出品丨自主可控新鲜事
内容源于尖锋讲堂
正文共2195字,建议阅读时间8分钟
3月13日,严明所长坐客尖锋讲堂,畅谈了等级保护的历史、现在和未来。据了解,尖峰讲堂由国家网络安全人才与创新基地联合中国关键信息基础设施技术创新联盟、大学生网络安全尖锋训练营推出,期望帮助和促进武汉市网络安全工作者做好复工复产的准备。(后台回复“等保新篇章”,获取演讲PPT)
严明,历任任公安部一所、三所所长,中国计算机学会计算机安全专委会主任,是中国第一代网警,在网络安全战线工作多年,是等保工作的创建者和亲历者。
2007—2017年是我国等级保护1.0时代
我国的等级保护制度可以追朔到上一个世纪的九十年代。早在1994年国家就颁布了《中华人民共和国计算机信息系统安全保护条例(国务院147号令)》,确定了我国实行等级保护制度。并明确规定这“是国家在国民经济和社会信息化的发展过程中的一项基本制度,是信息安全保障工作国家管理意志的体现。”国务院147号令的第二章第九条规定:“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”
1999年,我国颁布了强制性国家标准《计算机信息系统安全保护等级划分准则》(GB17859-1999),此后在国信办,国家发改委和科技部的支持下,公安部开展了一系列的工作。2007年,由公安部牵头会同保密局、密码局等正式开始部署实施信息安全等级保护制度,可以说,2007—2017年是我国等级保护1.0时代。
这个阶段,公安部重点开展了等级保护的定级、备案、测评、整改和监督检查五项工作,制定等级保护的政策、标准,引领各行业部门贯彻落实等级保护制度。摸清了“家底”同时也实现了政策方面引领,建立了第三方测评机构队伍并实施了较完善的培训和管理,取得了产业方面更多的支撑。
总的来看,这阶段的等级保护工作为我国信息网络安全的保护工作建立了一个根据信息系统对于国家、社会、团体和公众的重要程度来确定其应该达到安全要求的规范,是一个现实可行的管理方略。等保的建立,建立了我国对于信息系统基于“合规”管理的一系列支持基础。
等保2.0翻开了我国网络安全管理的新篇章
近年来,信息化技术和应用的发展突飞猛进,以云计算、移动网络、物联网、大数据、智能化和工业互联网、区块链等等为代表的各项新技术新应用将我们推到了一个全新的数字化网络化的世界。等级保护也步入了一个新的阶段——等级保护2.0时代。
等级保护标准2.0是根据当前的网络安全的形势变化、任务要求和整个技术的发展,重新审视等级保护制度,从四个方面提出了新的政策和要求。首先,2017年6月1号我国正式开始实施的《中华人民共和国网络安全法》第21条明确规定了“国家实行网络安全等级保护制度”;同时,《网络安全法》在第三章第二节就保障关键信息基础设施的运行安全进行了较详细的规制,规定了“在网络安全等级保护制度的基础上,对关键信息基础设施实施重点保护”。这就将网络安全等级保护和关键信息基础设施的保护上升到了法律责任的层面:按照网络安全等级保护和关键信息基础设施保护的要求履行网络安全的义务,是国家法律规定的基本义务。
第二,等级保护2.0网络安全等级保护监管的对象进行了很大的扩充,以前更多的是面向传统的信息系统,现在是关注包括云平台、移动网络、物联网、大数据、工业控制系统等所有新应用的全面安全。
第三,完善了网络安全等级保护的措施,这是等级保护2.0的核心。原来《信息安全等级保护管理办法》是由四部委经国务院批准颁布的法规,执行上重视的是等级保护的定级、备案、测评、整改等工作。2.0时代,公安部牵头制定《网络安全等级保护条例》,经中央网信办协调保密局、密码局达成一致并征求社会各界意见后报国务院和国家有关机构进入立法程序。一经国家依法审批即将作为网络安全法的下位法颁布执行。
第四,修订了2008年出台的包括等级保护的基本要求,安全设计技术要求,等级保护的测评要求等一系列标准。2.0的标准涵盖了云计算、大数据、物联网、移动互联工业控制系统等安全等级保护的标准。制定了全新的工作机制,包括等级保护协调机制,密切跟行业主管部门的沟通协作的相应的机制,并强调充分发挥测评机构、服务机构、科研院所等方面的作用和力量,推动整个网络安全等级保护制度的落实,进一步加强整体的安全防护。
与1.0时代相比,等级保护2.0有以下新特点:
一是将网络安全等级保护和关键信息基础设施的保护上升到了法律责任的层面;
二是监管的对象进行了很大的扩充,以前更多的是面向传统的信息系统,现在是关注包括云平台、移动网络、物联网、大数据、工业控制系统等所有新应用的全面安全;
三是完善了网络安全等级保护的措施,公安部牵头制定《网络安全等级保护条例》,经中央网信办协调保密局、密码局达成一致并征求社会各界意见后报国务院和国家有关机构进入立法程序;
四是修订了2008年出台的包括等级保护的基本要求,安全设计技术要求,等级保护的测评要求等一系列标准,并制定了全新的工作机制,包括等级保护协调机制,密切跟行业主管部门的沟通协作的相应的机制。
等级保护制度是我国网络安全等级保护的管理方略,它的基本思路是根据网络和信息系统的重要性和一旦受到攻击被破坏对国家、社会、团体和公众造成损害的严重程度,规定其必须达到的安全等级要求。
等保2.0体系已经形成了四大支撑支柱:法制定位;标准规范;管理推进;服务支持。网络安全等级保护工作的推进,为关键信息基础设施的重点保护提供了强大的管理和技术支持基础。
微信公众号后台回复“等保新篇章”,获取演讲PPT
閱讀更多 自主可控圈兒 的文章
