◆李 丹 楊向東 馬卓元 馬金玉

等保2.0視域下的網(wǎng)絡(luò)安全工作思考

◆李 丹 楊向東 馬卓元 馬金玉

（陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心 陜西 710065）

為適應(yīng)新技術(shù)的發(fā)展，解決云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工控領(lǐng)域信息系統(tǒng)的等級(jí)保護(hù)工作的需要，由公安部牽頭組織開(kāi)展了信息技術(shù)新領(lǐng)域等級(jí)保護(hù)重點(diǎn)標(biāo)準(zhǔn)申報(bào)國(guó)家標(biāo)準(zhǔn)的工作，等級(jí)保護(hù)正式進(jìn)入了2.0時(shí)代。本文結(jié)合新時(shí)代下國(guó)家等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)體系與“等保1.0”進(jìn)行對(duì)比分析，針對(duì)“等保2.0”對(duì)監(jiān)管部門、測(cè)評(píng)機(jī)構(gòu)、系統(tǒng)運(yùn)營(yíng)單位等帶來(lái)的網(wǎng)絡(luò)安全工作變化進(jìn)行了總結(jié)與思考。

網(wǎng)絡(luò)安全；等級(jí)保護(hù)；等保2.0

近幾年信息技術(shù)飛速發(fā)展，各種新應(yīng)用推陳出新，2008年開(kāi)始實(shí)施的“等保1.0”《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》已經(jīng)明顯力不從心，需要新的等保標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)領(lǐng)域、對(duì)象和內(nèi)容上的全面覆蓋。因此，網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)，全稱《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（簡(jiǎn)稱“等保2.0”）應(yīng)運(yùn)而生?！暗缺?.0”于2019年5月正式發(fā)布，這是繼2008年正式發(fā)布“等保1.0”十余年來(lái)的重大突破。

1 “等保2.0”重要變化解析

（1）標(biāo)準(zhǔn)名稱的變化

“等保2.0”將原來(lái)的標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致。

網(wǎng)絡(luò)安全以其更豐富的內(nèi)涵逐步取代信息安全已成為安全領(lǐng)域共識(shí)，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》明確規(guī)定“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，相關(guān)法律條文和標(biāo)準(zhǔn)也需保持一致性，“等保2.0”與時(shí)俱進(jìn)的將原標(biāo)準(zhǔn)的“信息系統(tǒng)安全等級(jí)保護(hù)”改為“網(wǎng)絡(luò)安全等級(jí)保護(hù)”。

（2）等級(jí)保護(hù)對(duì)象和標(biāo)準(zhǔn)內(nèi)容的變化

“等保1.0”定義的等級(jí)保護(hù)對(duì)象為：信息安全等級(jí)保護(hù)工作直接作用的具體信息和信息系統(tǒng)。但隨著云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新形態(tài)的等級(jí)保護(hù)對(duì)象不斷涌現(xiàn)，原定義內(nèi)涵局限性日益顯現(xiàn)。修改后的“等保2.0”定義等級(jí)保護(hù)對(duì)象包括：基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。

為了配合《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的實(shí)施，“等保2.0”針對(duì)共性安全保護(hù)需求提出了安全通用要求。安全通用要求為普適性要求，無(wú)論等級(jí)保護(hù)對(duì)象形態(tài)如何必須滿足通用要求。同時(shí)，“等保2.0”針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應(yīng)用領(lǐng)域的個(gè)性安全保護(hù)需求提出了安全擴(kuò)展要求，以此形成新的網(wǎng)絡(luò)安全等級(jí)保護(hù)基本標(biāo)準(zhǔn)。

可以說(shuō)，“等保2.0”標(biāo)準(zhǔn)為適應(yīng)新技術(shù)的發(fā)展而誕生，解決了云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工控領(lǐng)域信息系統(tǒng)的等級(jí)保護(hù)工作的需要。

