经逐步走上法制化轨道。根据法令、法规的要求,对计算机安全专用产品实施销售许可证制度,按照此规定公安部委托建立了相应的产品检验中心。
天津市公安局与天津市技术监督局在1996年建立了我国唯一的计算机病毒防治产品检验中心(天津市质量检验站第70站),该检验中心承担着对在我国销售的计算机病毒防治产品的质量检验认证工作。该站自1996年建立以来,在公安部和天津市技术监督局的领导和支持下,已对国内外十多个病毒防治产品进行了质量检验工作。并建立了我国计算机病毒标准样本库,填补了我国一项空白。在检验工作中,我们积累了大量的计算机病毒的技术资料,对目前流行的计算机病毒有了深入的了解和实践经验。我们并参加了亚洲计算机病毒研究会,与国际反病毒组织建立的合作和交流关系。编制起草了用于检验的公安部公共安全行业标准GA 135-1996《DOS操作系统环境下计算机病毒检测方法》、GA 243-2000《计算机病毒防治产品评级准则》,今年,在公安部又立项起草新的标准《计算机病毒库建立准则》,用以规范中国计算机病毒库的建立工作。在1992年编写了一套计算机安全丛书《计算机安全管理》、《计算机网络》、《计算机病毒》。在1994年我们又编写了《计算机安全实用技术》一书,由天津教育出版社出版。并利用编写的书籍作为天津和其他省市的计算机安全培训教材。1997年我们参加了公安部全国计算机安全培训教材的编写工作。这套教材共分三册:《计算机信息系统安全管理与法规相关基础知识》、《计算机信息系统安全技术》、《计算机信息系统安全法规汇编》。该培训教材已于1998年由群众出版社出版发行。因此,我们具有较高的计算机病毒防治技术和检验技术以及实践经验。
在2000年到来之际,国外黑客组织宣称要在新世纪交替之时,通过国际互联网释放大量病毒和有害程序,干扰、破坏世界的计算机网络。检验中心通过监控获取了这种情况,及时上报公安部,建议检验中心牵头,组织国内所有计算机病毒防治产品生产厂家,组成中国2000年计算机病毒应急中心,对我国的计算机网络和信息系统的运行情况进行24小时的监控,并将发现的问题随时通报中心,应急中心将情况通报转给应急小组成员,在最短时间内提供解决方案。应急中心并通过人民日报和各大媒体公布了热线电话和电子邮件地址。热线开通后,共接到来自全国几百个咨询电话。保障了2000年的顺利过渡。因此,我国在计算机病毒应急机制已经进行了有益的尝试,积累了经验。
2000年5月8日,检验中心收集到在欧美国家肆虐的“爱虫”病毒后,着手对该病毒的传染性和破坏性进行分析。经分析,发现该病毒的传播特点与国内、外宣传的内容有很大出入。最后通过实验和分析得出该病毒目前在我国不具备大规模传播的条件。并且检验中心与广东、江苏、上海等公安机关和有关计算机用户及时沟通信息,了解“爱虫”病毒在我国的传播、流行情况。反馈的情况与实验分析结果相吻合。检验中心将“爱虫”分析报告及时上报公安部。公安部根据此报告,制定了相应防治措施,并通报各公安省厅和市局,采取防控措施。
计算机病毒防治产品检验中心自从96年成立以来,已经建立收集我国流行的计算机病毒的渠道,并且与计算机病毒防治产品的生产和研制单位建立了密切的联系。通过检验工作,培养了很多技术人员,与国外的病毒防治机构和厂家建立了合作机制。而且,已多次处理了我国发生的计算机病毒事件,取得很好的效果和经验。
2000年8月,国家信息化工作领导小组计算机网络与信息安全管理办公室和公安部公共信息网络安全监察局的领导对计算机病毒防治产品检验中心进行了考察,考察中详细了解的检验中心自建立以来的工作情况和中心对我国病毒防治工作的建议和设想,最后决定,充分利用我国病毒防治工作的现有资源,在计算机病毒防治产品检验中心的基础上,建立国家计算机病毒应急处理中心。该中心的主要工作任务是充分调动国内防病毒力量,快速发现病毒疫情,快速发应,快速处置,防止计算机病毒对我国的计算机网络和信息系统造成重大破坏。
❷ 求开题报告《我国信息安全的现状及对策研究》
长期以来,人们对保障信息安全的手段偏重于依靠技术, 从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、 入侵检测、身份认证等等。 厂商在安全技术和产品的研发上不遗余力, 新的技术和产品不断涌现;消费者也更加相信安全产品, 把仅有的预算也都投入到安全产品的采购上。 但事实上仅仅依靠技术和产品保障信息安全的愿望却往往难尽人意, 许多复杂、多变的安全威胁和隐患靠产品是无法消除的。“ 三分技术,七分管理”这个在其他领域总结出来的实践经验和原则, 在信息安全领域也同样适用。