2019年12月24日，在2019龍芯新產(chǎn)品發(fā)布暨用戶大會(huì)上，公安部信息安全等級(jí)保護(hù)評(píng)估中心 馬力副研究員為現(xiàn)場(chǎng)參會(huì)者進(jìn)行了《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系介紹》的演講。

以下為現(xiàn)場(chǎng)演講原文：

今天，我時(shí)間比較短，我簡單把2019年大家見到的一些等級(jí)保護(hù)內(nèi)容做一些簡單介紹。內(nèi)容分為兩個(gè)部分：

第一部分，主要帶大家回顧一些等級(jí)保護(hù)的歷程。等保并不是現(xiàn)在才出現(xiàn)，過去10年，我們一直在推廣等級(jí)保護(hù)。這一部分講一些過去的等保與現(xiàn)在的區(qū)別。第二部分，給大家介紹一些新的標(biāo)準(zhǔn)的變化。

2007年，公安部會(huì)同相關(guān)部門發(fā)布了一個(gè)非常重要的紅頭文件——《信息安全等級(jí)保護(hù)管理辦法》，俗稱“43號(hào)文件”。在這個(gè)文件中，明確了等級(jí)保護(hù)要做的事，包括定級(jí)備案、建設(shè)整改、等級(jí)測(cè)評(píng)。用戶必須完成這三件事，并接受安全檢查。這就是2007年提出的“規(guī)定動(dòng)作”。為了支持這些規(guī)定動(dòng)作，公安部會(huì)同相關(guān)部門起草了相關(guān)的標(biāo)準(zhǔn)，我們稱之為“標(biāo)準(zhǔn)體系”。三個(gè)動(dòng)作中最為重要的動(dòng)作就是建設(shè)整改。保護(hù)是核心，定級(jí)備案和等級(jí)測(cè)評(píng)只是輔助動(dòng)作。

那么，二級(jí)標(biāo)準(zhǔn)、三級(jí)標(biāo)準(zhǔn)保護(hù)到什么水平，國家標(biāo)準(zhǔn)說了算。這就是國標(biāo)——《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，英文叫“Base Line”，這是我們的底線，底線做不到，那就不達(dá)標(biāo)，公安會(huì)給你開出整改通知書，強(qiáng)行要求整改，因此，基本要求起著非常重要的作用。

2019年5月13日，新的基本要求跟大家見面了。這個(gè)基本要求來源于很多重要要求，它包含技術(shù)，也包含管理。其中，重要的技術(shù)比如1.0時(shí)期的“加密技術(shù)”，2.0時(shí)期的“可信計(jì)算”，這些和芯片緊密掛鉤。

總結(jié)一下，等級(jí)保護(hù)1.0標(biāo)準(zhǔn)體系構(gòu)成了基本要求體系。

2007年到2017年，這期間使用等保1.0。為什么從2017年后叫做等保2.0了呢？原因是2017年6月1號(hào)，《中華人民共和國網(wǎng)絡(luò)安全法》出臺(tái)，它提到，國家實(shí)行等級(jí)安全保護(hù)制度，注意，這時(shí)候等級(jí)保護(hù)已經(jīng)成為法律制度，不做等保就是違法。同時(shí)，第31條說，如果單位系統(tǒng)非常非常重要，稱之為“關(guān)鍵信息基礎(chǔ)設(shè)施”，那么這個(gè)系統(tǒng)做等保還不夠，還要在等保的基礎(chǔ)上做重點(diǎn)保護(hù)。

2.0的思想導(dǎo)致我們要調(diào)整在1.0的法律法規(guī)。這時(shí)候，要在《網(wǎng)絡(luò)安全法》基礎(chǔ)上添加《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(起草中)》、《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例(起草中)》?，F(xiàn)在，這兩個(gè)條例即將和大家見面。標(biāo)準(zhǔn)體系也相應(yīng)地做了調(diào)整，這些標(biāo)準(zhǔn)已經(jīng)在2019年與大家見面了，并在12月1日正式實(shí)施，這也是今年標(biāo)準(zhǔn)為何如此受到重視。

也就是說，未來等級(jí)保護(hù)用的就是這個(gè)新標(biāo)準(zhǔn)。當(dāng)然，這只是等保標(biāo)準(zhǔn)，在此基礎(chǔ)上還有關(guān)鍵基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)。如果你們單位系統(tǒng)非常重要，除了等保，還要做相應(yīng)的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)。這套標(biāo)準(zhǔn)馬上也要和大家見面了。

