信息系統(tǒng)的處理能力和連通性不斷提高。與此同時(shí)，基于網(wǎng)絡(luò)連接的安全問題也日益突出。整體網(wǎng)絡(luò)安全主要表現(xiàn)在以下幾個(gè)方面:網(wǎng)絡(luò)物理安全、網(wǎng)絡(luò)拓?fù)浒踩⒕W(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全和網(wǎng)絡(luò)管理安全。

如何才能保證網(wǎng)絡(luò)系統(tǒng)的軟硬件和系統(tǒng)中的數(shù)據(jù)不受意外或惡意原因的破壞、更改或泄露，保證系統(tǒng)持續(xù)、可靠、正常運(yùn)行，保證網(wǎng)絡(luò)服務(wù)不中斷？需要保證網(wǎng)絡(luò)的物理安全以及網(wǎng)絡(luò)拓?fù)浜拖到y(tǒng)的安全。以下內(nèi)容主要來自交流活動(dòng)“你的網(wǎng)絡(luò)安全嗎？”能達(dá)到保險(xiǎn)第三關(guān)嗎？"

2018年6月27日，公安部發(fā)布《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見稿)》(以下簡稱《保護(hù)條例》)?！侗Ｗo(hù)條例》作為《網(wǎng)絡(luò)安全法》的重要配套法規(guī)，對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)的適用范圍、各監(jiān)管部門的職責(zé)、網(wǎng)絡(luò)運(yùn)營商的安全保護(hù)義務(wù)、網(wǎng)絡(luò)安全等級(jí)保護(hù)的建設(shè)等提出了更加具體和可操作的要求，為開展等級(jí)保護(hù)工作提供了重要的法律支持。

條例的適用范圍

《保護(hù)條例》的適用范圍已經(jīng)擴(kuò)大。各網(wǎng)絡(luò)運(yùn)營商應(yīng)對(duì)相關(guān)網(wǎng)絡(luò)進(jìn)行平等保險(xiǎn)工作。

監(jiān)管部門

《保護(hù)條例》建立了各部門協(xié)調(diào)分工的監(jiān)管機(jī)制，涉及的監(jiān)管部門包括中央網(wǎng)絡(luò)安全與信息領(lǐng)導(dǎo)機(jī)構(gòu)、國家網(wǎng)絡(luò)信息部、國務(wù)院公安部門、國家保密行政部門、國家密碼管理部門、國務(wù)院其他有關(guān)部門、縣級(jí)以上地方人民政府有關(guān)部門等。

各國行業(yè)主管或監(jiān)管機(jī)構(gòu)的監(jiān)管權(quán)力和責(zé)任如下:

網(wǎng)絡(luò)安全防護(hù)

網(wǎng)絡(luò)分級(jí)

定級(jí)步驟:確定定級(jí)對(duì)象->:定級(jí)對(duì)象初步確認(rèn)->:專家評(píng)審->:主管部門審核->:公安機(jī)關(guān)

備案審查

1)網(wǎng)絡(luò)級(jí)

網(wǎng)絡(luò)層面主要是通過網(wǎng)絡(luò)的重要性和一旦被破壞的危害程度來評(píng)價(jià)的。

值得注意的是，在《信息安全等級(jí)保護(hù)管理辦法》中，最高保護(hù)等級(jí)只是信息系統(tǒng)受損時(shí)的第二級(jí)保護(hù)，會(huì)嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益。《保護(hù)條例》在“造成特別嚴(yán)重?fù)p害”的情況下，將信息系統(tǒng)的保護(hù)級(jí)別提高到第三級(jí)，即使它沒有對(duì)公共利益或國家安全造成損害。這也是本規(guī)程的主要變化之一。

2)網(wǎng)絡(luò)分級(jí)

《保護(hù)條例》第16條規(guī)定，網(wǎng)絡(luò)運(yùn)營商應(yīng)當(dāng)在規(guī)劃設(shè)計(jì)階段確定網(wǎng)絡(luò)的安全保護(hù)等級(jí)。這意味著系統(tǒng)在使用前必須分級(jí)。同時(shí)，當(dāng)網(wǎng)絡(luò)功能、服務(wù)范圍、服務(wù)對(duì)象和處理的數(shù)據(jù)發(fā)生較大變化時(shí)，需要根據(jù)情況進(jìn)行調(diào)整和分級(jí)。