（3）控制域和要求的變化

“等保2.0”由舊標(biāo)準(zhǔn)的10個(gè)控制域合并為8個(gè)，新增了個(gè)人信息保護(hù)的要求，是因?yàn)榻鼇?lái)越來(lái)越多的安全事件以及歐盟保護(hù)條例的出臺(tái)，國(guó)內(nèi)也開(kāi)始重視個(gè)人隱私問(wèn)題。相比舊標(biāo)準(zhǔn)偏重于防護(hù)的要求，“等保2.0”標(biāo)準(zhǔn)更適應(yīng)當(dāng)前網(wǎng)絡(luò)安全形勢(shì)的發(fā)展，內(nèi)涵更加豐富，除進(jìn)行“等保1.0”時(shí)代網(wǎng)絡(luò)定級(jí)及備案審核、等級(jí)測(cè)評(píng)、安全建設(shè)整改、自查等規(guī)定動(dòng)作外，還增加了測(cè)評(píng)活動(dòng)安全管理、網(wǎng)絡(luò)服務(wù)管理、產(chǎn)品服務(wù)采購(gòu)使用管理、技術(shù)維護(hù)管理、監(jiān)測(cè)預(yù)警和信息通報(bào)管理、數(shù)據(jù)和信息安全保護(hù)要求、應(yīng)急處置要求等內(nèi)容。

（4）保障思路的變化

“等保2.0”具有更加完整的體系思路，包括事前、事中、事后的防護(hù)，一旦出現(xiàn)問(wèn)題還能進(jìn)行事后的溯源分析。在保障思路上，等保制度由“1.0”防御審計(jì)的被動(dòng)保障向“2.0”的安全檢測(cè)、感知預(yù)警、動(dòng)態(tài)防護(hù)、應(yīng)急響應(yīng)的主動(dòng)保障體系轉(zhuǎn)變。

總而言之，“等保2.0”較之前的舊標(biāo)準(zhǔn)可以說(shuō)有突破性的進(jìn)展，尤其在移動(dòng)互聯(lián)、云計(jì)算、物聯(lián)網(wǎng)等新的業(yè)務(wù)環(huán)境均能夠提供安全建設(shè)標(biāo)準(zhǔn)和指導(dǎo)。積極落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，不僅能夠滿足相關(guān)法律的合規(guī)性要求，更能提升整體網(wǎng)絡(luò)的綜合安全防護(hù)能力，真正幫助企業(yè)用戶保障網(wǎng)絡(luò)、數(shù)據(jù)和業(yè)務(wù)的安全性。

2 “等保2.0”帶來(lái)的網(wǎng)絡(luò)安全工作思考

網(wǎng)絡(luò)安全等級(jí)保護(hù)工作包括定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查五個(gè)階段。定級(jí)對(duì)象建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合國(guó)家要求的測(cè)評(píng)機(jī)構(gòu)，依據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)定級(jí)對(duì)象安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)?！暗缺?.0”的發(fā)布，對(duì)監(jiān)管部門、測(cè)評(píng)機(jī)構(gòu)和系統(tǒng)運(yùn)營(yíng)單位等也提出了更高的要求。

（1）監(jiān)管單位作為督導(dǎo)部門，對(duì)信息系統(tǒng)網(wǎng)絡(luò)安全情況負(fù)有監(jiān)督、指導(dǎo)的職責(zé)。無(wú)論是《網(wǎng)絡(luò)安全法》還是《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見(jiàn)稿）》都提出公安、網(wǎng)信、行業(yè)主管部門要協(xié)作履行監(jiān)管職能。這就要求從技術(shù)能力與管理能力雙向提升，以滿足在等保2.0監(jiān)管過(guò)程中的檢查、處置、指導(dǎo)、協(xié)調(diào)、統(tǒng)籌等工作需求，有效幫助用戶將等級(jí)保護(hù)納入常態(tài)化工作，推動(dòng)網(wǎng)絡(luò)安全工作進(jìn)入良性發(fā)展軌道。