總結(jié)一下，等級(jí)保護(hù)對(duì)象分為五級(jí)，第一二級(jí)國家認(rèn)為是一般資產(chǎn)，三級(jí)以上包含重要資產(chǎn)以及關(guān)鍵資產(chǎn)。這些不同對(duì)象對(duì)應(yīng)的監(jiān)管力度也不一樣。這里我不做贅述。

等級(jí)保護(hù)2.0時(shí)期，所有保護(hù)對(duì)象，不管你叫什么名字，比如云平臺(tái)、大數(shù)據(jù)、物聯(lián)網(wǎng)、工控系統(tǒng)等，都要做等保，落實(shí)國家安全等級(jí)保護(hù)制度。注意，不落實(shí)是違法的。

那怎么做呢？完成以下幾個(gè)動(dòng)作：定級(jí)備案、安全建設(shè)、等級(jí)測(cè)評(píng)，如果等級(jí)測(cè)評(píng)出現(xiàn)問題還需要接受安全整改，接受監(jiān)督檢查。這幾個(gè)動(dòng)作，不做就違反了法律要求。如果你是關(guān)鍵基礎(chǔ)設(shè)施，除了等級(jí)保護(hù)，還需要完成關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)。只有這樣，2.0的目標(biāo)才真正完成。

接下來，給大家介紹一些第二部分：新標(biāo)準(zhǔn)的變化。

第一，對(duì)象范圍擴(kuò)大。新標(biāo)準(zhǔn)將云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等列入標(biāo)準(zhǔn)范圍，構(gòu)成了“安全通用要求+新型應(yīng)用安全擴(kuò)展要求”的要求內(nèi)容。

注意：等級(jí)保護(hù)把所有系統(tǒng)都納入了，包括云計(jì)算、物聯(lián)網(wǎng)等等。這些系統(tǒng)只需要使用一個(gè)標(biāo)準(zhǔn)就可以了，這個(gè)標(biāo)準(zhǔn)的要求是通用要求加擴(kuò)展要求。比如，云計(jì)算系統(tǒng)，是云計(jì)算擴(kuò)展；工控系統(tǒng)是工控?cái)U(kuò)展。概括起來是：一個(gè)標(biāo)準(zhǔn)做等保。

第二，分類結(jié)構(gòu)統(tǒng)一。新標(biāo)準(zhǔn)“基本要求、設(shè)計(jì)要求和測(cè)評(píng)要求”分類框架統(tǒng)一，形成了“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界"安全計(jì)算環(huán)境”和“安全管理中心”支持下的三重防護(hù)體系架構(gòu)。

注意：安全措施的分類，各有各的說法，1.0的分類是層次分類：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全，我們很容易接受。2.0強(qiáng)調(diào)縱深防御。請(qǐng)看，從外到內(nèi)，通訊網(wǎng)絡(luò)、區(qū)域邊界、內(nèi)部計(jì)算環(huán)境、通訊邊界計(jì)算環(huán)境保護(hù)，形成縱深防御體系。同時(shí)這個(gè)防御體系上的控制措施要受大腦控制。大腦速成安全管理中心，一個(gè)中心，三重防御。

第三：強(qiáng)化可信計(jì)算。新標(biāo)準(zhǔn)強(qiáng)化了可信計(jì)算技術(shù)使用的要求把可信驗(yàn)證列入各個(gè)級(jí)別并逐級(jí)提出各個(gè)環(huán)節(jié)的主要可信驗(yàn)證要求。

注意：新的2.0標(biāo)準(zhǔn)強(qiáng)調(diào)可信計(jì)算新技術(shù)的使用。1.0強(qiáng)調(diào)密碼技術(shù)使用。

另外，簡單介紹一下等保2.0的變化。

第一，名字變化，2.0叫網(wǎng)絡(luò)安全等級(jí)保護(hù)。

第二，2.0的對(duì)象擴(kuò)展到了所有系統(tǒng)。

第三，2.0的安全要求變化通用要求加擴(kuò)展要求構(gòu)成。

第四，章節(jié)結(jié)構(gòu)發(fā)生了變化。

第五，縱深防御。

 

最后，關(guān)于等級(jí)測(cè)評(píng)結(jié)論發(fā)生了變化，分為：優(yōu)、良、中、差幾個(gè)級(jí)別，70分以上才算及格，90分以上算優(yōu)秀。