2017年6月1日,《中华人民共和国网络安全法》的正式实施,拉开了等级保护2.0的序幕。
《中华人民共和国网络安全法》为网络安全等级保护赋予了新的含义,重新调整和修订了等级保护1.0标准体系,配合网络安全法的实施和落地,指导用户按照网络安全等级保护制度的新要求,履行网络安全保护义务的意义重大。
等级保护
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输,处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
等保2.0
随着网络安全形势日益严峻,“等保1.0”体系逐渐难以持续应对不容乐观的网络安全新时代,于是“等保2.0”体系应运而生。
2017年,《网络安全法》首次提出“网络安全等级保护制度”的概念,并明确相关具体要求。
2018年,《网络安全等级保护条例(征求意见稿)》提出“国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管”,并阐述了相关工作原则、网络等级、技术要求等内容。
2019年,若干国家标准陆续出台,推动了安全等级保护制度的建设。
由此可见,自2017年《网络安全法》生效以来,围绕网络安全等级保护为核心的一系列法律法规及国家标准,共同组成并开启了“等保2.0”体系。
进入2.0时代,原“信息安全等级保护制度”,变更为“网络安全等级保护制度”。从整个网络空间的角度来看,信息系统只是其中的一小部分,由“信息”到“网络”,意味着等级保护的对象已全面升级,不再拘泥于过去狭义的的信息系统层面,而是拓展到了整个网络空间的安全保护。许多新兴的业务环境,诸如网络安全基础设施、云计算平台/系统、云计算、物联网、工业控制系统、大数据平台/系统等,都被等保2.0时代纳入了管理的体系之中,并为其提供安全建设标准和指导。
等保测评
1、等保测评概念
根据国家等级保护相关政策、法律法规、等级保护工作的相关标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。公安机关等网络安全监管部门进行网络安全等级保护监督检查时,系统运营使用单位必须提交由具有等级测评资质的机构出具的等级测评报告。
2、等保工作流程
定级,备案,建设整改,等级测评,监督检查
3、等保级别划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
4、系统备案由谁受理
按照有关规定,
①县市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案。
②隶属于省级的备案单位,其跨地(市)联网运行的信息系统,由省级公安机关公共信息网络安全监察部门受理备案。
③隶属于中央的非在京单位的信息系统,由当地省级公安机关公共信息网络安全监察部门(或其指定的地市级公安机关公共信息网络安全监察部门)受理备案。
④跨省或者全国统一联网运行并由主管部门统一定级的信息系统在各地运行、应用的分支系统(包括由上级主管部门定级,在当地有应用的信息系统),由所在地地市级以上公安机关公共信息网络安全监察部门受理备案。
5、等保测评由谁来做?
要找具有网络安全等级保护测评资质的测评公司去开展,该单位至少具有国家网络安全等级保护工作协调小组办公室推荐的《网络安全等级保护测评机构推荐证书》,同时部分省份要求测评机构在客户单位所在地级市公安网安部门备案,备案成功后方可在当地开展等级保护测评工作。
6、为什么要做等保
近日乌克兰局势不断升级,直到2月24日,发展成为全面的战争行为,除了目前牵动世界神经的战争局势发展态势,还有伴随在战争之下频繁的网络战争。网络攻击一词也一直伴随着本次冲突的发展而不断出现,成为了本次战争的先行战场,同时也引发我们对于国家网络安全的深刻思考。
据俄罗斯卫星通讯社报道,俄罗斯国防部发布消息称,高精度武器致乌克兰空军的军事基础设施、防空设备、军用机场和航空队失去战斗能力。那么在此次“闪电战”前,涉及到那些有关网络安全的讯息呢?