（2）測(cè)評(píng)機(jī)構(gòu)是系統(tǒng)運(yùn)營(yíng)使用單位等級(jí)保護(hù)建設(shè)情況的“裁判官”。2018年，全國(guó)等保測(cè)評(píng)機(jī)構(gòu)已增至176家，且還在逐年遞增，“等保2.0”的到來(lái)也會(huì)帶來(lái)測(cè)評(píng)對(duì)象的擴(kuò)展與業(yè)務(wù)量的爆發(fā)式增長(zhǎng)?？萍际堑谝簧a(chǎn)力，運(yùn)用技術(shù)手段提高測(cè)評(píng)專業(yè)性、提高測(cè)評(píng)效率成為剛需，所以測(cè)評(píng)機(jī)構(gòu)不僅要加強(qiáng)自身對(duì)“等保2.0”的貫徹理解，還必須對(duì)“等保2.0”涉及的云計(jì)算、物聯(lián)網(wǎng)、工控等新型系統(tǒng)具備充分的業(yè)務(wù)能力，才能更好地對(duì)外提供服務(wù)。

（3）系統(tǒng)運(yùn)營(yíng)單位方面，首先是業(yè)務(wù)、數(shù)據(jù)重要性等自身安全需求驅(qū)動(dòng)；其次是政策方面要求，《網(wǎng)絡(luò)安全法》規(guī)定要開(kāi)展等級(jí)保護(hù)工作、《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》要求每年開(kāi)展自查、行業(yè)要求如三甲醫(yī)院HIS系統(tǒng)必須滿足等保三級(jí)要求等；再次，還面臨著公安、網(wǎng)信、主管部門、內(nèi)部安全管理部門等的多方監(jiān)管壓力。這就要求自身信息系統(tǒng)的等級(jí)保護(hù)建設(shè)工作，必須滿足在“等保2.0”下的安全合規(guī)要求。

（4）另外對(duì)于安全服務(wù)廠商來(lái)說(shuō)，在網(wǎng)絡(luò)安全發(fā)展的初期，用戶更多傾向于購(gòu)買安全設(shè)備，通過(guò)軟硬件的設(shè)置保障基本的安全需求。隨著網(wǎng)絡(luò)安全形勢(shì)不斷變化，用戶對(duì)于安全從基本合規(guī)逐步轉(zhuǎn)向真正的安全防護(hù)需求。只有將安全服務(wù)內(nèi)容不斷細(xì)化、深化，由提供安全產(chǎn)品為主上升到圍繞系統(tǒng)全生命周期提供安全管理、安全技術(shù)和安全運(yùn)行類服務(wù)，才能使“安全服務(wù)”變?yōu)椤胺?wù)的安全”。

3 結(jié)束語(yǔ)

等級(jí)保護(hù)工作從來(lái)就不是某一個(gè)部門或某一個(gè)行業(yè)的事情，而是整個(gè)社會(huì)在等級(jí)保護(hù)框架下各角色根據(jù)自身單位職責(zé)的協(xié)作協(xié)同的結(jié)果，體現(xiàn)了社會(huì)分工、協(xié)同的精細(xì)化與專業(yè)化。隨著社會(huì)的不斷進(jìn)步，在將來(lái)由“等保2.0”發(fā)展為“等保3.0”、“等保4.0”也是必然的趨勢(shì)。只有利用好專業(yè)的裝備抓手和配套的安全服務(wù)，集合全社會(huì)相關(guān)單位的積極投入力量，才能將網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的作用發(fā)揮到最大，真正落地到實(shí)處，從整體上提升我國(guó)網(wǎng)絡(luò)安全水平。

[1]馬力，祝國(guó)邦，陸磊.《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）標(biāo)準(zhǔn)解讀[J].信息網(wǎng)絡(luò)安全，2019（02）：77-84.

[2]曲潔，范春玲，陳廣勇，趙勁濤.新時(shí)代下網(wǎng)絡(luò)安全服務(wù)能力體系建設(shè)思路[J].信息網(wǎng)絡(luò)安全，2019（01）：83-87.

[3]崔光耀.等級(jí)保護(hù)進(jìn)入新階段[J].中國(guó)信息安全，2019（05）：3.