《国家信息安全等级保护系列法律政策》由会员分享,可在线阅读,更多相关《国家信息安全等级保护系列法律政策(53页珍藏版)》请在金锄头文库上搜索。
1、国家信息安全等级保护法律政策 公安部 网络安全保卫局,公安机关网络安全保卫部门 机构和职责,机构:公安部:网络安全保卫局各省:网络警察总队地市:网络警察支队区县:网络警察大队 职责:制定网络安全政策打击网络违法犯罪互联网安全管理重要信息系统安全监管网络安全通报预警,目 录,一、我国网络安全面临的新形势 二、我国关键信息基础设施安全保障方面存在的突出问题 三、IT企业在国家网络安全保障工作中如何充分发挥技术支撑作用 四、国家有关信息安全等级保护的法律政策要求 五、信息安全等级保护工作主要内容,一、我国网络安全面临的新形势,1、国家层面面临的网络安全威胁 加快战略布局,强夺网络空间制高点 强力推进
2、网军建设,加快网络战备战 扩大网上统一战线,制定网络空间国际规则制定主导权 使用各种方法,利用网络对我实施攻击和窃密,2、敌对势力和黑客组织的严重威胁 近年来敌对势力、敌对组织利用互联网对我政府网站、基础信息网络、重要信息系统进行入侵攻击、控制和窃密。 “黑客联盟”攻击我政府网站,篡改网页张贴反动标语。 全球最大的黑客组织“匿名者”在全球拥有60万成员,该组织号召力极强,具备实施大规模网络攻击的能力,多次对我政府网站发动攻击。,3、互联网快速发展带来的严重挑战 网络社会的快速发展深刻影响着现实社会的政治、经济、文化等诸多方面。 互联网已成为敌对势力、敌对分子图谋颠覆我政权的主要抓手。 网络恐怖
3、成为国家安全新的重大威胁。 电子商务安全影响国家经济安全和社会稳定。,4、关键信息基础设施安全隐患严重 境外一些企业的产品和服务,已深度渗透至我国电信、金融、能源等关键信息基础设施。 我重要行业部门选用国外操作系统、数据库、服务器、核心路由器等关键信息产品,如果这些产品存在后门或植入了木马,漏洞客观上成为了窃密渠道和网络攻击的通道。,5、新技术新应用的加快发展给网络安全带来了更大的风险和隐患 下一代互联网、物联网、云计算、大数据、移动互联网等加快应用,实现“智能电网”、“智能油田”和“智慧城市” 云计算的虚拟化、集约化的安全,物联网感知层、传输层的安全,智能位置服务的位置隐私安全,大数据的海量
4、数据安全,移动互联网的智能端安全,成为了网络安全新的挑战。,6、网络违法犯罪活动呈快速增长 利用和针对互联网实施网络窃密、网络赌博、网络诈骗、网上盗窃等违法犯罪活动,日益猖獗。 不法分子利用各种手段窃取、贩卖公民个人信息,从事各种违法犯罪活动,涉及金融、电信、交通、教育、医疗、国土、工商、物业、保险、快递等行业。 网上制造传播谣言,进行有组织敲诈,严重扰乱社会秩序。,二、我国关键信息基础设施安全保障方面存在的突出问题,一是重要行业部门对网络安全认识不清,安全意识差,重视不够。缺少全局性的政策文件、标准,缺乏对整个工作的指导 二是缺乏顶层设计和规划,缺乏统一领导。安全保护策略不科学 三是管理体制
5、机制不顺。管理制度不健全,责任部门、责任人不落实,安全责任不落实,职责不清,分工不明 四是缺乏在机构设置、人员配备、机制、能力等方面的整体考虑和统筹,五是主动发现能力差。缺少安全技术措施和管理措施,发现入侵攻击、窃密和网络系统安全隐患、问题能力差 六是主动防护能力差。防攻击、防窃密、防篡改等技术措施和管理措施不落实。 七是应急处置能力差。缺少信息系统应急处置预案。缺乏组织应急演练,预案不起任何作用。 八是创新不够。在策略、技术、产品等方面的改革创新需要加强。,九是重点工作不落实。等级保护、安全监测、通报预警、应急演练、灾备、安全检查等工作不深入。工作机制、标准、机构、人员、经费等基础保障能力差
6、 十是没有认真落实网络安全与信息化建设 “同步规划、同步设计、同步实施”的三同步要求。对信息系统缺乏全生命周期管理。在系统规划、建设、运维等阶段“重开发、重应用、轻安全”。隐患排查不强,日志存储、分析能力不强。,三、IT企业在国家网络安全保障工作中如何发挥好技术支撑作用,一是充分了解和掌握习总书记和党中央对网络安全工作的重大决策部署 2013年12月30日中央成立网络安全和信息化领导小组。 2014年2月27日召开第一次会议。习近平总书记指出:“没有网络安全,就没有国家安全;没有信息化,就没有现代化”,“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施”。,
7、二是充分了解和掌握国家和网络安全职能部门的政策 国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)。 全国人大关于加强网络信息保护的决定 国务院关于大力推进信息化发展和切实保障信息安全的若干意见国发201223号,国务院关于推进物联网有序健康发展的指导意见国发20137号 公安部、发改委和财政部联合印发的关于加强国家级重要信息系统安全保障工作有关事项的通知(公信安20142182号) 中央综治办印发2014年综治工作(平安建设)考核评价实施细则(中综办201416号),将“信息安全保障工作”纳入对政府的考核。,2014年8月国家发改委等八部委联合印发了关于促进智慧城市健康
8、发展的指导意见(发改高技20141770号)文件 2014年11月国家发改委印发了促进智慧城市健康发展部际协调工作制度及2014-2015工作方案(发改办高技20142652号)文件。在全国“智慧城市”建设26个部委参加的协调机制中,明确规定由公安部开展“智慧城市”网络安全建设、管理和评价工作。,三是为重要行业部门落实重要安全管理和技术措施提供技术支撑 变产品提供商为综合服务提供商。开展安全咨询、规划设计,制定安全建设方案,安全建设整改实施,安全运维,安全监理,安全监测,应急处置和安全检查技术支持。 落实网络安全与信息化建设三同步要求。“同步规划、同步设计、同步实施”。 开展云计算、物联网、工
