解讀等保2.0:核心內涵
網(wǎng)絡安全等級保護制度2.0標準今天正式發(fā)布,靈狐科技從今天起將推出“解讀等保2.0”系列專題,通過發(fā)布相關文章來系統(tǒng)分析解讀正式發(fā)布的等保2.0的方方面面,邀您共同探討,歡迎留言。
摘要
我國的等級保護制度從首次被提出至今,其在各行各業(yè)的落地實施,逐步筑起了國家網(wǎng)絡和信息安全的重要防線,同時等級保護也是迎接新時期網(wǎng)絡安全建設的基礎。
然而“等級保護”制度從何而來?在我國又經(jīng)歷了哪些演進發(fā)展過程?當前我國網(wǎng)絡與信息安全發(fā)展正從“等保1.0”逐步過渡到“等保2.0”,為何整個制度要進行調整?這其中的核心內涵又是什么?
本篇“等保2.0核心內涵”將重點介紹等級保護制度在我國發(fā)展的過程,以及等保2.0的形成過程、在定級備案中的重大變化。
一、何為等級保護
等級保護是我國信息安全保障的基本制度,其全稱為“信息系統(tǒng)安全等級保護”,現(xiàn)改為“網(wǎng)絡安全等級保護”,是指對網(wǎng)絡和信息系統(tǒng)按照重要性等級分級別保護的一種制度。安全保護等級越高,要求安全保護能力就越強,既不能保護不足,也不能過度保護。
通過合理的等級保護,能夠遵循客觀規(guī)律,信息安全的等級是客觀存在的;有利于突出重點,加強安全建設和管理;有利于控制信息安全建設的成本,平衡投入產(chǎn)出比例。
二、等級保護在我國的發(fā)展歷程
從1994年國務院在《中華人民共和國計算機信息系統(tǒng)安全保護條例》(以下簡稱《計算機信息系統(tǒng)安全保護條例》)首次提出計算機信息系統(tǒng)實行安全等級保護,到2007年實施《信息安全等級保護管理辦法》(以下簡稱《管理辦法》),我國信息安全等級保護制度正式走上正軌。
《GB/T 22239-2008 信息系統(tǒng)安全等級保護基本要求》(以下簡稱“基本要求”或“基本要求(GB/T 22239)”)、《GB/T 22240-2008 信息系統(tǒng)安全等級保護定級指南》(以下簡稱“定級指南”或“定級指南(GB/T 22240)”)等標準的陸續(xù)頒布,標志著信息安全等級保護作為國家信息系統(tǒng)安全保障基本制度、基本策略、基本方法,有了落地的技術標準,在技術層面詮釋了開展網(wǎng)絡安全等級保護工作是保護信息化發(fā)展、維護國家網(wǎng)絡安全的根本保障,是網(wǎng)絡安全保障工作中國家意志的體現(xiàn)。
在接下來的5年,我國信息系統(tǒng)安全等級保護以《管理辦法》為核心,在邊實踐邊建設中得到快速發(fā)展,特別是《GB/T 28448-2012 信息系統(tǒng)安全等級保護測評要求》、《GB/T 28449-2012信息系統(tǒng)安全等級保護測評過程指南》等標準辦法的實施,標志著我國信息系統(tǒng)安全等級保護的定級、備案、建設、測評等流程在標準體系上逐步趨于完善。
三、等級保護2.0的真面目
為適應新技術發(fā)展,解決云計算、物聯(lián)網(wǎng)、移動互聯(lián)、工業(yè)控制、大數(shù)據(jù)等領域的信息系統(tǒng)等級保護工作需要,從2014年3月開始,由公安部牽頭組織開展了等級保護重點標準申報國家標準的工作,并從2015年開始陸續(xù)對外發(fā)布草稿、征集意見稿,網(wǎng)絡上開始有了等保2.0的叫法。
網(wǎng)絡上很多對“等保2.0標準”的解讀,往往把關注點集中在基本要求的技術變化上,而容易忽略等保2.0的本質和結構性變化。實際上,透過新舊兩版制度的引言部分,不難發(fā)現(xiàn)如下變化:
|
GB/T 22239-2008 |
新GB/T 22239 |
引言原文 |
依據(jù)國家信息安全等級保護管理規(guī)定制定本標準 |
為了配合《中華人民共和國網(wǎng)絡安全法》的實施,適應云計算、 移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術、新應用情況下網(wǎng)絡安全等級保護工作的開展,需對GB/T 22239—2008進行修訂 |
制定/修改依據(jù) |
《中華人民共和國計算機信息系統(tǒng)安全保護條例》 《國家信息化領導小組關于加強信息安全保障工作的意見》 《信息安全等級保護管理辦法》 |
《中華人民共和國網(wǎng)絡安全法》 |
備注 |
