2017年6月1日,《中華人民共和國網絡安全法》的正式實施,拉開了等級保護2.0的序幕。
《中華人民共和國網絡安全法》為網絡安全等級保護賦予了新的含義,重新調整和修訂了等級保護1.0標準體系,配合網絡安全法的實施和落地,指導用戶按照網絡安全等級保護制度的新要求,履行網絡安全保護義務的意義重大。
等級保護
網絡安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸,處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
等保2.0
隨著網絡安全形勢日益嚴峻,“等保1.0”體系逐漸難以持續應對不容樂觀的網絡安全新時代,于是“等保2.0”體系應運而生。
2017年,《網絡安全法》首次提出“網絡安全等級保護制度”的概念,并明確相關具體要求。
2018年,《網絡安全等級保護條例(征求意見稿)》提出“國家實行網絡安全等級保護制度,對網絡實施分等級保護、分等級監管”,并闡述了相關工作原則、網絡等級、技術要求等內容。
2019年,若干國家標準陸續出臺,推動了安全等級保護制度的建設。
由此可見,自2017年《網絡安全法》生效以來,圍繞網絡安全等級保護為核心的一系列法律法規及國家標準,共同組成并開啟了“等保2.0”體系。
進入2.0時代,原“信息安全等級保護制度”,變更為“網絡安全等級保護制度”。從整個網絡空間的角度來看,信息系統只是其中的一小部分,由“信息”到“網絡”,意味著等級保護的對象已全面升級,不再拘泥于過去狹義的的信息系統層面,而是拓展到了整個網絡空間的安全保護。許多新興的業務環境,諸如網絡安全基礎設施、云計算平臺/系統、云計算、物聯網、工業控制系統、大數據平臺/系統等,都被等保2.0時代納入了管理的體系之中,并為其提供安全建設標準和指導。
等保測評
1、等保測評概念
根據國家等級保護相關政策、法律法規、等級保護工作的相關標準,對未涉及國家秘密的信息系統安全等級保護狀況進行檢測評估的活動。公安機關等網絡安全監管部門進行網絡安全等級保護監督檢查時,系統運營使用單位必須提交由具有等級測評資質的機構出具的等級測評報告。
2、等保工作流程
定級,備案,建設整改,等級測評,監督檢查
3、等保級別劃分
第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。
4、系統備案由誰受理
按照有關規定,
①縣市級以上公安機關公共信息網絡安全監察部門受理本轄區內備案單位的備案。
②隸屬于省級的備案單位,其跨地(市)聯網運行的信息系統,由省級公安機關公共信息網絡安全監察部門受理備案。
③隸屬于中央的非在京單位的信息系統,由當地省級公安機關公共信息網絡安全監察部門(或其指定的地市級公安機關公共信息網絡安全監察部門)受理備案。
④跨省或者全國統一聯網運行并由主管部門統一定級的信息系統在各地運行、應用的分支系統(包括由上級主管部門定級,在當地有應用的信息系統),由所在地地市級以上公安機關公共信息網絡安全監察部門受理備案。
5、等保測評由誰來做?
要找具有網絡安全等級保護測評資質的測評公司去開展,該單位至少具有國家網絡安全等級保護工作協調小組辦公室推薦的《網絡安全等級保護測評機構推薦證書》,同時部分省份要求測評機構在客戶單位所在地級市公安網安部門備案,備案成功后方可在當地開展等級保護測評工作。
6、為什么要做等保
近日烏克蘭局勢不斷升級,直到2月24日,發展成為全面的戰爭行為,除了目前牽動世界神經的戰爭局勢發展態勢,還有伴隨在戰爭之下頻繁的網絡戰爭。網絡攻擊一詞也一直伴隨著本次沖突的發展而不斷出現,成為了本次戰爭的先行戰場,同時也引發我們對于國家網絡安全的深刻思考。
據俄羅斯衛星通訊社報道,俄羅斯國防部發布消息稱,高精度武器致烏克蘭空軍的軍事基礎設施、防空設備、軍用機場和航空隊失去戰斗能力。那么在此次“閃電戰”前,涉及到那些有關網絡安全的訊息呢?
