- 等保2.0
-
【導(dǎo)讀】2019年5月13日,國家市場監(jiān)督管理總局召開新聞發(fā)布會,正式發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》2.0版本,等保2.0于2019年12月1日正式實施。那么,什么是等保?等保2.0相比等保1.0有哪些區(qū)別呢?
什么是等保?
等保,即網(wǎng)絡(luò)安全等級保護標(biāo)準(zhǔn)。2007年我國信息安全等級保護制度正式實施,通過十余年的時間的發(fā)展與實踐,成為了我國非涉密信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)的重要標(biāo)準(zhǔn)。
等保標(biāo)準(zhǔn)具有很強的實用性:它是監(jiān)管部門合規(guī)執(zhí)法檢查的依據(jù),是我國諸多網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)制度的重要參考體系架構(gòu),是行業(yè)主管部門對于下級部門網(wǎng)絡(luò)安全建設(shè)的指引標(biāo)準(zhǔn)的重要依據(jù)和參考體系,由此標(biāo)準(zhǔn)衍生了諸多行業(yè)標(biāo)準(zhǔn):例如人社行業(yè)等保標(biāo)準(zhǔn)、金融行業(yè)等保標(biāo)準(zhǔn)、能源行業(yè)(電力)等保標(biāo)準(zhǔn)、教育行業(yè)等保標(biāo)準(zhǔn)等行業(yè)標(biāo)準(zhǔn)??偟膩碚f,等保制度是網(wǎng)絡(luò)安全從業(yè)者開展網(wǎng)絡(luò)安全工作的重要指導(dǎo)體系和制度。
什么是等保1.0?
2007年和2008年頒布實施的《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》。這部法規(guī)被稱為等保1.0。經(jīng)過10余年的實踐,等保1.0為保障我國信息安全打下了堅實的基礎(chǔ)。
什么是等保2.0?
等保2.0相關(guān)國家標(biāo)準(zhǔn)于2019年5月10日正式發(fā)布。2019年12月1日開始實施。這是我國實行網(wǎng)絡(luò)安全等級保護制度過程中的一件大事,具有里程碑意義。
等保2.0相比等保1.0有哪些區(qū)別/進步?
等保1.0主要強調(diào)物理主機、應(yīng)用、數(shù)據(jù)、傳輸,而2.0版本增加了對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)新應(yīng)用的全覆蓋。相較于等保1.0,等保2.0發(fā)生了以下主要變化:
第一,名稱變化。等保2.0將原來的標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》改為《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》,與《網(wǎng)絡(luò)安全法》保持一致。
第二,定級對象變化。等保1.0的定級對象是信息系統(tǒng),現(xiàn)在2.0更為廣泛,包含:信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)等。
第三,安全要求變化。基本要求的內(nèi)容,由安全要求變革為安全通用要求與安全擴展要求(含云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制)。
第四,控制措施分類結(jié)構(gòu)變化。等保2.0依舊保留技術(shù)和管理兩個維度。
在技術(shù)上,由物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全,變更為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心;
在管理上,結(jié)構(gòu)上沒有太大的變化,從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理,調(diào)整為安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理。
第五,內(nèi)容變化。從等保1.0的定級、備案、建設(shè)整改、等級測評和監(jiān)督檢查五個規(guī)定動作,變更為五個規(guī)定動作+新的安全要求(風(fēng)險評估、安全監(jiān)測、通報預(yù)警、態(tài)勢感知等)。
為什么要頒布實施等保2.0?
因為“等保1.0”不僅缺乏對一些新技術(shù)和新應(yīng)用的等級保護規(guī)范,比如云計算、大數(shù)據(jù)和物聯(lián)網(wǎng)等,而且風(fēng)險評估、安全監(jiān)測和通報預(yù)警等工作以及政策、標(biāo)準(zhǔn)、測評、技術(shù)和服務(wù)等體系不完善。
為適應(yīng)新技術(shù)的發(fā)展,解決云計算、物聯(lián)網(wǎng)、移動互聯(lián)和工控領(lǐng)域信息系統(tǒng)的等級保護工作的需要,由公安部牽頭組織開展了信息技術(shù)新領(lǐng)域等級保護重點標(biāo)準(zhǔn)申報國家標(biāo)準(zhǔn)的工作,等級保護正式進入2.0時代。
等保2.0的發(fā)布,是對除傳統(tǒng)信息系統(tǒng)之外的新型網(wǎng)絡(luò)系統(tǒng)安全防護能力提升的有效補充,是貫徹落實《中華人民共和國網(wǎng)絡(luò)安全法》、實現(xiàn)國家網(wǎng)絡(luò)安全戰(zhàn)略目標(biāo)的基礎(chǔ)。
等保2.0的實施對企業(yè)有哪些影響?
