論網(wǎng)絡安全等級保護的演變及主要變化

王國麗

（中鐵通信信號勘測設計院有限公司，北京 100036）

0 引言

2021年5月26日，國家互聯(lián)網(wǎng)應急中心發(fā)布《2020年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢綜述》[1]報告，報告預測APT攻擊威脅、個人信息保護、供應鏈安全、關鍵信息基礎設施安全、遠程協(xié)作安全風險、大數(shù)據(jù)安全等將成為2021年我國網(wǎng)絡安全領域值得關注的熱點。

無論從網(wǎng)絡安全理論還是實踐看，攻擊都是無法完全避免的，因此，只能通過安全保護能力的提升盡可能延長攻擊成功的時間，同時通過協(xié)同機制盡可能加快風險檢測和風險處置的時間。

1 網(wǎng)絡安全等級保護的演變

1.1 等保1.0時代及其合規(guī)需求

等保1.0時代主要經(jīng)歷了政策環(huán)境的營造、前期工作準備、工作正式啟動、工作有序推進等四個階段。

圖1 等保1.0時代的發(fā)展歷程

1.2 等保2.0時代及其法律強制

為保障網(wǎng)絡安全及促進我國信息化的健康發(fā)展，第十二屆全國人民代表大會常務委員會第二十四次會議通過了《中華人民共和國網(wǎng)絡安全法》（下文簡稱《網(wǎng)安法》），并于2017年6月1日起正式施行?！毒W(wǎng)安法》第二十一條、二十五條規(guī)定了國家實行網(wǎng)絡安全等級保護制度及安全保護的義務。第五十九條規(guī)定了對不履行第二十一條、二十五條規(guī)定的，將對運營者及直接負責的主管人員處以責令整改、警告、罰款等行政處罰，情節(jié)嚴重的還將追究刑事責任。這是我國首次以法律的名義提出了要實行“網(wǎng)絡安全等級保護制度”，明確要求“網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行安全保護義務”。《網(wǎng)安法》是網(wǎng)絡安全的一項“基本法”，且具有強制性作用。

2019年5月，隨著《信息安全技術 網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）[4]的公布，宣告等保2.0時代正式開啟，故2019年也稱為等保2.0元年。

2020年4月，國家標準化管理委員會、國家市場監(jiān)督管理總局聯(lián)合了發(fā)布《信息安全技術 信息系統(tǒng)安全等級保護定級指南》（GB/T 22240-2020）[5]，對網(wǎng)絡安全等級保護的保護對象、定級對象、定級流程等分別做了詳細規(guī)定。

2021年8月17日，中華人民共和國國務院令第745號《關鍵信息基礎設施安全保護條例》發(fā)布并于2021年9月1日起施行。這是我國首部專門針對關鍵信息技術設施安全保護工作的行政法規(guī)，這也為下一步關鍵信息的安全保護工作提供了重要的法治保障。

2 等保2.0相對等保1.0的關鍵變化

2.1 標準名稱的變化

為與《網(wǎng)安法》中相關的法律條文保持一致，等保2.0系列將原《信息安全技術信息系統(tǒng)安全等級保護基本要求》的名稱改為了《信息安全技術網(wǎng)絡安全等級保護基本要求》。

2.2 防御理念的變化

等保1.0系列標準主要強調(diào)物理主機、應用、數(shù)據(jù)、傳輸?shù)姆雷o，以防為主。

等保2.0增加了對當下新技術新應用的全覆蓋，體現(xiàn)了主動防御、綜合防御的思想，規(guī)定了1～4級等級保護對象的基本要求。5級系統(tǒng)屬國家級、國防類的系統(tǒng)，比如核電站、軍用通信系統(tǒng)等，故在此系列標準中未做詳細說明。

等保2.0充分體現(xiàn)了國家網(wǎng)絡安全工作規(guī)劃“一個中心，三重防御”的重要思想。并疊加了安全可視、動態(tài)感知、協(xié)同防御能力，構(gòu)建了主動防御體系。對應到等保2.0，一個中心指的是“安全管理中心”，三重防御指的是“安全計算環(huán)境、安全區(qū)域邊界、安全網(wǎng)絡通信”。通過實施三重防御主動防御框架，實現(xiàn)攻擊者進不去、非授權(quán)者重要信息拿不到、竊取保密信息看不懂、系統(tǒng)和信息改不了、系統(tǒng)工作癱不了和攻擊行為賴不掉的安全防護效果。

圖2 等保2.0整體技術能力框架圖

標準的東西不是硬性規(guī)定，應具備靈活性。同一條標準可以通過不同方式、結(jié)合企業(yè)自身環(huán)境特點來實現(xiàn)。本文建議的原則是在做好網(wǎng)絡安全的過程中順便將合規(guī)一起建設完成，而不是為了應付檢查而被動地去對照標準做合規(guī)建設。網(wǎng)絡安全建設也不能太局限于技術層面，管理其實更為重要，這就是為何等保中有技術條款也有管理條款的原因。

2.3 定級對象的變化

網(wǎng)絡安全等級保護工作首先應該明確的就是等級保護對象。

2.3.1 等保1.0的定級對象

等保1.0的定級對象只是針對信息系統(tǒng)而言。并可將較大的信息系統(tǒng)劃分為若干個較小的、具有不同安全保護等級的定級對象。隨著云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等保護對象不斷涌現(xiàn)，原等保1.0定義內(nèi)涵的局限性日益顯現(xiàn)。

