一、背景
《网络安全法》出台后,等级保护制度更是提升到了法律层面。但随着互联网技术的快速发展,等保1.0版本已经逐渐开始不适应网络环境的变化。为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,2019年,国家市场监督管理总局正式发布《信息安全技术 网络安全等级保护基本要求》,等级保护正式进入2.0时代。网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法,开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的体现。
国家政策的推进:
1994年,《计算机信息系统安全保护条例》第一次提出 ”等级保护“ 概念; |
|
|
1999年,《计算机信息系统 安全等级保护划分准则》中,等级保护强制性国家标准发布; |
||
2007年,《信息安全等级保护管理办法》 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室四部门发布信息安全等级保护管理办法; |
||
2008年,《信息安全技术 信息系统安全等级保护基本要求》明确对于各等级信息系统的安全保护基本要求; |
||
2017年,《中华人民共和国网络安全法》,第二十一条:国家实行网络安全等级保护制度; |
||
2019年,《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护安全设计技术要求》、《信息安全技术 网络安全等级保护测评要求》发布等级保护2.0核心标准。 |
||
二、等级保护简介
什么是等保:
依据《中华人民共和国网络安全法》,我国实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。等级保护是指根据信息系统的重要程度由低到高划分等级,根据不同的安全等级实施不同的保护策略。
等保1.0 |
等保2.0 |
等保2.0核心变化 |
是指以1994年国务院颁布的147号令《计算机信息系统安全保护条例》为指导标准,以2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》为指导的网络安全等级保护办法,业内简称等保,即目前的等保 1.0。 |
是指以2019年5月发布的《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求》为指导标准的网络安全等级保护办法,业内简称等保2.0。等保2.0于2019年12月1日正式实施。 |
等保1.0是以被动防御为主的安全保护体系,无法满足当前技术发展要求。等保2.0更注重主动防御,在技术上继续关注传统网络系统,并重点对云计算、移动互联、物联网、工业控制以及大数据安全等进行全面安全防护;等保2.0在法律法规、标准要求、安全体系、实施环节等方面也都有变化。 |
三、网络等级保护有什么要求、怎么测评
2.0版本等级保护的对象包括云计算、移动互联、物联网、工业控制和大数据等各类信息系统应用,无一例外都需要落实等级保护制度。网络安全等级保护基本要求分为技术要求和管理要求,其中技术要求包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心。网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。
1、网络安全等级保护技术要求:
网络安全等级保护有以下五项技术要求:
(1)安全通信网络:是指组织中的数据通信网络,其由网络设备、安全设备、可信计算设备和通信链路等相关组件构成,为等级保护对象各个部分进行提供安全的数据通信传输功能。
(2)安全计算环境:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护11个控制点。
(3)安全物理环境:针对人员威胁的控制要求包括物理访问控制、防盗窃和防破坏、电磁防护等。针对自然环境威胁的控制要求包括防火、防水和防雷击等。
(4)安全管理中心:主要针对集中安全管理等方面提出要求,如安全状态监控、补丁管理、安全策略、安全设备或安全组件的集中管理要求。
(5)安全区域边界:主要针对系统边界提出安全保护要求,系统边界一般包括整网互联边界和不同级别系统之间的边界。
2、网络安全等级保护测评流程:
测评流程 |
流程解读 |
|
系统定级 |
信息系统运营使用单位初步确定定级对象的安全保护等级,起草《网络安全等级保护定级报告》;二级以上系统,定级结论需要进行专家评审。 |
|
系统备案 |
信息系统安全保护等级为第二级以上时,备案时应当提交《网络安全等级保护备案表》和定级报告;第三级以上系统,还需提交专家评审意见、系统拓扑和说明、安全管理制度、安全建设方案等。 |
|
建设整改 |
依据《网络安全等级保护基本要求》,利用自有或第三方的安全产品和专家服务,对信息系统进行安全建设和整改,同时制定相应的安全管理制度。 |
|
等级测评 |
运营使用单位应当选择合适的测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。 |
|
监督检查 |
公安机关及其他监管部门会在整个过程中,履行相应的监管、审核和检查等职责。 |
|
四、网络安全保护等级怎么划分?
网络等级保护的安全保护等级分为以下五级,一至五级等级逐级增高,影响的范围也逐级增大:
五、沃通国密SSL证书如何应用于等保2.0
沃通SSL证书满足安全通信网络中通信传输、安全控制点和安全计算环境中数据完整性、数据保密性等安全控制点的技术要求。
(1)网络通信加密及完整性校验:SSL/TLS是为网络通信提供数据安全性及数据完整性的一种安全协议。SSL/TLS协议的基本思路是结合公钥加密和对称加密技术,确保数据安全性及数据完整性。
(2)网络通信身份认证:SSL证书遵循SSL/TLS协议,由权威CA机构验证服务器身份后签发,确保服务器身份真实可信。SSL/TLS协议支持通信双方进行双向身份认证,确认通信方身份后才能建立通信连接,从而完成身份认证;确保客户端身份真实可信。
沃通国密SSL证书适配等保2.0技术体系中安全通信网络的安全通信传输、安全计算环境的身份鉴别、数据完整性、数据保密性等要求。
六、国密SSL证书专区
沃通是工信部许可的权威CA机构,沃通WoSign SSL证书上线阿里云平台以来,成为阿里云平台热销的国产品牌证书,目前可在阿里云“云盾证书服务”直接选购WoSign SSL证书。WoSign DV单域名、WoSign DV通配符,都可以支持签发 国密算法 或 RSA算法。阿里云选购国密SSL证书 >>
七、如何申请国密SSL证书
下单购买SSL证书实例后,在SSL证书控制台点击“证书申请”,在申请流程中,选择证书的密码算法,即可申请签发SM2国密SSL证书。详见《阿里云如何申请申请国密SSL证书》
八、沃通国密SSL证书优势
满足国密合规
符合国家标准规范,满足“网络和通信的安全”的密码应用要求,在等保、关保、密评等项目中实现密码合规。
双证书部署全球信任
沃通首推“SM2/RSA双证书”部署方案,解决国密HTTPS站点兼容性问题,支持各类浏览器和移动端。
兼容国密浏览器
兼容360浏览器、沃通国密浏览器、红莲花浏览器等主流国密浏览器,与各类国密生态产品广泛兼容互认。
成熟应用案例
沃通国内首家“SM2/RSA双证书”方案成熟落地,并且在我国十几个省市政务网站中得到广泛应用。