一、多次针对乌克兰网络系统的攻击
1)1月14日,乌克兰政府网站遭遇大规模网络攻击,部分网站已关闭。乌克兰外交部和教育部以及英国、美国和瑞典大使馆的网站都受到了波及。在网站关闭之前,出现了一条消息,警告乌克兰人“为最坏的情况做好准备”。乌克兰国家安全局(SBU)表示,去年他们用了九个月“消除”了1200起网络攻击事件。当日起,被黑网站上的一条消息以乌克兰语、俄语和波兰语三种语言发布写道:“乌克兰人!你所有的个人数据都已上传到公共互联网上,这么做是为了你的过去、现在和未来。”
2)2月15日15时,包括乌克兰国防部、武装部队等多个军方网站和银行网站遭到大规模网络攻击而关闭。这次乌克兰受到的网络攻击主要是政治范围内的攻击。在乌克兰受到攻击的网站中,主要是政府、军事部门,包括国库、部长级内阁、安全和国防委员会、外交部、能源部、教育部等等。乌克兰安全部门表示,此次攻击非常强大,为分布式拒绝服务攻击(ddos)。
据悉,此前乌克兰遭受的网络攻击是通过cve-2021-32648(OctoberCMS 内容管理系统平台中的一个漏洞),以及WhisperGate 恶意软件家族实现。微软此前发布消息称,一个名为Gamaredon的黑客组织正在创建一系列鱼叉式网络钓鱼电子邮件,针对乌克兰政府、军队、非政府组织、司法、执法等部门,进行窃取敏感数据的攻击活动。美国网络安全公司曼迪昂特情报分析副总裁约翰·赫尔奎斯特认为,当前危机是更多侵略性网络活动的“催化剂”,这种活动随着局势恶化可能会增加。此前,2015年和2016年,俄罗斯也曾被指责为对乌克兰进行网络攻击,造成乌克兰大部分电网瘫痪。
3)2月24日,有报道称,在乌克兰境内出现了一种神秘的数据擦除类病毒,该病毒至少影响了几百台电脑。此前,在2月23日的时候就已经有部分网络安全公司发现了该病毒。该病毒被命名为HermeticWiper,该病毒会擦除Windows系统的数据从而阻止系统启动。
知名网络安全公司ESET表示,到目前为止,已经发现了乌克兰的几个组织中的几百台电脑受到了HermeticWiper病毒的攻击,实际受到攻击的设备可能会更多。该公司称,该病毒的主要目的可能是破坏数据。
知名软件公司赛门铁克表示,HermeticWiper病毒似乎主要是对乌克兰的金融、国防、航空和IT服务领域的组织发起了攻击。
有网络安全公司的专家表示,HermeticWiper病毒会破坏Windows电脑的MBR分区(磁盘的主引导区)从而阻止windows系统的启动。该病毒利用了一款免费的分区软件EaseUS来进行攻击。该病毒还使用了一家注册地为塞浦路斯的公司的数字证书进行了签名。目前并没有关于该公司的相关信息。
赛门铁克公司表示,此次攻击可能早有准备,根据之前的信息,HermeticWiper病毒背后的黑客组织可能在几个月之前就已经进入了乌克兰的IT网络。该黑客组织的攻击目的也有可能并不是简单地擦除数据的攻击,因为该公司也注意到,该黑客组织部署HermeticWiper病毒的同时还部署了勒索软件。
此次针对乌克兰的病毒攻击并不是最近几周的第一次攻击。今年1月份的时候,微软就曾经发出安全警告,称发现了有一款恶意病毒对乌克兰的windows设备发起了攻击,并且这一病毒与HermeticWiper病毒有相似之处,都会破坏Windows电脑的MBR分区(磁盘的主引导区)。
目前,没有证据表明HermeticWiper病毒的攻击来自任何组织或个人。本月23日发起的病毒攻击可能只是非常巧合地发生在了俄罗斯采取军事行动之前。开发HermeticWiper病毒并发起此次病毒攻击的黑客组织的目的可能是为了部署勒索病毒来谋取利益。
但是,美国方面却在毫无证据的情况下指责俄罗斯开发了针对乌克兰的恶意病毒。
