等保 2.0 与网络安全法合规要求
「合规不是目的,合规是底线。」
很多企业把合规当成负担,觉得只要应付检查就行了。但真正的合规,是用标准化的方法,构建起有效的安全体系。
中国网络安全合规体系的核心是「等保 2.0」(网络安全等级保护 2.0)和《网络安全法》《数据安全法》《个人信息保护法》等法律法规。
中国网络安全法律体系
核心法律法规
java
// 中国网络安全法律体系
public class ChinaCyberLawFramework {
// 基础法律
String[] baseLaws = {
"《中华人民共和国网络安全法》", // 2017 年 6 月 1 日施行
"《中华人民共和国数据安全法》", // 2021 年 9 月 1 日施行
"《中华人民共和国个人信息保护法》", // 2021 年 11 月 1 日施行
};
// 行政法规
String[] adminRegulations = {
"《关键信息基础设施安全保护条例》", // 2021 年 9 月 1 日施行
"《网络安全审查办法》",
};
// 部门规章
String[] departmentRules = {
"《网络安全等级保护条例》",
"《数据出境安全评估办法》",
"《个人信息出境标准合同办法》",
};
// 标准规范
String[] standards = {
"GB/T 22239-2019", // 基本要求
"GB/T 28448-2019", // 测评要求
"GB/T 25070-2019", // 设计要求
"GB/T 35273-2020", // 个人信息安全规范
};
}法规核心要点
| 法规 | 核心要求 | 处罚力度 |
|---|---|---|
| 网络安全法 | 网络运营者安全义务、关键信息基础设施保护 | 最高 100 万元罚款、停业整顿、吊销营业执照 |
| 数据安全法 | 数据分类分级、数据安全保护义务 | 最高 1000 万元罚款、停业整顿 |
| 个人信息保护法 | 个人信息处理规则、用户权利保障 | 最高 5000 万元或年营业额 5% 罚款 |
等保 2.0 概述
什么是等级保护
等级保护是中国网络安全的基本制度,对网络和信息系统按重要程度分级保护。
java
// 等级保护级别
public class ProtectionLevels {
// 第一级:一般系统
// 小型私营、非关键业务系统
// 受到破坏后,只影响小范围个人
void level1() {
int level = 1;
String[] examples = {
"个人博客",
"小型企业官网",
"内部办公系统(小型)"
};
}
// 第二级:重要系统
// 涉及一般业务,遭受破坏后会造成一定损失
// 需要省级公安机关备案
void level2() {
int level = 2;
String[] examples = {
"市级政府网站",
"中等规模企业业务系统",
"教育类非核心系统"
};
}
// 第三级:关键系统
// 涉及重要业务,遭受破坏后会造成严重损失
// 需要公安部备案,定期测评
void level3() {
int level = 3;
String[] examples = {
"省级政府门户网站",
"金融核心系统",
"能源、交通关键基础设施",
"大型互联网平台"
};
}
// 第四级:核心系统
// 涉及国家安全,遭受破坏后会造成特别严重损失
void level4() {
int level = 4;
String[] examples = {
"国家关键基础设施",
"军事、国防系统"
};
}
}等保 2.0 vs 等保 1.0
| 对比维度 | 等保 1.0 | 等保 2.0 |
|---|---|---|
| 保护对象 | 信息系统 | 网络、信息系统、数据、资源 |
| 扩展要求 | 无 | 云计算、移动互联、物联网、工业控制 |
| 等级划分 | 5 级 | 5 级(2.0 更细) |
| 评测周期 | 自主定级 | 专家评审 + 主管部门审核 |
| 测评及格线 | 60 分 | 75 分(基本要求) |
等保 2.0 安全架构
技术要求
等保 2.0 从十个方面提出技术要求:
┌─────────────────────────────────────────────────────────────┐
│ 等保 2.0 技术要求 │
├─────────────────────────────────────────────────────────────┤
│ │
│ ┌───────────┐ ┌───────────┐ ┌───────────┐ │
│ │ 安全物理环境 │ │ 安全通信网络 │ │ 安全区域边界 │ │
