等級保護是什么

  • 制度要求
    • 《中華人民共和國網絡安全法》:“國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改”。
    • 《中華人民共和國計算機信息系統安全保護條例 》(國務院147號令):“計算機信息系統實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定”。
    • 《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)規定:“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統,抓緊建立信息安全等級保護制度”。
  • 工作依據
    • 《警察法》規定:警察履行“監督管理計算機信息系統的安全保護工作”的職責。
    • 國務院令第147號規定:“公安部主管全國計算機信息系統安全保護工作”,“等級保護的具體辦法,由公安部會同有關部門制定”。
    • 2008年國務院三定方案,公安部新增職能:“監督、檢查、指導信息安全等級保護工作”。
  • 監管范圍與力度
    • 信息安全等級保護的適用范圍:中華人民共和國境內的計算機信息系統。
    • 監管力度:二級及以上系統均納入公安機關監管范圍,其中三級系統至少每年測評一次。
    • 三級系統對安全產品主要要求:境內獨立法人、自主知識產權、信息安全產品認證證書。
  • 地位和作用
    • 國家信息安全保障工作的基本制度、基本國策。
    • 開展信息安全工作的基本方法。
    • 促進信息化、維護國家信息安全的根本保障。

等級保護分級說明

等級 等級定義 適用系統
第一級 信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益 不重要系統
第二級 信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全 一般重要系統
第三級 信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害 比較重要系統
第四級 信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害 非常重要系統
第五級 信息系統受到破壞后,會對國家安全造成特別嚴重損害 極度重要系統

《網絡安全等級保護基本要求》重點解讀

網絡與通信安全

表 1. 安全要求
類別 安全要求
網絡架構 應劃分不同的網絡區域,并按照方便管理和控制的原則為各網絡區域分配地址。
訪問控制
  • 應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信。
  • 應能根據會話狀態信息為進出數據流提供明確的允許/拒絕訪問的能力,控制粒度為端口級。
通信傳輸 應采用校驗碼技術或加解密技術保證通信過程中數據的完整性。
邊界防護 應保證跨越邊界的訪問和數據流通過邊界防護設備提供的受控接口進行通信。
入侵防范
  • 應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為。
  • 當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時應提供報警。
安全審計 應在網絡邊界、重要網絡節點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。
表 2. 條款解讀與應對政策
條款解讀 應對政策
  • 根據服務器角色和重要性,對網絡進行安全域劃分。
  • 在內外網的安全域邊界設置訪問控制策略,并要求配置到具體的端口。
  • 在網絡邊界處應當部署入侵防范手段,防御并記錄入侵行為。
  • 對網絡中的用戶行為日志和安全事件信息進行記錄和審計。
  • 推薦使用阿里云的VPC和安全組對網絡進行安全域劃分并進行合理的訪問控制。
  • Web應用防火墻防范網絡入侵。
  • 態勢感知的日志功能對用戶行為日志和安全事件進行記錄分析和審計。
  • 對于經常面臨DDoS威脅系統,還可使用DDoS高防進行異常流量過濾和清洗。

設備與計算安全

表 3. 安全要求
類別 安全要求
身份鑒別 應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性。
訪問控制 應根據管理用戶的角色建立不同賬戶并分配權限,僅授予管理用戶所需的最小權限,實現管理用戶的權限分離。
安全審計 應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。
入侵防范 應能夠檢測到對重要節點進行入侵的行為,并在發生嚴重入侵事件時提供報警。
惡意代碼防范 應采用免受惡意代碼攻擊的技術措施或采用可信計算技術建立從系統到應用的信任鏈,實現系統運行過程中重要程序或文件完整性檢測,并在檢測到破壞后進行恢復。
表 4. 條款解讀與應對政策
條款解讀 應對政策
  • 避免賬號共享、記錄和審計運維操作行為是最基本的安全要求。
  • 必要的安全手段保證系統層安全,防范服務器入侵行為。
  • 推薦使用阿里云的堡壘機、數據庫審計對服務器和數據的操作行為進行審計,同時為每個運維人員建立獨立的堡壘機賬號,避免賬號共享。
  • 使用安騎士對服務器進行完整的漏洞管理、基線檢查和入侵防御。

應用和數據安全

表 5. 安全要求
類別 安全要求
身份鑒別 應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,鑒別信息具有復雜度要求。
訪問控制 應授予不同賬戶為完成各自承擔任務所需的最小權限,并在它們之間形成相互制約的關系。
安全審計 應提供安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。
數據完整性 應采用校驗碼技術或加解密技術保證重要數據在傳輸過程中的完整性和保密性。
數據備份恢復 應提供異地實時備份功能,利用通信網絡將重要數據實時備份至備份場地。
表 6. 條款解讀與應對政策
條款解讀 應對政策
  • 應用是具體業務的直接實現,不具有網絡和系統相對標準化的特點。大部分應用本身的身份鑒別、訪問控制和操作審計等功能,都難以用第三方產品來替代實現。
  • 數據的完整性和保密性,除了在其他層面進行安全防護以外,加密是最為有效的方法。
  • 數據的異地備份是等保三級區別于二級最重要的要求之一,是實現業務連續最基礎的技術保障措施。
  • 在應用開發之初,就應當考慮應用本身的身份鑒別、訪問控制和安全審計等功能。
  • 對已經上線的系統,通過增加賬號認證、用戶權限區分和日志審計等功能設計滿足等保要求。
  • 數據的安全,推薦使用成熟的云盾CA證書服務實現HTTPS,確保數據在傳輸的過程中保持處于加密狀態。
  • 數據備份,推薦使用RDS的異地容災實例自動實現數據備份,亦可以將數據庫備份文件手工同步到阿里云其他地區的服務器。

安全管理策略

表 7. 安全要求
類別 安全要求
安全策略和管理制度 應形成由安全策略、管理制度、操作規程、記錄表單等構成的全面的信息安全管理制度體系。
安全管理機構和人員 應成立指導和管理信息安全工作的委員會或領導小組,其最高領導由單位主管領導委任或授權。
安全建設管理 應根據保護對象的安全保護等級及與其他級別保護對象的關系進行安全整體規劃和安全方案設計,并形成配套文件。
安全運維管理 應采取必要的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補。
表 8. 條款解讀與應對政策
條款解讀 應對政策
  • 安全策略、制度和管理層人員,是保證持續安全非常重要的基礎。策略指導安全方向,制度明確安全流程,人員落實安全責任。
  • 等保要求提供了一種方法論和最佳實踐,安全可以按照等保的方法論進行持續的建設和管理。
  • 安全策略、制度和管理層人員,需要客戶管理層根據本企業的實際情況,進行梳理、準備和落實,并形成專門的文件。
  • 漏洞管理過程中需要用到的技術手段,推薦使用阿里云的安全管家和先知眾測服務,快速發現云上系統漏洞,及時處理。