安全資訊

2019年12月24日，在2019龍芯新產(chǎn)品發(fā)布暨用戶(hù)大會(huì )上，公安部信息安全等級保護評估中心 馬力副研究員為現場(chǎng)參會(huì )者進(jìn)行了《網(wǎng)絡(luò )安全等級保護2.0標準體系介紹》的演講。

以下為現場(chǎng)演講原文：

今天，我時(shí)間比較短，我簡(jiǎn)單把2019年大家見(jiàn)到的一些等級保護內容做一些簡(jiǎn)單介紹。內容分為兩個(gè)部分：

第一部分，主要帶大家回顧一些等級保護的歷程。等保并不是現在才出現，過(guò)去10年，我們一直在推廣等級保護。這一部分講一些過(guò)去的等保與現在的區別。第二部分，給大家介紹一些新的標準的變化。

2007年，公安部會(huì )同相關(guān)部門(mén)發(fā)布了一個(gè)非常重要的紅頭文件——《信息安全等級保護管理辦法》，俗稱(chēng)“43號文件”。在這個(gè)文件中，明確了等級保護要做的事，包括定級備案、建設整改、等級測評。用戶(hù)必須完成這三件事，并接受安全檢查。這就是2007年提出的“規定動(dòng)作”。為了支持這些規定動(dòng)作，公安部會(huì )同相關(guān)部門(mén)起草了相關(guān)的標準，我們稱(chēng)之為“標準體系”。三個(gè)動(dòng)作中最為重要的動(dòng)作就是建設整改。保護是核心，定級備案和等級測評只是輔助動(dòng)作。

那么，二級標準、三級標準保護到什么水平，國家標準說(shuō)了算。這就是國標——《信息系統安全等級保護基本要求》，英文叫“Base Line”，這是我們的底線(xiàn)，底線(xiàn)做不到，那就不達標，公安會(huì )給你開(kāi)出整改通知書(shū)，強行要求整改，因此，基本要求起著(zhù)非常重要的作用。

2019年5月13日，新的基本要求跟大家見(jiàn)面了。這個(gè)基本要求來(lái)源于很多重要要求，它包含技術(shù)，也包含管理。其中，重要的技術(shù)比如1.0時(shí)期的“加密技術(shù)”，2.0時(shí)期的“可信計算”，這些和芯片緊密掛鉤。

總結一下，等級保護1.0標準體系構成了基本要求體系。

2007年到2017年，這期間使用等保1.0。為什么從2017年后叫做等保2.0了呢？原因是2017年6月1號，《中華人民共和國網(wǎng)絡(luò )安全法》出臺，它提到，國家實(shí)行等級安全保護制度，注意，這時(shí)候等級保護已經(jīng)成為法律制度，不做等保就是違法。同時(shí)，第31條說(shuō)，如果單位系統非常非常重要，稱(chēng)之為“關(guān)鍵信息基礎設施”，那么這個(gè)系統做等保還不夠，還要在等保的基礎上做重點(diǎn)保護。

2.0的思想導致我們要調整在1.0的法律法規。這時(shí)候，要在《網(wǎng)絡(luò )安全法》基礎上添加《網(wǎng)絡(luò )安全等級保護條例(起草中)》、《關(guān)鍵信息基礎設施保護條例(起草中)》?，F在，這兩個(gè)條例即將和大家見(jiàn)面。標準體系也相應地做了調整，這些標準已經(jīng)在2019年與大家見(jiàn)面了，并在12月1日正式實(shí)施，這也是今年標準為何如此受到重視。

也就是說(shuō)，未來(lái)等級保護用的就是這個(gè)新標準。當然，這只是等保標準，在此基礎上還有關(guān)鍵基礎設施保護標準。如果你們單位系統非常重要，除了等保，還要做相應的關(guān)鍵基礎設施保護。這套標準馬上也要和大家見(jiàn)面了。

總結一下，等級保護對象分為五級，第一二級國家認為是一般資產(chǎn)，三級以上包含重要資產(chǎn)以及關(guān)鍵資產(chǎn)。這些不同對象對應的監管力度也不一樣。這里我不做贅述。

等級保護2.0時(shí)期，所有保護對象，不管你叫什么名字，比如云平臺、大數據、物聯(lián)網(wǎng)、工控系統等，都要做等保，落實(shí)國家安全等級保護制度。注意，不落實(shí)是違法的。

那怎么做呢？完成以下幾個(gè)動(dòng)作：定級備案、安全建設、等級測評，如果等級測評出現問(wèn)題還需要接受安全整改，接受監督檢查。這幾個(gè)動(dòng)作，不做就違反了法律要求。如果你是關(guān)鍵基礎設施，除了等級保護，還需要完成關(guān)鍵信息基礎設施保護。只有這樣，2.0的目標才真正完成。

接下來(lái)，給大家介紹一些第二部分：新標準的變化。

第一，對象范圍擴大。新標準將云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統等列入標準范圍，構成了“安全通用要求+新型應用安全擴展要求”的要求內容。

注意：等級保護把所有系統都納入了，包括云計算、物聯(lián)網(wǎng)等等。這些系統只需要使用一個(gè)標準就可以了，這個(gè)標準的要求是通用要求加擴展要求。比如，云計算系統，是云計算擴展；工控系統是工控擴展。概括起來(lái)是：一個(gè)標準做等保。

第二，分類(lèi)結構統一。新標準“基本要求、設計要求和測評要求”分類(lèi)框架統一，形成了“安全通信網(wǎng)絡(luò )”、“安全區域邊界"安全計算環(huán)境”和“安全管理中心”支持下的三重防護體系架構。

注意：安全措施的分類(lèi)，各有各的說(shuō)法，1.0的分類(lèi)是層次分類(lèi)：物理安全、網(wǎng)絡(luò )安全、主機安全、應用安全、數據安全，我們很容易接受。2.0強調縱深防御。請看，從外到內，通訊網(wǎng)絡(luò )、區域邊界、內部計算環(huán)境、通訊邊界計算環(huán)境保護，形成縱深防御體系。同時(shí)這個(gè)防御體系上的控制措施要受大腦控制。大腦速成安全管理中心，一個(gè)中心，三重防御。

第三：強化可信計算。新標準強化了可信計算技術(shù)使用的要求把可信驗證列入各個(gè)級別并逐級提出各個(gè)環(huán)節的主要可信驗證要求。

注意：新的2.0標準強調可信計算新技術(shù)的使用。1.0強調密碼技術(shù)使用。

另外，簡(jiǎn)單介紹一下等保2.0的變化。

第一，名字變化，2.0叫網(wǎng)絡(luò )安全等級保護。

第二，2.0的對象擴展到了所有系統。

第三，2.0的安全要求變化通用要求加擴展要求構成。

第四，章節結構發(fā)生了變化。

第五，縱深防御。

 

最后，關(guān)于等級測評結論發(fā)生了變化，分為：優(yōu)、良、中、差幾個(gè)級別，70分以上才算及格，90分以上算優(yōu)秀。