出品丨自主可控新鮮事
內容源於尖鋒講堂
正文共2195字,建議閱讀時間8分鐘
3月13日,嚴明所長坐客尖鋒講堂,暢談了等級保護的歷史、現在和未來。據瞭解,尖峰講堂由國家網絡安全人才與創新基地聯合中國關鍵信息基礎設施技術創新聯盟、大學生網絡安全尖鋒訓練營推出,期望幫助和促進武漢市網絡安全工作者做好復工復產的準備。(後臺回覆“等保新篇章”,獲取演講PPT)
嚴明,歷任任公安部一所、三所所長,中國計算機學會計算機安全專委會主任,是中國第一代網警,在網絡安全戰線工作多年,是等保工作的創建者和親歷者。
2007—2017年是我國等級保護1.0時代
我國的等級保護制度可以追朔到上一個世紀的九十年代。早在1994年國家就頒佈了《中華人民共和國計算機信息系統安全保護條例(國務院147號令)》,確定了我國實行等級保護制度。並明確規定這“是國家在國民經濟和社會信息化的發展過程中的一項基本制度,是信息安全保障工作國家管理意志的體現。”國務院147號令的第二章第九條規定:“計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定。”
1999年,我國頒佈了強制性國家標準《計算機信息系統安全保護等級劃分準則》(GB17859-1999),此後在國信辦,國家發改委和科技部的支持下,公安部開展了一系列的工作。2007年,由公安部牽頭會同保密局、密碼局等正式開始部署實施信息安全等級保護制度,可以說,2007—2017年是我國等級保護1.0時代。
這個階段,公安部重點開展了等級保護的定級、備案、測評、整改和監督檢查五項工作,制定等級保護的政策、標準,引領各行業部門貫徹落實等級保護制度。摸清了“家底”同時也實現了政策方面引領,建立了第三方測評機構隊伍並實施了較完善的培訓和管理,取得了產業方面更多的支撐。
總的來看,這階段的等級保護工作為我國信息網絡安全的保護工作建立了一個根據信息系統對於國家、社會、團體和公眾的重要程度來確定其應該達到安全要求的規範,是一個現實可行的管理方略。等保的建立,建立了我國對於信息系統基於“合規”管理的一系列支持基礎。
等保2.0翻開了我國網絡安全管理的新篇章
近年來,信息化技術和應用的發展突飛猛進,以雲計算、移動網絡、物聯網、大數據、智能化和工業互聯網、區塊鏈等等為代表的各項新技術新應用將我們推到了一個全新的數字化網絡化的世界。等級保護也步入了一個新的階段——等級保護2.0時代。
等級保護標準2.0是根據當前的網絡安全的形勢變化、任務要求和整個技術的發展,重新審視等級保護制度,從四個方面提出了新的政策和要求。首先,2017年6月1號我國正式開始實施的《中華人民共和國網絡安全法》第21條明確規定了“國家實行網絡安全等級保護制度”;同時,《網絡安全法》在第三章第二節就保障關鍵信息基礎設施的運行安全進行了較詳細的規制,規定了“在網絡安全等級保護制度的基礎上,對關鍵信息基礎設施實施重點保護”。這就將網絡安全等級保護和關鍵信息基礎設施的保護上升到了法律責任的層面:按照網絡安全等級保護和關鍵信息基礎設施保護的要求履行網絡安全的義務,是國家法律規定的基本義務。
第二,等級保護2.0網絡安全等級保護監管的對象進行了很大的擴充,以前更多的是面向傳統的信息系統,現在是關注包括雲平臺、移動網絡、物聯網、大數據、工業控制系統等所有新應用的全面安全。
第三,完善了網絡安全等級保護的措施,這是等級保護2.0的核心。原來《信息安全等級保護管理辦法》是由四部委經國務院批准頒佈的法規,執行上重視的是等級保護的定級、備案、測評、整改等工作。2.0時代,公安部牽頭制定《網絡安全等級保護條例》,經中央網信辦協調保密局、密碼局達成一致並徵求社會各界意見後報國務院和國家有關機構進入立法程序。一經國家依法審批即將作為網絡安全法的下位法頒佈執行。
第四,修訂了2008年出臺的包括等級保護的基本要求,安全設計技術要求,等級保護的測評要求等一系列標準。2.0的標準涵蓋了雲計算、大數據、物聯網、移動互聯工業控制系統等安全等級保護的標準。制定了全新的工作機制,包括等級保護協調機制,密切跟行業主管部門的溝通協作的相應的機制,並強調充分發揮測評機構、服務機構、科研院所等方面的作用和力量,推動整個網絡安全等級保護制度的落實,進一步加強整體的安全防護。
與1.0時代相比,等級保護2.0有以下新特點:
一是將網絡安全等級保護和關鍵信息基礎設施的保護上升到了法律責任的層面;
二是監管的對象進行了很大的擴充,以前更多的是面向傳統的信息系統,現在是關注包括雲平臺、移動網絡、物聯網、大數據、工業控制系統等所有新應用的全面安全;
三是完善了網絡安全等級保護的措施,公安部牽頭制定《網絡安全等級保護條例》,經中央網信辦協調保密局、密碼局達成一致並徵求社會各界意見後報國務院和國家有關機構進入立法程序;
四是修訂了2008年出臺的包括等級保護的基本要求,安全設計技術要求,等級保護的測評要求等一系列標準,並制定了全新的工作機制,包括等級保護協調機制,密切跟行業主管部門的溝通協作的相應的機制。
等級保護制度是我國網絡安全等級保護的管理方略,它的基本思路是根據網絡和信息系統的重要性和一旦受到攻擊被破壞對國家、社會、團體和公眾造成損害的嚴重程度,規定其必須達到的安全等級要求。
等保2.0體系已經形成了四大支撐支柱:法制定位;標準規範;管理推進;服務支持。網絡安全等級保護工作的推進,為關鍵信息基礎設施的重點保護提供了強大的管理和技術支持基礎。
微信公眾號後臺回覆“等保新篇章”,獲取演講PPT
閱讀更多 自主可控圈兒 的文章
