2017年,《網(wǎng)絡(luò)安全法》的正式實(shí)施,,標(biāo)志著等級(jí)保護(hù)2.0的正式啟動(dòng),。網(wǎng)絡(luò)安全法第21條明確“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度” ,其第31條明確“國(guó)家對(duì)一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露,,可能嚴(yán)重危害國(guó)家安全,、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,,實(shí)行重點(diǎn)保護(hù)”。上述要求為網(wǎng)絡(luò)安全等級(jí)保護(hù)賦予了新的含義,。相較于“等保1.0”,,等保2.0已上升至法律層面,對(duì)于網(wǎng)絡(luò)經(jīng)營(yíng)者而言,,不過(guò)等保就是違法的,。
對(duì)于企業(yè)來(lái)說(shuō)要過(guò)等保,除了要了解《信息安全技術(shù)-網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》以外,,還應(yīng)結(jié)合《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》,、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》一起來(lái)看。
2.如何理解等保2.0
2.1 等保的對(duì)象
等級(jí)保護(hù)的對(duì)象是網(wǎng)絡(luò)基礎(chǔ)設(shè)施,、信息系統(tǒng),、大數(shù)據(jù)、物聯(lián)網(wǎng),、云平臺(tái),、工控系統(tǒng)、移動(dòng)互聯(lián)網(wǎng),、智能設(shè)備等,。
等保的核心是等級(jí)保護(hù)、管理規(guī)范和技術(shù)標(biāo)準(zhǔn),。 等保要求組織企業(yè)和個(gè)人對(duì)信息系統(tǒng)進(jìn)行分等級(jí)的安全保護(hù),,對(duì)安全保護(hù)的實(shí)施進(jìn)行監(jiān)督和管理,從而保證安全信息系統(tǒng)的基礎(chǔ)安全,。
2.2 等保的歷史和演進(jìn)
2.2.1 等保1.0和等保2.0的區(qū)別
“等保1.0”體系以信息系統(tǒng)為對(duì)象,,確立了五級(jí)安全保護(hù)等級(jí),并從信息系統(tǒng)安全的定級(jí)方法,、基本要求,、實(shí)施過(guò)程、測(cè)評(píng)工作等方面入手,,形成了一套相對(duì)完整,、標(biāo)準(zhǔn)明確、涵蓋技術(shù)和管理要求的等級(jí)保護(hù)規(guī)范,,然而隨著網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻,,“等保1.0”已經(jīng)難以持續(xù)應(yīng)對(duì)更加復(fù)雜的網(wǎng)絡(luò)安全新時(shí)代,從而國(guó)家又推出了“等保2.0”,。相較于“等保1.0”為等級(jí)保護(hù)提供指南和方針,,“等保2.0”是其基礎(chǔ)之上的迭代和延伸,。
“等保2.0”相較于“等保1.0”的變化如下:
等保2.0將“信息系統(tǒng)安全”拓展到了“網(wǎng)絡(luò)安全”,其中所謂“網(wǎng)絡(luò)”是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集,、存儲(chǔ),、傳輸、交換,、處理的系統(tǒng),。
等保2.0的法律意義更高,是國(guó)家的網(wǎng)絡(luò)安全領(lǐng)域的基本國(guó)策,、基本制度和基本方法,。
2.0定級(jí)劃分更加細(xì)致,對(duì)于企業(yè)來(lái)說(shuō)意味著更高的標(biāo)準(zhǔn)要求,。
2.2.2 等保的演進(jìn)
等保的演進(jìn)伴隨著以下幾個(gè)方面的不斷發(fā)展和完善,,從基礎(chǔ)安全(安全加固+補(bǔ)丁管理+應(yīng)用防護(hù))到被動(dòng)防御(基礎(chǔ)對(duì)抗+縮小攻擊面+消耗攻擊資源+延緩攻擊), 從被動(dòng)防御到積極防御(全面檢測(cè)+快速響應(yīng)+安全分析+追根溯源+響應(yīng)處理)并通過(guò)威脅情報(bào)、動(dòng)態(tài)感知(信息收集+情報(bào)驗(yàn)證+信息挖掘)進(jìn)一步提高整個(gè)防護(hù)保證體系的安全可信度(靜態(tài)可信+動(dòng)態(tài)可信+法律手段+技術(shù)反制+安全驗(yàn)證),。
從發(fā)展的角度來(lái)說(shuō),,網(wǎng)絡(luò)安全等級(jí)保護(hù)制度呈現(xiàn)以下幾個(gè)明顯的演進(jìn)方向:
