深入解读等保2.0
1.为什么要过等保?
1.1.网络安全形势严峻
根据2020年中国互联网网络安全报告,国家信息安全漏洞共享平台全年新增收录通用软硬件漏洞数量创历史新高,相关漏洞一旦被不法分子利用,可能构成严重的网络安全威胁。虽然恶意程序治理成效明显,但勒索病毒技术手段不断升级,恶意程序传播与治理对抗性加剧。在工业控制系统中,直接暴露在互联网上的工控设备和系统存在高危漏洞隐患占比仍然较高,互联网侧安全风险仍较为严峻。
总体而言,我国基础网络安全存在较多的漏洞威胁,随着企业上云的进程加速,云服务逐渐成为网络安全的首要攻击目标,针对重要网络的恶意攻击频发,针对重要信息系统、基础应用和通用组件的攻击更加活跃,网站信息和个人信息的泄露现象依然严峻,移动应用程序泄露逐渐成为信息泄露的新主体,网络安全治理仍然面临许多严峻挑战。
1.2.法律要求
《信息安全技术-网络安全等级保护基本要求》由国家市场监督管理总局于2019年5月10日发布,于2019年12月1日正式实施,简称"等保2.0"。
2017年,《网络安全法》的正式实施,标志着等级保护2.0的正式启动。网络安全法第21条明确“国家实行网络安全等级保护制度” ,其第31条明确“国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。上述要求为网络安全等级保护赋予了新的含义。相较于“等保1.0”,等保2.0已上升至法律层面,对于网络经营者而言,不过等保就是违法的。
对于企业来说要过等保,除了要了解《信息安全技术-网络安全等级保护基本要求》以外,还应结合《信息安全技术 网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》一起来看。
2.如何理解等保2.0
2.1 等保的对象
等级保护的对象是网络基础设施、信息系统、大数据、物联网、云平台、工控系统、移动互联网、智能设备等。
等保的核心是等级保护、管理规范和技术标准。 等保要求组织企业和个人对信息系统进行分等级的安全保护,对安全保护的实施进行监督和管理,从而保证安全信息系统的基础安全。
2.2 等保的历史和演进
2.2.1 等保1.0和等保2.0的区别
“等保1.0”体系以信息系统为对象,确立了五级安全保护等级,并从信息系统安全的定级方法、基本要求、实施过程、测评工作等方面入手,形成了一套相对完整、标准明确、涵盖技术和管理要求的等级保护规范,然而随着网络安全形势日益严峻,“等保1.0”已经难以持续应对更加复杂的网络安全新时代,从而国家又推出了“等保2.0”。相较于“等保1.0”为等级保护提供指南和方针,“等保2.0”是其基础之上的迭代和延伸。
“等保2.0”相较于“等保1.0”的变化如下:
- 等保2.0将“信息系统安全”拓展到了“网络安全”,其中所谓“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
- 等保2.0的法律意义更高,是国家的网络安全领域的基本国策、基本制度和基本方法。
- 2.0定级划分更加细致,对于企业来说意味着更高的标准要求。
2.2.2 等保的演进
等保的演进伴随着以下几个方面的不断发展和完善,从基础安全(安全加固+补丁管理+应用防护)到被动防御(基础对抗+缩小攻击面+消耗攻击资源+延缓攻击), 从被动防御到积极防御(全面检测+快速响应+安全分析+追根溯源+响应处理)并通过威胁情报、动态感知(信息收集+情报验证+信息挖掘)进一步提高整个防护保证体系的安全可信度(静态可信+动态可信+法律手段+技术反制+安全验证)。
从发展的角度来说,网络安全等级保护制度呈现以下几个明显的演进方向:
- 安全监管更严格
由乱到治,有法可依,安全监管更加严格,《中华人民共和国网络安全法》第21条规定“国家实行网络安全等级保护制度”,要求“网络运营者应当按照网络安全保护等级制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。
- 配套行业更广泛
随着大数据、云计算、移动互联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网开素发展带来的大数据价值的凸显,等保保护对象的外延将不断拓展。
- 风险评估服务更完善
在定级、备案、建设整改、等级评测和监督检查等规定动作基础上,2.0时代风险评估,安全监测,通报预警、事件调查、数据防护、灾难备份、应急处理、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。
- 安全可信技术进一步发展
2.0时代,主管部门将继续指定出台一系列政策法规和技术标准,形成运转顺畅的工作机制、在先有体系基础上,建立完善等级保护政策体系、标准体系、评测体系、关键技术研究体系、教育培训体系等。自主可信可控的安全系统年,可信环境成为主要的安全实现途径。
3.过等保的流程
图1 过等保的流程
3.1 定级
等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级 。具体的定级要求参见《信息安全技术 网络安全等级保护定级指南》。
不同级别的等级保护对象应具备的基本安全保护能力要求如下:
| 定级要求 | 防护水平 | 处理能力 | 恢复能力 | |
| 一级 | 一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络; | 防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害 | - | 在自身遭到损害后,能够恢复部分功能 |
| 二级 | 一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络; | 防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、 一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害, | 能够发现重要的安全漏洞和处置安 全事件 | 自身遭到损害后,能够在一段时间内恢复部分功能 |
| 三级 | 一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络; | 在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害 | 能够及时发现、监测攻击行为和处置安全事件 | 自身遭到损害后,能够较快恢复绝大部分功能 |
| 四级 | 一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络; | 应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资 源的威胁源发起的恶意攻击、严重的自然灾难 | 能够及时发现、监测发现攻击行为和安全事件 | 在自身遭到损害后,能够迅速恢复所有功能 |
| 五级 | 一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。 | 略 | 略 | 略 |
第五级等级保护对象是非常重要的监督管理对象,对其有特殊的管理模式和安全要求,所以不在本文中进行详细阐述
简单而言,定级主要参考行业要求和业务的发展体量,例如普通的门户网站,定为二级已经足够,而存储较多敏感信息的系统例如保存用户的身份信息、通讯信息、住址信息等则需要定为三级。对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准。跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。总体来说,定级满足就高不就低的原则。
3.2 备案
对拟定为第二级及以上的网络,应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案。二级及以上需要提交的备案材料例如定级报告、备案表,三级及以上需要提供组织架构图、拓扑图、系统安全方案、系统设备列表及销售许可证等等。因网络撤销或变更调整安全保护等级的,应当在10个工作日内向原受理备案公安机关办理备案撤销或变更手续。
3.3 建设整改
在确定了等级保护对象的安全保护等级后,应根据不同对象的安全保护等级完成安全建设或安全整改工作 。就建设整改而言,网络安全防护技术是其基础,提高管理水平、规范网络安全防护行为是其关键,良好的运维与监控也为其提供最有力的支持保障。就第二等级及以上级别要求而言,应定期进行等级测评,发现不符合相应等级保护标准要求的需要及时整改。
3.4 等级测评
等级测评主要是两个方面的评估,一个方面是技术上的评估,例如安全能力是否达标、网络架构是否合规,另一个方面是管理上的评估,例如管理制度和人员的培训是否到位等等。“等保2.0”要求二级及以上级别的企业应在发生重大变更或级别发生变化时进行等级测评,应确保测评机构的选择符合国家有关规定。
3.5 监督检查
监督检查贯穿等级保护的全部方面,从定级到备案,从备案到整改,从整改到测评,都离不开监督检查的贯彻与实施。对于二级及以上等级而言,应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况 。