据有关部门统计, 在所有的计算机安全事件中,约有52%是人为因素造成的,25% 由火灾、水灾等自然灾害引起,技术错误占10%, 组织内部人员作案占10%,仅有3% 左右是由外部不法人员的攻击造成。简单归类, 属于管理方面的原因比重高达70%以上, 而这些安全问题中的95%是可以通过科学的信息安全管理来避免。 因此,管理已成为信息安全保障能力的重要基础。 一、我国信息安全管理的现状 (1)初步建成了国家信息安全组织保障体系 国务院信息办专门成立了网络与信息安全领导小组, 成员有信息产业部、公安部、国家保密局、国家密码管理会员会、 国家安全部等强力部门,各省、市、 自治州也设立了相应的管理机构。2003年7月, 国务院信息化领导小组第三次会议上专题讨论并通过了《 关于加强信息安全保障工作的意见》, 同年9月,中央办公厅、国务院办公厅转发了《 国家信息化领导小组关于加强信息安全保障工作的意见》( 2003[27]号文件)。 27号文件第一次把信息安全提到了促进经济发展、维护社会稳定、 保障国家安全、加强精神文明建设的高度,并提出了“积极防御、 综合防范”的信息安全管理方针。 2003年7月成立了国家计算机网络应急技术处理协调中心( 简称CNCERT/CC),专门负责收集、汇总、核实、 发布权威性的应急处理信息、为国家重要部门提供应急处理服务、 协调全国的CERT组织共同处理大规模网络安全事件、 对全国范围内计算机应急处理有关的数据进行统计、 根据当前情况提出相应的对策、 与其他国家和地区的CERT进行交流。 目前已经在全国各地建立了31个分中心, 并授权公共互联网应急处理国家级服务试点单位10家、 公共互联网应急处理省级服务试点单位20家, 还有国内的10家骨干互联网运营企业成立自己的应急处理中心( CERT),这10家互联网运营企业与中国数千家的ISP、 个人用户和企业用户,成为了CNCERT/CC的主要联系成员, 由此形成了一个立体交错的应急体系, 形成了信息上下畅通传递的通报制度。 2001年5月成立了中国信息安全产品测评认证中心( 简称CNITSEC), 代表国家开展信息安全测评认证工作的职能机构, 依据国家有关产品质量认证和信息安全管理的法律法规管理和运行国 家信息安全测评认证体系。 负责对国内外信息安全产品和信息技术进行测评和认证、 对国内信息系统和工程进行安全性评估和认证、 对提供信息安全服务的组织和单位进行评估和认证、 对信息安全专业人员的资质进行评估和认证。目前建有上海、东北、 西南、华中、 华北五个授权评认证中心机构和两个系统安全与测评技术实验室 。 (2) 制定和引进了一批重要的信息安全管理标准 为了更好地推进我国信息安全管理工作,公安部主持制定、 国家质量技术监督局发布的中华人民共和国国家标准GB17895 -1999《计算机信息系统安全保护等级划分准则》, 并引进了国际上着名的《ISO 17799:2000:信息安全管理实施准则》、《BS 7799-2:2002:信息安全管理体系实施规范》、《 ISO/IEC 15408:1999(GB/T 18336:2001)-信息技术安全性评估准则 》、《SSE-CMM:系统安全工程能力成熟度模型》 等信息安全管理标准。信息安全标准化委会设置了10个工作组, 其中信息安全管理工作组负责对信息安全的行政、技术、 人员等管理提出规范要求及指导指南,它包括信息安全管理指南、 信息安全管理实施规范、人员培训教育及录用要求、 信息安全社会化服务管理规范、 信息安全保险业务规范框架和安全策略要求与指南。 (3) 制定了一系列必须的信息安全管理的法律法规 从上世纪九十年代初起,为配合信息安全管理的需要,国家、 相关部门、行业和地方政府相继制定了《 中华人民共和国计算机信息网络国际联网管理暂行规定》、《 商用密码管理条例》、《互联网信息服务管理办法》、《 计算机信息网络国际联网安全保护管理办法》、《 计算机病毒防治管理办法》、《互联网电子公告服务管理规定》、《 软件产品管理办法》、《电信网间互联管理暂行规定》、《 电子签名法》等有关信息安全管理的法律法规文件。 (4) 信息安全风险评估工作已经得到重视和开展 风险评估是信息安全管理的核心工作之一。2003年7月, 国信办信息安全风险评估课题组就启动了信息安全风险评估相关标准 的编制工作, 国家铁路系统和北京移动通信公司作为先行者已完成了的信息安全风 险评估试点工作,国家其它关键行业或系统(如电力、电信、 银行等)也将陆续开展这方面的工作。 二、 我国信息安全管理目前存在的一些问题 1、信息安全管理现状仍还比较混乱, 缺乏一个国家层面上的整体策略。实际管理力度不够, 政策的执行和监督力度不够。部分规定过分强调部门的自身特点, 而忽略了在国际政治经济的大环境下体现中国的特色。 