几次大规模网络攻击都是发生在俄乌局势紧张之际,即便目前没有证据表明HermeticWiper病毒的攻击来自任何组织或个人,但无疑此次在2月24日俄罗斯宣布在乌克兰采取特别军事行动前实行的网络攻击对乌克兰的局势也带来了不小的影响。可以看出乌克兰近期的遭遇透露出一个信号:今后在国家间的博弈中,网络战将成为极为重要的一环,甚至在军事战争中起到“粮草”的作用。
二、全球政府网站都面临着严峻网络安全威胁
放眼全球,政府部门网站被黑客攻击的案例也不胜枚举:
2017年,英国卫生服务局NHS网站出现叙利亚战争的照片;
2008年,格鲁吉亚社会基础网络、政府网站受到攻击,格总统萨卡什维利的个人主页被人篡改;
2019年10月,格鲁吉亚再次遭到了大规模网络袭击,包括政府机构、新闻媒体在内的数千个网站被黑客袭击,其中包括总统的个人网站主页;
2021年,印尼国家网络和加密机构(BSSN)遭到黑客攻击和篡改,组织标志上方写着“Hacked by the Mx0nday”的文字。
全球政府实体已成为威胁行为者中最热门的目标之一。出于不同的经济和政治动机,网络犯罪分子在过去几年中瞄准了多个政府机构。
政府机关一旦受到网络攻击,不仅会造成社会恐慌,而且作为与民生关联最紧密的机构,政府机构信息系统存储了大量公民隐私信息,网络犯罪分子一旦掌握到这些信息,会造成十分严重的后果。
网络安全已经上升到国家安全的高度。“没有网络安全就没有国家安全”。各种与网络空间相关的事务已成为高级别政治博弈的重要内容,各国都在积极争夺网络空间主导权,以实现某种政治目的和寻求地缘政治优势,特别是涉及国家外交与安全政策核心的网络问题。
新形势下,网络安全稳步登上世界各国政府的议事日程。各国纷纷推出政府主导的安全战略和倡议、政策法规等,旨在解决威胁个人和组织的网络安全问题。2022年2月15日起,我国国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》(以下简称《办法》)正式施行,不断为我国的网络安全做加法,可以看出其重视程度。
没有网络安全就没有国家安全。
一、密评概念
Q
1)密码的重要性:
2、密码技术与核技术、航天技术并称为国家的三大“撒手锏”技术,是国家重要战略性资源。
3、没有密码安全就没有网络安全,没有网络安全就没有国家安全。
Q
2)什么是密码:
Q
3)什么是商用密码
核心密码、普通密码用于保护国家秘密信息,属于国家秘密。
商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。公民,法人和其他组织都可以依法使用商用密码保护自身的网络与信息安全。
Q
4)商用密码算法
Q
5)什么是密评
《密码法》第二十七条规定
法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估(以下简称“密评” ) 。
定义:密评是指对采用商用密码技术、产品和服务集成建设的网络与信息系统密码应用的合规性、正确性、有效性进行评估。
二、密评意义
Q
1)当前网络安全形势
Q
2)法定责任和义务
Q
3)相关法律法规
法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
2(36号文)
2018年7月25日,中办、国办联合印发《金融和重要领域密码应用与创新发展工作规划(2018-2022)》(厅字【2018】36号,简称36号文)
共涉及47项重要工作、30个重要领域
(基本涵盖全国范围内所有行业)
1.深化金融领域密码应用
2.加强基础设施网络密码应用
3.促进数字经济密码应用
4.推进信息惠民密码应用
5.增强密码科技创新和基础支撑能力
等保测评、密码测评、网络安全综合服务商热线
24小时热线:028-85328724 400-6446-808
18782021427
近日,一则“最便宜的门禁系统”的消息在朋友圈广为流传,甚至被网友称为对“区块链了解最透彻的一次”。具体内容如下:
广为流传的“最便宜的门禁系统”
什么是区块链?
