江蘇宏士德信息技術有限公司

聯系方式

0512-67429976
18626196857
luqiao@juniwer.com
蘇州市工業園區星海街16號金櫻創業園D區401室

等保方案

《網絡安全法》于2017年6月1日正式施行，這是我國第一部全面規范網絡空間安全管理方面問題的基礎性法律，是我國網絡空間法治建設的重要里程碑，是依法治網、化解網絡風險的法律重器，是讓互聯網在法治軌道上健康運行的重要保障。該法的發布也標志著國家網絡安全等級保護工作正式進入2.0時代，現在不做等保就是違法了。下文將網絡安全法中與等級保護有關的條款進行解讀分析，從網絡安全法角度梳理出我們等級保護工作的重點和核心。同時介紹下在2.0時代等級保護的標準體系和工作流程。

一、網絡安全法明確了等級保護工作重點

第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：

解讀：本條規定的是網絡運營者的義務。條款提到的網絡安全等級保護制度與公安部運營多年的信息系統安全等級保護制度（即等級保護1.0）有非常大的關聯，也說明國家會修訂和出臺相關“網絡安全等級保護”的相關配套制度（即等級保護2.0），目前等級保護2.0標準體系的修訂工作已基本完成，近期即將出臺。

（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；

解讀：一般第一主要責任人是單位一把手，廳長、局長、院長、校長等領導，第二主要責任人是單位具體分管信息化、分管網絡安全的領導，副廳長、副局長、副院長、副校長或總工等。

（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；

解讀：一般來說防火墻、IDS、IPS、防病毒網關、殺毒軟件和防DDOS攻擊系統等屬于這類技術措施。

（三）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；

解讀：網絡審計、行為審計、運維審計、日志管理分析、安全管理平臺和態勢感知平臺等都屬于這類技術措施。

（四）采取數據分類、重要數據備份和加密等措施；

解讀：數據安全越來越重要，等保方案需要充分考慮數據備份、數據傳輸和數據存儲安全等內容。

（五）法律、行政法規規定的其他義務。

第五十九條網絡運營者違反規定拒不改正或情節嚴重的，罰款1-10萬元，直接責任人罰款0.5-5萬元

二、網絡安全法明確了等級保護的核心

1、關鍵信息基礎設施的定義

第三十一條國家公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

解讀：等級保護工作的核心是關鍵信息基礎設施，本條首先定義了什么是關鍵信息基礎設施。國家互聯網信息辦公室已于2017年7月發布《關鍵信息基礎設施安全保護條例（征求意見稿）》，參照網絡安全法和關鍵信息基礎設施安全保護條例等法律法規要求，關鍵信息基礎設施的認定可參照下表：

關鍵信息基礎設施種類	認定標準	網絡安全事件的潛在影響
網站類	1）縣級(含)以上黨政機關網站。 2）重點新聞網站。 3）日均訪問量超過100萬人次的網站。 4）一旦發生網絡安全事故，可能造成右邊列影響之一的。 5）其他應該認定為關鍵信息基礎設施。	1) 影響超過100萬人工作、生活; 2) 影響單個地市級行政區30%以上人口的工作、生活; 3) 造成超過100萬人個人信息泄露; 4) 造成大量機構、企業敏感信息泄露; 5) 造成大量地理、人口、資源等國家基礎數據泄露; 6) 嚴重損害政府形象、社會秩序，或危害國家安全。
平臺類	1）注冊用戶數超過1000萬，或活躍用戶(每日至少登陸一次)數超過100萬。 2）日均成交訂單額或交易額超過1000萬元。 3）一旦發生網絡安全事故，可能造成右邊列影響之一的。 4）其他應該認定為關鍵信息基礎設施	1) 造成1000萬元以上的直接經濟損失; 2) 直接影響超過1000萬人工作、生活; 3) 造成超過100萬人個人信息泄露; 4) 造成大量機構、企業敏感信息泄露; 5) 造成大量地理、人口、資源等國家基礎數據泄露; 6) 嚴重損害社會和經濟秩序，或危害國家安全。
生產業務類	1）地市級以上政府機關面向公眾服務的業務系統，或與醫療、安防、消防、應急指揮、生產調度、交通指揮等相關的城市管理系統。 2）規模超過1500個標準機架的數據中心。 3）一旦發生網絡安全事故，可能造成右邊列影響之一的。 4）其他應該認定為關鍵信息基礎設施。	1) 影響單個地市級行政區30%以上人口的工作、生活; 2) 影響10萬人用水、用電、用氣、用油、取暖或交通出行等; 3) 導致5人以上死亡或50人以上重傷; 4) 直接造成5000萬元以上經濟損失; 5) 造成超過100萬人個人信息泄露; 6) 造成大量機構、企業敏感信息泄露; 7) 造成大量地理、人口、資源等國家基礎數據泄露; 8) 嚴重損害社會和經濟秩序，或危害國家安全。

