信息化觀察網(wǎng)

2019年12月1日，網(wǎng)絡(luò)安全等級保護2.0開始實施。到今年為止，網(wǎng)絡(luò)安全等級保護制度在我國已實施了十多年，但大部分人對等保制度的理解還只是停留在表面，對等保制度的很多內(nèi)容有不少誤解。

什么是網(wǎng)絡(luò)安全等級保護

網(wǎng)絡(luò)安全等級保護是國家網(wǎng)絡(luò)安全保障的基本制度、基本策略、基本方法。開展網(wǎng)絡(luò)安全等級保護工作是保護信息化發(fā)展、維護網(wǎng)絡(luò)安全的根本保障，是網(wǎng)絡(luò)安全保障工作中國家意志的體現(xiàn)。

網(wǎng)絡(luò)安全等級保護工作包括定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查五個階段。定級對象建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合國家要求的測評機構(gòu)，依據(jù)《網(wǎng)絡(luò)安全等級保護測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對定級對象安全等級狀況開展等級測評。

實施意義

● 合法要求：

滿足合法合規(guī)要求，清晰化責(zé)任和工作方法，讓安全貫穿全生命周期。

● 體系建設(shè)：

明確組織整體目標(biāo)，改變以往單點防御方式，讓安全建設(shè)更加體系化。

● 等級防護：

提高人員安全意識，樹立等級化防護思想，合理分配網(wǎng)絡(luò)安全投資。

法律要求

《中華人民共和國網(wǎng)絡(luò)安全法》【第二十一條】國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

法律解讀：國家明確實行等級保護制度，網(wǎng)絡(luò)運營者應(yīng)按等級保護要求開展網(wǎng)絡(luò)安全建設(shè)。

《中華人民共和國網(wǎng)絡(luò)安全法》【第三十一條】 國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護辦法由國務(wù)院制定。（關(guān)鍵信息基礎(chǔ)設(shè)施必須落實國家等級保護制度，突出保護重點）

法律解讀：關(guān)鍵信息基礎(chǔ)設(shè)施必須要落實等級保護制度，并要重點保護。

網(wǎng)絡(luò)安全等級保護工作具體包含哪些內(nèi)容？

根據(jù)信息系統(tǒng)等級保護相關(guān)標(biāo)準(zhǔn)，等級保護工作總共分五個階段，分別為：

1）是信息系統(tǒng)定級。

2）是信息系統(tǒng)備案。

3）是系統(tǒng)安全建設(shè)。

4）是信息系統(tǒng)開始等級測評。

5）主管單位定期開展監(jiān)督檢查。

為什么要開展網(wǎng)絡(luò)安全等級保護工作？

1）通過等級保護工作發(fā)現(xiàn)單位信息系統(tǒng)存在的安全隱患和不足，進行安全整改之后，提高信息系統(tǒng)的信息安全防護能力，降低系統(tǒng)被各種攻擊的風(fēng)險，維護單位良好的形象。

2）等級保護是我國關(guān)于信息安全的基本政策，國家法律法規(guī)、相關(guān)政策制度要求單位開展等級保護工作。如《信息安全等級保護管理辦法》和《中華人民共和國網(wǎng)絡(luò)安全法》。

3）很多行業(yè)主管單位要求行業(yè)客戶開展等級保護工作，目前已經(jīng)下發(fā)行業(yè)要求文件的有：金融、電力、廣電、醫(yī)療、教育等行業(yè)，還有一些主管單位發(fā)過相關(guān)文件或通知要求去做。

4）落實個人及單位的網(wǎng)絡(luò)安全保護義務(wù)，合理規(guī)避風(fēng)險。

等級保護的五個級別

第一級 自主保護級：（無需備案，對測評周期無要求）此類信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成一般損害，不損害國家安全、社會秩序和公共利益。

第二級 指導(dǎo)保護級:（公安部門備案，建議兩年測評一次）此類信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害。會對社會秩序、公共利益造成一般損害，不損害國家安全。

第三級 監(jiān)督保護級：（公安部門備案，要求每年測評一次）此類信息系統(tǒng)受到破壞后，會對國家安全、社會秩序造成損害，對公共利益造成嚴(yán)重?fù)p害，對公民、法人和其他組織的合法權(quán)益造成特別嚴(yán)重的損害。

第四級 強制保護級：（公安部門備案，要求半年一次）此類信息系統(tǒng)受到破壞后，會對國家安全造成嚴(yán)重?fù)p害，對社會秩序、公共利益造成特別嚴(yán)重?fù)p害。

第五級 專控保護級：（公安部門備案，依據(jù)特殊安全需求進行）此類信息系統(tǒng)受到破壞后會對國家安全造成特別嚴(yán)重?fù)p害。

國家網(wǎng)絡(luò)安全等級保護框架

對企業(yè)系統(tǒng)安全的需求

信息系統(tǒng)運營、使用單位通過開展等級保護工作可以發(fā)現(xiàn)系統(tǒng)內(nèi)部的安全隱患與不足之處，可通過安全整改提升系統(tǒng)的安全防護能力，降低被攻擊的風(fēng)險。

