◆李 丹 楊向東 馬卓元 馬金玉

等保2.0視域下的網(wǎng)絡安全工作思考

◆李 丹 楊向東 馬卓元 馬金玉

（陜西省網(wǎng)絡與信息安全測評中心 陜西 710065）

為適應新技術(shù)的發(fā)展，解決云計算、物聯(lián)網(wǎng)、移動互聯(lián)和工控領(lǐng)域信息系統(tǒng)的等級保護工作的需要，由公安部牽頭組織開展了信息技術(shù)新領(lǐng)域等級保護重點標準申報國家標準的工作，等級保護正式進入了2.0時代。本文結(jié)合新時代下國家等級保護制度2.0標準體系與“等保1.0”進行對比分析，針對“等保2.0”對監(jiān)管部門、測評機構(gòu)、系統(tǒng)運營單位等帶來的網(wǎng)絡安全工作變化進行了總結(jié)與思考。

網(wǎng)絡安全；等級保護；等保2.0

近幾年信息技術(shù)飛速發(fā)展，各種新應用推陳出新，2008年開始實施的“等保1.0”《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》已經(jīng)明顯力不從心，需要新的等保標準來實現(xiàn)領(lǐng)域、對象和內(nèi)容上的全面覆蓋。因此，網(wǎng)絡安全等級保護2.0標準，全稱《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》（簡稱“等保2.0”）應運而生。“等保2.0”于2019年5月正式發(fā)布，這是繼2008年正式發(fā)布“等保1.0”十余年來的重大突破。

1 “等保2.0”重要變化解析

（1）標準名稱的變化

“等保2.0”將原來的標準《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》改為《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》，與《中華人民共和國網(wǎng)絡安全法》中的相關(guān)法律條文保持一致。

網(wǎng)絡安全以其更豐富的內(nèi)涵逐步取代信息安全已成為安全領(lǐng)域共識，《中華人民共和國網(wǎng)絡安全法》明確規(guī)定“國家實行網(wǎng)絡安全等級保護制度”，相關(guān)法律條文和標準也需保持一致性，“等保2.0”與時俱進的將原標準的“信息系統(tǒng)安全等級保護”改為“網(wǎng)絡安全等級保護”。

（2）等級保護對象和標準內(nèi)容的變化

“等保1.0”定義的等級保護對象為：信息安全等級保護工作直接作用的具體信息和信息系統(tǒng)。但隨著云計算平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新形態(tài)的等級保護對象不斷涌現(xiàn)，原定義內(nèi)涵局限性日益顯現(xiàn)。修改后的“等保2.0”定義等級保護對象包括：基礎信息網(wǎng)絡、云計算平臺/系統(tǒng)、大數(shù)據(jù)應用/平臺/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術(shù)的系統(tǒng)等。

為了配合《中華人民共和國網(wǎng)絡安全法》的實施，“等保2.0”針對共性安全保護需求提出了安全通用要求。安全通用要求為普適性要求，無論等級保護對象形態(tài)如何必須滿足通用要求。同時，“等保2.0”針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應用領(lǐng)域的個性安全保護需求提出了安全擴展要求，以此形成新的網(wǎng)絡安全等級保護基本標準。

可以說，“等保2.0”標準為適應新技術(shù)的發(fā)展而誕生，解決了云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工控領(lǐng)域信息系統(tǒng)的等級保護工作的需要。

（3）控制域和要求的變化

“等保2.0”由舊標準的10個控制域合并為8個，新增了個人信息保護的要求，是因為近來越來越多的安全事件以及歐盟保護條例的出臺，國內(nèi)也開始重視個人隱私問題。相比舊標準偏重于防護的要求，“等保2.0”標準更適應當前網(wǎng)絡安全形勢的發(fā)展，內(nèi)涵更加豐富，除進行“等保1.0”時代網(wǎng)絡定級及備案審核、等級測評、安全建設整改、自查等規(guī)定動作外，還增加了測評活動安全管理、網(wǎng)絡服務管理、產(chǎn)品服務采購使用管理、技術(shù)維護管理、監(jiān)測預警和信息通報管理、數(shù)據(jù)和信息安全保護要求、應急處置要求等內(nèi)容。

（4）保障思路的變化

“等保2.0”具有更加完整的體系思路，包括事前、事中、事后的防護，一旦出現(xiàn)問題還能進行事后的溯源分析。在保障思路上，等保制度由“1.0”防御審計的被動保障向“2.0”的安全檢測、感知預警、動態(tài)防護、應急響應的主動保障體系轉(zhuǎn)變。