由亂到治,有法可依,,安全監(jiān)管更加嚴(yán)格,,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第21條規(guī)定“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”,要求“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全保護(hù)等級(jí)制度要求,,履行安全保護(hù)義務(wù)”,;第31條規(guī)定“對(duì)于國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,,實(shí)行重點(diǎn)保護(hù)”,。
隨著大數(shù)據(jù)、云計(jì)算,、移動(dòng)互聯(lián)網(wǎng),、人工智能等新技術(shù)不斷涌現(xiàn),計(jì)算機(jī)信息系統(tǒng)的概念已經(jīng)不能涵蓋全部,,特別是互聯(lián)網(wǎng)開素發(fā)展帶來(lái)的大數(shù)據(jù)價(jià)值的凸顯,,等保保護(hù)對(duì)象的外延將不斷拓展。
在定級(jí),、備案、建設(shè)整改,、等級(jí)評(píng)測(cè)和監(jiān)督檢查等規(guī)定動(dòng)作基礎(chǔ)上,,2.0時(shí)代風(fēng)險(xiǎn)評(píng)估,安全監(jiān)測(cè),,通報(bào)預(yù)警,、事件調(diào)查,、數(shù)據(jù)防護(hù)、災(zāi)難備份,、應(yīng)急處理,、自主可控、供應(yīng)鏈安全,、效果評(píng)價(jià),、綜治考核等這些與網(wǎng)絡(luò)安全密切相關(guān)的措施都將全部納入等級(jí)保護(hù)制度并加以實(shí)施。
2.0時(shí)代,,主管部門將繼續(xù)指定出臺(tái)一系列政策法規(guī)和技術(shù)標(biāo)準(zhǔn),,形成運(yùn)轉(zhuǎn)順暢的工作機(jī)制、在先有體系基礎(chǔ)上,,建立完善等級(jí)保護(hù)政策體系,、標(biāo)準(zhǔn)體系、評(píng)測(cè)體系,、關(guān)鍵技術(shù)研究體系,、教育培訓(xùn)體系等。自主可信可控的安全系統(tǒng)年,,可信環(huán)境成為主要的安全實(shí)現(xiàn)途徑,。
3.過(guò)等保的流程
圖1 過(guò)等保的流程
3.1 定級(jí)
等級(jí)保護(hù)對(duì)象根據(jù)其在國(guó)家安全、經(jīng)濟(jì)建設(shè),、社會(huì)生活中的重要程度,,遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序,、公共利益以及公民,、法人和其他組織的合法權(quán)益的危害程度等,由低到高被劃分為五個(gè)安全保護(hù)等級(jí) ,。具體的定級(jí)要求參見《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》,。
不同級(jí)別的等級(jí)保護(hù)對(duì)象應(yīng)具備的基本安全保護(hù)能力要求如下:
|
定級(jí)要求 |
防護(hù)水平 |
處理能力 |
恢復(fù)能力 |
一級(jí) |
一旦受到破壞會(huì)對(duì)相關(guān)公民、法人和其他組織的合法權(quán)益造成損害,,但不危害國(guó)家安全,、社會(huì)秩序和公共利益的一般網(wǎng)絡(luò); |
防護(hù)免受來(lái)自個(gè)人的,、擁有很少資源的威脅源發(fā)起的惡意攻擊,、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害 |
- |
在自身遭到損害后,,能夠恢復(fù)部分功能 |
二級(jí) |
一旦受到破壞會(huì)對(duì)相關(guān)公民,、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成危害,但不危害國(guó)家安全的一般網(wǎng)絡(luò),; |
防護(hù)免受來(lái)自外部小型組織的,、擁有少量資源的威脅源發(fā)起的惡意攻擊、 一般的自然災(zāi)難,、以及其他相當(dāng)危害程度的威脅所造成的重要資源損害,, |
能夠發(fā)現(xiàn)重要的安全漏洞和處置安 全事件 |
自身遭到損害后,能夠在一段時(shí)間內(nèi)恢復(fù)部分功能 |
三級(jí) |
一旦受到破壞會(huì)對(duì)相關(guān)公民,、法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害,,或者會(huì)對(duì)社會(huì)秩序和社會(huì)公共利益造成嚴(yán)重危害,或者對(duì)國(guó)家安全造成危害的重要網(wǎng)絡(luò),; |