部分规定没有准确地区分技术、管理和法制之间的关系,以管代法, 用行政管技术的做法仍较普遍,造成制度的可操作性较差。 2、具有我国特点的、动态的和涵盖组织机构、文件、控制措施、 操作过程和程序以及相关资源等要素的信息安全管理体系还未建立起 来。 3、具有我国特点的信息安全风险评估标准体系还有待完善, 信息安全的需求难以确定,要保护的对象和边界难以确定, 缺乏系统、全面的信息安全风险评估和评价体系以及全面、 完善的信息安全保障体系。 4、信息安全意识缺乏,普遍存在重产品、轻服务,重技术、 轻管理的思想。 5、专项经费投入不足,管理人才极度缺乏, 基础理论研究和关键技术薄弱,严重依赖国外, 对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和 技术改造。 6、技术创新不够,信息安全管理产品水平和质量不高, 尤其是以集中配置、集中管理、 状态报告和策略互动为主要任务的安全管理平台产品的研究与开发还 很落后。 7、缺乏权威、统一、专门的组织、规划、 管理和实施协调的立法管理机构, 致使我国现有的一些信息安全管理方面的法律法规,法阶层次不高, 真正的法律少,行政规章多,结构不合理,不成体系; 执法主体不明确,多头管理,政出多门、各行其是,规则冲突, 缺乏可操作性,执行难度较大,有法难依;数量上不够, 内容上不完善,制定周期太长,时间上滞后,往往无法可依; 监督力度不够,有法不依、执法不严; 缺乏专门的信息安全基本大法,如信息安全法和电子商务法等; 缺乏民事法方面的立法,如互联网隐私法、互联网名誉权、 网络版权保护法等;公民的法律意识较差,执法队伍薄弱, 人才匮乏。 8、我国自己制定的信息安全管理标准太少,大多沿用国际标准。 在标准的实施过程中,缺乏必要的国家监督管理机制和法律保护, 致使有标准企业或用户可以不执行, 而执行过程中出现的问题得不到及时、妥善解决。 三、对我国信息安全管理的一些对策 (1)在领导体系方面,建议建立 “国家信息安全委员会”, 作为国家机构和地方政府以及私营部门之间合作的主要联络人和推动 者,负责对跨部门保护工作做全面协调, 尽快建立具有信息安全防护能力、隐患发现能力、 网络应急反应能力和信息对抗能力的国家信息安全保障体系。 (2)以开放、发展、积极防御的方式取代过去的以封堵、隔离、 被动防御为主的方式,狠抓内网的用户管理、行为管理、 内容控制和应用管理以及存储管理,坚持“多层保护,主动防护” 的方针。加强信息安全策略的研究、制定和执行工作。 国家信息安全主管部门和标准委员会应该为组织制定信息安全策略提 供标准支持, 保证组织能够以很低的费用制定出专业化的信息安全策略, 提高我国的整体信息安全管理水平。 (3)进一步完善国家互联网应急响应管理体系的建设, 实现全国范围内的统一指挥和分工协作, 全面提高预案制定水平和处理能力。 在建立象SARS一样的信息分级汇报制度的同时, 在现有公安系统中建立一支象现在的“110”和“119” 一样的“信息安全部队”,专门负责信息网络方面安全保障、 安全监管、安全应急和安全威慑方面的工作。 对关键设施或系统制定好应急预案, 并定期更新和测试信息安全应急预案。 (4)加快信息安全立法和实施监督工作,建议成立一个统一、 权威、专门的信息安全立法组织与管理机构, 对我国信息法律体系进行全面规划、设计与实施监督与协调, 加快具有我国特点的信息安全法律体系的建设, 并按信息安全的要求修补已颁布的各项法律法规。 尽快制定出信息安全基本法和针对青少年的网上保护法以及政府信息 公开条例等政策法规。尤其是为配合《电子签名法》的实施和落实《 国务院办公厅关于加快电子商务发展的若干意见》, 应抓紧研究电子交易、信用管理、安全认证、在线支付、税收、 市场准入、隐私权保护、信息资源管理等方面的法律法规问题, 尽快提出制定相关法律法规;推动网络仲裁、 网络公证等法律服务与保障体系的建设。 (5)加快信息安全标准化的制定和实施工作, 尽早制定出基于ISO/IEC 17799国际标准的、并适合我国的信息安全管理标准体系, 尤其是建立与完善信息安全风险评估规范标准和管理机制, 对国家一些关键基础设施和重要信息系统,如经济、科技、统计、 银行、铁路、民航、海关等, 要依法按国家标准实行定期的自评估和强制性检查评估。 (6)坚持“防内为主,内外兼防”的方针,通过各种会议、网站、 广播 电视、报纸等媒体加大信息安全普法和守法宣传力度, 提高全民信息安全意识, 尤其是加强组织或企业内部人员的信息安全知识培训与教育, 提高员工的信息安全自律水平。