2、關鍵信息基礎設施的安全保護義務

第三十四條運營者設置專門機構和負責人、網絡安全教育培訓、容災備份、應急預案和演練等。

解讀：本條款說明關鍵信息基礎設施的保護要求高于網絡安全等級保護制度的一般要求，從制度、培訓、災備、應急等方面提出了進一步要求。

第五十九條運營者拒不改正或導致危害網絡安全的，罰款10-100萬元，直接責任人罰款1-10萬元。

3、敏感信息保存

第三十七條境內收集產生的個人信息和重要數據應當在境內存儲。確需向境外提供的，應進行安全評估。

解讀：本條是外企和有海外業務的國內企業很關注的一條。主要是關于數據境內存儲和境外數據流動的問題。核心是數據安全。這里有兩個關鍵詞，一個是“重要數據”，什么是重要數據，相關的常見提法還有“業務數據”、“運營數據”、“服務數據”、“個人數據”、“企業數據”、“國家數據”，專家認為，重要數據是從影響因子的權重來區分數據，是一種新的數據分類方式，而不是從用途和歸屬的角度去分類。另一個關鍵詞是“安全評估”，這個安全評估的方式是將來要出臺的配置制度。相關問題也并不清晰，例如評估對象的問題，是對要流向境外的數據進行評估?還是對業務的模式進行評估?還有誰來評估的問題，是主管單位來評估，還是運營者自己進行評估? 本條說明了將來會出臺“向境外提供關鍵信息基礎設施重要數據的安全評估辦法”。

第六十六條運營者違反規定的，沒收違法所得，罰款5-50萬元，吊銷執照，直接責任人罰款1-10萬元。

4、風險檢測評估

第三十八條運營者每年至少組織一次安全風險檢測評估，并評估情況和改進措施報相關部門。

解讀：本條主要是關于對關鍵信息基礎設施年度檢測評估的問題。這里提到了網絡安全服務機構，就是我們常說的提供風險評估等各類安全服務的機構，這些機構以后又多了一項業務了。

第五十九條運營者拒不改正或導致危害網絡安全的，罰款10-100萬元，直接責任人罰款1-10萬元。

三、等級保護2.0標準體系

等級保護2.0系列標準已形成標準送審稿，近期將頒布出臺。等級保護2.0為1+N模式，1為通用要求，適用各個行業和各個領域，N指具體的一個領域內的擴展要求，目前N為5，分別是云計算、移動互聯、物聯網、工業控制、大數據。未來隨著技術的發展，N會不斷擴展。

《網絡安全等級保護基本要求第1部分：安全通用要求》《網絡安全等級保護基本要求第2部分：云計算安全擴展要求》《網絡安全等級保護基本要求第3部分：移動互聯安全擴展要求》《網絡安全等級保護基本要求第4部分：物聯網安全擴展要求》《網絡安全等級保護基本要求第5部分：工業控制系統安全擴展要求》《網絡安全等級保護基本要求第6部分：大數據安全擴展要求》,《網絡安全等級保護設計技術要求第1部分：安全通用要求》《網絡安全等級保護設計技術要求第2部分：云計算安全擴展要求》《網絡安全等級保護設計技術要求第3部分：移動互聯安全擴展要求》《網絡安全等級保護設計技術要求第4部分：物聯網安全擴展要求》《網絡安全等級保護設計技術要求第5部分：工業控制系統安全擴展要求》《網絡安全等級保護設計技術要求第6部分：大數據安全擴展要求》,《網絡安全等級保護測評要求第1部分：安全通用要求》《網絡安全等級保護測評要求第2部分：云計算安全擴展要求》《網絡安全等級保護測評要求第3部分：移動互聯安全擴展要求》《網絡安全等級保護測評要求第4部分：物聯網安全擴展要求》《網絡安全等級保護測評要求第5部分：工業控制系統安全擴展要求》《網絡安全等級保護測評要求第6部分：大數據安全擴展要求》,《網絡安全等級保護測評過程指南》,《網絡安全等級保護測評評估技術指南》,《網絡安全等級保護測評機構能力要求和評估規范》,網絡安全等級保護系列標準,《網絡安全等級保護實施指南》

等級保護2.0工作流程

與等保1.0相比，等保2.0將風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價、綜合考核等與網絡安全密切相關的措施納入等級保護制度并加以實施。

總結

作為全國唯一具備等級保護建設能力資質的綜合網絡安全廠商，新華三是國家信息安全標準委員會標準牽頭單位，參與了公安部的云計算安全等級保護標準與測評要求以及國家信息中心的政務云等級保護基本要求及實施指南等相關標準制定，并擁有系列齊全的安全產品和服務，具備等級保護一體化交付能力，可幫助客戶完成定級備案、差距分析、方案設計、整改加固、等保測評和等保運維的全部流程。新華三等級保護整體解決方案完全滿足網絡安全法和等級保護2.0標準體系要求，全面覆蓋政府、教育、醫療、交通等多個行業的等級保護需求。另外新華三擁有信息安全風險評估服務資質，可為客戶提供風險檢測評估服務。