│ └───────────┘ └───────────┘ └───────────┘ │
│ │
│ ┌───────────┐ ┌───────────┐ ┌───────────┐ │
│ │ 安全计算环境 │ │ 安全管理中心 │ │ 安全管理机构 │ │
│ └───────────┘ └───────────┘ └───────────┘ │
│ │
│ ┌───────────┐ ┌───────────┐ ┌───────────┐ │
│ │ 安全管理制度 │ │ 安全管理人员 │ │ 安全建设管理 │ │
│ └───────────┘ └───────────┘ └───────────┘ │
│ │
└─────────────────────────────────────────────────────────────┘各安全域要求
1. 安全物理环境
java
// 物理安全要求
public class PhysicalSecurity {
// 机房选址
void locationRequirements() {
// 避免在地震带、低洼地带
// 避开强噪声源、电磁干扰区
// 优先选择建筑物的中间楼层
}
// 物理访问控制
void accessControl() {
// 电子门禁系统
// 视频监控系统
// 入侵检测系统
// 运维审批流程
}
// 环境控制
void environmentControl() {
// 温湿度监控
// 精密空调
// UPS 供电
// 消防系统
}
}2. 安全通信网络
java
// 网络安全要求
public class NetworkSecurity {
// 网络架构
void networkArchitecture() {
// 安全域划分
String[] securityDomains = {
"核心业务区",
"DMZ 区",
"管理区",
"互联网接入区",
"广域网接入区"
};
// 冗余设计
// - 核心设备冗余
// - 链路冗余
// - 供电冗余
}
// 传输安全
void transmissionSecurity() {
// 通信加密
// HTTPS、TLS、IPSec VPN
// 敏感数据加密传输
// 完整性校验
// 防止数据在传输过程中被篡改
}
}3. 安全区域边界
java
// 边界安全要求
public class BoundarySecurity {
// 访问控制
void accessControl() {
// 防火墙策略
// - 默认拒绝
// - 按需开放
// - 最小权限原则
// 访问控制列表
// - 基于 IP 的访问控制
// - 基于端口的访问控制
// - 基于应用的访问控制
}
// 入侵防范
void intrusionPrevention() {
// IDS/IPS 部署
// - 网络边界
// - 核心交换
// 恶意代码防范
// - 网关级防病毒
// - Web 应用防火墙
}
// 审计追溯
void auditTrace() {
// 上网行为管理
// 内容审计
// 日志留存 6 个月以上
}
}4. 安全计算环境
java
// 主机和应用安全要求
public class ComputingSecurity {
// 身份鉴别
void authentication() {
// 强身份认证
// - 用户名 + 密码
// - 密码复杂度要求
// - 定期更换
// 多因素认证(重要系统)
// - 动态口令
// - 数字证书
// - 生物识别
}
// 访问控制
void accessControl() {
// 基于角色的访问控制(RBAC)
// 最小权限原则
// 敏感操作审计
// 三员分离
// - 系统管理员
// - 安全管理员
// - 审计管理员
}
// 安全审计
void securityAudit() {
// 日志记录
// - 用户登录
// - 权限变更
// - 关键操作
// 日志保护
// - 防止篡改
// - 防止删除
// - 集中存储
}
// 数据安全
void dataSecurity() {
// 数据加密
// 敏感数据脱敏
// 数据备份恢复
}
}管理要求
1. 安全管理制度
java
// 制度建设要求
public class SecurityPolicy {
// 必须建立的安全制度
String[] requiredPolicies = {
"信息安全总体方针政策",
"安全管理制度",
"安全操作规程",
"应急预案",
"变更管理制度",
"配置管理规范"
};
// 制度管理要求
void policyManagement() {
// 正式发布