在国家关键部门和企事业单位中, 明确地指定信息安全工作的责职, 建议由党政一把手作为本单位信息安全工作责任人, 在条件允许的企业里增设CSO(首席安全官)职位, 形成纵向到底、横向到边的领导管理体制。 (7)建议政府制定优惠政策,设立信息安全管理专项基金, 鼓励风险投资,提高信息安全综合管理平台、管理工具、网络取证、 事故恢复等关键技术的自主研究能力与产品开发水平。 (8)重视和加强信息安全等级保护工作, 对重要信息安全产品实行强制性认证, 特定领域用户必须明确采购通过认证的信息安全产品。 (9)加强信息安全管理人才与执法队伍的建设工作, 特别是加大既懂技术又懂管理的复合型人才的培养力度。 (10) 加大国际合作力度,尤其在标准、 技术和取证以及应急响应等方面的国际交流、协作与配合。( 作者系贵州大学信息工程学院国家信息安全有关课题负责人)
❸ 国家实行网络安全什么制度
国家实行网络安全等级保护制度。
网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公信息和存储、传输、处理这些信息的网络资源及功能组件分等级实行安全保护,对网络中使用的安全技术和管理制度实行按等级管理,对网络中发生的信息安全事件分等级响应、处置。
随着时间流逝,等级保护制度也在逐渐发展,其对定级指南、基本要求、实施指南、测评过程指南、测评要求、设计技术要求等标准进行了进一步修订和完善,以满足了新形势下等级保护工作的需要。《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,自2017年6月1日起施行。
一、《网络安全法》对我国互联网影响如下:
1、等级保护制度越来越重要
现如今,诸如门户网站等直接暴露在互联网上的网站主要是公司和单位宣传、办事的窗口,内部系统种类繁多,而且多半涉及公民的隐私、敏感信息,或者涉及金融、财务等重要业务。而这些网站和系统往往缺乏基础安全防护,容易导致网站和系统被黑客针对性攻击、恶意入侵,导致系统被篡改或造成数据泄露。在公安部的主导下,多年以来开展的信息安全等级保护测评工作已经取得显着成效,开展等级保护测评、安全建设整改的系统越来越多,网络安全整体情况有了一定提升。
2、关键信息基础设施实行重点保护
现阶段,关键基础设施、重点行业信息系统、国家社会层面的重大活动、政府机构的敏感信息,都属于高级持续性威胁攻击(APT)的主要目标。
3、网络产品、安全产品和服务规范化,符合国家标准
现阶段,网络产品、安全产品和网络相关的服务,存在一些不符合国家标准的情况,存在一定的安全隐患。《网络安全法》中明确网络产品、服务应当符合相关国家标准的强制性要求。网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求。在信息化建设过程中,在网络产品采购,尤其是网络关键设备、网络安全专用产品等的采购,必须特别关注相关销售产品是否符合国家标准,是否具有销售许可,是否由具备资格的机构安全认证合格或者安全检测符合要求;所选择的网络服务、安全服务必须有相应符合国家标准的资质。
4、网信部门统筹协调安全监测预警和信息通报、应急处置等工作
以前,公安部、密码局、银监会、卫计委、互联网应急中心等对各行业的网络安全保障工作基本上处于各自为政,缺乏必要的互相沟通。随着《网络安全法》的出台,明确了国家网信部门负责统筹协调网络安全工作和相关监督管理工作,明确了网信部门与其他相关网络监管部门的职责分工。
5、关注网络信息安全
《网络安全法》第四章“网络信息安全”着重阐述了个人信息保护的基本原则和要求,相当于一部小型的个人信息保护法,明确网络运营者建立健全用户信息保护制度,对网络信息安全、个人信息保护的内容进行了规范。
二、网络安全主要有系统安全、网络的安全、信息传播安全、信息内容安全。具体如下:
1、系统安全
运行系统安全即保证信息处理和传输系统的安全,侧重于保证系统正常运行。避免因为系统的崩演和损坏而对系统存储、处理和传输的消息造成破坏和损失。避免由于电磁泄翻,产生信息泄露,干扰他人或受他人干扰。
2、网络的安全
网络上系统信息的安全,包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计。安全问题跟踩。计算机病毒防治,数据加密等。
3、信息传播安全
网络上信息传播安全,即信息传播后果的安全,包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果,避免公用网络上大云自由传翰的信息失控。
4、信息内容安全
三、维护网络安全的工具
