“等保2.0”即将实施 为网络安全筑起更强防火墙
发布时间: 2019-06-19 浏览次数 : 57次
自2007年《信息安全等级保护管理办法》发布至今,信息安全等级保护(等保)政策开始在全社会范围内得到大力推行,并逐步筑起了国家网络和信息安全的重要防线。尤其是2017年6月1日起施行的《中华人民共和国网络安全法》,更明确规定国家正式实行网络安全等级保护制度。此后,我国网络内容建设持续加强,网络安全保障能力稳步提升。
现今,蓬勃发展的中国等保制度即将步入新阶段。2019年5月13日,国家市场监督管理总局正式发布《信息安全技术网络安全等级保护基本要求》国家标准,并于2019年12月1日起正式实施。这标志着“等保2.0”时代即将扬帆起航。
据专家介绍,等保2.0是面向范围更广、力度更大的普适性的制度。未来,开展网络安全等级保护势将成为中国网络运营者(拥有或管理网络的中国企业)合规运营的必经之路。
划分等级 合理保护
等级保护是我国信息安全保障的基本制度,其全称为“信息系统安全等级保护”,现已更改为“网络安全等级保护”,是指对网络和信息系统按照重要性等级分级别保护的一种制度。根据《网络安全法》规定,网络运营者应当按安全等级保护制度的要求,履行“保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”等安全保护义务。
相关资料显示,依据系统受破坏后危害的范围和严重程度,等保制度由低到高分为五个等级,随着安全保护等级的增高,其相应的安全保护能力逐渐加强。
第一级,指信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。因系统被破坏后影响较小,所以一般由使用单位自行依据国家有关管理规范和技术标准进行保护。
第二级,指信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。由国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,定义为在信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。由国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,指会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。由国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,则是信息系统遭破坏后,会对国家安全造成特别严重损害。由国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
遵循客观规律,通过明确等级划分,不仅能更好地把握突出重点,有针对性地加强安全建设和管理,实施合理保护,更对控制信息安全建设的成本,平衡投入产出比例起到关键作用。
完善制度 与日俱进
随着网络规模的扩大、通信技术的演进,中国网络相关产业发展迅猛。尤其是在深度融合的数字化、网络化、智能化进程中,生产力实现了又一次的重大跨越,堪称百年一遇,影响深远。在日新月异的变化中,要想做到与日俱进,重新审视等级保护制度就显得极为必要。业内普遍认为,要满足当前网络安全的形势变化、任务要求和新技术发展,需对旧有标准做出重大突破,等保2.0的发布与实施着实是迫切而需要。
某网络安全行业企业工程师马近辉表示,与等保1.0相比,等保2.0根据信息技术发展应用和网络安全态势,在不断丰富制度内涵、拓展保护范围、完善监管措施同时,也逐步健全我国网络安全等级保护制度政策、标准和支撑体系。
进入2.0时代,原“信息安全等级保护制度”,变更为“网络安全等级保护制度”。马近辉认为,从整个网络空间的角度来看,信息系统只是其中的一小部分,由“信息”到“网络”,意味着等级保护的对象已全面升级,不在拘泥于过去单一的信息系统层面,而是拓展到了整个网络空间的安全保护。许多新兴的业务环境,诸如网络安全基础设施、云计算平台、移动互联网、物联网、工业控制系统、大数据安全等,都被等保2.0时代纳入了管理的体系之中,并为其提供安全建设标准和指导。
等保2.0将安全要求的范围扩大的同时,对安全的整体架构提出了更高的要求。除去等保1.0旧有的定级、备案、建设整改、等级评测与监督检查五个规定动作之外,还增加了风险评估、安全监测、通报预警、态势感知等新的安全要求。
这些安全要求在一定程度上强调了组织和机构拥有在事件发生前就对潜在威胁有感知与评估,甚至是防御的能力。马近辉指出,尤其是通过对安全要求进行前置,使得固有安全的观念从被动防御转为了主动防御,这使得网络安全保护不再是单点的防护手段,而是对整体化的体系进行分类管控。
据悉,等级保护对象定级工作的一般流程分为五个步骤,分别是:确定定级对象、初步确定等级、专家评审、主管部门审批以及公安机关备案审查。明确的步骤认定,在填补过去只有按照定级要素进行没有严格流程的不足外,还在备案环节缩减了时日,将原有30天内的备案时间,缩短为10个工作日。
通过安全整改,等保2.0把监管对象从体制内拓展到了全社会,随着日后更深层次的推进,势必助推相关产业全面进步,进而促进国家网络安全保障水平的提高,降低系统被攻击的风险。
值得注意的是,全新等保制度的落地并非单一事件,网络安全行业将因此被整体带入新一轮发展的高峰期。业内专家提醒相关从业者,网络安全建设的成熟度,并不意味着网络安全产品数量和种类的堆叠。随着网络安全的热度持续升温,需从安全体系的角度合理规划、合理建设、甚至适度精简入手,将资源和建设能力投放在如何抵御新时代的网络安全风险上。在信息化建设的同时,统筹考虑网络安全的建设,顺应时代,做到同步规划、同步建设、同步执行。