我的位置 首页  >  新闻动态  >  国内新闻

《网络安全法》与“等级保护2.0”解读

来源:科技成果转化中心时间:2018-07-03
      

请点击上面  一键关注!

     

     首先回顾等级保护的发展历程,引出等级保护2.0相关的内容和概念,最后简单的介绍一下等级保护2.0在落地实施过程中的一些变化。

      上图是等级保护从1994-2016年等级网络编年史这样的一个内容。基本上是把各个关键时间节点的重要政策文件、一些文献标准展示出来,等级保护这项工作是从1994年开始的,1994年的时候国务院发布了“147号令”,首次提出了国家信息安全工作信息系统是分等级实施保护的。一直到2003年,9年期间实际上没有更多的内容的,在这个过程中,信息化其实才刚刚开始起步,安全来讲的话其实还无从谈起。到了2003年国信办再次强调重申了要实施等级保护,在“27号文”强调加紧制定网络安全等级制度的保护工作。公安部在2004年就这项工作提出了“66号文”实施意见,在这个里面大致拟定了一个具体的工作路线。

      到了2007年,正式发布了《网络安全管理办法》,在这个管理办法当中明确下来等级保护所有的相关工作以及各种参与决策的职责分工等。从此确立了等级保护这项工作就正式开始实施。在往后若干年当中,国家的各个部委出台相关领域具体实施的意见或者管理的标准。一直到了2016年发布了《网络安全法》,意义是相当的重大。这部法律是我们国家第一部在网络安全空间里面综合性的法律法规,标志着我们国家在网络安全治理,网络空间安全治理方面从此有法可依了。其实目标定位是保障我们国家网络空间安全,以至于上升到了维护国家总体安全的高度上。

      以2016年为分界线出现了《网络安全法》以后,随着整个形势的发展,包括工作对象的变化,国内外的网络空间安全的形势的变化,再用老的方法,或者老的工具做等保发现不太合适了。因此等级保护这件事需要有大的调整和升级。

       伴随着《网络安全法》的出台,意味着“等级保护2.0”这个概念提出了,其实“等级保护2.0”是一个概念,在这个概念的框架下有很多内容发生了变化:等级保护内容大扩展,等级保护内容大不同,以及标准体系的大升级。

       传统等级保护关注传统信息系统领域,在2.0时代提出了现在不叫新系统,现在叫等级保护对象。从横向和纵向都进行扩展,除了信息系统,将基础信息网络和大数据这样的内容纳入进来,在纵向上,也把对象做了扩展,除了有传统的信息系统以外,还有像云计算平台、工控、物联网、移动互联这样的系统都纳入到等级保护的工作范围,这是等级保护对象的一个大不同。

      等级保护主要的工作内容,熟悉等级保护1.0工作的大家都知道,传统的等级保护就是5个规定动作,定级、备案、建设整改、等级测评,监督检查,在2.0时代,除了满足以上五个以外,现在把风险评估、安全检测、通报预警,案事件调查等等方面的工作都纳入到等级保护的范围之内。这是在内容上做了相应的扩展。

      在等级保护的标准体系也进行了大的修订。传统等级保护主要有几大核心的标准,包括基本要求、测评要求、设计要求,这都是等级保护传统核心的标准。在新技术新应用快速普及的背景下,我们把核心的标准在各个领域做了扩展,除了有传统系统对应的标准以外,像云计算、大数据、移动互联等等在每个领域都做了扩展,形成了一个新的标准的体系。在每个标准里面把所有领域新系统所需要满足的安全要求,把它融汇在一起变成安全通用要求,在后面会分领域把各个领域所特有的一些安全要求放在一些分领域的标准当中。这是在标准体系上的一个大的变化,以上是“等级保护2.0”在概念上主要的变化,接下来我们看看从“等级保护2.0”落地有哪些变化。

      从监管的角度来讲,在“等级保护2.0”时代,第一个监管对象有所扩展,也是刚才说的等级保护的对象发生了变化,自然而然的监管内容也发生变化。在今天,有可能一个平台一个公共系统都会纳入等级保护的范围之内。然后就是公安机关执法的依据进行了扩展。

      未来公安机关民警去执法检查的时候有可能对具体的技术措施,安全的措施做一些相应的检查。同时,公安机关在执法检查的手段上进一步加强,未来会升级网络安全等保执法检查的工具箱,也是分领域,对云计算的检查有相应的工具。还有具体的技术检查措施在里面。