网络上信息内容的安全侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。其本质是保护用户的利益和隐私。
维护网络安全的工具有VIEID、数字证书、数字签名和基于本地或云端的杀毒软体等构成。
1、Internet防火墙
它能增强机构内部网络的安全性。Internet防火墙负责管理Internet和机构内部网络之间的访问。在没有防火墙时,内部网络上的每个节点都暴露给Internet上的其它主机,极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定,并且安全性等同于其中最弱的系统。
2、VIEID
在这个网络生态系统内,每个网络用户都可以相互信任彼此的身份,网络用户也可以自主选择是否拥有电子标志。除了能够增加网络安全,电子标志还可以让网络用户通过创建和应用更多可信的虚拟身份,让网络用户少记甚至完全不用去记那些烦人的密码。
3、数字证书
CA中心采用的是以数字加密技术为核心的数字证书认证技术,通过数字证书,CA中心可以对互联网上所传输的各种信息进行加密、解密、数字签名与签名认证等各种处理,同时也能保障在数字传输的过程中不被不法分子所侵入,或者即使受到侵入也无法查看其中的内容。
法律依据
《网络安全法》
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
❹ 国家安全等级划分方法,定级对象
2018年6月27日,公安部正式发布《网络安全等级保护条例(征求意见稿)》(以下称“《等保条例》”),标志着《网络安全法》(以下称“《网安法》”)第二十一条所确立的网络安全等级保护制度有了具体的实施依据与有力抓手。《等保条例》共八章七十三条,包括总则、支持与保障、网络的安全保护、涉密网络的安全保护、密码管理、监督管理、法律责任和附则。相较于2007年实施的《信息安全等级保护管理办法》(以下称“《管理办法》”)所确立的等级保护1.0体系,《等保条例》在国家支持、定级备案、密码管理等多个方面进行了更新与完善,适应了现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求,标志着等级保护正式迈入2.0时代。
《等保条例》的具体规定
《管理办法》由公安部、国家保密局、国家密码管理局、国务院信息工作办公室共同发布,作为等保1.0体系的核心规定,其法律效力为部门规范性文件。另根据《管理办法》第一条规定,其制定依据为国务院行政法规《计算机信息系统安全保护条例》。
《等保条例》虽尚在征求意见稿阶段,根据《行政法规制定程序条例》第五条,行政法规的名称一般称“条例”,国务院各部门和地方人民政府制定的规章不得称“条例”,因此,《等保条例》应当属于行政法规范畴。此外,《等保条例》第一条规定了其制定依据为《网安法》与《保守国家秘密法》。
综上可知,《管理办法》为依据行政法规制定的部门规范性文件,而《等保条例》则属于依据国家法律制定的行政法规,显然,无论是自身法律效力亦或法律依据的效力位阶,等保2.0均优于等保1.0。
等级保护的适用范围
对于适用范围,《等保条例》概括性地规定为适用于网络运营者在我国境内建设、运营、维护、使用网络,开展网络安全等级保护以及监督管理工作,而个人及家庭自建自用的网络除外,内容较为简略。2018年1月19日,全国信息安全标准化技术委员会发布了《信息安全技术网络安全等级保护定级指南2.0(征求意见稿)》(以下称“《定级指南2.0》”),为等保的具体适用提供了指引。
等保1.0体系中,《管理办法》在第十条明确提到信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》(以下称“《定级指南1.0》”)确定信息系统的安全保护等级。因此,《定级指南2.0》的出台很大程度上得益于《定级指南1.0》的已有规定。
相比《定级指南1.0》将等级保护的对象笼统地定义为信息安全等级保护工作直接作用的具体的信息和信息系统,《定级指南2.0》细化了网络安全等级保护制度定级对象的具体范围,主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。另外,作为定级对象的网络还应当满足三个基本特征:第一,具有确定的主要安全责任主体;第二,承载相对独立的业务应用;第三,包含相互关联的多个资源