在統(tǒng)一安全策略下防護(hù)免受來(lái)自外部有組織的團(tuán)體,、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難,、以及其他相當(dāng)危害程度的威脅所造成的主要資源損害 |
能夠及時(shí)發(fā)現(xiàn),、監(jiān)測(cè)攻擊行為和處置安全事件 |
自身遭到損害后,能夠較快恢復(fù)絕大部分功能 |
四級(jí) |
一旦受到破壞會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重危害,,或者對(duì)國(guó)家安全造成嚴(yán)重危害的特別重要網(wǎng)絡(luò),; |
應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來(lái)自國(guó)家級(jí)別的、敵對(duì)組織的,、擁有豐富資 源的威脅源發(fā)起的惡意攻擊,、嚴(yán)重的自然災(zāi)難 |
能夠及時(shí)發(fā)現(xiàn)、監(jiān)測(cè)發(fā)現(xiàn)攻擊行為和安全事件 |
在自身遭到損害后,,能夠迅速恢復(fù)所有功能 |
五級(jí) |
一旦受到破壞后會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重危害的極其重要網(wǎng)絡(luò),。 |
略 |
略 |
略 |
第五級(jí)等級(jí)保護(hù)對(duì)象是非常重要的監(jiān)督管理對(duì)象,對(duì)其有特殊的管理模式和安全要求,,所以不在本文中進(jìn)行詳細(xì)闡述
簡(jiǎn)單而言,,定級(jí)主要參考行業(yè)要求和業(yè)務(wù)的發(fā)展體量,例如普通的門戶網(wǎng)站,,定為二級(jí)已經(jīng)足夠,,而存儲(chǔ)較多敏感信息的系統(tǒng)例如保存用戶的身份信息、通訊信息,、住址信息等則需要定為三級(jí),。對(duì)擬定為第二級(jí)以上的網(wǎng)絡(luò),其運(yùn)營(yíng)者應(yīng)當(dāng)組織專家評(píng)審,;有行業(yè)主管部門的,,應(yīng)當(dāng)在評(píng)審后報(bào)請(qǐng)主管部門核準(zhǔn)??缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的網(wǎng)絡(luò)由行業(yè)主管部門統(tǒng)一擬定安全保護(hù)等級(jí),,統(tǒng)一組織定級(jí)評(píng)審。總體來(lái)說(shuō),,定級(jí)滿足就高不就低的原則。
3.2 備案
對(duì)擬定為第二級(jí)及以上的網(wǎng)絡(luò),,應(yīng)當(dāng)在網(wǎng)絡(luò)的安全保護(hù)等級(jí)確定后10個(gè)工作日內(nèi),,到縣級(jí)以上公安機(jī)關(guān)備案。二級(jí)及以上需要提交的備案材料例如定級(jí)報(bào)告,、備案表,,三級(jí)及以上需要提供組織架構(gòu)圖、拓?fù)鋱D,、系統(tǒng)安全方案,、系統(tǒng)設(shè)備列表及銷售許可證等等。因網(wǎng)絡(luò)撤銷或變更調(diào)整安全保護(hù)等級(jí)的,,應(yīng)當(dāng)在10個(gè)工作日內(nèi)向原受理備案公安機(jī)關(guān)辦理備案撤銷或變更手續(xù),。
|
第一級(jí)別 |
第二級(jí)別 |
第三級(jí)別 |
第四級(jí)別 |
應(yīng)以書面的形式說(shuō)明保護(hù)對(duì)象的安全保護(hù)等級(jí)及確定等級(jí)的方法和理由。 |
|
|
|
|
應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定,; |
|
|
|
|
應(yīng)保證定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門的批準(zhǔn),; |
|
|
|
|
應(yīng)將備案材料報(bào)主管部門和相應(yīng)公安機(jī)關(guān)備案。 |
|
|
|
|
3.3 建設(shè)整改
在確定了等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)后,,應(yīng)根據(jù)不同對(duì)象的安全保護(hù)等級(jí)完成安全建設(shè)或安全整改工作 ,。就建設(shè)整改而言,網(wǎng)絡(luò)安全防護(hù)技術(shù)是其基礎(chǔ),,提高管理水平,、規(guī)范網(wǎng)絡(luò)安全防護(hù)行為是其關(guān)鍵,良好的運(yùn)維與監(jiān)控也為其提供最有力的支持保障,。就第二等級(jí)及以上級(jí)別要求而言,,應(yīng)定期進(jìn)行等級(jí)測(cè)評(píng),發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的需要及時(shí)整改,。