等級保護對象

網(wǎng)絡(luò)安全等級保護工作流程是怎樣的

一丶定級 信息系統(tǒng)運營使用單位按照等級保護管理辦法和定級指南，自主確定信息系統(tǒng)的安全保護等級。有上級主管部門的，應(yīng)當(dāng)經(jīng)上級主管部門審批?？缡』蛉珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護等級。雖然說的是自主定級，但主要還是根據(jù)系統(tǒng)實際情況去定級，有行業(yè)指導(dǎo)文件的根據(jù)指導(dǎo)文件來，沒有文件的需要根據(jù)定級指南來，總之一句話合理定級，該是幾級就是幾級，不要定的高也不要定的低。

二丶備案 第二級以上信息系統(tǒng)定級市級單位到所在地社區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。省級單位到省公安廳網(wǎng)安總隊備案，各地市單位一般直接到市級網(wǎng)安支隊備案，也有部分地市區(qū)縣單位的定級備案資料是先交到區(qū)縣公安網(wǎng)監(jiān)大隊的，具體根據(jù)各地市要求來。

三丶系統(tǒng)安全建設(shè) 信息系統(tǒng)安全保護等級確定后，運營使用單位按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，選擇管理辦法要求的信息安全產(chǎn)品，建設(shè)符合等級要求的信息安全設(shè)施，建立安全組織，制定并落實安全管理制度。

四丶等級測評 信息系統(tǒng)建設(shè)完成后，運營使用單位選擇符合管理辦法要求的檢測機構(gòu)，對信息系統(tǒng)安全等級狀況開展等級測評。測評完成之后根據(jù)發(fā)現(xiàn)的安全問題及時進行整改，特別是高危風(fēng)險。測評的結(jié)論分為：不符合、基本符合、符合。當(dāng)然符合基本是不可能的，那是理想狀態(tài)。

五丶監(jiān)督檢查 公安機關(guān)依據(jù)信息安全等級保護管理規(guī)范及《網(wǎng)絡(luò)安全法》相關(guān)條款，監(jiān)督檢查運營使用單位開展等級保護工作，定期對信息系統(tǒng)進行安全檢查。運營使用單位應(yīng)當(dāng)接受公安機關(guān)的安全監(jiān)督、檢查、指導(dǎo)，如實向公安機關(guān)提供有關(guān)材料。

其中定級、備案工作原則上是由用戶單位自己填寫定級備案表交給公安網(wǎng)監(jiān)部門去進行備案工作，但考慮到實際情況，絕大多數(shù)情況下都是用戶單位在測評機構(gòu)的協(xié)助下完成這些工作。系統(tǒng)安全建設(shè)和等級測評的工作不一定要嚴(yán)格按照這個順序開展，可以先測評再整改，也可以先建設(shè)再測評。具體還是根據(jù)自身實際情況來辦。注：選擇的測評機構(gòu)很重要，測評機構(gòu)的權(quán)威性，測評質(zhì)量直接關(guān)系到單位信息系統(tǒng)后期整改內(nèi)容，提前發(fā)現(xiàn)問題提前整改，可以有效降低被攻擊的風(fēng)險，提高信息安全防護能力。

等級保護測評有哪些技術(shù)類型？具體指標(biāo)如何？

等級保護主要從技術(shù)要求和管理要求兩方面進行綜合測評，而根據(jù)等級保護測評的三種不同技術(shù)類型，其測評的指標(biāo)要求也有所不同。

等保測評并非相當(dāng)于ISO 20000系列的信息技術(shù)服務(wù)管理認(rèn)證，也并非于ISO27000系列的信息安全管理體系認(rèn)證。等級保護制度是國家信息安全管理的制度，是國家意志的體現(xiàn)。落實等級保護制度為了國家法律法規(guī)的合規(guī)需求。很多人認(rèn)為，完成等保測評就萬事大吉。其實，等保制度只是基線的要求，通過測評、整改，落實等級保護制度，確實可以規(guī)避大部分的安全風(fēng)險。但就目前的測評結(jié)果來看，幾乎沒有任何一個被測系統(tǒng)能全部滿足等保要求。一般情況下，目前等保測評過程中，只要沒發(fā)現(xiàn)高危安全風(fēng)險，都可以通過測評。但是，安全是一個動態(tài)而非靜止的過程，而不是通過一次測評，就可以一勞永逸的。企業(yè)通過落實等保安全要求，并嚴(yán)格執(zhí)行各項安全管理的規(guī)章制度，基本能做到系統(tǒng)的安全穩(wěn)定運行。但依然不能百分百保證系統(tǒng)的安全性。因此，更重要是提升企業(yè)安全防護能力，及時把工作做到位。