等保2.0發布后,整個網絡安全行業積極學習并按照新規范進行網絡系統的部署。然而許多人仍然對等保制度的來歷、發展、演變以及貫徹重點存在疑問。針對一系列問題,東軟網絡安全咨詢方案部部長——網絡安全行業等保專家王華鐸為我們進行詳細解讀。
一、等保的重要歷史作用
2007年我國信息安全等級保護制度正式實施,通過十余年的時間的發展與實踐,成為了我國非涉密信息系統網絡安全建設的重要標準。
等保標準具有很強的實用性:它是監管部門合規執法檢查的依據,是我國諸多網絡信息安全標準制度的重要參考體系架構,是行業主管部門對于下級部門網絡安全建設的指引標準的重要依據和參考體系,由此標準衍生了諸多行業標準:例如人社行業等保標準、金融行業等保標準、能源行業(電力)等保標準、教育行業等保標準等行業標準。總的來說,等保制度是網絡安全從業者開展網絡安全工作的重要指導體系和制度。
二、等保制度的發展歷程
等保制度從2007信息安全等級保護制度正式發布執行。2014年全國安標委秘書處下達對《信息安全技術信息系統等級保護基本要求》(GB/T22239—2008)進行修訂的任務,修訂工作由公安部第三研究所(公安部信息安全等保護評估中心)主要承擔。
2016第五屆全國信息安全等級保護大會提出國家對等級保護制度提出了新的要求,等級保護制度將進入2.0時代。2017年信安標委開展網絡安全等級保護標準的制修訂工作,17年1月形成征求意見稿。2017年《網絡安全法》正式執行明確了網絡安全等級保護制度作為落實網絡安全法網絡安全建設的重要標準依據。2018年6月網絡安全等級保護條例(征求意見稿)發布。2019年5月網絡安全等級保護2.0標準正式發布。
三、等保2.0變化的幾個關鍵點
首先是意義的變化:由信息安全等級保護→網絡安全等級保護,強調網絡空間安全。網絡安全法第21條、第31條明確規定了網絡運營者和關鍵信息基礎設施運營者,都應該按網絡安全等級保護制度的要求對系統進行安全保護,以法律的形式確定等級保護工作為國家網絡安全的基本國策,并在法律層面確立了其在網絡安全領域的基礎、核心地位。
第二,是對象的變化。新等保實現了保護對象的全覆蓋,更具普適性與指導性,對象擴大了(包括基礎網絡),通用要求加擴展要求(工控、云計算、大數據、物聯網、移動互聯),更適應當前信息化高速發展所面臨的新問題新挑戰。
第三,定級上的變化,三級系統的定級新增了一類受侵害客體:對于公民、法人和其他組織的合法權益造成嚴重影響的應定為三級。
第四,是測評標準的變化。測評要求的【測評單元】中增加了【測評對象】項,進一步明確了測評的對象。測評條件更具適應性但是要求更嚴格(復測評周期、測評控制項的減少、合規基線上調測評75分以上合格,當然這部分要求在部分地區部分行業主管單位現行等保標準也有基于現狀及預期效果有彈性要求、例如個別地區衛健委要求醫院等保初次等保測評合格分數基線為80分,復測評合格分數基線為85分)、某省金融行業等保測評合格分數基線為90分。四級及以上系統復測評周期延長,改為一年為復測評周期,兼顧考慮了實際等級保護工作的所面臨的復雜情況,更符合實際工作的場景。
等保2.0在定級備案實施也發生了變化,在備案環節原30天內備案的時間縮短為10個工作日。等保2.0的定級,不是自主定級,到公安機關定級備案前要新增兩個關鍵環節,確保定級備案的嚴謹與準確,第一對于定級對象的等級要經過專家評審,第二要經得主管部門審核通過,才能到公安機關備案確定最終等級保護對象的級別,整體定級更加嚴格。新建的第三級以上定級對象,通過等級測評后方可投入運行,加強“同步性”原則。