一、多次針對烏克蘭網絡系統的攻擊
1)1月14日,烏克蘭政府網站遭遇大規模網絡攻擊,部分網站已關閉。烏克蘭外交部和教育部以及英國、美國和瑞典大使館的網站都受到了波及。在網站關閉之前,出現了一條消息,警告烏克蘭人“為最壞的情況做好準備”。烏克蘭國家安全局(SBU)表示,去年他們用了九個月“消除”了1200起網絡攻擊事件。當日起,被黑網站上的一條消息以烏克蘭語、俄語和波蘭語三種語言發布寫道:“烏克蘭人!你所有的個人數據都已上傳到公共互聯網上,這么做是為了你的過去、現在和未來。”
2)2月15日15時,包括烏克蘭國防部、武裝部隊等多個軍方網站和銀行網站遭到大規模網絡攻擊而關閉。這次烏克蘭受到的網絡攻擊主要是政治范圍內的攻擊。在烏克蘭受到攻擊的網站中,主要是政府、軍事部門,包括國庫、部長級內閣、安全和國防委員會、外交部、能源部、教育部等等。烏克蘭安全部門表示,此次攻擊非常強大,為分布式拒絕服務攻擊(ddos)。
據悉,此前烏克蘭遭受的網絡攻擊是通過cve-2021-32648(OctoberCMS 內容管理系統平臺中的一個漏洞),以及WhisperGate 惡意軟件家族實現。微軟此前發布消息稱,一個名為Gamaredon的黑客組織正在創建一系列魚叉式網絡釣魚電子郵件,針對烏克蘭政府、軍隊、非政府組織、司法、執法等部門,進行竊取敏感數據的攻擊活動。美國網絡安全公司曼迪昂特情報分析副總裁約翰·赫爾奎斯特認為,當前危機是更多侵略性網絡活動的“催化劑”,這種活動隨著局勢惡化可能會增加。此前,2015年和2016年,俄羅斯也曾被指責為對烏克蘭進行網絡攻擊,造成烏克蘭大部分電網癱瘓。
3)2月24日,有報道稱,在烏克蘭境內出現了一種神秘的數據擦除類病毒,該病毒至少影響了幾百臺電腦。此前,在2月23日的時候就已經有部分網絡安全公司發現了該病毒。該病毒被命名為HermeticWiper,該病毒會擦除Windows系統的數據從而阻止系統啟動。
知名網絡安全公司ESET表示,到目前為止,已經發現了烏克蘭的幾個組織中的幾百臺電腦受到了HermeticWiper病毒的攻擊,實際受到攻擊的設備可能會更多。該公司稱,該病毒的主要目的可能是破壞數據。
知名軟件公司賽門鐵克表示,HermeticWiper病毒似乎主要是對烏克蘭的金融、國防、航空和IT服務領域的組織發起了攻擊。
有網絡安全公司的專家表示,HermeticWiper病毒會破壞Windows電腦的MBR分區(磁盤的主引導區)從而阻止windows系統的啟動。該病毒利用了一款免費的分區軟件EaseUS來進行攻擊。該病毒還使用了一家注冊地為塞浦路斯的公司的數字證書進行了簽名。目前并沒有關于該公司的相關信息。
賽門鐵克公司表示,此次攻擊可能早有準備,根據之前的信息,HermeticWiper病毒背后的黑客組織可能在幾個月之前就已經進入了烏克蘭的IT網絡。該黑客組織的攻擊目的也有可能并不是簡單地擦除數據的攻擊,因為該公司也注意到,該黑客組織部署HermeticWiper病毒的同時還部署了勒索軟件。
此次針對烏克蘭的病毒攻擊并不是最近幾周的第一次攻擊。今年1月份的時候,微軟就曾經發出安全警告,稱發現了有一款惡意病毒對烏克蘭的windows設備發起了攻擊,并且這一病毒與HermeticWiper病毒有相似之處,都會破壞Windows電腦的MBR分區(磁盤的主引導區)。
目前,沒有證據表明HermeticWiper病毒的攻擊來自任何組織或個人。本月23日發起的病毒攻擊可能只是非常巧合地發生在了俄羅斯采取軍事行動之前。開發HermeticWiper病毒并發起此次病毒攻擊的黑客組織的目的可能是為了部署勒索病毒來謀取利益。
但是,美國方面卻在毫無證據的情況下指責俄羅斯開發了針對烏克蘭的惡意病毒。
