公安部網(wǎng)絡(luò)安全等級保護2.0標(biāo)準(zhǔn)體系介紹
2019年12月24日,在2019龍芯新產(chǎn)品發(fā)布暨用戶大會上,公安部信息安全等級保護評估中心 馬力副研究員為現(xiàn)場參會者進行了《網(wǎng)絡(luò)安全等級保護2.0標(biāo)準(zhǔn)體系介紹》的演講。
以下為現(xiàn)場演講原文:
今天,我時間比較短,我簡單把2019年大家見到的一些等級保護內(nèi)容做一些簡單介紹。內(nèi)容分為兩個部分:
第一部分,主要帶大家回顧一些等級保護的歷程。等保并不是現(xiàn)在才出現(xiàn),過去10年,我們一直在推廣等級保護。這一部分講一些過去的等保與現(xiàn)在的區(qū)別。第二部分,給大家介紹一些新的標(biāo)準(zhǔn)的變化。
2007年,公安部會同相關(guān)部門發(fā)布了一個非常重要的紅頭文件——《信息安全等級保護管理辦法》,俗稱“43號文件”。在這個文件中,明確了等級保護要做的事,包括定級備案、建設(shè)整改、等級測評。用戶必須完成這三件事,并接受安全檢查。這就是2007年提出的“規(guī)定動作”。為了支持這些規(guī)定動作,公安部會同相關(guān)部門起草了相關(guān)的標(biāo)準(zhǔn),我們稱之為“標(biāo)準(zhǔn)體系”。三個動作中最為重要的動作就是建設(shè)整改。保護是核心,定級備案和等級測評只是輔助動作。
那么,二級標(biāo)準(zhǔn)、三級標(biāo)準(zhǔn)保護到什么水平,國家標(biāo)準(zhǔn)說了算。這就是國標(biāo)——《信息系統(tǒng)安全等級保護基本要求》,英文叫“Base Line”,這是我們的底線,底線做不到,那就不達標(biāo),公安會給你開出整改通知書,強行要求整改,因此,基本要求起著非常重要的作用。
2019年5月13日,新的基本要求跟大家見面了。這個基本要求來源于很多重要要求,它包含技術(shù),也包含管理。其中,重要的技術(shù)比如1.0時期的“加密技術(shù)”,2.0時期的“可信計算”,這些和芯片緊密掛鉤。
總結(jié)一下,等級保護1.0標(biāo)準(zhǔn)體系構(gòu)成了基本要求體系。
2007年到2017年,這期間使用等保1.0。為什么從2017年后叫做等保2.0了呢?原因是2017年6月1號,《中華人民共和國網(wǎng)絡(luò)安全法》出臺,它提到,國家實行等級安全保護制度,注意,這時候等級保護已經(jīng)成為法律制度,不做等保就是違法。同時,第31條說,如果單位系統(tǒng)非常非常重要,稱之為“關(guān)鍵信息基礎(chǔ)設(shè)施”,那么這個系統(tǒng)做等保還不夠,還要在等保的基礎(chǔ)上做重點保護。
2.0的思想導(dǎo)致我們要調(diào)整在1.0的法律法規(guī)。這時候,要在《網(wǎng)絡(luò)安全法》基礎(chǔ)上添加《網(wǎng)絡(luò)安全等級保護條例(起草中)》、《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例(起草中)》?,F(xiàn)在,這兩個條例即將和大家見面。標(biāo)準(zhǔn)體系也相應(yīng)地做了調(diào)整,這些標(biāo)準(zhǔn)已經(jīng)在2019年與大家見面了,并在12月1日正式實施,這也是今年標(biāo)準(zhǔn)為何如此受到重視。
也就是說,未來等級保護用的就是這個新標(biāo)準(zhǔn)。當(dāng)然,這只是等保標(biāo)準(zhǔn),在此基礎(chǔ)上還有關(guān)鍵基礎(chǔ)設(shè)施保護標(biāo)準(zhǔn)。如果你們單位系統(tǒng)非常重要,除了等保,還要做相應(yīng)的關(guān)鍵基礎(chǔ)設(shè)施保護。這套標(biāo)準(zhǔn)馬上也要和大家見面了。
總結(jié)一下,等級保護對象分為五級,第一二級國家認(rèn)為是一般資產(chǎn),三級以上包含重要資產(chǎn)以及關(guān)鍵資產(chǎn)。這些不同對象對應(yīng)的監(jiān)管力度也不一樣。這里我不做贅述。
等級保護2.0時期,所有保護對象,不管你叫什么名字,比如云平臺、大數(shù)據(jù)、物聯(lián)網(wǎng)、工控系統(tǒng)等,都要做等保,落實國家安全等級保護制度。注意,不落實是違法的。
那怎么做呢?完成以下幾個動作:定級備案、安全建設(shè)、等級測評,如果等級測評出現(xiàn)問題還需要接受安全整改,接受監(jiān)督檢查。這幾個動作,不做就違反了法律要求。如果你是關(guān)鍵基礎(chǔ)設(shè)施,除了等級保護,還需要完成關(guān)鍵信息基礎(chǔ)設(shè)施保護。只有這樣,2.0的目標(biāo)才真正完成。
接下來,給大家介紹一些第二部分:新標(biāo)準(zhǔn)的變化。
第一,對象范圍擴大。新標(biāo)準(zhǔn)將云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等列入標(biāo)準(zhǔn)范圍,構(gòu)成了“安全通用要求+新型應(yīng)用安全擴展要求”的要求內(nèi)容。
注意:等級保護把所有系統(tǒng)都納入了,包括云計算、物聯(lián)網(wǎng)等等。這些系統(tǒng)只需要使用一個標(biāo)準(zhǔn)就可以了,這個標(biāo)準(zhǔn)的要求是通用要求加擴展要求。比如,云計算系統(tǒng),是云計算擴展;工控系統(tǒng)是工控擴展。概括起來是:一個標(biāo)準(zhǔn)做等保。
第二,分類結(jié)構(gòu)統(tǒng)一。新標(biāo)準(zhǔn)“基本要求、設(shè)計要求和測評要求”分類框架統(tǒng)一,形成了“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界"安全計算環(huán)境”和“安全管理中心”支持下的三重防護體系架構(gòu)。
注意:安全措施的分類,各有各的說法,1.0的分類是層次分類:物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全,我們很容易接受。2.0強調(diào)縱深防御。請看,從外到內(nèi),通訊網(wǎng)絡(luò)、區(qū)域邊界、內(nèi)部計算環(huán)境、通訊邊界計算環(huán)境保護,形成縱深防御體系。同時這個防御體系上的控制措施要受大腦控制。大腦速成安全管理中心,一個中心,三重防御。
第三:強化可信計算。新標(biāo)準(zhǔn)強化了可信計算技術(shù)使用的要求把可信驗證列入各個級別并逐級提出各個環(huán)節(jié)的主要可信驗證要求。
注意:新的2.0標(biāo)準(zhǔn)強調(diào)可信計算新技術(shù)的使用。1.0強調(diào)密碼技術(shù)使用。
另外,簡單介紹一下等保2.0的變化。
第一,名字變化,2.0叫網(wǎng)絡(luò)安全等級保護。
第二,2.0的對象擴展到了所有系統(tǒng)。
第三,2.0的安全要求變化通用要求加擴展要求構(gòu)成。
第四,章節(jié)結(jié)構(gòu)發(fā)生了變化。
第五,縱深防御。
最后,關(guān)于等級測評結(jié)論發(fā)生了變化,分為:優(yōu)、良、中、差幾個級別,70分以上才算及格,90分以上算優(yōu)秀。