根據(jù)誰主管誰負責(zé)、誰運營誰負責(zé)、誰使用誰負責(zé)的原則,網(wǎng)絡(luò)運營者成為等級保護的責(zé)任主體,如何快速高效地通過等級保護測評成為企業(yè)開展業(yè)務(wù)前必須思考的問題。
等保2.0有5個運行步驟:定級、備案、建設(shè)和整改、等級測評、檢查。同時,也分5個等級,即信息系統(tǒng)按重要程度由低到高分為5個等級,并分別實施不同的保護策略。
一級系統(tǒng)簡單,不需要備案,影響程度很小,因此不作為重點監(jiān)管對象;
二級系統(tǒng)大概50萬個左右;
三級系統(tǒng)大概5萬個;
四級系統(tǒng)量級較大,比如支付寶、銀行總行系統(tǒng)、國家電網(wǎng)系統(tǒng),有1000個左右;
五級系統(tǒng)屬國家級、國防類的系統(tǒng),比如核電站、軍用通信系統(tǒng)。
網(wǎng)絡(luò)安全等級保護常見注意事項
1、等級測評并非安全認證
很多人容易把等保測評等同于安全認證。等保測評并非相當(dāng)于ISO 20000系列的信息技術(shù)服務(wù)管理認證,也并非于ISO27000系列的信息安全管理體系認證。等級保護制度是國家信息安全管理的制度,是國家意志的體現(xiàn)。落實等級保護制度為了國家法律法規(guī)的合規(guī)需求。
等級保護測評沒有相應(yīng)的證書,如何才能證明信息系統(tǒng)已經(jīng)符合等級保護安全要求了呢?目前這主要是由公安部授權(quán)委托的全國一百多家測評機構(gòu),對信息系統(tǒng)進行安全測評,測評通過后出具《等級保護測評報告》,拿到了符合等保安全要求的測評報告就證明該信息系統(tǒng)符合了等級保護的安全要求。
2、等保制度只是基本要求
等保制度只是基線的要求,通過測評、整改,落實等級保護制度,確實可以規(guī)避大部分的安全風(fēng)險。但就目前的測評結(jié)果來看,幾乎沒有任何一個被測系統(tǒng)能全部滿足等保要求。一般情況下,目前等級保護測評過程中,只要沒發(fā)現(xiàn)高危安全風(fēng)險,都可以通過測評。但是,安全是一個動態(tài)而非靜止的過程,而不是通過一次測評,就可以一勞永逸的。企業(yè)通過落實等保安全要求,并嚴(yán)格執(zhí)行各項安全管理的規(guī)章制度,基本能做到系統(tǒng)的安全穩(wěn)定運行。但依然不能百分百保證系統(tǒng)的安全性。
3、內(nèi)網(wǎng)系統(tǒng)也需要做等級測評
首先,所有非涉密系統(tǒng)都屬于等級保護范疇,和系統(tǒng)在外網(wǎng)還是內(nèi)網(wǎng)沒有關(guān)系;《網(wǎng)絡(luò)安全法》規(guī)定,等級保護的對象是在中華人民共和國境內(nèi)建設(shè)、運營、維護和使用的網(wǎng)絡(luò)與信息系統(tǒng)。因此,不管是內(nèi)網(wǎng)還是外網(wǎng)系統(tǒng),都需要符合等級保護安全的要求。
其次,在內(nèi)網(wǎng)的系統(tǒng)往往其網(wǎng)絡(luò)安全技術(shù)措施做的并不好,甚至不少系統(tǒng)已經(jīng)中毒不淺。2017年肆虐全球的永恒之藍勒索病毒攻擊,導(dǎo)致了大量內(nèi)網(wǎng)系統(tǒng)癱瘓,這提醒我們內(nèi)網(wǎng)系統(tǒng)的安全防護同樣不能馬虎。所以不論系統(tǒng)在內(nèi)網(wǎng)還是外網(wǎng)都得及時開展等保工作。
4、系統(tǒng)上云或者托管在其他地方就也需做等級測評
目前,比較多的小型企業(yè)客戶偏向于把系統(tǒng)部署在云平臺與IDC機房。這些云平臺、IDC機房一般都通過了等級測評。不過,根據(jù)“誰運營誰負責(zé),誰使用誰負責(zé),誰主管誰負責(zé)”的原則,系統(tǒng)責(zé)任主體仍然還是屬于網(wǎng)絡(luò)運營者自己,所以,還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任,該進行系統(tǒng)定級的還是得定級,該做等保的還是得做等保。
部署在云平臺的系統(tǒng)還需要購買云平臺的安全服務(wù)或者第三方安全服務(wù),部署在IDC機房的系統(tǒng)還需要購買相應(yīng)的安全設(shè)備以滿足等保安全要求。
5、不可根據(jù)自己的主觀意愿來定級
目前的等級保護對象(信息系統(tǒng))的安全級別分為五個等級:1級為最低級別,5級為最高級別(5級為預(yù)留級別,市面上已定級的系統(tǒng)最高為4級)。如果定了1級,不需要做等級測評,自主進行保護即可。定2級以上就需要進行等級測評。系統(tǒng)級別的確定需要根據(jù)系統(tǒng)的重要性進行決定。如果定高了,有可能造成投資的浪費;定低了則有可能造成重要信息系統(tǒng)得不到應(yīng)有的保護,應(yīng)該謹(jǐn)慎定級。