3)等級(jí)評(píng)審

《保護(hù)條例》在分級(jí)階段增加了新的要求，二級(jí)以上必須經(jīng)過專家評(píng)審，并經(jīng)行業(yè)主管部門批準(zhǔn)?？缡』蛉珖y(tǒng)一聯(lián)網(wǎng)由行業(yè)主管部門統(tǒng)一制定，分級(jí)審查統(tǒng)一組織。

4)分級(jí)和歸檔

二級(jí)以上網(wǎng)絡(luò)經(jīng)營者在分級(jí)、撤銷或者變更網(wǎng)絡(luò)安全保護(hù)等級(jí)時(shí)，應(yīng)當(dāng)在10個(gè)工作日內(nèi)報(bào)縣級(jí)以上公安機(jī)關(guān)備案。

更方便的是將所在地從前區(qū)的市級(jí)以上公安機(jī)關(guān)擴(kuò)展到縣級(jí)。

5)記錄評(píng)審

公安機(jī)關(guān)應(yīng)當(dāng)對(duì)備案材料進(jìn)行審查，并在10個(gè)工作日內(nèi)出具網(wǎng)絡(luò)安全等級(jí)保護(hù)備案證明。

一般保護(hù)義務(wù)和特殊保護(hù)義務(wù)

一般安全防護(hù)義務(wù)對(duì)責(zé)任人、安全管理、技術(shù)防護(hù)體系等的要求。對(duì)應(yīng)《網(wǎng)絡(luò)安全法》第21條。同時(shí)，個(gè)人信息的保護(hù)、身份驗(yàn)證、舉報(bào)時(shí)限要求等。

三級(jí)以上應(yīng)履行專項(xiàng)安全防護(hù)義務(wù)，包括管理組織、總體規(guī)劃和總體防護(hù)策略、背景審查等。要求落實(shí)網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測預(yù)警措施，并與同級(jí)公安機(jī)關(guān)銜接。

在線檢測

新二次系統(tǒng)上線前，應(yīng)根據(jù)相關(guān)標(biāo)準(zhǔn)進(jìn)行安全測試。

新建三級(jí)以上系統(tǒng)上線前應(yīng)優(yōu)先進(jìn)行等保評(píng)估，通過等級(jí)評(píng)估后方可投入運(yùn)行。

等級(jí)評(píng)定

《保護(hù)條例》降低了等級(jí)評(píng)定的周期。

對(duì)于四級(jí)網(wǎng)絡(luò)來說，評(píng)估周期的向下調(diào)整帶來了一些便利，但并不意味著安全防護(hù)和檢查要求的降低。

安全整改

和以前一樣，在保險(xiǎn)評(píng)估中發(fā)現(xiàn)安全隱患時(shí)，要求所有網(wǎng)絡(luò)運(yùn)營商進(jìn)行安全整改。

自檢

要求各單位每年進(jìn)行一次自查，并報(bào)公安機(jī)關(guān)備案。每年三級(jí)網(wǎng)絡(luò)測評(píng)，也算是一次自查。對(duì)于二級(jí)網(wǎng)絡(luò)，每年可能會(huì)向公安機(jī)關(guān)提交一份自查報(bào)告，實(shí)際上是對(duì)二級(jí)網(wǎng)絡(luò)要求的補(bǔ)充和提高。

監(jiān)測和預(yù)警通知

按照《網(wǎng)絡(luò)安全法》的要求，進(jìn)行安全監(jiān)控和預(yù)警通報(bào)。涉及以下三方合作:

？地級(jí)以上人民政府應(yīng)當(dāng)建立監(jiān)測預(yù)警系統(tǒng)和信息通報(bào)系統(tǒng)，開展安全監(jiān)測、態(tài)勢(shì)感知、通報(bào)預(yù)警等工作。

？三級(jí)以上網(wǎng)絡(luò)經(jīng)營者:向公安機(jī)關(guān)和行業(yè)主管部門提交安全預(yù)警信息和安全事件。

？行業(yè)主管部門:建立健全本行業(yè)/領(lǐng)域的安全監(jiān)測預(yù)警和信息通報(bào)制度，向同級(jí)網(wǎng)絡(luò)信息部門和公安機(jī)關(guān)報(bào)送監(jiān)測預(yù)警信息和安全事件。

數(shù)據(jù)和信息安全保護(hù)

網(wǎng)絡(luò)經(jīng)營者應(yīng)當(dāng)建立并實(shí)施重要數(shù)據(jù)和個(gè)人信息的安全保護(hù)制度。確保重要數(shù)據(jù)的完整性、保密性和可用性，確保個(gè)人信息的安全。

