| 已颁布实施的《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。等级保护制度是中国网络安全保障的特色和基石。目前,相关部门正在积极推进国家等级保护制度2.0标准的制定、发布和宣贯。国家网络安全等级保护制度2.0框架如下图所示,体系框架包括风险管理体系、安全管理体系、安全技术体系、网络信任体系、法律法规体系、政策标准体系等。
|
|
|
|
|
|
|
| 网络安全等级保护工作主要包括定级、备案、建设整改、等级测评、监督检查五个阶段。定级对象建设完成后,运营、使用单位或者其主管部门选择符合国家要求的测评机构,依据《信息安全技术网络安全等级保护测评要求》等技术标准,定期对定级对象的安全等级状况开展等级测评。其中,定级对象的安全保护等级分为五个,即第一级(用户自主保护级)、第二级(系统保护审计级)、第三级(安全标记保护级)、第四级(结构化保护级)、第五级(访问验证保护级)。定级方法如下图所示。
|
|
|
|
|
|
|
| 网络安全等级保护2.0的主要变化包括:一是扩大了对象范围,将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“网络安全通用要求+新型应用的网络安全扩展要求”的要求内容。二是提出了在“安全通信网络”“安全区域边界”“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。三是等级保护2.0新标准强化了可信计算技术使用的要求,各级增加了“可信验证”控制点。其中,一级要求设备的系统引导程序、系统程序等进行可信验证;二级增加重要配置参数和应用程序进行可信验证,并将验证结果形成审计记录送至安全管理中心;三级增加应用程序的关键执行环节进行动态可信验证;四级增加应用程序的所有执行环节进行动态可信验证。
|
|
|
