久久亚洲中文字幕精_精品国产一区二区三区不卡_99久久久无码国产精品免费手机_国产亚洲精品久久久久动漫

將想法與焦點(diǎn)和您一起共享

如何落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度發(fā)布者:本站     時(shí)間:2020-05-02 15:05:56

2017年6月1日《中華人民共和國(guó)網(wǎng)絡(luò)安全法》 (以下簡(jiǎn)稱"網(wǎng)絡(luò)安全法") 正式實(shí)施。第二十一條提出"國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度", 第三十一條提出"關(guān)鍵信息基礎(chǔ)設(shè)施, 在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上, 實(shí)行重點(diǎn)保護(hù)".至此, 網(wǎng)絡(luò)安全等級(jí)保護(hù)制度上升為法律要求, 網(wǎng)絡(luò)運(yùn)營(yíng)者必須按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度, 采取相應(yīng)的管理措施和技術(shù)防范措施, 履行相應(yīng)的網(wǎng)絡(luò)安全保護(hù)義務(wù)。本文從網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案、建設(shè)整改和等級(jí)測(cè)評(píng)3個(gè)方面, 結(jié)合網(wǎng)絡(luò)安全法相關(guān)內(nèi)容闡述作為網(wǎng)絡(luò)運(yùn)營(yíng)者需要履行的安全保護(hù)義務(wù)及工作要求。

1 定級(jí)備案

系統(tǒng)定級(jí)作為網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的第一步, 定級(jí)結(jié)果直接影響到后續(xù)工作的順利開展。作為網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》 (GB/T22240-2008) (以下簡(jiǎn)稱《定級(jí)指南》) 分析業(yè)務(wù)信息和系統(tǒng)服務(wù)遭到破壞后, 所侵害的客體, 以及對(duì)相應(yīng)客體的侵害程度, 確定信息系統(tǒng)安全保護(hù)級(jí)別, 并及時(shí)到當(dāng)?shù)厥屑?jí)以上公安機(jī)關(guān)辦理備案手續(xù)。另外, 針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施, 從網(wǎng)絡(luò)安全法第三十一條可以看出, 關(guān)鍵信息基礎(chǔ)設(shè)施一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露, 可能會(huì)嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益。根據(jù)《定級(jí)指南》, 可能嚴(yán)重危害到國(guó)家安全、國(guó)計(jì)民生、公共利益的信息系統(tǒng), 安全保護(hù)等級(jí)至少在3級(jí)及以上。所以, 作為關(guān)鍵信息基礎(chǔ)設(shè)施, 其安全保護(hù)等級(jí)不得低于3級(jí)。

網(wǎng)絡(luò)運(yùn)營(yíng)者一定要仔細(xì)分析信息系統(tǒng)業(yè)務(wù)信息和系統(tǒng)服務(wù)遭到破壞后, 所侵害的客體以及對(duì)相應(yīng)客體的侵害程度, 準(zhǔn)確定級(jí)[1].網(wǎng)絡(luò)運(yùn)營(yíng)者在初步確定網(wǎng)絡(luò)安全保護(hù)等級(jí)后, 應(yīng)當(dāng)及時(shí)組織相關(guān)專家對(duì)定級(jí)結(jié)果的合理性進(jìn)行評(píng)審, 避免出現(xiàn)所定級(jí)別過(guò)低或過(guò)高的現(xiàn)象, 并及時(shí)向主管部門報(bào)批系統(tǒng)定級(jí)結(jié)果。

2 建設(shè)整改

在確定網(wǎng)絡(luò)安全保護(hù)等級(jí)后, 網(wǎng)絡(luò)運(yùn)營(yíng)者在開展建設(shè)整改工作時(shí), 首先應(yīng)當(dāng)確保已完全履行了網(wǎng)絡(luò)安全法第二十一條所規(guī)定的全部安全保護(hù)義務(wù)。網(wǎng)絡(luò)安全法第二十一條具體內(nèi)容如下。

第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求, 履行下列安全保護(hù)義務(wù):保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn), 防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

