信息安全保護及網(wǎng)絡安全法的作用發(fā)展_第1頁
信息安全保護及網(wǎng)絡安全法的作用發(fā)展_第2頁
免費預覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、信息安全保護及網(wǎng)絡安全法的作用發(fā)展隨著信息化快速發(fā)展,網(wǎng)絡和信息化應用涉及的領(lǐng)域越來越多,由 于系統(tǒng)自身的脆弱性以及外部環(huán)境和人為因素綜合造成了信息安全 事件頻發(fā), 信息安全成了國家發(fā)展的一項重要工作。 信息安全等級保 護是針對信息及其載體按照重要性進行分級保護的一項工作, 等級保 護標準是等級保護工作中信息系統(tǒng)分級的主要依據(jù)。 金融行業(yè)作為信 息化行業(yè)的重要組成部分, 其信息系統(tǒng)的安全保障能力和水平關(guān)系到 國家安全、 社會穩(wěn)定和公共利益。 金融行業(yè)等級保護標準是由中國人 民銀行根據(jù)國家標準結(jié)合金融行業(yè)現(xiàn)狀而制定。2017年6月1日,中 華人民共和國網(wǎng)絡安全法 (以下簡稱“網(wǎng)絡安全法”)開始實

2、施, 這是我國第一部全面規(guī)范網(wǎng)絡空間安全管理方面問題的基礎(chǔ)性法律, 為信息安全領(lǐng)域工作的開展提供了法律保障。 在網(wǎng)絡安全法實施的新 形勢下,為了配合網(wǎng)絡安全法的實施,提高等級保護標準的時效性,等級保護標準也在不斷地發(fā)展和完善。一、國家等級保護標準 我國的信息安全等級保護工作起步于20世紀90年代,隨后相繼頒布 了多個等級保護標準, 具體可分為基礎(chǔ)性標準、 定級標準、建設標準、 測評類標準和管理類標準。 基礎(chǔ)性標準包括 計算機信息系統(tǒng)安全等 級保護劃分準則(GB17859-1999、信息系統(tǒng)安全等級保護實施指 南(GB25O58-2O10以及信息安全等級保護管理辦法(公通字200743號)等;定

3、級標準有信息系統(tǒng)安全等級保護定級指南(GB/T22240-2008)等;建設標準包括信息系統(tǒng)安全等級保護基本 要求(GB/T22239-2008)、信息系統(tǒng)通用安全技術(shù)要求(GB/T20271-2006)以及信息系統(tǒng)等級保護安全設計技術(shù)要求(GB/T25070-2010)等;測評類標準主要有信息系統(tǒng)安全等級保護 測評要求(GB/T28448-2012)和信息系統(tǒng)安全等級保護測評過程 指南(GB/T28449-2012)等;管理類標準主要有信息系統(tǒng)安全管 理要求(GB/T20269-2006)以及信息系統(tǒng)安全工程管理要求(GB/T20282-2006)等。針對單位的普通信息安全工作人員而言,涉

4、及較多的標準主要有定級標準信息系統(tǒng)安全等級保護定級指南(GB/T22240-2008)與建設標準信息系統(tǒng)安全等級保護基本要求(GB/T22239-2008)等。信息系統(tǒng)安全等級保護定級指南主要用 于指導信息系統(tǒng)的等級劃分和評定, 將信息系統(tǒng)安全保護等級劃分為5級,定級要素有兩個:等級保護對象受到破壞時所侵害的客體以及 客體受到侵害程度。定級要素與信息系統(tǒng)安全保護等級的關(guān)系見表1。 由表1可知,三級及以上系統(tǒng)受到侵害時可能會影響國家安全, 而一 級、二級系統(tǒng)受到侵害時只會對社會秩序或者個人權(quán)益產(chǎn)生影響。 在 實際系統(tǒng)定級過程中, 要從系統(tǒng)的信息安全和服務連續(xù)性兩個維度分 別定級,最后按就高原則給

5、系統(tǒng)進行定級。 信息系統(tǒng)安全等級保護 基本要求 是針對不同安全保護等級信息系統(tǒng)應該具有的基本安全保 護能力提出的安全要求, 根據(jù)實現(xiàn)方式的不同, 基本安全要求分為基 本技術(shù)要求和基本管理要求兩大類等級保護基本要求共有10個部分,技術(shù)要求和管理要求各占5個部分。其中, 技術(shù)類安全要求又細分三 個類型。信息安全類(S類):為保護數(shù)據(jù)在存儲、傳輸、處理過程 中不被泄露、 破壞和免受未授權(quán)的修改的信息安全類要求。 服務保證 類(A類):保護系統(tǒng)連續(xù)正常的運行,免受對系統(tǒng)的未授權(quán)修改、破壞而導致系統(tǒng)不可用的服務保證類要求。通用安全保護類要求(G類):既考慮信息安全類,又考慮服務保障類,最后選擇就高原則。