了解完什么是区块链,我们再回过头看看文章开始提到的对区块链去中心化、可追溯、不可篡改这些区块链特性的理解为什么仅仅停留在表层。
区块链的去中心化特性
区块链去中心化的核心是参与区块链的各个节点(即各个居民)的权利和义务一致,交易数据由各个节点共同维护。事实上,去中心化并不是消灭中心,而是弱化中心,因此简单地将去中心化理解为“不需要统一管理”是片面且不正确的。
区块链去中心化特点的最大价值在于建立一个各方平等的系统,可让各方互信地参与交易(活动)。用文章“最便宜的门禁系统”来解释,可以理解成因为去中心化门禁的存在,让各个住户都可以平等地拥有进出大门的权力,无需担心物业私自将门锁更换导致住户无法正常出入。
区块链的可追溯特性
基于密码算法的区块链链式结构是区块链可追溯特性实现的基础,这方面涉及到密码学及分布式存储的内容,感兴趣的同学可以继续深入研究。区块链的可追溯性主要体现在:存储在区块链上的数据,所有的流转记录都是可查询,可溯源的,能看到它来自于哪里,又去到了哪里。
因此,区块链可追溯特点的最大价值在于能够记录下数据使用、修改、删除等完整的过程,对于建立数据公信力和对数据使用的公开有着重要的意义。在“最便宜的门禁系统”中,并没有真正体现区块链的可追溯性,相反由于区块链中非对称加密技术和身份验证技术的使用,能够实现各个节点身份隐匿地参与到交易活动中,因此想要实现”谁没锁找谁“在区块链上是无法实现的。
区块链的不可篡改特性
区块链的其他价值
2020年11月13日,“第15届政府/行业信息化安全年会”在北京龙泉宾馆举办。本届年会由由公安部网络安全保卫局、中国科学院办公厅、国家网络与信息安全信息通报中心指导,公安部第三研究所、公安部第一研究所、中国电子科技集团公司第十五研究所主办,《信息网络安全》杂志、公安部信息安全等级保护评估中心、国家网络与信息系统安全产品质量监督检验中心、信息安全等级保护关键技术国家工程实验室、信息网络安全公安部重点实验室、中关村信息安全测评联盟等单位共同承办。百余家部委、央企、研究机构负责信息安全工作的领导、专家,以及网络安全企业代表参加本次会议。
郭副局长指出,要通过问题导向,开展实战引领,形成体系化作战,要针对网络安全工作存在的突出问题,采取有效措施加以应对。一是要高度重视网络安全,提升大局意识、敌情意识、危机意识,大力提升应对网络攻击威胁能力。二是全面落实公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020〕1960号)文件要求。三是加强网络安全顶层设计、规划,与中央要求和法律要求对标对表,加强组织领导和督促指导。四是深入贯彻落实国家网络安全等级保护制度,建立网络安全良好生态。五是落实关键信息基础设施安全保护制度,建立专门的保卫、保护和保障机制,保护好核心要害系统和大数据。六是加强威胁情报工作,情报引领“打防管控”。七是加强人才培养、队伍建设,开展训练和对抗演练,大力提升对抗能力。
同时,会上郭副局长提出了“四新”要求和“六防”构建网络安全的新举措、新发展和新思路。
“四新”要求
新目标:构建国家网络安全综合防控体系;
新理念:实战化、体系化、常态化;
新措施:动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控;
新高度:国家网络安全综合防御能力和水平上升一个新高度。
“六防”
动态防御:以风险管理为指导,针对攻击方法、攻击途径的变化,实现网络安全状态持续监测、及时反馈、动态调整防御策略、技术和手段;
主动防御:基于可信计算技术构建可信安全管理中心支持下的安全防护框架,结合威胁情报、态势感知,及时发现和处置未知威胁,落实主动防护措施。
纵深防御:施行分区域管理,区域间进行安全隔离和认证;实行事前监测,事中遏制及阻断,事后跟踪及恢复,实现攻击的层层狙击,全流程防御。
精准防护:基于资产的自动化管理,协同威胁情报,检测未知威胁、异常行为等,实现对核心资产的精准防护,提供内生安全、主动免疫能力。
整体防护:以保护关键业务链为目标,进行整体安全设计,建立协同联动、高效统一的安全防护体系。
联防联控:建立与国家监管部门、保护工作部门、其他利益相关方的协调配合,联动共防机制,建设“打防管控”一体化网络安全综合防控体系,提升国家整体应对网络攻击威胁能力。
另外郭副局长在会上也指出:目前网络安全隐患集中分布在业务内网,互联网,生产网,办公网等领域,其中以业务内网隐患最为突出。所以切不要以为系统在内网,安全问题就可以放松不管了,应亟待落实等级保护制度,加强网络安全防护措施。内网的安全问题往往会被大家忽视,防护措施更为薄弱,安全形势更为严峻。