(一) 制定內(nèi)部安全管理制度和操作規(guī)程, 確定網(wǎng)絡(luò)安全負(fù)責(zé)人, 落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任。

(二) 采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施。

(三) 采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施, 并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于6個(gè)月。

(四) 采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。

(五) 法律、行政法規(guī)規(guī)定的其他義務(wù)。

第一條是安全管理方面的要求, 雖說(shuō)安全技術(shù)是信息安全控制的重要手段, 許多信息系統(tǒng)的安全性保障都要依靠技術(shù)手段來(lái)實(shí)現(xiàn), 但光有安全技術(shù)還不行, 要讓安全技術(shù)發(fā)揮應(yīng)有的作用, 必然要有適當(dāng)?shù)墓芾沓绦?。否則, 安全技術(shù)只能趨于僵化和失敗[2].所以強(qiáng)調(diào)網(wǎng)絡(luò)運(yùn)營(yíng)者必須要有針對(duì)性地建立自己的網(wǎng)絡(luò)安全管理體系, 且至少包含管理制度和操作規(guī)范兩個(gè)層面。管理制度是網(wǎng)絡(luò)運(yùn)營(yíng)者制定的有關(guān)管理組織架構(gòu)、人員配備、行為規(guī)范和管理責(zé)任等方面的規(guī)則。操作規(guī)程是網(wǎng)絡(luò)運(yùn)維者制定的相關(guān)人員在進(jìn)行日常操作時(shí)應(yīng)當(dāng)遵守的程序和步驟。除此以外還需確定網(wǎng)絡(luò)安全負(fù)責(zé)人, 落實(shí)網(wǎng)絡(luò)運(yùn)營(yíng)者第一責(zé)任人的責(zé)任。

第二條是安全技術(shù)防范方面的要求, 強(qiáng)調(diào)網(wǎng)絡(luò)運(yùn)營(yíng)者須采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施。防范計(jì)算機(jī)病毒方面比較常見(jiàn)的技術(shù)措施有防病毒軟件和防毒墻, 防病毒軟件主要防范服務(wù)器操作系統(tǒng)層面的惡意病毒, 防毒墻一般以硬件形式部署網(wǎng)絡(luò)邊界處, 對(duì)來(lái)自外部網(wǎng)絡(luò)的惡意代碼在網(wǎng)絡(luò)層進(jìn)行檢測(cè)阻攔, 將惡意代碼或病毒程序阻擋在網(wǎng)絡(luò)邊界外。網(wǎng)絡(luò)攻擊防范技術(shù)措施, 較為常見(jiàn)的有防火墻設(shè)備, 用于實(shí)現(xiàn)網(wǎng)絡(luò)或安全域邊界的隔離保護(hù);另外除普通防火墻外, 還有Web應(yīng)用防火墻, 用于實(shí)現(xiàn)對(duì)來(lái)自應(yīng)用層的攻擊行為進(jìn)行防范保護(hù)。網(wǎng)絡(luò)侵入防范技術(shù)常見(jiàn)的有入侵檢測(cè) (IDS) 、入侵防御 (IPS) 等設(shè)備, IDS設(shè)備主要用于對(duì)入侵行為的檢測(cè)報(bào)警不具備阻攔功能, IPS可對(duì)入侵行為進(jìn)行阻攔, 但對(duì)業(yè)務(wù)系統(tǒng)可用性要求較高的單位, 一般都選用IDS, 因?yàn)镮PS有可能會(huì)發(fā)生誤報(bào)對(duì)業(yè)務(wù)系統(tǒng)正常運(yùn)行造成影響。作為網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)結(jié)合此項(xiàng)要求, 至少配備防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等方面中的一項(xiàng)或多項(xiàng)技術(shù)措施。

