“等保2.0”重要信息系統安全等級保護與整改

2021-04-04 12:47:01尹珧人

信息記錄材料 2021年2期

尹珧人，唐玲

（1沈陽音樂學院遼寧沈陽 110041）

（2沈陽城市學院遼寧沈陽 110041）

1 什么是信息安全等級保護

信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。信息系統信息安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程，信息系統的安全保護等級分為五級，一至五級等級逐級增高。各單位根據自身業務情況對重要信息系統進行定級，根據定級的級別有針對性地采取相應的安全防護措施[1]。

2 網絡安全等級保護1.0和2.0的主要區別

2.1 法律規定的名稱改變

等保2.0中將原等保1.0中的《信息安全等級保護基本要求》和《信息安全等級保護管理辦法》統一為《信息安全技術網絡安全等級保護基本要求》。

2.2 定級對象的改變

等保1.0只針對信息系統，等保2.0將定級對象的范圍進行了擴充，包括各類信息系統、基礎信息網絡、云計算平臺、大數據平臺、物聯網系統、采用移動互聯技術的網絡等[2]。

2.3 安全要求的變化

與等保1.0相比，等保2.0版本的基本要求，由安全要求變革為了安全通用要求與安全擴展要求。

2.4 技術和管理的變化

等保2.0在技術上將物理安全、網絡安全、主機安全、應用安全、數據安全、變更為安全物理環境、安全通信網絡、安全區域邊界、安全管理中心、安全計算環境；在管理上將人員安全管理、系統建設管理、系統運維管理變更為安全管理人員、安全建設管理、安全運維管理[3]。

2.5 具體內容的擴充

等保2.0在原等保1.0定級、備案、建設整改、等級評測和監督檢測五項基本內容的基礎上進一步擴充了應急處理、數據防護、安全監測、案事件調查、通報預警、災難備份等內容。

2.6 法律效力不同

與等保1.0相比，等保2.0時代的《網絡安全法》中明確將落實網絡安全等級保護制度上升為法律義務。

3 “等保2.0”背景下，重要信息系統信息安全保護與整改

3.1 定級、備案與評審

（1）依據GB/T25058等技術標準，結合本單位業務實際需求，確定等級保護對象。

（2）按照等級保護對象受到破壞后產生的影響大致可以分為以下五級，按照行業慣例和本單位業務實際需求進行合理定級。

一級，等保對象被破壞后，不會對公共利益、社會秩序和國家安全造成損壞，僅會損壞法人、公民和其他組織的合法權益。

二級，等保對象被破壞后，不會對國家安全造成損壞，但會損壞法人、公民和其他組織的合法權益，對公共利益和社會秩序也會造成損壞。

三級，等保對象被破壞后，會對國家安全造成損害，或對法人、公民和其他組織的合法權益產生特別嚴重損害，或對公共利益和社會秩序造成嚴重損害。

四級，等保對象被破壞后，會對國家安全造成嚴重損害，或對公共利益和社會秩序造成特別嚴重損害。

五級，等保對象被破壞后，會對國家安全造成特別嚴重的損害。

（3）組織專家評審：組織專家進行評審，專家組由最低由三名信息安全專家和業務專家組成，其中一名應為等級保護高級測評師，專家現場會根據需求方負責人對信息系統的介紹，提出定級是否合理相關建議并形成專家評審意見。

（4）主管部門審核：主管部門審核定級是否合理，是否符合相關要求。

（5）公安機關備案審查：主管部門審查合格后，送公安機關審查，最終確定等級。

3.2 總體安全規劃

依據“等保2.0”的具體要求，參照GB/T25058等技術標準，結合本單位網絡安全等級保護對象的劃分情況、定級情況、承載業務情況，明確等級保護對象的安全需求，制定合理的總體安全規劃。從軟件開發標準建設，硬件參數配置要求、各種信息化規章制度建設、規章制度的執行監督、各類安全突發事件的應急響應機制的完善，全體工作人員網絡安全意識的宣傳教育等各個維度綜合考慮對整個信息系統集群進行總體安全規劃。

3.3 安全設計與實施

明確本單位網絡安全等級保護對象的安全建設任務計劃，通過各類技術手段，全面分析信息系統存在的安全薄弱環節，按照等保2.0“一個中心，三重防護”的要求，加強下一代防火墻、WAF、防毒墻、態勢感知設備、IPS設備、防DDOS攻擊設備在校園網入口處的部署。加強服務器日志審計、數據庫審計、終端準入設備在核心服務器區的部署。利用運維軟件系統將上述安全設備聯動使用，使其發揮1+1＞2的效果。

3.4 安全運維

結合本單位網絡日常運維、變更控制、狀態監控進行安全自查和持續改進。制定所需安全管理制度、流程、表格和報告等文檔，并對主機、網絡設備、數據庫制定加固方案，通過修改設備的安全配置、給操作系統安裝補丁、改進安全策略和安全機制等方法，進一步加強設備的安全性。

3.5 應急響應與保障

結合本單位應急響應預案進行應急監測與響應。響應結束后進行全面評估，總結經驗教訓，對應急響應機制進行持續改進，確保應急響應預案的有效性，確保重要信息系統安全穩定運行。

3.6 等級保護對象終止

結合本單位具體要求，將廢棄的保護對象進行信息轉移或清除；設備遷移或廢棄；存儲介質清除或銷毀[4]。