2019年12月1日起,网络安全等级保护“三大核心”标准(基本要求、测评要求、实施要求)正式实施,网络安全等级保护工作进入2.0时代。
网络安全等级保护系列标准发布、实施的一年时间里,各行业(各单位、各部门)陆续推进网络安全等级保护工作:
A
2020年2月,教育部办公厅印发《2020年教育信息化和网络安全工作要点》,要求各直属单位加强网络安全防护和保障能力,落实国家网络安全等级保护2.0的相关要求,健全相关工作机制和技术标准;
B
2020年6月,自然资源部印发《2020年自然资源部网络安全与信息化工作要点》,要求各级自然资源部门加强自然资源网络与信息化安全,提升网络安全防护能力,落实网络安全等级保护制度;
C
2020年11月,中国人民银行正式批准发布金融行业标准《金融行业网络安全等级保护实施指引》(JR/T 0071-2020),指导金融行业各单位、各部门实施网络安全等级保护工作,完善金融行业网络安全等级保护体系; D
2020年7月,公安部研究制定《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度指导意见》【(公网安【2020】1960号文)(下称“指导意见”)】,要求各行业、各部门结合工作实际,认真参照执行指导意见相关要求,深入贯彻实施网络安全等级保护制度,深入推进网络安全等级保护定级备案、等级测评、安全建设和检查等基础工作。
网络安全等级保护2.0工作实施一年以来,尽管各行业积极推动等级保护工作开展,但仍存在一些问题,如:
-
业务系统迁移上云如何定级,去哪里定级备案?
-
系统迁移上云或进行托管,无需开展等级保护工作?
-
系统定级流程不规范,如内网系统不定级、为规避监管三级系统定二级;
-
单位多个系统打包成一个系统进行定级;
-
将等级保护定级备案与“通过”等级测评混淆;
-
等级测评就是等级保护工作的全部;
-
等级测评结论具有永久性;
-
保证等级测评得分够70分即可,忽略高风险存在;
-
等级测评发现问题整改费用高,投资回报率底;
-
标准理解不到位,将“等保2.0”与“等保三级”混淆;
-
……
针对当前存在的问题,各单位、各部门究竟该如何深入贯彻落实网络安全等级保护制度,提升网络和信息系统安全防护力呢?本文通过三部分内容介绍如何深入贯彻落实网络安全等级保护制度。
01
1 网络安全等级保护工作目标
指导意见针对深入贯彻落实网络安全等级保护制度提出下列工作目标:
1. 深化网络定级备案工作
全面梳理包括云计算、物联网、新型互联网、大数据、智能制造等新技术应用在内的运营者全部网络情况,科学确定保护等级,依法向公安机关备案。行业主管部门依据《网络安全等级保护定级指南》国家标准,结合行业特点制定行业网络安全等级保护定级指导意见。
2. 定期开展网络安全等级测评
对已定级备案网络的安全性进行检测评估,第三级以上网络运营者委托符合国家有关规定的等级测评机构每年开展网络安全等级测评。公安机关加强对本地等级测评机构的监督管理,确保等级测评过程客观、公正、安全。
3. 科学开展安全建设整改
运营者在网络建设和运营过程中应同步规划、同步建设、同步使用网络安全保护措施,可通过网络迁移上云或网络安全服务外包方式充分利用网络安全服务商提升网络安全保护能力。
4.强化安全责任落实
按照“谁主管谁负责、谁运营谁负责”的原则,厘清网络安全保护边界,建立网络安全等级保护工作责任制。
5.科学开展安全建设整改
加强网络关键人员的安全管理,采购、使用符合国家法律法规和有关标准规范要求的网络产品及服务。
6.强化安全责任落实
第三级以上网络运营者在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。
2 网络安全等级保护工作方向
0定级备案
2020年11月1日起,网络安全等级保护定级指南(下称“定级指南”)正式实施,网络运营者应根据定级指南将保护对象梳理清楚,科学确定等级,未定级的系统开展定级备案工作,定级不准系统根据定级指南要求及时调整安全等级。第二级及以上的网络和信息系统应到公安机关备案(县级公安机关)、审核。特别是针对采用下列新技术、新应用的网络和信息系统应合理进行定级。 02
建设整改
随着“关口前移”、“安全左移”等安全建设理念的提出,对于新建网络和信息系统在开展安全建设时要依据基本要求、设计技术要求和测评要求等国家标准落实“三同步”要求,同时根据等级保护“一个中心、三重防护”的安全防护理念构建安全防护体系。针对新建网络和信息系统,在落实安全防护措施时应考虑以下安全技术:
-
应用可信计算、商用密码等新技术,开展安全建设和整改加固;
-
网络和信息系统迁移上云获取专业化、集约化安全防护措施及能力;
-
网络安全服务外包,由网络安全服务商提供专业安全服务提升系统安全防护能力;
-
“内生安全”、“主动免疫”等技术,提升网络和信息系统主动防御能力;
-
保障供应链安全,采取严格有效措施对网络系统的建设、设计、运维、服务等方面进行管控,加强人员的管理,评估风险;
-
采购产品和服务一定要符合要求,符合国家要求;
-
参照行业内优秀安全解决方案积极推动等保2.0建设;
-
……
此外,《中华人民共和国密码法》自2020年1月1日起施行,网络运营者应按照《密码法》要求,正确、有效采用密码技术对网络和信息系统进行安全保护;针对第三级以上的网络和信息系统应将等级保护工作和商用密码应用安全性评估工作进行衔接,保证网络和信息系统的安全性、合规性以及商用密码应用的有效性。
0等级测评
网络运营者应依据网络安全等级保护测评要求等有关标准开展等级测评、风险评估,第三级及以上的网络和信息系统每年开展一次等级测评工作,并对测评中发现的安全问题进行及时整改。此外,应注意下列三点:
-
第三级及以上新建网络和信息系统应通过等级测评后再投入使用;
-
对于已运行的网络和信息系统应定期开展测评,及时发现安全问题并进行建设整改;
-
网络和系统发生安全事件或日常巡检发现高风险问题时应及时进行安全评估,避免发生安全事件。
0监督检查
监督检查主要核实网络和信息系统运营使用、建设单位的等级保护工作开展和落实情况,重点督促、检查安全设施、安全措施、安全管理制度、安全责任、责任部门和人员。
3 网络安全等级保护工作内容
安全需求:保障等级保护安全合规,夯实基础安全能力!
安全目标:提升安全防护能力,尽可能规避安全风险!
安全运营思想:以威胁发现为基础,以分析处置为核心,以发现隐患为关键,以推动提升为目标!
网络安全等级保护是一项系统性工程,在实施的一年时间里陆续规范定级、备案、建设整改、监督检查五项规定工作内容。针对当前深入贯彻落实等级保护制度的工作目标和方向,“等保安全合规体系”以解决用户在开展等级保护工作中面临的问题为导向,细化等保工作各阶段所需服务内容,通过专项基础安全服务与各级单位(用户)协力推动等级保护工作,助力网络运营者深入贯彻落实网络安全等级保护制度。