第三條是安全監(jiān)測(cè)和審計(jì)方面的要求, 強(qiáng)調(diào)網(wǎng)絡(luò)運(yùn)營(yíng)者必須具備監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施。這塊比較常見(jiàn)的措施有網(wǎng)絡(luò)審計(jì)系統(tǒng)、主機(jī)審計(jì)系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)和運(yùn)維審計(jì)系統(tǒng)分別對(duì)信息系統(tǒng)各個(gè)層面進(jìn)行監(jiān)測(cè)記錄, 另外近幾年逐漸出現(xiàn)大數(shù)據(jù)日志分析平臺(tái), 主要將信息系統(tǒng)中各個(gè)層面的日志信息進(jìn)行統(tǒng)一匯總分析。對(duì)于日志留存方面, 還提出按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于6個(gè)月, 即相關(guān)的網(wǎng)絡(luò)日志存儲(chǔ)周期要大于6個(gè)月。作為網(wǎng)絡(luò)運(yùn)營(yíng)者至少應(yīng)當(dāng)具備監(jiān)測(cè)并記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)和安全事件的技術(shù)措施, 另外還要具備相關(guān)日志的備份措施, 保障相關(guān)日志存儲(chǔ)周期大于6個(gè)月。

第四條是數(shù)據(jù)保護(hù)方面的要求, 網(wǎng)絡(luò)運(yùn)營(yíng)者須根據(jù)數(shù)據(jù)的重要性對(duì)數(shù)據(jù)進(jìn)行分類實(shí)施保護(hù), 重要數(shù)據(jù)須具備備份措施和數(shù)據(jù)加密措施。重要數(shù)據(jù)的備份要支持在發(fā)生安全事件后數(shù)據(jù)的有效恢復(fù), 另外對(duì)于重要數(shù)據(jù)的加密要從數(shù)據(jù)傳輸和存儲(chǔ)兩個(gè)方面去考慮實(shí)施。

第五條是法律、行政法規(guī)規(guī)定的其他義務(wù)。除網(wǎng)絡(luò)安全法規(guī)定范圍內(nèi)的其他義務(wù), 如行業(yè)主管部門對(duì)行業(yè)內(nèi)的網(wǎng)絡(luò)安全要求、地方政府部門對(duì)網(wǎng)絡(luò)安全的相關(guān)要求等。

除網(wǎng)絡(luò)安全法第二十一條規(guī)定的內(nèi)容外, 網(wǎng)絡(luò)運(yùn)營(yíng)者還應(yīng)當(dāng)按照網(wǎng)絡(luò)安全法第二十五條規(guī)定的要求, 建立網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案, 應(yīng)急預(yù)案至少應(yīng)當(dāng)覆蓋能夠及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全事件。另外, 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)定期組織應(yīng)急演練, 確保應(yīng)急預(yù)案制度的有效執(zhí)行。

第二十五條網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案, 及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn);在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí), 立即啟動(dòng)應(yīng)急預(yù)案, 采取相應(yīng)的補(bǔ)救措施, 并按照規(guī)定向有關(guān)主管部門報(bào)告。

作為關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)運(yùn)營(yíng)者除履行好網(wǎng)絡(luò)安全法第二十一條和第二十五條規(guī)定的義務(wù)外, 還應(yīng)當(dāng)履行網(wǎng)絡(luò)安全法第三十四條規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者須履行的安全保護(hù)義務(wù)。

第三十四條除本法第二十一條的規(guī)定外, 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù)。

(一) 設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人, 并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查。

