等级保护是什么

  • 制度要求
    • 《中华人民共和国网络安全法》:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。
    • 《中华人民共和国计算机信息系统安全保护条例 》(国务院147号令):“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
    • 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)规定:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。
  • 工作依据
    • 《警察法》规定:警察履行“监督管理计算机信息系统的安全保护工作”的职责。
    • 国务院令第147号规定:“公安部主管全国计算机信息系统安全保护工作”,“等级保护的具体办法,由公安部会同有关部门制定”。
    • 2008年国务院三定方案,公安部新增职能:“监督、检查、指导信息安全等级保护工作”。
  • 监管范围与力度
    • 信息安全等级保护的适用范围:中华人民共和国境内的计算机信息系统。
    • 监管力度:二级及以上系统均纳入公安机关监管范围,其中三级系统至少每年测评一次。
    • 三级系统对安全产品主要要求:境内独立法人、自主知识产权、信息安全产品认证证书。
  • 地位和作用
    • 国家信息安全保障工作的基本制度、基本国策。
    • 开展信息安全工作的基本方法。
    • 促进信息化、维护国家信息安全的根本保障。

等级保护分级说明

等级 等级定义 适用系统
第一级 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益 不重要系统
第二级 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全 一般重要系统
第三级 信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害 比较重要系统
第四级 信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害 非常重要系统
第五级 信息系统受到破坏后,会对国家安全造成特别严重损害 极度重要系统

《网络安全等级保护基本要求》重点解读

网络与通信安全

表 1. 安全要求
类别 安全要求
网络架构 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。
访问控制
  • 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。
  • 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。
通信传输 应采用校验码技术或加解密技术保证通信过程中数据的完整性。
边界防护 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信。
入侵防范
  • 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。
  • 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
安全审计 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
表 2. 条款解读与应对政策
条款解读 应对政策
  • 根据服务器角色和重要性,对网络进行安全域划分。
  • 在内外网的安全域边界设置访问控制策略,并要求配置到具体的端口。
  • 在网络边界处应当部署入侵防范手段,防御并记录入侵行为。
  • 对网络中的用户行为日志和安全事件信息进行记录和审计。
  • 推荐使用阿里云的VPC和安全组对网络进行安全域划分并进行合理的访问控制。
  • Web应用防火墙防范网络入侵。
  • 态势感知的日志功能对用户行为日志和安全事件进行记录分析和审计。
  • 对于经常面临DDoS威胁系统,还可使用DDoS高防进行异常流量过滤和清洗。

设备与计算安全

表 3. 安全要求
类别 安全要求
身份鉴别 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性。
访问控制 应根据管理用户的角色建立不同账户并分配权限,仅授予管理用户所需的最小权限,实现管理用户的权限分离。
安全审计 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
入侵防范 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
恶意代码防范 应采用免受恶意代码攻击的技术措施或采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性检测,并在检测到破坏后进行恢复。
表 4. 条款解读与应对政策
条款解读 应对政策
  • 避免账号共享、记录和审计运维操作行为是最基本的安全要求。
  • 必要的安全手段保证系统层安全,防范服务器入侵行为。
  • 推荐使用阿里云的堡垒机、数据库审计对服务器和数据的操作行为进行审计,同时为每个运维人员建立独立的堡垒机账号,避免账号共享。
  • 使用安骑士对服务器进行完整的漏洞管理、基线检查和入侵防御。

应用和数据安全

表 5. 安全要求
类别 安全要求
身份鉴别 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求。
访问控制 应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
安全审计 应提供安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
数据完整性 应采用校验码技术或加解密技术保证重要数据在传输过程中的完整性和保密性。
数据备份恢复 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。
表 6. 条款解读与应对政策
条款解读 应对政策
  • 应用是具体业务的直接实现,不具有网络和系统相对标准化的特点。大部分应用本身的身份鉴别、访问控制和操作审计等功能,都难以用第三方产品来替代实现。
  • 数据的完整性和保密性,除了在其他层面进行安全防护以外,加密是最为有效的方法。
  • 数据的异地备份是等保三级区别于二级最重要的要求之一,是实现业务连续最基础的技术保障措施。
  • 在应用开发之初,就应当考虑应用本身的身份鉴别、访问控制和安全审计等功能。
  • 对已经上线的系统,通过增加账号认证、用户权限区分和日志审计等功能设计满足等保要求。
  • 数据的安全,推荐使用成熟的云盾CA证书服务实现HTTPS,确保数据在传输的过程中保持处于加密状态。
  • 数据备份,推荐使用RDS的异地容灾实例自动实现数据备份,亦可以将数据库备份文件手工同步到阿里云其他地区的服务器。

安全管理策略

表 7. 安全要求
类别 安全要求
安全策略和管理制度 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系。
安全管理机构和人员 应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。
安全建设管理 应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,并形成配套文件。
安全运维管理 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。
表 8. 条款解读与应对政策
条款解读 应对政策
  • 安全策略、制度和管理层人员,是保证持续安全非常重要的基础。策略指导安全方向,制度明确安全流程,人员落实安全责任。
  • 等保要求提供了一种方法论和最佳实践,安全可以按照等保的方法论进行持续的建设和管理。
  • 安全策略、制度和管理层人员,需要客户管理层根据本企业的实际情况,进行梳理、准备和落实,并形成专门的文件。
  • 漏洞管理过程中需要用到的技术手段,推荐使用阿里云的安全管家和先知众测服务,快速发现云上系统漏洞,及时处理。