2.3.2 等保2.0的定級對象

等保2.0的定級對象分為信息系統(tǒng)、通信網(wǎng)絡設施和數(shù)據(jù)資源。其中，信息系統(tǒng)又再細分為云計算平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術的系統(tǒng)。

由此可見，等保2.0定級對象不再局限于信息系統(tǒng)，而是針對當下網(wǎng)絡信息技術的應用環(huán)境和場所，對等級對象進行了拓展。尤其是把一些新技術納入了測評范圍，如最近很熱的云計算平臺、大數(shù)據(jù)等。

2.4 定級標準的變化

等保2.0參照定級指南進行定級，是一種強制定級。管理策略也由之前等保1.0的“自主定級、自主保護、監(jiān)督指導”，轉(zhuǎn)向為等保2.0的“明確等級、增強保護、常態(tài)監(jiān)督”。

2.5 通用要求結(jié)構(gòu)的變化

等保1.0和等保2.0系列標準均從技術部分和管理部分進行了詳細規(guī)定，但在技術要求方面二者有著明顯的區(qū)分。

由圖3可以看出，在等保1.0的技術要求部分中沒有單獨設立章節(jié)對安全管理中心進行要求，只在“管理要求→系統(tǒng)運維管理→監(jiān)控管理和安全管理中心”一節(jié)中提到“應建立安全管理中心，對設備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理”。而在等保2.0中，單獨設立了“安全管理中心”章節(jié)，強化了安全管理中心的概念，突出了安全管理中心在信息安全等級保護建設中的重要性。

圖3 等保1.0與等保2.0通用技術要求結(jié)構(gòu)差異

2.5.1 技術部分

（1）安全物理環(huán)境的變化。等保2.0將等保1.0中的物理和環(huán)境安全變更為安全物理環(huán)境，要求項與等保1.0無變化。

（2）安全通信網(wǎng)絡的變化。等保2.0將等保1.0中的網(wǎng)絡和通信安全這2項變?yōu)榱税踩ㄐ啪W(wǎng)絡和安全區(qū)域邊界，要求項由33項變?yōu)榱?8項。將等保1.0的網(wǎng)絡架構(gòu)和通信傳輸整合為安全通信網(wǎng)絡的要求子項，并新增了可信驗證的要求項。

（3）安全區(qū)域邊界的變化。等保2.0將等保1.0中的邊界防護、訪問控制、入侵防范、惡意代碼防護和安全審計這5項全部整合為安全區(qū)域邊界的要求子類，并新增了可信驗證的要求項。

（4）安全計算環(huán)境的變化。等保2.0將等保1.0中的設備和計算安全、應用和數(shù)據(jù)安全合并到了一起并更名為 “安全計算環(huán)境”。控制項也由60項變更為34項。其中惡意代碼防范也要求采用免受惡意代碼攻擊的技術措施或主動免疫可信機制，將惡意入侵行為和病毒行為進行阻斷。

2.5.2 管理部分的變化

（1）安全管理中心的變化。安全管理中心屬于新增的控制項，主要包括系統(tǒng)管理、審計管理、安全管理和集中管控四部分共計12項要求。系統(tǒng)管理主要是對傳統(tǒng)的“安全3員”進行身份鑒別并對其操作行為進行審計，同時對系統(tǒng)資源和運行進行配置和管理。集中管控則強調(diào)的是對組成網(wǎng)絡空間的鏈路和設備的運行情況進行在線監(jiān)測。主要是對分散的相關數(shù)據(jù)進行匯總分析、安全策略更新、惡意代碼防范、補丁升級等事項進行集中管控，然后對相關的網(wǎng)絡安全事件進行識別、預警和響應。

（2）其他變化。其余管理部分（安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設管理、安全運維管理），等保2.0與等保1.0的相關要求項基本沒有變化，僅僅是把安全管理制度中的安全策略和管理制度改為了安全管理制度，這里不再做詳細贅述。

2.6 測評周期和分數(shù)的變化

等保2.0標準要求，定級在第三級及以上的系統(tǒng)每年開展一次等保測評，修改了原先1.0時期要求定級為四級的系統(tǒng)每半年進行一次等保測評的要求。

等保2.0系列標準正式實施后，等級測評結(jié)論的判定較等保1.0時代的判定方法有重大調(diào)整。等保測評結(jié)論將由等保1.0時代的符合（100分）、基本符合（60分以上且無高風險）、不符合（60分以下或存在高風險）改為2.0時代的優(yōu)、良、中、差四個等級。如表1所示。

表1 2.0時代等級測評表

簡單點說，等保2.0標準的測評標準就是不能存在高風險項，以及分數(shù)要達到要求的閾值。由此也可以看出等保對安全的最低要求已經(jīng)在顯著提高了。

3 結(jié)束語

網(wǎng)絡安全等級保護是我國信息網(wǎng)絡安全保障的一項基本制度性工作。等保2.0體系標準在應對新威脅方面更加強調(diào)并增強了未知威脅檢測能力、安全檢測能力和安全響應能力的建設，在應對新風險方面更加體現(xiàn)了動態(tài)的、積極防御的安全理念，在應對新技術方面針對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術不斷擴大等級保護外延。總體來說，等保2.0體系相對等保1.0體系地位變高了、標準變廣了、體系變大了、過程變難了。