最近更新
一、业务介绍
分保(涉密信息系统分级保护)
定义:针对处理国家秘密的信息系统,依据涉密等级(秘密/机密/绝密)实施差异化保护。
对象:党政军、央企等涉密单位的信息系统。
核心要求:每2年(秘密/机密级)或每年(绝密级)进行安全保密测评,确保物理隔离、访问控制及数据加密。
等保(网络安全等级保护)
定义:我国网络安全基础制度,按系统重要性分5级(一级最低、五级最高),覆盖所有非涉密网络与信息系统。
对象:从普通企业系统到重要政务平台,等保2.0新增云计算、物联网等新兴领域。
核心要求:定级备案→安全建设→等级测评→监督检查,三级以上系统需每年测评。
关保(关键信息基础设施保护)
定义:在等保基础上强化能源、金融、交通等关键行业的核心系统防护。
对象:一旦遭破坏可能严重危害国计民生的设施(如电网、银行清算系统)。
核心要求:遵循《关基保护要求》(GB/T 39204-2022),实施“分析识别→安全防护→监测预警→事件处置”六环节动态防护。
密评(商用密码应用安全性评估)
定义:评估密码技术应用的合规性(如SM2/SM4算法)、正确性及有效性。
对象:关基、等保三级以上系统及政务信息系统。
核心要求:年检制,依据GB/T 39786-2021从物理环境到应用数据四层进行测评(满分70分技术+30分管理,≥60分且无高风险项通过)。
数评(数据安全评估)
定义:基于《数据安全法》的数据全生命周期安全管理评估,聚焦分类分级、跨境传输、隐私保护。
对象:处理重要数据/个人信息的企业及政务系统。
核心要求:建立数据资产地图、访问控制、脱敏加密及审计机制,纳入数字化转型能力体系(GB/T 45988-2025)。
二、推进基本模型
|
业务 |
核心流程 |
动态机制 |
协同关系 |
|
分保 |
定级→方案设计→工程实施→审批→年度测评 |
涉密人员培训+物理访问日志审计 |
独立于等保,由国家保密局垂直管理 |
|
等保 |
定级备案→安全整改→等级测评→公安年审 |
“一个中心,三重防护”技术架构(通信/边界/计算环境) |
关保和密评的基础 |
|
关保 |
识别关基→强化防护→攻防演练→事件闭环 |
主动防御(APT狩猎)+供应链安全审查 |
需同步满足等保三级与密评要求 |
|
密评 |
现状分析→密码方案设计→评审→整改→测评备案 |
密钥生命周期管理+国密算法改造(免改/重改/易改) |
依托等保定级,支撑关保数据加密 |
|
数评 |
数据资产梳理→分类分级→策略制定→技术防护→持续审计 |
数据流动监测+隐私计算技术应用 |
与关保、密评共享数据加密和访问控制模块 |
三、软硬件相关产品
(1)分保专用产品
硬件:电磁屏蔽机柜、涉密专用三合一(USB/光驱/网络)防护设备;
软件:涉密文档加密系统、日志审计溯源平台。
(2)等保合规产品
硬件:下一代防火墙(NGFW)、入侵检测系统(IDS)、数据库审计设备;
软件:安全管理中心(SOC)、漏洞扫描系统。
(3)关保强化产品
硬件:高级威胁检测沙箱、工控安全网关;
软件:态势感知平台(如天融信关基解决方案)、攻击面管理工具。
(4)密评国密产品
硬件:服务器密码机、国密SSL VPN网关、智能密码钥匙(UKey);
软件:密钥管理系统(KMS)、国密堡垒机(支持SM2/SM3动态认证)。
(5)数评技术产品
硬件:数据脱敏一体机、隐私计算硬件模块;
软件:数据分类分级平台(如天融信数据安全治理套件)、API安全网关。
四、国家最高层政策依据
|
业务 |
核心法律法规 |
监管主体 |
罚则示例 |
|
分保 |
《保守国家秘密法》+《涉密信息系统分级保护管理办法》 |
国家保密局 |
泄密追究刑事责任 |
|
等保 |
《网络安全法》第21条+《信息安全等级保护管理办法》 |
公安机关 |
拒不整改最高罚款100万 |
|
关保 |
《关键信息基础设施安全保护条例》+GB/T 39204-2022 |
网信办统筹,行业主管 |
运营者未履职导致重大事件,撤职并追责 |
|
密评 |
《密码法》第37条+GB/T 39786-2021 |
国家密码管理局 |
关基运营者未开展密评,最高罚款100万 |
|
数评 |
《数据安全法》+《个人信息保护法》 |
网信办、行业主管部门 |
违法处理数据最高处营业额5%罚款 |