緊急處置要求

三級(jí)以上網(wǎng)絡(luò)運(yùn)營商需要制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，并定期進(jìn)行演練。在處理網(wǎng)絡(luò)事件時(shí)，要保護(hù)現(xiàn)場，保存數(shù)據(jù)，并及時(shí)向公安機(jī)關(guān)和行業(yè)主管部門報(bào)告。

審計(jì)要求

對(duì)于向公眾提供經(jīng)營活動(dòng)的網(wǎng)絡(luò)經(jīng)營者，主管部門應(yīng)當(dāng)將等級(jí)保護(hù)納入審核審查范圍，這也意味著將對(duì)相關(guān)經(jīng)營者進(jìn)行審核審查。

新技術(shù)和應(yīng)用的風(fēng)險(xiǎn)管理和控制

《保護(hù)條例》對(duì)云計(jì)算、人工智能、物聯(lián)網(wǎng)等新技術(shù)需求進(jìn)行風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)控制。體現(xiàn)了等級(jí)保護(hù)分級(jí)對(duì)象的極大拓展。

此外，《保護(hù)條例》還對(duì)評(píng)估活動(dòng)的安全管理、網(wǎng)絡(luò)服務(wù)組織、產(chǎn)品和服務(wù)的采購和使用、技術(shù)維護(hù)等提出了相應(yīng)的要求。

涉密網(wǎng)絡(luò)的安全防護(hù)

分級(jí)保護(hù)

分級(jí)保護(hù)是指對(duì)非分類系統(tǒng)和網(wǎng)絡(luò)以及分類網(wǎng)絡(luò)的分級(jí)保護(hù)。分級(jí)保護(hù)分三級(jí):機(jī)密級(jí)機(jī)密級(jí)絕密級(jí)，安全要求依次增強(qiáng)。

網(wǎng)絡(luò)分級(jí)

《保護(hù)條例》確定了分級(jí)保護(hù)網(wǎng)的分級(jí)流程:確定涉密網(wǎng)絡(luò)的保密等級(jí)->:本單位保密委員會(huì)(領(lǐng)導(dǎo)小組)審批->:同級(jí)保密行政部門備案(保密局)。

方案評(píng)審和論證

規(guī)劃和建設(shè)涉密網(wǎng)絡(luò)的涉密網(wǎng)絡(luò)運(yùn)營商應(yīng)當(dāng)按照國家保密法規(guī)和標(biāo)準(zhǔn)的要求制定涉密保護(hù)方案，并采取身份認(rèn)證、訪問控制、安全審計(jì)、邊境安全保護(hù)、信息流控制、電磁泄漏發(fā)射保護(hù)、病毒防護(hù)、密碼保護(hù)、保密監(jiān)管等技術(shù)和管理措施。這是分級(jí)保護(hù)方案的保護(hù)重點(diǎn)。

施工管理

對(duì)于等級(jí)保護(hù)項(xiàng)目，要選擇具有涉密信息系統(tǒng)集成資質(zhì)的單位承擔(dān)建設(shè)，并與建設(shè)單位簽訂保密協(xié)議。

信息設(shè)備和安全產(chǎn)品的管理

涉密網(wǎng)絡(luò)使用的安全產(chǎn)品應(yīng)當(dāng)從國家有關(guān)主管部門發(fā)布的涉密專用信息設(shè)備清單中選擇，并由國家保密行政主管部門設(shè)立的檢測機(jī)構(gòu)進(jìn)行檢測。

評(píng)估審查和風(fēng)險(xiǎn)評(píng)估

絕密網(wǎng)絡(luò)每年至少進(jìn)行一次，機(jī)密和秘密網(wǎng)絡(luò)每兩年至少進(jìn)行一次。

處理分類網(wǎng)絡(luò)中的重大變更

有下列情形之一的，應(yīng)當(dāng)及時(shí)向保密行政部門報(bào)告并采取相應(yīng)措施，保密行政部門應(yīng)當(dāng)評(píng)估是否對(duì)涉密網(wǎng)絡(luò)進(jìn)行重新測試和審查:

(a)安全等級(jí)已經(jīng)改變；

(二)接線范圍和接線端子數(shù)量超過審查批準(zhǔn)的范圍和數(shù)量的；

(3)物理環(huán)境或安全設(shè)施的變化可能導(dǎo)致新的安全風(fēng)險(xiǎn)；

(4)增加新的應(yīng)用系統(tǒng)，或者改變或減少應(yīng)用系統(tǒng)可能導(dǎo)致新的安全風(fēng)險(xiǎn)。

涉密網(wǎng)絡(luò)撤銷的處理

涉密網(wǎng)絡(luò)不再使用的，應(yīng)當(dāng)向保密行政管理部門報(bào)告，并在具體場所和措施內(nèi)處置，不得直接丟棄。

此外，涉密網(wǎng)絡(luò)運(yùn)營商要求建立安全保密管理制度，完善涉密網(wǎng)絡(luò)預(yù)警通報(bào)制度，及時(shí)采取應(yīng)急措施。

