等保2.0时代已来
2019-06-28赵志远
5月13日,备受瞩目的网络安全等级保护制度2.0标准(以下简称“等保2.0”)正式发布,实施时间为2019年12月1日,我国网络安全等级保护制度正式由1.0迈入2.0时代。
互联网发展瞬息万变,网络威胁也在不断升级。如今,日趋复杂的网络安全问题严重威胁个人、企业机构乃至国家安全,没有网络安全就没有国家安全,网络安全已上升到国家战略。
维护网络安全离不开制度、技术、人才等的全面发展和保障,而网络安全法中明确规定国家实行网络安全等级保护制度,表明了等级保护制度的法律地位,对我国网络安全保障工作具有重要意义。
标准宣贯
标准建立起来了,但距离真正落地还有很长的路要走,这其间需要对标准进行宣贯推广,让更多的人和企业机构认识和践行等保2.0标准。
在5月16日举办的网络安全等级保护制度2.0国家标准宣贯会上,公安部网络安全保卫局书记王瑛玮表示,等级保护制度2.0国家标准的发布,是具有里程碑意义的一件大事,标志着国家网络安全等级保护工作步入新时代,对保障和促进国家信息化发展,提升国家网络安全保护能力,维护国家保护空间安全具有重要的意义。
王瑛玮提出四点意见。一是要高度重视,深刻领会。各单位要认真学习领会标准各项要求,加快推动国家标准的贯彻和实施。二是要加强宣传,强化培训。各地区各部门要加强对2.0标准的宣传,加强对标准的解读和培训,形成广泛共识,保证标准的整体落地。三是要推动行标,指导实践。重点行业部门要根据2.0国家标准,结合本行业实践,加快修订完善本行业等级保护行业标准。四是加强督导,推动落实。各地公安机关各行业主管部门要加强对本地区本行业网络安全等级保护工作的监督、检查和指导,在做好当前网络安全等级保护工作的基础上,逐步向2.0国家标准有关要求过渡,不断提升本地区本行业本部门网络安全保护能力。
公安部网络安全保卫局总工程师郭启全表示,等级保护制度是中国网络安全保障工作的伟大创举,是网络安全的基石,要深入推进等级保护制度,落实网络安全法,带动中国的网络安全企业向世界一流企业发展。他要求全国公安机关网络安全保卫部门要对各行各业落实国家等级保护制度给予大力支持,真正做到牵头指导监督,借助这次大会的契机,把我国等级保护制度推进到一个新的高度,推动国家网络安全工作进入一个新时代。
新标准探究
等保2.0是在1.0的基础上,聚焦新问题、新威胁和新技术,与时俱进,总结吸取网络安全保护成功经验,并借鉴国际先进安全保护技术,创新性地提出安全保护通用要求,以此实现对新技术、新应用安全保护对象的全覆盖和安全保护领域的全覆盖。
等保2.0由包括网络安全等级保护基本要求、网络安全等级保护安全设计技术要求和网络安全等级保护测评要求3个核心标准在内的多项标准构成,如图1所示。公安部信息安全等级保护评估中心副研究员马力表示,相较于1.0时期的标准结构不一致问题,等保2.0以3个核心标准的统一分类框架,形成了“安全通信网络”“安全区域边界”“安全计算环境”和“安全管理中心”支持下的“一个中心,三重防护”体系架构。
同时,马力表示,等保2.0更加突出技术思维和立体防范,注重全方位主动防御、动态防御、整体防控和精准防护,进一步强化“一个中心,三重防护”的安全保护体系,将进一步指导各单位、各部门整体提升网络安全保护能力,发挥维护国家关键信息基础设施,重要信息系统和大数据安全的关键基础性作用。
在覆盖范围上,等保2.0实现两个“全覆盖”:不仅覆盖全社会的各地区、各单位、各企业、各部门、各机构等,而且通过“通用要求+扩展要求”,覆盖包括网络、信息系统、信息,以及云平台、物联网、工业控制系统、大数据、移动互联网等各类新技术应用。
图1 等级保护系列标准
此外,等保2.0还将基于可信根的可信验证列入各级别和各环节的主要功能要求,确立可信计算技术的重要地位,结合人工智能、密码保护、生物识别、大数据分析等高端技术,落实网络安全管理要求、技术要求、测评要求和设计要求等。
多方联动,推动落地
据王瑛玮介绍,自2014年起,为进一步健全完善等级保护制度,公安部组织国内科研院所、网络安全检测机构、安全厂商、物联网企业等30余家单位,在等级保护专家队伍的全力支持下,全面总结1.0标准实施情况,深入研究云计算、移动互联、工业控制系统、物联网、大数据等新技术、新应用的安全问题,广泛进行研究论证、修改完善和试点试用,到现在完成了2.0标准的制修订工作,是网络安全领域专家和学者集体智慧的结晶。
实施网络安全等级保护制度的目标是要实现变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防控,变粗放防护为精准防护,建立“打防管控”一体化的网络安全综合防御体系,提升国家网络安全整体防御能力。
落实等保2.0离不开各相关部门、广大用户以及安全厂商等的共同努力,特别是在开展等保工作的系统定级、系统备案、建设整改、系统测评、监督管理五个阶段过程中,需要监管部门、评测机构、运营使用单位等的多方合作。
而对于安全厂商来说,也有责任和义务投入到等级保护工作中去,根据等保2.0标准发展新安全技术,开发匹配的安全产品,全力做好网络安全服务,帮助用户建设合规、有效的网络安全体系。
深信服科技股份有限公司CEO何朝曦表示,深信服在践行等保2.0标准中要做好三方面工作:一是通过宣贯、培训帮助用户理解和应用等保方面的知识;二是通过产品的创新,场景的适配,向用户交付真正有效的等保2.0方案;三是安全厂商要和监管部门、评测机构和其他厂商通力协作,推进等保2.0工作不断发展。
