《網路安全法》第三章第二節規定了關鍵資訊基礎設施(CII)的執行安全,包括關鍵資訊基礎設施的範圍、保護的主要內容等。國家對公共通訊和資訊服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其它一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益的關鍵資訊基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。既然關鍵資訊基礎設施的範圍、保護在網路安全等級保護制度的基礎之上,並且要實行重點保護。那麼,綠盟君做了《點對點分析CII與等級保護系列》來分析其中要求的異同點。本系列共分六章,包括:安全技術部分(一、二、三章),安全管理部分(一、二)和安全建設管理部分。本文是安全技術部分第一章。
對比情況主要參考:
《資訊保安技術 關鍵資訊基礎設施網路安全保護基本要求》(報批稿);
《資訊保安技術 網路安全等級保護基本要求》,GB/T22239-2019。
將關鍵資訊基礎設施要求與等級保護三級要求進行對應分析。
分析點評:明顯提高。細化並明確了互聯安全策略包括不同等級系統、不同業務系統、不同區域之間的安全互聯策略。
分析點評:明顯提高,本項為新增專案。
分析點評:細化要求,突出遠端通訊時採取安全防護措施。
分析點評:明確提高。
1、控制範圍提高:不同網路安全等級系統、不同業務系統、不同區域之間。
2、控制力度細化:互操作、資料交換和資訊流。
分析點評:細化要求,明確提高。對軟硬體進行授權、動態檢測及管控。
分析點評:細化要求,明確提高。
1、 細化了日誌具體內容。
2、 提高,要求留存相關日誌資料不少於12個月。
下期預告:本文是全系列的第一講,安全技術部分第一章安全通訊網路部分的技術對比。後續將介紹本系列的第二講,安全技術部分第二章安全計算環境部分的對比,敬請期待……