總而言之，“等保2.0”較之前的舊標準可以說有突破性的進展，尤其在移動互聯(lián)、云計算、物聯(lián)網(wǎng)等新的業(yè)務環(huán)境均能夠提供安全建設標準和指導。積極落實網(wǎng)絡安全等級保護制度，不僅能夠滿足相關(guān)法律的合規(guī)性要求，更能提升整體網(wǎng)絡的綜合安全防護能力，真正幫助企業(yè)用戶保障網(wǎng)絡、數(shù)據(jù)和業(yè)務的安全性。

2 “等保2.0”帶來的網(wǎng)絡安全工作思考

網(wǎng)絡安全等級保護工作包括定級、備案、建設整改、等級測評、監(jiān)督檢查五個階段。定級對象建設完成后，運營、使用單位或者其主管部門應當選擇符合國家要求的測評機構(gòu)，依據(jù)《網(wǎng)絡安全等級保護測評要求》等技術(shù)標準，定期對定級對象安全等級狀況開展等級測評?！暗缺?.0”的發(fā)布，對監(jiān)管部門、測評機構(gòu)和系統(tǒng)運營單位等也提出了更高的要求。

（1）監(jiān)管單位作為督導部門，對信息系統(tǒng)網(wǎng)絡安全情況負有監(jiān)督、指導的職責。無論是《網(wǎng)絡安全法》還是《網(wǎng)絡安全等級保護條例（征求意見稿）》都提出公安、網(wǎng)信、行業(yè)主管部門要協(xié)作履行監(jiān)管職能。這就要求從技術(shù)能力與管理能力雙向提升，以滿足在等保2.0監(jiān)管過程中的檢查、處置、指導、協(xié)調(diào)、統(tǒng)籌等工作需求，有效幫助用戶將等級保護納入常態(tài)化工作，推動網(wǎng)絡安全工作進入良性發(fā)展軌道。

（2）測評機構(gòu)是系統(tǒng)運營使用單位等級保護建設情況的“裁判官”。2018年，全國等保測評機構(gòu)已增至176家，且還在逐年遞增，“等保2.0”的到來也會帶來測評對象的擴展與業(yè)務量的爆發(fā)式增長?？萍际堑谝簧a(chǎn)力，運用技術(shù)手段提高測評專業(yè)性、提高測評效率成為剛需，所以測評機構(gòu)不僅要加強自身對“等保2.0”的貫徹理解，還必須對“等保2.0”涉及的云計算、物聯(lián)網(wǎng)、工控等新型系統(tǒng)具備充分的業(yè)務能力，才能更好地對外提供服務。

（3）系統(tǒng)運營單位方面，首先是業(yè)務、數(shù)據(jù)重要性等自身安全需求驅(qū)動；其次是政策方面要求，《網(wǎng)絡安全法》規(guī)定要開展等級保護工作、《網(wǎng)絡安全等級保護條例》要求每年開展自查、行業(yè)要求如三甲醫(yī)院HIS系統(tǒng)必須滿足等保三級要求等；再次，還面臨著公安、網(wǎng)信、主管部門、內(nèi)部安全管理部門等的多方監(jiān)管壓力。這就要求自身信息系統(tǒng)的等級保護建設工作，必須滿足在“等保2.0”下的安全合規(guī)要求。

（4）另外對于安全服務廠商來說，在網(wǎng)絡安全發(fā)展的初期，用戶更多傾向于購買安全設備，通過軟硬件的設置保障基本的安全需求。隨著網(wǎng)絡安全形勢不斷變化，用戶對于安全從基本合規(guī)逐步轉(zhuǎn)向真正的安全防護需求。只有將安全服務內(nèi)容不斷細化、深化，由提供安全產(chǎn)品為主上升到圍繞系統(tǒng)全生命周期提供安全管理、安全技術(shù)和安全運行類服務，才能使“安全服務”變?yōu)椤胺盏陌踩薄?/p>

3 結(jié)束語

等級保護工作從來就不是某一個部門或某一個行業(yè)的事情，而是整個社會在等級保護框架下各角色根據(jù)自身單位職責的協(xié)作協(xié)同的結(jié)果，體現(xiàn)了社會分工、協(xié)同的精細化與專業(yè)化。隨著社會的不斷進步，在將來由“等保2.0”發(fā)展為“等保3.0”、“等保4.0”也是必然的趨勢。只有利用好專業(yè)的裝備抓手和配套的安全服務，集合全社會相關(guān)單位的積極投入力量，才能將網(wǎng)絡安全等級保護制度的作用發(fā)揮到最大，真正落地到實處，從整體上提升我國網(wǎng)絡安全水平。

[1]馬力，祝國邦，陸磊.《網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）標準解讀[J].信息網(wǎng)絡安全，2019（02）：77-84.

[2]曲潔，范春玲，陳廣勇，趙勁濤.新時代下網(wǎng)絡安全服務能力體系建設思路[J].信息網(wǎng)絡安全，2019（01）：83-87.

[3]崔光耀.等級保護進入新階段[J].中國信息安全，2019（05）：3.