“沒有網絡安全就沒有國家(jiā)安全”。近幾年,我國《網絡安術黃全法》《密碼法》《保守國家(jiā)秘密法(修訂樹時)》《關鍵信息基礎設施安全保護條例》《數據安全自上法》等法律法規陸續發布實施,為(wèi)承載我國國計民生的重要網絡鄉理信息系統的安全提供了法律保障,正在實施的網絡安全等級黃金保護、涉密信息系統分級保護、關鍵信息基礎設施保護、商用行了密碼應用安全性評估為(wèi)我國重要網木計絡信息系統的安全構築了四道防線。
《中華人民共和國網絡安全法》(2017年6月1日起實施)第二十一條規定:國家(jiā)實行網絡安全等級保護制度。2007年6月,公安部發布《信息安全等級保護管理辦法》(公通(t都說ōng)字[2007]43号),标志着等級靜笑保護1.0的正式啟動。•《信息系統安全等級保護基本要求 GB/T22239些厭-2008》•《信息系統等級保護安全設計要求 GB/T25070-201醫雨0》•《信息系統安全等級保護測評要求 GB/T28448-20計子12》2019年5月13日,國家(jiā)市場監督管理總局、國家(jiā)标準化你低管理委員會(huì)發布了3個網絡安全領域她呢的國家(jiā)标準(2019年12月1日起實施):•《信息安全技術 網絡安全等級保護基本要求》(GB/T 222電又39-2019)•《信息安全技術 網絡安全等級保護安全設計技術要求》(GB/T 林去25070-2019)•《信息安全技術 網絡安全等級保護測評要求》(GB/T 2這女8448-2019)根據信息系統受到破壞後,對公民、法人和其票麗他(tā)組織的合法權益,以及對公共利益、社請著會(huì)秩序和國家(jiā)安全的損害程度,等級保護分為(w費照èi)五級:
《中華人民共和國保守國家(jiā)秘密法》(2010年4月29日修訂,2010年10月1日起實施)第二十三條習子規定:存儲、處理國家(jiā)秘密的計算機信息系統(以下簡稱涉密信息系統)按照涉密程度實行分級保護。涉密信息系統的分級保護依據《保守國家(jiā)秘密法》《涉及國家(jiā)秘密的信息系統分級保護管理辦法》(國保發[2005]16白著号)等法律法規開(kāi)展。
涉密信息系統的等級分為(wèi)秘密級、機密級、絕密級三個級别。
《保守國家(jiā)秘密法》第九條規定:下列涉及國家(jiā)安全和利益的事項,洩務家露後可能損害國家(jiā)在政治、經濟、國防、外交等北熱領域的安全和利益的,應當确定為(wèi)國家(jiā)秘密:(一) 國家(jiā)事務重大(dà)決策中的秘密事好多項;(三) 外交和外事活動中的秘密事項以及對外承擔保密義務的秘密花人事項;(四) 國民經濟和社會(huì河睡)發展中的秘密事項;(六) 維護國家(jiā)安全活動和追查自著刑事犯罪中的秘密事項;(七) 經國家(jiā)保密行西光政管理部門确定的其他(tā)秘密事項。 政黨的秘密事項中符合前款規定的,屬于國家做門(jiā)秘密。《保守國家(jiā)秘密法》第十三條規定:中央國家(jiā)機關、省低樂級機關及其授權的機關、單位可以确定絕密級、機密級和秘子上密級國家(jiā)秘密;設區的市、自治州一級的機關及其授權的機關、單位可以媽兒确定機密級和秘密級國家(jiā)秘密。
《網絡安全法》第三十一條:國家(jiā)對提供公共通(不時tōng)信、廣播電視傳輸等服務的基礎信息網們們絡,能源、交通(tōng)、水利、金(jī放知n)融等重要行業和供電、供水、供氣、醫療衛生、社會(huì劇老)保障等公共服務領域的重要信息系統,軍事網絡,設公城區的市級以上國家(jiā)機關等政務網絡,用戶數量衆多的網絡服務提供者行要所有或者管理的網絡和系統(以下稱關鍵信息基礎設施),實行重點保護。關鍵信息基礎設施安全保護辦法由國務院制定。
《關鍵信息基礎設施安全保護條例》(2021年7月30日國務院令第745号公布,2021年9月1機信日起施行)第二條規定:本條例所稱關鍵信息基礎設施,是指公共通(tōng)信和信息服務、能源、交通(tōng)、水刀民利、金(jīn)融、公共服務、電子(zǐ)政務、國防科(kē)技河章工(gōng)業等重要行業和領域的,以及其他(tā)一旦遭到破壞、喪失廠理功能或者數據洩露,可能嚴重危害國家(jiā)安全、國計民生、公共利益的重知校要網絡設施、信息系統等。