// 定期评审
// 版本控制
// 传达培训
}
}2. 安全管理机构
java
// 组织架构要求
public class SecurityOrganization {
// 三员配置(等保三级要求)
void threeAdmins() {
// 系统管理员
// - 负责系统日常运维
// - 配置管理
// - 权限管理
// 安全管理员
// - 安全策略配置
// - 安全事件处置
// - 安全培训
// 审计管理员
// - 日志管理
// - 审计分析
// - 合规检查
}
// 安全岗位设置
String[] securityRoles = {
"首席安全官(CSO)",
"安全主管",
"安全管理员",
"系统管理员",
"审计管理员",
"应急响应人员"
};
}3. 安全管理人员
java
// 人员管理要求
public class SecurityPersonnel {
// 人员录用
void personnelHiring() {
// 背景调查
// 资质审查
// 安全保密协议
}
// 安全培训
void securityTraining() {
// 入职安全培训
// 年度安全培训
// 专项安全培训
// 应急演练
// 培训记录
// 培训考核
}
// 人员离岗
void personnelOffboarding() {
// 权限回收
// 账号清理
// 设备回收
// 离职审计
}
}等级保护实施流程
五个规定动作
java
// 等保实施流程
public class LevelProtectionProcess {
// 第一步:定级
void levelDefinition() {
// 1. 业务系统识别
// 2. 业务系统重要性分析
// 3. 初步定级
// 4. 专家评审
// 5. 主管部门审核
// 6. 公安机关备案
}
// 第二步:备案
void filing() {
// 材料准备:
// - 备案表
// - 定级报告
// - 系统拓扑图
// - 安全保护方案
// 备案地点:
// - 省厅:二级、三级
// - 公安部:四级及以上
}
// 第三步:建设整改
void construction() {
// 差距分析
// 整改建设
// 安全加固
// 重点关注:
// - 技术措施
// - 管理措施
// - 文档整理
}
// 第四步:等级测评
void assessment() {
// 测评机构选择
// - 具备测评资质
// - 无利益关联
// 测评内容:
// - 技术测评
// - 管理测评
// 测评周期:
// - 三级:每年一次
// - 二级:每两年一次
}
// 第五步:监督检查
void supervision() {
// 公安机关定期检查
// 主管部门日常监督
// 问题整改闭环
}
}测评要求
java
// 等级测评结构
public class AssessmentStructure {
// 测评内容
void assessmentScope() {
// 技术测评
String[] techAspects = {
"物理和环境安全",
"网络和通信安全",
"设备和计算安全",
"应用和数据安全"
};
// 管理测评
String[] mgmtAspects = {
"安全管理制度",
"安全管理机构",
"安全管理人员",
"安全建设管理",
"安全运维管理"
};
}
// 测评方法
void assessmentMethods() {
String[] methods = {
"访谈", // 人员访谈,了解实际情况
"核查", // 文档审查,验证制度建设
"检查", // 现场检查,验证技术措施
"测试", // 技术测试,验证防护能力
};
}
// 测评结论
void assessmentConclusion() {
// 高风险判定:关键技术或管理措施缺失
// 综合得分:
// - 90 分以上:优
// - 80-90 分:良
// - 70-80 分:中
// - 70 分以下:差
// 结论标准:
// - 无高风险 + 综合得分 ≥ 75:通过
// - 存在高风险:不通过
}
}关键信息基础设施保护
认定标准
java
// 关键信息基础设施(CII)认定
public class CIIIdentification {
// 认定范围
String[] ciiSectors = {
"公共通信和信息服务",
"能源",
"交通",
"水利",
"金融",
"公共服务",
"电子政务",
"国防科技工业",
"大型互联网平台",
"其他重要行业和领域"
};
// 认定条件(满足任一即可)
boolean meetsCriteria() {
return (