密碼管理

涉密網(wǎng)絡(luò)和傳輸?shù)膰颐孛苄畔?yīng)當(dāng)依法接受密碼保護(hù)。三級(jí)以上網(wǎng)絡(luò)應(yīng)當(dāng)使用國家密碼管理部門認(rèn)可的密碼技術(shù)、產(chǎn)品和服務(wù)(使用三級(jí)保護(hù))，并委托密碼應(yīng)用安全評(píng)估機(jī)構(gòu)進(jìn)行密碼應(yīng)用安全評(píng)估。

網(wǎng)絡(luò)運(yùn)營商應(yīng)建立密碼安全體系，完善密碼安全管理措施，規(guī)范密碼使用行為。任何單位和個(gè)人不得利用密碼從事違法犯罪活動(dòng)。

監(jiān)督管理

1)三級(jí)以上網(wǎng)絡(luò)運(yùn)營商實(shí)施重點(diǎn)監(jiān)督管理；每年將等級(jí)保護(hù)工作情況上報(bào)同級(jí)網(wǎng)絡(luò)信息部門。

2)公安機(jī)關(guān)對(duì)三級(jí)以上網(wǎng)絡(luò)經(jīng)營者每年至少進(jìn)行一次安全檢查。安全檢查可以會(huì)同行業(yè)主管部門進(jìn)行。

3)明確公安機(jī)關(guān)的檢查處置權(quán)。限期整改，通知三級(jí)以上行業(yè)主管部門，并通知同級(jí)網(wǎng)絡(luò)信息部門。

(四)對(duì)監(jiān)督檢查中發(fā)現(xiàn)的重大隱患，公安機(jī)關(guān)應(yīng)當(dāng)向同級(jí)人民政府、網(wǎng)絡(luò)信息部門和上級(jí)公安機(jī)關(guān)報(bào)告處置情況。

5)根據(jù)三級(jí)以上網(wǎng)絡(luò)運(yùn)營商關(guān)鍵人員(包括安全服務(wù)人員)的管理要求，不得擅自參與境外機(jī)構(gòu)組織的網(wǎng)絡(luò)攻防活動(dòng)。

6)網(wǎng)絡(luò)運(yùn)營商應(yīng)配合和支持公安機(jī)關(guān)及相關(guān)部門開展事件調(diào)查和處置工作。

7)網(wǎng)絡(luò)中存在的安全隱患嚴(yán)重威脅國家安全、社會(huì)秩序和公共利益的，公安機(jī)關(guān)可以責(zé)令其停止聯(lián)網(wǎng)，并在緊急情況下停機(jī)整改。

8)法定代表人、網(wǎng)絡(luò)經(jīng)營者主要負(fù)責(zé)人和行業(yè)主管部門對(duì)等級(jí)保護(hù)進(jìn)行管理和監(jiān)督。遇有重大安全隱患和隱患，省級(jí)以上人民政府公安部門、安全管理部門和密碼管理部門有權(quán)對(duì)其進(jìn)行約談。

法律責(zé)任

《保護(hù)條例》規(guī)定的處罰基本符合《網(wǎng)絡(luò)安全法》，處罰措施集中在警告、責(zé)令整改、罰款(包括單位和直接負(fù)責(zé)人)、責(zé)令停產(chǎn)停業(yè)、行政拘留等形式。值得注意的是，三級(jí)以上網(wǎng)絡(luò)經(jīng)營者違反第二十一條、第二十二條第二款、第二十三條、第二十八條第二款、第三十條第一款規(guī)定的，將從重處罰。

關(guān)于深度信任級(jí)別保護(hù)2.0解決方案

我們對(duì)等級(jí)保護(hù)2.0解決方案深信不疑，崇尚“持續(xù)保護(hù)，不僅僅是合規(guī)”的核心價(jià)值，從用戶自身業(yè)務(wù)和安全運(yùn)維的角度出發(fā)，在保證業(yè)務(wù)安全穩(wěn)定運(yùn)行的同時(shí)，結(jié)合與時(shí)俱進(jìn)的安全防御體系和技術(shù)手段，讓更多用戶從等級(jí)保護(hù)建設(shè)中受益。