(二) 定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核。

(三) 對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份。

(四) 制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案, 并定期進(jìn)行演練。

(五) 法律、行政法規(guī)規(guī)定的其他義務(wù)。

(1) 網(wǎng)絡(luò)運(yùn)營(yíng)者需設(shè)立專門的網(wǎng)絡(luò)安全管理部門以及安全管理負(fù)責(zé)人, 來(lái)負(fù)責(zé)制定本單位網(wǎng)絡(luò)安全保護(hù)策略, 并落實(shí)執(zhí)行各項(xiàng)網(wǎng)絡(luò)安全工作;另外對(duì)安全管理負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行背景審查, 以確定其從事安全管理負(fù)責(zé)人和關(guān)鍵崗位的可靠性。 (2) 網(wǎng)絡(luò)運(yùn)營(yíng)者須定期對(duì)從業(yè)人員進(jìn)行相關(guān)培訓(xùn)和考核, 以提高從業(yè)人員的網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全技能, 從而更好地保障網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行。 (3) 網(wǎng)絡(luò)運(yùn)營(yíng)者須提供對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的容災(zāi)備份措施, 確保在發(fā)生安全事件時(shí), 備份系統(tǒng)能夠替代主系統(tǒng)正常運(yùn)行。 (4) 網(wǎng)絡(luò)運(yùn)營(yíng)者須針對(duì)系統(tǒng)內(nèi)可能發(fā)生的安全事件建立應(yīng)急預(yù)案, 并定期組織演練工作, 以提高應(yīng)急人員處理應(yīng)急事件的能力, 確保在發(fā)生安全事件時(shí)能夠快速有效地處理[3]. (5) 除以上規(guī)定義務(wù)外, 法律、行政法規(guī)規(guī)定的其他義務(wù), 如行業(yè)網(wǎng)絡(luò)安全方面的相關(guān)技術(shù)要求等。

一般信息系統(tǒng)網(wǎng)絡(luò)運(yùn)營(yíng)者在滿足網(wǎng)絡(luò)安全第二十一條和第二十五條要求的基礎(chǔ)上, 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)運(yùn)營(yíng)者在滿足網(wǎng)絡(luò)安全法第二十一條、第二十五條和第三十四條規(guī)定的基礎(chǔ)上分別按照各自所定的安全保護(hù)級(jí)別, 參照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 (GB/T22239-2008) 和《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》 (GB/T 25070-2010) 等標(biāo)準(zhǔn), 再進(jìn)一步開展建設(shè)整改工作。

3 等級(jí)測(cè)評(píng)

信息系統(tǒng)在完成建設(shè)整改上線運(yùn)行后, 為保障信息系統(tǒng)長(zhǎng)期的安全穩(wěn)定運(yùn)行, 網(wǎng)絡(luò)運(yùn)營(yíng)者必須要不斷地對(duì)信息系統(tǒng)開展檢測(cè)、整改工作。網(wǎng)絡(luò)安全法第三十八條中提出"關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn), 每年至少進(jìn)行一次檢測(cè)評(píng)估, 并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門".另外, 在《信息安全等級(jí)保護(hù)管理辦法》公通字[2007]43號(hào)第十四條中同樣也提出"信息系統(tǒng)建設(shè)完成后, 運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu), 依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn), 定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng), 第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng), 第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)".

由于關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)等級(jí)均在3級(jí)及以上, 所以網(wǎng)絡(luò)運(yùn)營(yíng)者針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施, 應(yīng)當(dāng)每年均委托具備公安部門認(rèn)可的測(cè)評(píng)機(jī)構(gòu), 開展等級(jí)測(cè)評(píng)工作[4], 并將測(cè)評(píng)結(jié)果和整改措施報(bào)送給負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。



選擇我們,優(yōu)質(zhì)服務(wù),不容錯(cuò)過(guò)
1. 優(yōu)秀的網(wǎng)絡(luò)資源,強(qiáng)大的網(wǎng)站優(yōu)化技術(shù),穩(wěn)定的網(wǎng)站和速度保證
2. 15年上海網(wǎng)站建設(shè)經(jīng)驗(yàn),優(yōu)秀的技術(shù)和設(shè)計(jì)水平,更放心
3. 全程省心服務(wù),不必?fù)?dān)心自己不懂網(wǎng)絡(luò),更省心。
------------------------------------------------------------
24小時(shí)聯(lián)系電話:021-58370032
南投市| 清流县| 北辰区| 武平县| 桓仁| 桐庐县| 饶平县| 象山县| 体育| 崇左市| 南江县| 西盟| 乐昌市| 崇礼县| 石楼县| 公安县| 沛县| 建昌县| 永寿县| 三门峡市| 新乐市| 丹阳市| 济南市| 会东县| 富顺县| 泰州市| 赞皇县| 新邵县| 田东县| 报价| 安福县| 盐池县| 图们市| 吐鲁番市| 德保县| 历史| 商南县| 香河县| 沙洋县| 游戏| 临泉县|