等保1.0的要求是自主定級,有主管部門的需要主管部門審核,最終報送公安機關(guān)進行審核。等保2.0之后定級流程新增了“專家評審”和“主管部門審核”兩個環(huán)節(jié),這樣定級過程將會變得更加規(guī)范,定級也會更加準(zhǔn)確。
6、系統(tǒng)備案場所
《信息安全等級保護管理辦法》規(guī)定,等級保護的主體單位為信息系統(tǒng)的運營、使用單位。備案主體一般不會是開發(fā)商、系統(tǒng)集成商,而是最終的用戶方。
目前有些單位的注冊地跟運營地不一 致,正常情況下需要去運營地區(qū)的網(wǎng)安部門辦理備案手續(xù)。 比如客戶注冊地在北京海淀區(qū),運營部門在北京朝陽區(qū),需要到北京朝陽區(qū)辦理定級備案手續(xù),當(dāng)然,前提是北京朝陽區(qū)必須有正規(guī)辦公地址。
有些單位的系統(tǒng)部署在云平臺,云平臺的實際物理地址往往和云系統(tǒng)網(wǎng)絡(luò)運營者不在同一地址。而且,有些單位的運維團隊和注冊經(jīng)營地址也不一致。這種情況下,云系統(tǒng)應(yīng)當(dāng)在系統(tǒng)實際運維團隊所在地市網(wǎng)安部門進行系統(tǒng)備案,因為這樣會方便屬地公安對系統(tǒng)進行監(jiān)管。
所以,大部分情況下,還是需要到系統(tǒng)的運維人員實際所在地進行定級備案。當(dāng)然也有一些特殊行業(yè)的要求,比如一些涉及到金融安全的行業(yè),比如互聯(lián)網(wǎng)金融系統(tǒng)、支付系統(tǒng)需要屬地化管理,這些系統(tǒng)需要在注冊地辦理定級備案手續(xù),以滿足本地的監(jiān)管要求。
7、等保測評做完不一定需要花很多錢去整改
整改花多少錢取決于你的信息系統(tǒng)等級、系統(tǒng)現(xiàn)有的安全防護措施狀況以及網(wǎng)絡(luò)運營者對測評分?jǐn)?shù)的期望值,不一定要花很多錢甚至不花錢。
整改的內(nèi)容大體分為:安全制度完善、安全加固等安全服務(wù)以及安全設(shè)備的添置。在安全制度及安全加固上網(wǎng)絡(luò)運營者自己可以做很多整改工作或者委托系統(tǒng)集成方進行加固,往往這是不需要額外付費的或者是包含在你和系統(tǒng)集成方合同約定中的,這兩塊內(nèi)容整改好,加上你有一定的安全技術(shù)措施,基本上是可以達到基本符合的結(jié)論的。所以花多少錢看你怎么去做或者你的期望值是多少。
我國網(wǎng)絡(luò)和信息安全領(lǐng)域的政策演變是怎么樣的?
1994年
《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務(wù)院147號令):首次提出“計算機信息系統(tǒng)實行安全等級保護”概念。
1999年
《計算機信息系統(tǒng)安全等級保護劃分準(zhǔn)則》(GB17859);國家發(fā)布關(guān)于計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則強制性標(biāo)準(zhǔn)。
2005年
《重要信息系統(tǒng)災(zāi)難恢復(fù)指南》(國務(wù)院信息化工作辦公室);發(fā)布對重要信息系統(tǒng)災(zāi)難恢復(fù)的規(guī)劃和準(zhǔn)備工作基本要求的內(nèi)容。
2007年
《信息安全等級保護管理辦法》(公通字[2007]43號):由四部委下發(fā),旨在加快推進、規(guī)范管理等級保護建設(shè)工作。
2008年
《信息安全等級保護基本要求》(GB/T 22239-2008):明確對于各等級信息系統(tǒng)的安全保護基本要求。
2015年
《公共安全業(yè)務(wù)連續(xù)性管理體系指南》(GB/T 31595-2015);針對企業(yè)實施業(yè)務(wù)連續(xù)性管理體系中的方法和步驟給出了詳細的指導(dǎo)。
2017年
《中華人民共和國網(wǎng)絡(luò)安全法》正式發(fā)布,其中第二十一條明確:國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求,履行下列安全保護義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
2019年
《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》2.0版本正式發(fā)布,等保2.0在2019年12月1日正式實施。