9、控系统、移动互联网的安全保护方法研究,标准研究。,四是加强在策略、技术、产品等方面的改革和创新 采取“人防、物防、技防、制防”管理策略,和“安全分区、网络专用、横向隔离、纵向认证”等保护策略,提高网络安全防护的科学性和综合防护能力。 按照“攻不进、拿不走、看不懂”的策略,落实一些“管用”措施: 统一防护、整体防护。 建设监测系统,实时监控。,统一防护、整体防护。 边界控制强逻辑隔离 利用密码技术、设备对数据、传输加密。最后一道防线。 操作系统加固。 渗透性攻击测试,检验系统防攻击能力。 定期修改口令,解决系统默认口令、弱口令、通用口令问题。定期查找并修补漏洞,虚拟机、沙箱技术。 终端主动防御。
10、 黑、白名单技术(私有云服务) 产品联动(云端、边界、终端)。 大数据技术(关联分析、日志存储与分析,可发现、可追溯)。 审计措施、设备要采用(可追踪追溯),四、国家有关信息安全等级保护的法律政策要求,1.中华人民共和国人民警察法规定:人民警察履行“监督管理计算机信息系统的安全保护工作”的职责。 2.国务院令第147号规定:“公安部主管全国计算机信息系统安全保护工作”,“等级保护的具体办法,由公安部会同有关部门制定”。 3.2008年国务院“三定”方案,赋予公安部“监督、检查、指导信息安全等级保护工作”法定职责。,五、信息安全等级保护工作主要内容,(一)信息安全等级保护工作的内涵 对国家秘密信
11、息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护、分等级监管。 对信息系统中使用的信息安全产品实行按等级管理。 对信息系统中发生的信息安全事件分等级响应、处置。 五个规定动作:信息系统定级、备案、安全建设整改、等级测评、监督检查。,(二)职责分工 公安机关牵头,制定政策标准,并进行监督、检查、指导 国家保密部门、密码管理部门负责有关保密工作和密码工作的监督、检查、指导 网信办负责等级保护工作中部门间的协调其中,涉及国家秘密信息系统由国家保密部门负责;非涉及国家秘密信息系统由公安机关负责,相关部门责任和义务 监管部门:制定管理规范和技术标准 ,
12、组织实施,监督、检查、指导。 行业主管部门:督促、检查、指导本行业、本部门开展等级保护工作。 运营使用单位:开展信息系统定级、备案、建设整改、等级测评、自查等工作,落实等级保护制度的各项要求。 安全服务机构:开展技术支持、服务等工作,并接受监管部门的监督管理。,信息安全等级保护工作体系框架图,1、公安机关组织开展等级保护工作的依据 中华人民共和国人民警察法规定:人民警察履行“监督管理计算机信息系统的安全保护工作”的职责。 国务院令第147号规定:“公安部主管全国计算机信息系统安全保护工作”,“等级保护的具体办法,由公安部会同有关部门制定”。 2008年国务院三定方案。公安部新增职能:“监督、检
13、查、指导信息安全等级保护工作”。,(三)开展等级保护工作的基本要求 各单位、各部门,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求开展等级保护的定级、备案、整改、测评等工作。 公安机关要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。 对故意将信息系统安全级别定低,逃避公安、保密、密码部门监管,造成信息系统出现重大安全事故的,要追究单位和人员的责任。,(四)信息安全等级保护政策体系近几年,公安部根据国务院147号令的授权,会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了一些文件,公安部对有些具体工作出台了一些指导意见和规范,构
14、成了信息安全等级保护政策体系。汇集成信息安全等级保护政策汇编供有关单位、部门使用。,等级保护工作配套政策体系,(五)信息安全等级保护标准体系多年来,在有关部门支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系。汇集成信息安全等级保护标准汇编供有关单位、部门使用。,在安全建设整改工作中的作用 等级保护有关标准,(六)信息安全等级保护工作具体内容和要求1、信息安全等级保护定级工作(1)信息系统定级原则:“自主定级、专家评审、主管部门审批、公安机关审核”。具
15、体可按照关于开展全国重要信息系统安全等级保护定级工作的通知(公通字2007861号)要求执行。(2)定级工作流程:摸底调查、确定定级对象、对信息系统进行重要性分析、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。,(3)确定定级对象 起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)。 用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统 。 各类网站。 (4)确定信息系统安全保护等级:根据信息系统重要性分析结论,按照管理办法要求确定等级。,第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
16、第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。,信息系统五个安全保护等级:,第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 实际定级中可参考下面操作: 第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。,第二级信息系统:适用于县级单位中的信息系统;地市以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。 第三级信息系统:适用于地市以上机关、企事业单位内部重要信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网的用于生产、调度、管理、指挥、作业、控制等方面的信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。,