標準原文并未說明按照以上三個規(guī)范性文件制定,但在后制定的GB/T28448、GB/T 25058等標準中說了與22239的關系,并明確指出按照以上規(guī)范性文件制定標準 |
無 |
這就意味著,前后的兩版制度所參照的規(guī)范性文件完全不同,這才應該是等保2.0的核心內涵,即:
1. 以國務院行政法規(guī)(《計算機信息系統(tǒng)安全保護條例》)為頂層設計,公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室共同發(fā)布的部門規(guī)范性文件(《管理辦法》)確立核心體系的“信息安全等級保護”為等保1.0時代;
2. 以《網(wǎng)絡安全法》、《保守國家秘密法》等法律為頂層設計的等保2.0,其核心體系將是《網(wǎng)絡安全等級保護條例》。(已于2018年6月發(fā)布征求意見稿)
所以,無論是自身法律效力亦或法律依據(jù)的效力位階,等保2.0均高于等保1.0,等保1.0到2.0不僅僅是制度修訂,技術的升級,更是法律效力的提升。
總結對比如下:
|
等保1.0 |
等保2.0 |
名稱 |
信息(系統(tǒng))安全等級保護 |
網(wǎng)絡安全等級保護 |
頂層規(guī)范性文件 |
計算機信息系統(tǒng)安全保護條例 (行政法規(guī)) |
網(wǎng)絡安全法 (法律) |
核心體系 文件 |
信息安全等級保護管理辦法 (部門規(guī)范性文件) |
網(wǎng)絡安全等級保護條例 (行政法規(guī)) |
配套標準 |
以GB/T 22239、28448等為核心的信息系統(tǒng)安全等級保護標準及其他配套標準 |
以修訂GB/T 22239、28448等為核心的網(wǎng)絡安全等級保護標準及其他配套標準 |
流程 |
定級、備案、建設整改、等級測評和監(jiān)督檢查五個規(guī)定動作 |
等保1.0中五個規(guī)定動作外,風險評估、安全監(jiān)測、通報預警、事件調查、應急演練、災難備份、自主可控、供應鏈安全、效果評價、綜治考核等重點措施納入 |
四、等保2.0定級備案流程:容易忽略的重大變化
由于等級保護的2.0時代,法律效力得到極大提高,國家監(jiān)管力度將會更強,監(jiān)管范圍也會變寬。因此,等級保護在流程上必然會帶來一系列的變化。定級備案流程往往是容易被忽略的重大變化。
等級保護定級指南2.0標準(GB/T22240)細化了網(wǎng)絡安全等級保護制度定級對象的具體范圍,主要包括基礎信息網(wǎng)絡、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術的網(wǎng)絡、其他網(wǎng)絡以及大數(shù)據(jù)等多個系統(tǒng)平臺。
新制度中修改定級對象三大基本特征為:a)具有確定的主要安全責任主體;b)承載相對獨立的業(yè)務應用;c)包含相互關聯(lián)的多個資源?;A信息網(wǎng)絡、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、采用移動互聯(lián)技術的網(wǎng)絡和大數(shù)據(jù)在滿足以上三個基本特征的基礎上,還遵循如下要求:
基礎信息網(wǎng)絡:對于電信網(wǎng)、廣播電視傳輸網(wǎng)、互聯(lián)網(wǎng)等基礎信息網(wǎng)絡,應分別依據(jù)服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象,而跨省業(yè)務專網(wǎng)既可以作為一個整體定級,也可根據(jù)區(qū)域劃分為若干對象定級。
工業(yè)控制系統(tǒng):應將現(xiàn)場采集/執(zhí)行、現(xiàn)場控制和過程控制等要素應作為一個整體對象定級,而生產(chǎn)管理要素可以單獨定級;對于大型工業(yè)控制系統(tǒng),可以根據(jù)系統(tǒng)功能、責任主體、控制對象和生產(chǎn)廠商等因素劃分為多個定級對象。
云計算平臺:應區(qū)分為服務提供方與租戶方,各自分別作為定級對象;對于大型云計算平臺,應將云計算基礎設施和有關輔助服務系統(tǒng)劃分為不同的定級對象。
物聯(lián)網(wǎng):雖然包括感知、網(wǎng)絡傳輸和處理應用等多種特征因素,但仍應將以上要素作為一個整體的定級對象,各要素并不單獨定級。