2017年7月10日,國家(jiā)互聯網信火外息辦公室發布《關鍵信息基礎設施安全保護條例(征求意見稿)》;2019至2021年,《關鍵信息基礎設施器藍安全保護條例》連續三年納入國家(jiā)立法計劃;2021年4月27日,經國務院第133次常務會(huì)議業討通(tōng)過;2021年7月30日,國務院總理李克強簽市明署中華人民共和國國務院令第745号公布,自2021年9司要月1日起施行。《關鍵信息基礎設施安全保護條例》第五條規定:國家(jiā)對關鍵信息基礎設務器施實行重點保護,采取措施,監測、防禦、處置來源于中華人民共和國境内外的網絡安全風險和威脅,保護關鍵資購信息基礎設施免受攻擊、侵入、幹擾和破壞,依法懲治危害關鍵信息基礎設施安妹藍全的違法犯罪活動。“關保”由國家(jiā)網信部門統籌協調;國務院公安部門拿農負責指導監督關鍵信息基礎設施安全保護工(gōng)作;國務院電信主管部門和其子問他(tā)有關部門依照本條例和有關法律、民器行政法規的規定,在各自職責範圍内負責關鍵信息基礎設施安全保護和監督管理工還藍(gōng)作;省級人民政府有關部門依據各年黑自職責對關鍵信息基礎設施實施安全保護和監房船督管理。
《中華人民共和國密碼法》(2020年1月1日起實施)所述的密碼,是指美農采用特定變換的方法對信息等進行加密保護、安全認證的技術、産品國得和服務。商用密碼用于保護不(bù)屬于國家(jiā)秘密的信息。《中華人民共和國密碼法》第二十七條規定:法律、行政法規和國家(jiā)有關規定要空做求使用商用密碼進行保護的關鍵信息基礎設施,其運營腦對者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開(kāi)有機展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測唱多評估、網絡安全等級測評制度相銜接,避免重複評估、測評。《商用密碼應用安全性評估管理辦法(試行)》(2017年4月22但間日起施行)《信息系統密碼應用基本要求》(GM/T 0054-2018 )• 涉及國計民生和基礎信息資(zī)源的重要信息系統:能源、教育、公安、測繪地理、社保、交通(tōng)、衛能玩生計生、金(jīn)融等信息系統;• 重要工(gōng)業控制系統:核設施、航空航天、先進制造、石油石化、油氣管網有北、電力系統、交通(tōng)運輸、水利樞紐、城市設施等醫了工(gōng)業控制系統;• 面向社會(huì)服務的政務信息系統:黨政機關和使用财政性資(zī)金(jīn)的事業單位和錯自團體組織使用的面向社會(huì)服務的信息系統。關鍵信息基礎設施、網絡安全等級保護第三級及以上的信息系票你統,密碼應用安全性評估每年至少一次。對采用商用密碼技術、産品和服務集成建設的網絡和信做媽息系統,對其密碼應用的合規性、正确性、有效性進行評估。•使用的密碼算法、密碼技術符合法律法規和國家(jiā)标準、兵金行業标準的有關要求;•使用的密碼産品、密碼模塊通(tōng)過國家(jiā)密碼管理部門嗎生核準;•使用的密碼服務符合國家(jiā)密碼管理小麗要求;•密碼算法、密碼協議、密鑰管理、密碼産品和服務使用正确要做;•系統中采用标準的密碼算法、協議、密鑰管理筆資,按照國家(jiā)和行業标準進行正确的設計和實現;•自定義密碼協議、密鑰管理機制的設計和實現正确,符合标準要求;•密碼保障系統建設改造過程中密碼産品和服務的部署和應用正确;系統中采用的密碼協議、密鑰管理系統、密碼應用子亮上(zǐ)系統和密碼安全防護機制設計合理,在系統運行過程中能夠發揮秒議密碼作用,保障信息的機密性、完整性、真實性、雨校不(bù)可否認性。 商用密碼應用安全性評估主要從:總體要求、物理和環境、網近間絡和通(tōng)信、設備和計算、應用和數據、密鑰我但管理以及安全管理七個方面進行評估。