根据《定级指南2.0》,定级对象在满足上述基本特征后仍需遵循相关要求。对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象,而跨省业务专网既可以作为一个整体定级,也可根据区域划分为若干对象定级。对于工业控制系统,应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,而生产管理要素可以单独定级。对于云计算平台,则应区分为服务提供方与租户方,各自分别作为定级对象。对于物联网,虽然其包括感知、网络传输和处理应用等多种特征因素,但仍应将以上要素作为一个整体的定级对象,各要素并不单独定级。采用移动互联技术的网络与物联网类似,应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。对于大数据,除安全责任主体相同的平台和应用可以整体定级外,应单独定级。
网络等级
《等保条例》继受了《管理办法》所确立的五级安全保护等级体系,但进一步强化了对公民、法人和其他组织合法权益的保护。《管理办法》并未在主文中规定当遭受破坏后会对公民、法人和其他组织合法权益产生特别严重损害的信息系统应当如何定级,《定级指南1.0》仅在之后定级要素与安保等级关系的表格中显示上述信息系统应列为第二级,而《等保条例》则进行了相应修改,当等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害时,相应系统应当定为第三级保护对象。具体等级划分请参照以下表格:
网络安全保护义务
《管理办法》第五条规定信息系统的运营、使用单位应当依照该办法及其相关标准规范履行信息安全等级保护的义务和责任,但并未明确对应的义务。作为《网安法》配套法规的《等保条例》则沿袭了《网安法》已有的规定,就网络运营者的一般和特殊安全保护义务、网络产品和服务采购、应急预案制定等进行了详细的规定。
对于安全保护义务,除《网安法》第二十一条已经明确的内容外,一般网络运营者还应:一、建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;二、落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程;三、在收集使用和处理个人信息时采取保护措施防止其泄露、损毁、篡改、窃取、丢失和滥用;四、落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;五、落实违法信息发现、阻断、消除等措施,防范违法信息大量传播和违法犯罪证据的灭失。第三级以上的网络运营者除上述义务外,还应当着重落实网络安全管理负责人、关键岗位技术人员的安全背景审查和持证上岗制度,同时定期开展等级测评工作。
对于网络产品和服务采购,网络运营者应当采购、使用符合国家法律法规和有关标准规范要求的网络产品和服务,第三级以上网络运营者应当采用与其安全保护等级相适应的网络产品和服务,对重要部位使用的网络产品,还应当委托专业测评机构进行专项测试。2017年6月1日生效的《网络关键设备和网络安全专用产品目录(第一批)》与国家认监委等四部门于2018年3月15日发布的《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)》对网络运营者使用的网络产品的要求进行了详细的规定,因此建议网络运营者在采购网络产品和服务要求供应商提供专业机构出具的安全认证或检测证书,以减少运营法律风险。
对于应急预案的制定,第三级以上网络的运营者应当按照国家有关规定,制定网络安全应急预案,定期开展网络安全应急演练。除及时记录并留存事件数据信息,向公安机关和行业主管部门报告外,网络运营者还应当为重大网络安全事件处置和恢复提供支持和协助。根据工信部《公共互联网网络安全突发事件应急预案》,报告网络安全事件信息时,还应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议等。
网络安全保护要求
近年来,随着人工智能、大数据、物联网、云计算等的快速发展,安全趋势和形势的急速变化,2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求》(简称等保1.0)已经不再适用于当前安全要求。从2015年开始,等级保护的安全要求逐步开始制定2.0标准,包括5个部分:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求。2017年8月,公安部评估中心根据网信办和安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《网络安全等级保护基本要求》一个标准。等保1.0标准更偏重于对于防护的要求,而等保2.0标准更适应当前网络安全角势的发展,结合《网安法》中对于持续监测、威胁情报、快速响应类的要求提出了具体的落地措施。