采用移動互聯(lián)技術的網(wǎng)絡:應將移動終端、移動應用、無線網(wǎng)絡等要素與相關有線網(wǎng)絡業(yè)務系統(tǒng)作為整體對象定級。
大數(shù)據(jù):除安全責任主體相同的平臺和應用可以整體定級外,應單獨定級。
在定級原則上,《等保條例》放棄了《管理辦法》中的“自主定級、自主保護”原則,采取了以國家行政機關持續(xù)監(jiān)督的“明確等級、增強保護、常態(tài)監(jiān)督”方式。更重要是,除上述系統(tǒng),還做了對關鍵信息基礎設施,定級原則上不低于三級的規(guī)定。
在備案環(huán)節(jié)中,將原有的30天內備案,縮短為10個工作日,并明確了定級流程分為:確定定級對象、初步確定等級、專家評審、主管部門審核、公安機關備案審查,填補了1.0時代只有按照定級要素進行過程,沒有嚴格流程的不足。
整理對比如下:
|
等保1.0 |
等保2.0 |
定級依據(jù) |
信息安全等級保護管理辦法 第十條規(guī)定,《信息系統(tǒng)安全等級保護定級指南》配套使用。 |
網(wǎng)絡安全等級保護條例(征求意見稿)第二條中定義,修訂GB/T 22240作為進一步細化。 |
定級對象 |
信息安全等級保護工作直接作用的具體的信息和信息系統(tǒng)。 |
網(wǎng)絡安全等級保護工作的作用對象,主要包括基礎信息網(wǎng)絡、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術的網(wǎng)絡、其他網(wǎng)絡以及大數(shù)據(jù)等。 |
定級對象基本特征 |
1)具有唯一確定的安全責任單位; 2)具有信息系統(tǒng)的基本要求; 3)承載單一或相對獨立的業(yè)務應用。 |
1)具有確定的主要安全責任主體; 2)承載相對獨立的業(yè)務應用; 3)包含相互關聯(lián)的多個資源。 |
定級特征之外要求 |
無 |
詳細規(guī)定了:基礎信息網(wǎng)絡、 工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、采用移動互聯(lián)技術的網(wǎng)絡和大數(shù)據(jù)必須遵循的其他要求。 |
特定定級對象說明 |
無 |
對于基礎信息網(wǎng)絡、云計算平臺、大數(shù)據(jù)平臺等支撐類網(wǎng)絡,原則上應不低于其承載的等級保護對象的安全保護等級,大數(shù)據(jù)安全保護等級不低于第三級。 |
對關鍵信息基礎設施定級要求 |
無 |
原則上其安全保護等級不低于第三級 |
定級原則 |
自主定級、自主保護、監(jiān)督指導 |
明確等級、增強保護、常態(tài)監(jiān)督 |
備案對象與時限要求
|
二級以上系統(tǒng),在安全保護等級確定后或新建系統(tǒng)投入使用30日內 |
第二級以上網(wǎng)絡運營者應當在網(wǎng)絡的安全保護等級確定后10個工作日內 |
定級要素與安全等級保護關系 |
見下表 |
|
定級流程 |
直接根據(jù)定級要素與安全等級關系定級 |
確定定級對象→初步確定等級→專家評審→主管部門審核→公安機關備案審查 |
作為等保1.0時代的核心體系文件,《管理辦法》并未在主文中規(guī)定當遭受破壞后對公民、法人和其他組織合法權益產(chǎn)生特別嚴重損害的信息系統(tǒng)應當如何定級,只是在GB/T 22240-2008中,將其定義為二級;在2.0時代,在《等保條例》與新GB/T 22240中,都明確定義為三級。
等保1.0中定級要素與安全保護等級的關系
受侵害的客體 |
對客體的侵害程度 |
||
一般損害 |
嚴重損害 |
特別嚴重損害 |
|
公民、法人和其他組織的合法權益 |
第一級 |
第二級 |
第二級 |
社會秩序、公共利益 |
第二級 |
第三級 |
第四級 |
國家安全 |
第三級 |
第四級 |
第五級 |
等保2.0體系定級要素與安全保護等級的關系
受侵害的客體 |
對客體的侵害程度 |
||
一般損害 |
嚴重損害 |
特別嚴重損害 |
|
公民、法人和其他組織的合法權益 |
第一級 |
第二級 |
第三級 |
社會秩序、公共利益 |
第二級 |
第三級 |
第四級 |
國家安全 |
第三級 |
第四級 |
第五級 |
等級保護2.0制度中,基本技術要求將會帶來怎樣的變化?又將經(jīng)歷怎樣的變化歷程?后續(xù)文章中,靈狐科技將以核心體系文件的變化為依據(jù),在架構、控制措施、新增內容等方面詮釋等保2.0的變化。