等保资讯

了解最新等保资讯及等保政策

当前位置:首页>等保资讯>等保资讯
全部 694 等保资讯 540 等保政策 15

等级保护与关键信息基础设施安全保护异同点

时间:2021-03-15   访问量:3266
关键词: 等级保护 关键信息基础设施安全保护

网络安全等级保护(以下简称:等保)制度作为我国网络安全的基本国策、基本制度,已经实行了二十多年了,在我国网络安全保障体系建设中发挥了重要作用。在《网络安全法》实施后,国家和各行业开始关注关键信息基础设施保护(以下简称:关基)制度的建设,相关政策、文件、标准已经陆续颁布,其中《关键信息基础设施网络安全保护基本要求(报批稿)》已经开展试点工作,那么同样作为我国网络安全保障领域里重要的基本制度,“等保”和“关基”有何区别?有何联系?本文从以下几点进行初步分析。

 一、概念上的辨析

首先,让我们回顾一下等保和关基的概念:

1)什么是等保?

在《关于信息安全等级保护工作的实施意见(公通字[2004]66号)》文件中明确规定:等级保护是指对网络(含信息系统、数据,下同)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。

由此可见,等保其实包含三个方面的工作:信息系统分等级保护、网络安全产品分等级管理、安全事件分等级响应处置。

2)什么是关基?

在《网络安全法》第三十一条中明确规定:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。

此外,在中央网信办2017年07月颁布的《关键信息基础设施安全保护条例(征求意见稿)》中又进一步细化了关基的范围:

      第十八条 下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:

    (一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;

    (二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;

    (三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;

    (四)广播电台、电视台、通讯社等新闻单位;

     (五)其他重点单位。

另外,在《密码法》、《国家网络空间安全战略》、《网络安全审查办法》、《商用密码管理条例(修订草案征求意见稿)》等配套法律、政策文件中,对关基从密码使用、安全审查等方面提出了更加细化的要求。目前,我国部分重点行业已经完成了关基系统的识别、报备工作。

 在明确了等保和关基的概念后,我们来分析他们之间的异同点。

二、“等保”和“关基”的相同点

1)关基系统也需要做等保:在《网络安全法》的第三十一条中明确要求:“关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”这说明关基系统,也需要实施等级保护。关键信息基础设施的保护也须按照网络安全等级保护制度要求,开展定级、备案测评、安全建设整改、安全检查等强制性、规定性工作。

2)等保是普适性的制度,而关基是重点保护:对关于组织自身利益、社会秩序、公共利益、国家安全的信息系统,都需要做等级保护。等级保护工作是关键信息基础设施保护工作的基础,关键信息基础设施是等级保护制度中重点保护的系统。

3)关基系统不会低于等保三级:信息系统运营者应当在等级保护的第三级(含)以上的系统中确定哪些是关键信息基础设施,并进行重点保护。也就是说,关基系统至少为等保三级系统,也可能为等保四级或者更高级别的系统。

三、“等保”和“关基”的不同点

1)流程不同:等保的五个阶段为:定级、备案、建设整改、等级测评、监督检查。而在标准《信息安全技术  关键信息基础设施网络安全保护基本要求(报批稿)》中,将关基实施的五个阶段划分为:识别认定、安全防护、检测评估、监测预警、事件处置。可以看出,实施流程区别较大。

2)产品和服务标准要求不同:关基行业运营者采购网络产品和服务,可能影响国家安全的,需要做网络安全审查。而等保运营者采购的网络产品和服务,一般通过国家标准的强制性要求并获得认证证书就可以上线使用。

3)关基有很强的行业特性:每个行业的业务系统都有自己的特色,对保密性、完整性、可用性的要求都不相同,因此需要充分发挥行业监管部门的职责,制定具有行业特色的“关基”标准。

4)关基的系统范围更广:关基可以是跨责任主体,可跨地域、跨部门的多业务系统组合。

5)关基更加重视网络安全新技术的使用:在关基标准中,提到了很多新技术的使用,如:网络空间测绘系统、零信任解决方案、APT监测、网络靶场系统等,详情可见:表3“关基”要求的新需求、新技术举例。

四、“关基”要求的增强

“关基”和“等保”相比,在标准上进行了全面细致的增强,举例说明:

(1)有部分要求做了增强:如对于日志留存的问题,在等保测评中一般是参考《网络安全法》的要求,要求留存6个月,而在关基要求中,是要求留存12个月。

(2)有部分要求做了明确:如针对入侵防范,“等保”中要求针对新型网络攻击采取技术措施,进行检测、限制和分析,而在关基中,明确要求针对APT攻击的入侵进行防范。

(3)有部分要求做了新增的要求:“关基”要求信息系统运营者制定自身的监测预警和信息通报制度,这其实也要求各行业应该建立行业级的监测预警中心,并实现网络安全情报信息共享。

五、“关基”所带来的新需求、新技术

在关基标准的要求中,需要采用大量的新需求、新技术。

上一篇:等保2.0高风险判定系列之双因子认证

下一篇:你知道为什么要做等保吗?

在线咨询

点击这里给我发消息 等保测评咨询

在线咨询

免费通话

24小时免费咨询

请输入您的联系电话,座机请加区号

免费通话

微信扫一扫

微信联系
返回顶部