幾次大規模網絡攻擊都是發生在俄烏局勢緊張之際,即便目前沒有證據表明HermeticWiper病毒的攻擊來自任何組織或個人,但無疑此次在2月24日俄羅斯宣布在烏克蘭采取特別軍事行動前實行的網絡攻擊對烏克蘭的局勢也帶來了不小的影響??梢钥闯鰹蹩颂m近期的遭遇透露出一個信號:今后在國家間的博弈中,網絡戰將成為極為重要的一環,甚至在軍事戰爭中起到“糧草”的作用。
二、全球政府網站都面臨著嚴峻網絡安全威脅
放眼全球,政府部門網站被黑客攻擊的案例也不勝枚舉:
2017年,英國衛生服務局NHS網站出現敘利亞戰爭的照片;
2008年,格魯吉亞社會基礎網絡、政府網站受到攻擊,格總統薩卡什維利的個人主頁被人篡改;
2019年10月,格魯吉亞再次遭到了大規模網絡襲擊,包括政府機構、新聞媒體在內的數千個網站被黑客襲擊,其中包括總統的個人網站主頁;
2021年,印尼國家網絡和加密機構(BSSN)遭到黑客攻擊和篡改,組織標志上方寫著“Hacked by the Mx0nday”的文字。
全球政府實體已成為威脅行為者中最熱門的目標之一。出于不同的經濟和政治動機,網絡犯罪分子在過去幾年中瞄準了多個政府機構。
政府機關一旦受到網絡攻擊,不僅會造成社會恐慌,而且作為與民生關聯最緊密的機構,政府機構信息系統存儲了大量公民隱私信息,網絡犯罪分子一旦掌握到這些信息,會造成十分嚴重的后果。
網絡安全已經上升到國家安全的高度。“沒有網絡安全就沒有國家安全”。各種與網絡空間相關的事務已成為高級別政治博弈的重要內容,各國都在積極爭奪網絡空間主導權,以實現某種政治目的和尋求地緣政治優勢,特別是涉及國家外交與安全政策核心的網絡問題。
新形勢下,網絡安全穩步登上世界各國政府的議事日程。各國紛紛推出政府主導的安全戰略和倡議、政策法規等,旨在解決威脅個人和組織的網絡安全問題。2022年2月15日起,我國國家互聯網信息辦公室等十三部門聯合修訂發布的《網絡安全審查辦法》(以下簡稱《辦法》)正式施行,不斷為我國的網絡安全做加法,可以看出其重視程度。
沒有網絡安全就沒有國家安全。
一、密評概念
Q
1)密碼的重要性:
2、密碼技術與核技術、航天技術并稱為國家的三大“撒手锏”技術,是國家重要戰略性資源。
3、沒有密碼安全就沒有網絡安全,沒有網絡安全就沒有國家安全。
Q
2)什么是密碼:
Q
3)什么是商用密碼
核心密碼、普通密碼用于保護國家秘密信息,屬于國家秘密。
商用密碼是指對不涉及國家秘密內容的信息進行加密保護或者安全認證所使用的密碼技術和密碼產品。公民,法人和其他組織都可以依法使用商用密碼保護自身的網絡與信息安全。
Q
4)商用密碼算法
Q
5)什么是密評
《密碼法》第二十七條規定
法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估(以下簡稱“密評” ) 。
定義:密評是指對采用商用密碼技術、產品和服務集成建設的網絡與信息系統密碼應用的合規性、正確性、有效性進行評估。
二、密評意義
Q
1)當前網絡安全形勢
Q
2)法定責任和義務
Q
3)相關法律法規
法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。
2(36號文)
2018年7月25日,中辦、國辦聯合印發《金融和重要領域密碼應用與創新發展工作規劃(2018-2022)》(廳字【2018】36號,簡稱36號文)
共涉及47項重要工作、30個重要領域
(基本涵蓋全國范圍內所有行業)
1.深化金融領域密碼應用
2.加強基礎設施網絡密碼應用
3.促進數字經濟密碼應用
4.推進信息惠民密碼應用
5.增強密碼科技創新和基礎支撐能力
等保測評、密碼測評、網絡安全綜合服務商熱線
24小時熱線:028-85328724 400-6446-808
18782021427
近日,一則“最便宜的門禁系統”的消息在朋友圈廣為流傳,甚至被網友稱為對“區塊鏈了解最透徹的一次”。具體內容如下:
廣為流傳的“最便宜的門禁系統”
什么是區塊鏈?