從等級保護2.0框架中能夠體現“一個中心,三重防護”的思想得以升華,等保2.0標準體系相比現行等保標準的安全體系更注重動態防御(變被動防護為主動防護,變靜態防護為動態防護,變單點防護為整體防控,變粗放防護為精準防護),強調事前預防、事中響應、事后審計。等級保護2.0體系中要求應依據國家網絡安全等級保護政策和標準,開展組織管理、機制建設、安全規劃、安全監測、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、安全可控、隊伍建設、教育培訓和經費保障等工作。
等保2.0首次加入了可信計算的相關要求并分級逐級提出可采用可信驗證的要求。注意是可采用不是應采用。另外在惡意代碼防范方面三級系統要求或采用主動免疫可信驗證機制。四級以上惡意代碼防范方面要求應采用主動免疫可信驗證機制。
等保2.0新增個人信息保護內容,個人信息安全做為網絡安全法的內容在等保要求控制項中也獨立出現,在當前政務互通、人物互聯,個人信息被廣泛采集的商業、政務環境下,意指提升個人信息保護的重要性和必要性。
四、解讀
在過去10余年的等級保護實施建設中,等級保護工作給社會各界帶來了示范性、標準化的指導和積極影響,等級保護制度是一套相對嚴謹有效的網絡安全標準制度。但是,對于等級保護標準制度的實施與建設仍然還有部分地區部分網絡安全從業者存在理解上的誤區和疑問,我來說一下自己的看法。
等保是否是免責的安全牌?
事實上從網絡安全法實施以來的各類處罰案例來看,并不應該把獲得等保合規證書作為網絡信息安全工作免責的目標,而是應該理解、使用網絡安全等級保護制度標準,結合業務的特點開展體系化的網絡安全管理工作。
是否購買了符合等保技術要求的網絡安全設備就能夠有效抵御網絡風險?
網絡安全產品是最低成本、最高效率、解決最基本網絡安全問題的手段和工具,但是工具購置齊全后如何利用工具開展有效的網絡安全防護規劃與執行是至關重要的,所以只是從標定合規要求購置網絡安全產品的角度開展等級保護工作是看似簡單實際卻是錯誤的方法。
實際工作中是否為了保障業務的連續性要犧牲網絡安全建設的完整性?
從CIA的三個屬性(保密性、完整性、可用性)的角度看其三個屬性存在相互協同又相互制約的可能,實際工作中我們會面對的安全防護體系給業務帶來不便的情況,建議在此類情況發生時切勿單獨從業務或者安全單一維度看待影響和解決方案,業務與安全的融合至關重要,單純IT資產角度看待網絡安全風險的局限性已經顯現,所以業務安全與網絡安全制度、標準的共同融合將有效解決安全與業務的制約與矛盾。
等保2.0什么時候算正式實施?東軟能提供什么服務?
2019年12月1日正式實施,在此之前仍然有近半年的過渡期。等保2.0依然在整個實施流程上由五個標準環節構成:定級、備案、建設整改、等級測評、監督檢查五個方面。
東軟網絡安全結合網絡安全產品、安全服務、咨詢規劃服務三大類業務能力:
在定級、備案、建設整改前期、監督檢查環節以一體化咨詢服務結合十余年等保項目經驗,東軟網絡安全為客戶提供全面的咨詢規劃與現場服務;
在建設整改環節,東軟網絡安全為客戶提供網絡安全產品、攻防滲透服務、咨詢規劃服務與集成交付實施服務等,東軟網絡安全為客戶提供全面交付服務;
在等級測評前期,東軟網絡安全為客戶提供合規預評估、輔助測評服務,保障高效、順利通過等級測評;
在監督檢查環節,東軟網絡安全為客戶開展巡檢、故障處置、應急處置等服務工作;
最后東軟網絡安全針對已按照等保1.0建設的客戶提供復測評、1.0向2.0升級實施規劃、等保2.0復測評等內容提供專業的咨詢服務、產品及安全服務。