// 业务重要度
importantBusiness() ||
// 数据规模
dataScale() ||
// 用户规模
userScale() ||
// 利润规模
profitScale() ||
// 上级认定
designatedByAuthority()
);
}
// 业务重要度
boolean importantBusiness() {
// 一旦遭受破坏,将危害国家安全、国计民生、公共利益
}
// 数据规模
boolean dataScale() {
// 超过 100 万用户个人信息
}
// 用户规模
boolean userScale() {
// 日活跃用户超过 1000 万
}
// 利润规模
boolean profitScale() {
// 年营业收入超过 100 亿元
}
}CII 特殊要求
java
// 关键信息基础设施特殊保护要求
public class CIISpecialRequirements {
// 1. 双重保护
void dualProtection() {
// 在等级保护基础上,增加特殊保护措施
// 设置网络安全官
// 制定专项应急预案
}
// 2. 供应链安全管理
void supplyChainSecurity() {
// 采购网络产品和服务需通过安全审查
// 与供应商签订安全协议
// 定期安全评估
}
// 3. 数据本地化
void dataLocalization() {
// 重要数据境内存储
// 出境需通过安全评估
// 个人信息出境的合规要求
}
// 4. 应急演练
void emergencyDrill() {
// 每年至少一次应急演练
// 演练记录和评估报告
}
// 5. 定期检测
void regularInspection() {
// 每年自行检测
// 委托第三方检测
// 及时整改问题
}
}合规建设实践
安全技术体系建设
java
// 等保三级技术体系示例
public class SecurityTechArchitecture {
// 边界防护
void boundaryProtection() {
// 防火墙(下一代)
// Web 应用防火墙
// 抗 DDoS 设备
// 入侵检测/防御系统
// 堡垒机
// VPN 接入
}
// 计算环境
void computingEnvironment() {
// 主机入侵检测(HIDS)
// 终端安全管理系统(EDR)
// 数据库审计系统
// 日志审计系统
}
// 集中管理
void centralizedManagement() {
// 安全运营中心(SOC)
// 身份认证平台(IAM)
// 漏洞管理系统
// 配置管理数据库(CMDB)
}
// 基础支撑
void basicSupport() {
// 机房动力环境监控
// 视频监控系统
// 门禁系统
}
}安全管理体系建设
java
// 等保三级管理体系示例
public class SecurityMgmtArchitecture {
// 制度建设
String[] requiredDocuments = {
// 一级文件:方针政策
"信息安全方针",
"信息安全目标",
// 二级文件:管理制度
"信息安全管理制度总纲",
"人员安全管理制度",
"资产安全管理制度",
"介质安全管理制度",
"设备安全管理制度",
"变更管理制度",
"安全运维管理制度",
"备份与恢复管理制度",
"应急响应管理制度",
"安全事件管理制度",
"审计管理制度",
// 三级文件:操作规程
"系统操作规程",
"应急响应操作手册",
"安全配置手册",
// 四级文件:记录表单
"安全检查记录表",
"变更申请单",
"安全事件报告表"
};
// 组织建设
void organizationSetup() {
// 信息安全领导小组
// 信息安全工作组
// 应急响应小组
// 安全审计小组
}
}总结
合规不是终点,而是构建安全体系的起点。
核心要点回顾:
- 法律框架:《网络安全法》《数据安全法》《个人信息保护法》构成中国网络安全法律基础
- 等级保护:根据系统重要程度分级保护,三级系统需重点关注
- 技术+管理:等保 2.0 同时要求技术措施和管理措施
- 持续合规:等级测评是周期性工作,不是做完一次就完了
- 关键基础设施:CII 有额外要求,包括供应链安全、数据本地化等
合规是最好的安全实践,但合规不等于安全。真正的安全,需要把标准转化为能力。
面试追问方向
- 等保 2.0 和等保 1.0 的主要区别是什么?
- 等级保护测评主要测评什么?
- 如何理解「一个中心,三重防护」?
- 关键信息基础设施的认定标准是什么?
- 数据出境需要满足什么条件?