6、二、金融行業(yè)信息安全等級保護標準及必要性分析1.行業(yè)標準金融行業(yè)作為信息化行業(yè)的一個重要組成部分, 金融行業(yè) 信息系統(tǒng)安全直接關(guān)系到國家安全、 社會穩(wěn)定以及公民的利益等。 為 落實國家對金融行業(yè)信息系統(tǒng)信息安全等級保護相關(guān)工作要求, 加強 金融行業(yè)信息安全管理和技術(shù)風險防范,保障金融行業(yè)信息系統(tǒng)信息 安全等級保護建設、 測評、整改工作順利開展,中國人民銀行針對金 融行業(yè)的信息安全問題, 在2012年發(fā)布了三項行業(yè)標準:金融行業(yè) 信息系統(tǒng)信息安全等級保護實施指引 、金融行業(yè)信息系統(tǒng)信息安全 等級保護測評指南 和金融行業(yè)信息安全等級保護測評服務安全指 引。2.必要性分析網(wǎng)絡安全法明確規(guī)定國家實行網(wǎng)

7、絡安全等級保護 制度, 開展等級保護工作是滿足國家法律法規(guī)的合規(guī)需求。金融行業(yè) 開展信息安全等級保護工作的必要性有以下3點。 (1)理清安全等級,實現(xiàn)分級保護金融行業(yè)各類業(yè)務系統(tǒng)眾多, 系統(tǒng)用途和服務對象差異 性大,依據(jù)等級保護根據(jù)系統(tǒng)可用性和數(shù)據(jù)重要性開展分級的定級要 求, 可以有效梳理和分析現(xiàn)有的信息系統(tǒng),識別出重要的信息系統(tǒng),將不同系統(tǒng)按照不同重要等級進行分級, 按照等級開展適當?shù)陌踩?護,有效保證了有限資源充分發(fā)揮作用。 (2)明確保護標準,實現(xiàn)規(guī)范保護金融行業(yè)信息系統(tǒng)等級保護標準有效解決了金融行業(yè)信息系 統(tǒng)保護無標準可依的問題。 在信息系統(tǒng)全生命周期中注重落實等級保 護相關(guān)標準和規(guī)

8、范要求, 在信息系統(tǒng)需求、 信息系統(tǒng)建設和信息系統(tǒng) 維護階段參照、 依據(jù)等級保護的標準和要求, 基本實現(xiàn)信息系統(tǒng)安全 技術(shù)措施的同步規(guī)劃、同步建設、同步使用,從而保證重要的信息系 統(tǒng)能夠抵御網(wǎng)絡攻擊而不造成重大損失或影響。 (3)定期開展測評, 實現(xiàn)有效保護按照等級保護要求, 每年對三級以上信息系統(tǒng)開展測評 工作, 使得重要信息系統(tǒng)能夠?qū)ο到y(tǒng)的安全性實現(xiàn)定期回顧、 有效評 估,從整體上有效發(fā)現(xiàn)信息系統(tǒng)存在的安全問題。 通過每年開展等級 保護測評工作,持續(xù)優(yōu)化金融行業(yè)重要信息系統(tǒng)安全防護措施,有效 提高了重要信息系統(tǒng)的安全保障能力, 加強了信息系統(tǒng)的安全管理水 平,保障信息系統(tǒng)的安全穩(wěn)定運行以及

9、對外業(yè)務服務的正常開展。三、網(wǎng)絡安全法作用下標準的發(fā)展 隨著等保制度上升為法律層面、 等保的重要性不斷增加、 等保對象也 在擴展以及等保的體系也在不斷升級, 等級保護的發(fā)展已經(jīng)進入到了2.0時代。為了配合網(wǎng)絡安全法的出臺和實施,滿足行業(yè)部門、企事 業(yè)單位、安全廠商開展云計算、 大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)等新技術(shù)、新應用環(huán)境下等級保護工作需求,公安部網(wǎng)絡安全保衛(wèi)局組織對原有 的等保系列標準進行修訂, 主要從三個方面進行了修訂: 標準的名稱、 標準的結(jié)構(gòu)以及標準的內(nèi)容。1.標準名稱的變化為了與網(wǎng)絡安全法提 出的“網(wǎng)絡安全等級保護制度”保持一致性, 等級保護標準由原來的 “信息系統(tǒng)安全等級”修改為“網(wǎng)

10、絡安全等級”。例如: 信息系統(tǒng) 安全等級保護基本要求修改為網(wǎng)絡安全等級保護基本要求 ,信 息系統(tǒng)安全等級保護定級指南 修改為網(wǎng)絡安全等級保護定級指南 等。2.標準結(jié)構(gòu)的變化為了適應云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)、 新應用情況下網(wǎng)絡安全等級保護工作的開展, 等級保護基本要求標準、等級保護測評要求標準的結(jié)構(gòu)均由原來的一部分變?yōu)榱糠纸M成, 分 別為安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求、工業(yè)控制系統(tǒng)安全擴展要求與大數(shù)據(jù)安全擴展 要求。3.標準內(nèi)容的變化各級技術(shù)要求分類和管理要求的分類都發(fā)生 了變化。其中,技術(shù)要求“從面到點”提出安全要求,對機房設施、通信網(wǎng)絡、業(yè)務應用等提出了要求;管理要求“從元素到活動”,提 出了管理必不可少的制度、機構(gòu)和人員三要素, 同時也提出了建設過 程和運維過程中的安全活動要求。四、展望 隨著信息化的快速發(fā)展, 信息系統(tǒng)安全直接關(guān)系到個人權(quán)益、 社會秩 序以及國家安全。 縱深防御原則、 態(tài)勢感知平臺以及等級保護是有效 地保障信息系統(tǒng)安全的三大重要手段, 等級保護作為信息系統(tǒng)安全保 護工作的重要手段之一, 對保護信息系統(tǒng)安全起

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論