2019年12月24日,在2019龙芯新产品发布暨用户大会上,公安部信息安全等级保护评估中心 马力副研究员为现场参会者进行了《网络安全等级保护2.0标准体系介绍》的演讲。演讲内容主要包括:一、等级保护的历程;二等保标准的新变化。快来一起看看吧!
一、等级保护的历程
等级保护很早就已经出现,国家相关机构也一直在推广网络等级保护。2007年,公安部会同相关部门发布了一个非常重要的红头文件——《信息安全等级保护管理办法》,俗称“43号文件”。在这个文件中,明确了等级保护要做的事,包括定级备案、建设整改、等级测评。用户必须完成这三件事,并接受安全检查。这就是2007年提出的“规定动作”。为了支持这些规定动作,公安部会同相关部门起草了相关的标准,我们称之为“标准体系”。其中,“建设整改”最为重要。保护是核心,定级备案和等级测评只是辅助动作。
此外,等级保护一共有五个级别,但每个级别要达到什么样的标准,需要按照国家标准《信息系统安全等级保护基本要求》,如果单位达不到规定的要求,会被公安部门强制要求整改。总的来说,等级保护1.0标准体系构成了基本要求体系。
2007年到2017年期间,国家使用等保1.0标准体系。2017年6月1号,《中华人民共和国网络安全法》出台,国家实行等级安全保护制度,不做等保就是违法,进入等保2.0阶段。此外,《网络安全法》的第31条还提到,如果单位系统非常非常重要,称之为“关键信息基础设施”,那么这个系统做等保还不够,还要在等保的基础上做重点保护。
二、等保标准的新变化
进入等保2.0之后,相应的法规也要跟着变化。在《网络安全法》的基础上,《网络安全等级保护条例》和《关键信息基础设施保护条例》已经在起草中。
在等级保护2.0时期,所有保护对象,比如云平台、大数据、物联网、工控系统等,都要做等保,落实国家安全等级保护制度。不做等保就是违法。那么单位的等保工作一般包括:定级备案、安全建设、等级测评,如果等级测评出现问题还需要接受安全整改,接受监督检查。再次强调,如果是关键基础设施,除了等级保护,还需要完成关键信息基础设施保护。
那么,和等级保护1.0相比,等级保护2.0的标准又有了哪些变化呢?
等级保护2.0标准新变化
①对象范围扩大。新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。也就是说,云计算、物联网等所有这些系统都使用同一个等级保护标准;
②分类结构统一。新标准“基本要求、设计要求和测评要求”分类框架统一,形成了“安全通信网络”、“安全区域边界"安全计算环境”和“安全管理中心”支持下的三重防护体系架构;
③强化可信计算。新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。新的等级保护2.0标准强调可信计算新技术的使用,而等级保护1.0标准则是强调密码技术使用。
除以上三点,还有三个内容值得我们注意:
①和等级保护1.0相比,等级保护2.0的名称有了变化,从《信息安全等级保护要求》更名为《网络安全等级保护基本要求》,从而与《网络安全法》保持一致;
②等级测评结论发生了变化,等级测评结论现分为:优、良、中、差几个级别,70分以上才算及格,90分以上算优秀。
③等保 2.0 标准的一个重要变化,即从口头警告到真金白银的常态化执法。《网络安全法》第五十九条明确规定,网络运营者不履行相关网络安全保护义务规定的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