了解完什么是區塊鏈,我們再回過頭看看文章開始提到的對區塊鏈去中心化、可追溯、不可篡改這些區塊鏈特性的理解為什么僅僅停留在表層。
區塊鏈的去中心化特性
區塊鏈去中心化的核心是參與區塊鏈的各個節點(即各個居民)的權利和義務一致,交易數據由各個節點共同維護。事實上,去中心化并不是消滅中心,而是弱化中心,因此簡單地將去中心化理解為“不需要統一管理”是片面且不正確的。
區塊鏈去中心化特點的最大價值在于建立一個各方平等的系統,可讓各方互信地參與交易(活動)。用文章“最便宜的門禁系統”來解釋,可以理解成因為去中心化門禁的存在,讓各個住戶都可以平等地擁有進出大門的權力,無需擔心物業私自將門鎖更換導致住戶無法正常出入。
區塊鏈的可追溯特性
基于密碼算法的區塊鏈鏈式結構是區塊鏈可追溯特性實現的基礎,這方面涉及到密碼學及分布式存儲的內容,感興趣的同學可以繼續深入研究。區塊鏈的可追溯性主要體現在:存儲在區塊鏈上的數據,所有的流轉記錄都是可查詢,可溯源的,能看到它來自于哪里,又去到了哪里。
因此,區塊鏈可追溯特點的最大價值在于能夠記錄下數據使用、修改、刪除等完整的過程,對于建立數據公信力和對數據使用的公開有著重要的意義。在“最便宜的門禁系統”中,并沒有真正體現區塊鏈的可追溯性,相反由于區塊鏈中非對稱加密技術和身份驗證技術的使用,能夠實現各個節點身份隱匿地參與到交易活動中,因此想要實現”誰沒鎖找誰“在區塊鏈上是無法實現的。
區塊鏈的不可篡改特性
區塊鏈的其他價值
2020年11月13日,“第15屆政府/行業信息化安全年會”在北京龍泉賓館舉辦。本屆年會由由公安部網絡安全保衛局、中國科學院辦公廳、國家網絡與信息安全信息通報中心指導,公安部第三研究所、公安部第一研究所、中國電子科技集團公司第十五研究所主辦,《信息網絡安全》雜志、公安部信息安全等級保護評估中心、國家網絡與信息系統安全產品質量監督檢驗中心、信息安全等級保護關鍵技術國家工程實驗室、信息網絡安全公安部重點實驗室、中關村信息安全測評聯盟等單位共同承辦。百余家部委、央企、研究機構負責信息安全工作的領導、專家,以及網絡安全企業代表參加本次會議。
郭副局長指出,要通過問題導向,開展實戰引領,形成體系化作戰,要針對網絡安全工作存在的突出問題,采取有效措施加以應對。一是要高度重視網絡安全,提升大局意識、敵情意識、危機意識,大力提升應對網絡攻擊威脅能力。二是全面落實公安部《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》(公網安〔2020〕1960號)文件要求。三是加強網絡安全頂層設計、規劃,與中央要求和法律要求對標對表,加強組織領導和督促指導。四是深入貫徹落實國家網絡安全等級保護制度,建立網絡安全良好生態。五是落實關鍵信息基礎設施安全保護制度,建立專門的保衛、保護和保障機制,保護好核心要害系統和大數據。六是加強威脅情報工作,情報引領“打防管控”。七是加強人才培養、隊伍建設,開展訓練和對抗演練,大力提升對抗能力。
同時,會上郭副局長提出了“四新”要求和“六防”構建網絡安全的新舉措、新發展和新思路。
“四新”要求
新目標:構建國家網絡安全綜合防控體系;
新理念:實戰化、體系化、常態化;
新措施:動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控;
新高度:國家網絡安全綜合防御能力和水平上升一個新高度。
“六防”
動態防御:以風險管理為指導,針對攻擊方法、攻擊途徑的變化,實現網絡安全狀態持續監測、及時反饋、動態調整防御策略、技術和手段;
主動防御:基于可信計算技術構建可信安全管理中心支持下的安全防護框架,結合威脅情報、態勢感知,及時發現和處置未知威脅,落實主動防護措施。
縱深防御:施行分區域管理,區域間進行安全隔離和認證;實行事前監測,事中遏制及阻斷,事后跟蹤及恢復,實現攻擊的層層狙擊,全流程防御。
精準防護:基于資產的自動化管理,協同威脅情報,檢測未知威脅、異常行為等,實現對核心資產的精準防護,提供內生安全、主動免疫能力。
整體防護:以保護關鍵業務鏈為目標,進行整體安全設計,建立協同聯動、高效統一的安全防護體系。
聯防聯控:建立與國家監管部門、保護工作部門、其他利益相關方的協調配合,聯動共防機制,建設“打防管控”一體化網絡安全綜合防控體系,提升國家整體應對網絡攻擊威脅能力。
另外郭副局長在會上也指出:目前網絡安全隱患集中分布在業務內網,互聯網,生產網,辦公網等領域,其中以業務內網隱患最為突出。所以切不要以為系統在內網,安全問題就可以放松不管了,應亟待落實等級保護制度,加強網絡安全防護措施。內網的安全問題往往會被大家忽視,防護措施更為薄弱,安全形勢更為嚴峻。