2023-07-27 网络安全等级保护（上）

发展历程：

1994年，首次提出等级保护思路。

2007年43号文，推动了等保测评落地。

2017年6月1号，《网络安全法》正式实施，迈入等保2.0时代。

2019年5月13号，等保基本要求和测评要求标准正式发布。

定级指南、基本要求、测评要求，是最重要的三个标准。

等级保护的五个步骤：定级——备案——建设整改——等级测评——监督检查。

《基本要求》包括通用要求和扩展要求。

通用要求中，技术要求：一个中心，三重防护。

扩展要求中：

需要最多的是“云计算”测评，云服务方/云租户。

“移动互联”“物联网”“大数据”的比较少。

中关村信息安全测评联盟团标T/ISEAA 002-2021 信息安全技术 网络安全等级保护大数据基本要求

“工控系统”主要是现场设备层和现场控制层，可能用了几十年了，根本没法去动它，测评的时候漏扫、渗透测试可能都不敢做，一般没有测试环境，测评机构也不敢去动这些系统。

关键指标——一票否决项（如果适用）：

（1）网页防篡改：应用层防护、页面内容监控等

（2）数据防泄漏：数据加密、数据脱敏、数据防勒索等

（3）业务防中断：抗DDOS攻击、系统服务监控、冗余技术等

（4）系统防勒索：补丁程序更新、系统加固、数据备份等

定级备案：

定级的三种方式：自主定级、行业主管要求、监管部门要求。不管是哪种方式，都要经过专家评审。

定级备案流程：确定定级对象——初步确定等级——专家评审——主管部门审核（如果所在单位没有主管部门，此环节可省略）——公安机关备案审查。

三大类定级对象：

（1）基础信息网络设施

（2）信息系统类型的（可能有扩展）

（3）数据资源类型（大数据）

确定定级对象的等级，需要八个步骤：

确定定级对象——确定“业务信息安全”受到破坏时的侵害客体（3类）——确定侵害程度（3种严重程度）——确定业务信息安全等级

确定定级对象——确定“系统安全”受到破坏时的侵害客体（3类）——确定侵害程度（3种严重程度）——确定系统服务安全等级

业务信息安全等级与系统服务安全等级，两者取高，作为定级对象的初步安全保护等级。