自《網絡安全法》出臺後,網絡等級保護進入2.0時代。這意味著在遵照2007年公安部、國家保密局、國家密碼管理局和國務院信息化工作辦公室頒佈實施的《信息安全等級保護管理辦法》及其配套的標準《信息系統安全等級保護定級指南》建立的“信息安全等級保護體系”已全面升級。
《網絡安全法》
第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
(二)採取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)採取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
隨後,《網絡安全法》出臺後各地執法案例不斷湧現,其中不乏有關網絡安全等級保護義務的案例:
——安徽省蚌埠懷遠縣教育進修學校,未進行網絡安全等級保護的定級備案、等級評測工作;未落實網絡安全等級保護制度;未履行網絡安全等級保護義務;機構被處以1.5萬元罰款,負有直接責任人員處以5000元罰款。
——四川宜賓市“教師發展平臺”網站,未落實網絡安全等級保護制度;未履行網絡安全等級保護義務;機構被處以1萬元罰款,負有直接責任人員處以5000元罰款。
這些處罰案例距離網絡運營者是如此之近,不得不關注何謂《網絡安全等級保護制度》,與之前的信息安全等級保護制度有什麼不同要求?隨著2018年1月19日,全國信息安全標準化技術委員會發布關於《信息安全技術 網絡安全等級保護定級指南(徵求意見稿)》(以下稱“《定級指南》”),我們一起來看一下,網絡安全等級保護有哪些值得關注的變化。
一、整體繼承關係
《定級指南》在前言說明,本標準代替GB/T 22240—2008《信息安全技術 信息系統安全等級保護定級指南》,與GB/T 22240—2008相比,主要技術變化如下:
——標準名稱變更為《信息安全技術 網絡安全等級保護定級指南》。
——修改了等級保護對象、增加了網絡、基礎信息網絡等術語定義。
——修改了定級要素與安全保護等級的關係。
——增加了基礎信息網絡的定級對象確定方法。
——增加了特定定級對象定級說明。
——修改了定級流程。
二、等級保護對象
等級保護制度始終保持不變的安全保護目標,即保護系統安全,保證敏感信息的處理、保證服務的連續。但隨著IT向DT的轉變,現有網絡等級保護體系更加豐富,從內容的維度,除基礎信息網絡外,把雲平臺、大數據、物聯網、工控系統等納入等級保護制度管理中;從監管對象這一維度,大型互聯網企業也加入其中。
作為定級對象的網絡應具有如下三個基本特徵:具有確定的主要安全責任主體;承載相對獨立的業務應用; 包含相互關聯的多個資源。在此定義之下,特別關注:
- 雲計算平臺。在雲計算環境中,應將雲服務方側的雲計算平臺單獨作為定級對象定級,雲租戶側的等級保護對象也應作為單獨的定級對象定級。對於大型雲計算平臺,應將雲計算基礎設施和有關輔助服務系統劃分為不同的定級對象。
- 大數據。大數據應作為單獨定級對象進行定級;安全責任主體相同的大數據、大數據平臺和應用可作為一個整體對象定級。
三、安全保護等級
網絡安全等級保護對象的級別由兩個定級要素決定,分別是受侵害的客體(三類)和對客體的侵害程度(三種程度),相互對應起來形成五級安全保護等級,如圖所示:
關於上述三類受侵害的客體分類,一般損害、嚴重損害和特別嚴重損害的定義,基本沿襲原有表達。但是在《定級指南》中,對公民、法人和其他組織的合法權益,遭受特別嚴重損害的,明確定級在“第三級”,彰顯了對私權利維護的升級。
對於基礎信息網絡、雲計算平臺、大數據平臺等支撐類網絡,應根據其承載或將要承載的等級保護對象的重要程度確定其安全保護等級,原則上應不低於其承載的等級保護對象的安全保護等級。
《定級指南》規定,原則上,大數據安全保護等級不低於第三級。對於確定為關鍵信息基礎設施的,原則上其安全保護等級不低於第三級。
四、定級流程
定級的流程在本次《定級指南》中予以明確,按照如下五個步驟進行。
其實這五個步驟也是信息安全等級保護體系下原有步驟,不過,根據《信息安全等級保護管理辦法》,以上第三步和第四步並不是每個等級必須的強制性要求。相應的規定是:
信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門的,應當經主管部門審核批准。
對擬確定為第四級以上信息系統的,運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。
由於《定級指南》的級別較低,目前還在徵求意見中,是否能取代《信息安全等級保護管理辦法》而將5個步驟普遍適用於全部定級流程,還有待看《信息安全等級保護管理辦法》是否會進行進一步的修訂。
五、定級保護自主性
在2007年《信息安全等級保護管理辦法》實施期間,曾經確立了“依照標準,自行保護”的原則,即國家運用強制性的規範及標準,要求信息和信息系統按照相應的建設和管理要求,自行定級、自行保護。”
第一級依照國家管理規範和技術標準進行自主保護;
第二級在信息安全監管職能部門指導下依照國家管理規範和技術標準進行自主保護;
第三級依照國家管理規範和技術標準進行自主保護,信息安全監管職能部門對其進行監督、檢查;
第四級依照國家管理規範和技術標準進行自主保護,信息安全監管職能部門對其進行強制監督、檢查;
第五級依照國家管理規範和技術標準進行自主保護,國家指定專門部門、專門機構進行專門監督。
但是,在網絡安全法下,網絡安全等級保護成為網絡運營者最重要的義務之一,“自行定級、自行保護”明顯已不符合網絡安全管理的需要。如何避免企業降低保護等級規避,尚缺少更高位級的法律要求。
另一方面,不同的行業按照行業政策的要求,有更具體的等級保護工作要求和定級方案,在這個過程中,主管部門的審核就具有更強的現實意義。比如電子政務網,金融行業,電力行業,廣電部門,交通行業,教育行業,稅收行業,衛生行業,菸草行業,以及最近剛剛興起的網絡借貸,網約車行業。
所以,網絡等級保護的定級將越來越趨於規範性管理,而不是自主保護。
《網絡安全法》為網絡安全等級保護提出了新要求,在繼續原有《信息安全等級保護管理辦法》的規則之下,如何與新發布的定級指南相匹配,特別是對強制性的級別要求有更明確的梳理,則是我們所期待的。