等级保护备案制度的进一步完善,这一点特别在云计算这个领域特别的明显。在云计算这个领域备案可能大家都有这样的困惑,传统的系统备案里,跨省联网的备案在哪里备案这都很明确。那云计算在哪里备案?一个云计算系统比如网络运营者公司或者是机构的注册机在A地,运维人员所在地在B地,机房遍布各地,到底在全国各地重复备案还是在其中一地备案,在其中一地备案,以哪为准呢?无论从标准编制还是写执法检查指引的时候我们也要考虑一个问题,现在基本上形成了一个主流的想法,以云计算系统的运维所在地为备案地点,叫主备案地,备案结果可以抄送其他的ITC机房的所在地,不用异地重新备案,这是目前的主流思想。

     再来看看从合规测评的角度看有哪些变化,首先就是测评对象的变化,在云计算这项技术引入了很多虚拟计算对象,比如说虚拟机镜像拍照等等,这是在传统等级测评的时候所不涉及到的内容,所以这是一个新的扩充,以后对于虚拟对象的测评是要放在测评对象当中的。还有一个就是在测评依据上的扩展,就像刚才所说的,标准扩展了,依据肯定要扩展。我们在测云计算平台系统的时候,除了满足安全通用标准使用条款之外,云计算扩展要求同样要满足安全要求的内容。

      第三个方面是等级报告模板升级,旧版本是2015版的测评报告,升级之后除了在测评内容上与最新的标准匹配以外,还有引入云平台与云上租户系统得分依赖关系,云计算得分登记与租户等级有一个关系,云计算平台的等级不低于其上曾在的业务应用系统的最高级。

       比如说你负责运维一个平台,这个平台可以跑10个系统,有一些是二级的,有一些是三级的,云平台要单独的定级,级别最低也是要三级,这是等级之间的依赖关系。得分在测评报告上也有区分,比如说针对云租户系统的得分报告,报告应该体现云平台得分结果,像租户的得分,同一个租户得分是一样的,在得分较高的平台上的得分会更高,在较低的平台的得分上面最终的云租户得分系统会低一点。平台的得分会影响到上面业务应用系统的得分。

最后一个是等级测评结论复用,大家经常会问一个问题,比如在这个平台上运行了这么多业务系统,是不是每个系统测的时候平台都测呢?这个结果是可以复用的,100多家机构是互认的。A机构测的结果,在B平台上要认证A机构的检测结果的。

在合规建设的角度,现在是强调云平台整体的,特别在统一身份认证,统一用户授权,统一账户管理,统一安全审计。要求大部分内容都是基于4A的要求,如果满足这4A很多内容就满足了。同时要强调的是平台内部通讯的加密以及相互之间的认证和动态预警还有快速响应能力建设安全服务产品的合规。

     在新的云计算安全扩展要求的条款里面特别强调的就是云平台内部管理数据流与业务数据流的分离,数据流传送的时候要进行加密的方式进行传送还有一些像远程登录云平台进行运维的时候,强调双向的身份认证,更加强调加密、认证这样的一个内容,这是从安全合规的角度讲了一下等级保护落地措施的一些变化。

纵观整个IT技术的发展,从第一台ENIAC的诞生,到现在从互联网到移动互联网,再到云计算整个技术的发展不难发现一个规律,用户或者是人离硬件越来越远,大家可以看,当年的ENIAC的时候,所有业务的逻辑都是靠人手工操作开关实现的。后来操作系统出现了,把人和硬件进一步隔离,再到后来的网络逐渐的普及,到今天大家使用云的时候没有人关心下面网络配置具体的内容。人离硬件越来越远了,势必就意味着安全的层级在逐步的提升。

      以前有一个条款讲的时候要分等级的划分资源池,二级系统只能放在二级的资源池当中,三级系统放在三级资源池当中,当时有这样的条款设计,后来随着云技术理解的提升,这个不符合云计算发展的趋势,特别在安全的领域。还沿用老的办法做硬件的隔离其实达不到现在的效果,解决不了现在所面临的问题。所以后来那个条款取消了,现在所有的一切都在不断的融合,硬件在不断的向通用计算领域发展,所有的能力都被软件定义了。

 (来源:微森科技,本文转自公安部信息安全等级保护评估中心测评部副主任张振峰在深信服创新技术论坛上的演讲整理)


—THE END—

朋友都在看


▶️等级保护三级信息系统安全套餐

▶️信息安全风险评估与等级保护的区别

▶️信息安全等级保护建设(二,三级)需上的设备

▶️信息安全等级保护测评流程介绍

▶️公安部「网络脆弱性扫描产品、网络入侵检测系统」产品质量检查:5 家不合格

▶️【2018版】全国等级保护测评机构推荐目录

▶️黑客如何攻破一个网站?图文讲解全流程丨新手易懂


网络安全CyberSecurity


【欢迎收藏分享到朋友圈,让更多朋友了解网络安全,分享也是一种美德!】

↑↑↑长按图片识别二维码关註↑↑↑


欢迎扫描关注网络安全公众号,及时了解更多网络安全知识



       (科技成果转化中心供稿)