3.4 等級(jí)測(cè)評(píng)
等級(jí)測(cè)評(píng)主要是兩個(gè)方面的評(píng)估,,一個(gè)方面是技術(shù)上的評(píng)估,例如安全能力是否達(dá)標(biāo),、網(wǎng)絡(luò)架構(gòu)是否合規(guī),,另一個(gè)方面是管理上的評(píng)估,例如管理制度和人員的培訓(xùn)是否到位等等,?!暗缺?.0”要求二級(jí)及以上級(jí)別的企業(yè)應(yīng)在發(fā)生重大變更或級(jí)別發(fā)生變化時(shí)進(jìn)行等級(jí)測(cè)評(píng),應(yīng)確保測(cè)評(píng)機(jī)構(gòu)的選擇符合國(guó)家有關(guān)規(guī)定,。
3.5 監(jiān)督檢查
監(jiān)督檢查貫穿等級(jí)保護(hù)的全部方面,,從定級(jí)到備案,從備案到整改,從整改到測(cè)評(píng),,都離不開監(jiān)督檢查的貫徹與實(shí)施,。對(duì)于二級(jí)及以上等級(jí)而言,應(yīng)定期進(jìn)行常規(guī)安全檢查,,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行,、系統(tǒng)漏洞和數(shù)據(jù)備份等情況 。
|
第一級(jí)別 |
第二級(jí)別 |
第三級(jí)別 |
第四級(jí)別 |
應(yīng)定期進(jìn)行常規(guī)安全檢查,,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行,、系統(tǒng)漏洞和數(shù)據(jù)備份等情況 |
|
|
|
|
應(yīng)定期進(jìn)行全面安全檢查,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性,、安全配置 與安全策略的一致性,、安全管理制度的執(zhí)行情況等 |
|
|
|
|
應(yīng)制定安全檢查表格實(shí)施安全檢查,匯總安全檢查數(shù)據(jù),,形成安全檢查報(bào)告,,并 對(duì)安全檢查結(jié)果進(jìn)行通報(bào) |
|
|
|
|
4.等保與日志審計(jì)
4.1 等保的基本要求
“等保2.0”將安全要求分為10個(gè)子項(xiàng),從技術(shù)角度來(lái)說(shuō),,包括安全物理環(huán)節(jié),、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界,、安全計(jì)算環(huán)境,、安全管理中心;從管理角度來(lái)說(shuō),,包括安全管理制度,,安全管理機(jī)構(gòu)、安全管理人員,、安全建設(shè)管理和安全運(yùn)維管理,。此外,基本要求又對(duì)每個(gè)子項(xiàng)做出安全通用要求和個(gè)性化的安全拓展要求,。
4.2 阿里云的資質(zhì)和生態(tài)
阿里云可靠的安全資質(zhì)和完善的安全生態(tài)產(chǎn)品可以幫助網(wǎng)絡(luò)運(yùn)營(yíng)者達(dá)到等保2.0的基本技術(shù)要求,,很多阿里云產(chǎn)品均為等保測(cè)評(píng)的首個(gè)落地試點(diǎn),云防火墻,、WAF,、DDoS防護(hù)等安全產(chǎn)品為等保創(chuàng)造了一個(gè)安全的計(jì)算環(huán)境,VPC,、SLB等網(wǎng)絡(luò)資源又為等保2.0劃出了安全的區(qū)域邊界,,堡壘機(jī)、統(tǒng)一身份認(rèn)證,、RAM等在訪問控制方面為等保2.0牢牢把關(guān),,RDS,、Polardb等數(shù)據(jù)庫(kù)的安全審計(jì)又提升了等保2.0的數(shù)據(jù)安全,云安全管理中心從整體上也幫助企業(yè)全面了解,、有效處理服務(wù)器的安全隱患,,實(shí)現(xiàn)對(duì)云上資產(chǎn)的集中安全管理。
4.3 日志審計(jì)服務(wù)
在阿里云全面豐富的安全產(chǎn)品生態(tài)基礎(chǔ)上,,基于根據(jù)《網(wǎng)絡(luò)安全法》第二十一條第三小節(jié)中明確規(guī)定了“采取監(jiān)測(cè),、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月"的要求,日志審計(jì)APP應(yīng)運(yùn)而生,。
日志審計(jì)服務(wù)為存儲(chǔ)和查詢網(wǎng)絡(luò)安全生態(tài)云產(chǎn)品日志提供一個(gè)簡(jiǎn)單完備的有效手段,。日志審計(jì)APP可以自動(dòng)化、中心化地采集云產(chǎn)品日志并進(jìn)行審計(jì),,其服務(wù)覆蓋基礎(chǔ)(操作審計(jì),、k8s)、存儲(chǔ)(OSS,、NAS),、網(wǎng)絡(luò)(SLB、API網(wǎng)關(guān),、VPC),、數(shù)據(jù)庫(kù)(RDS、PolarDB-X1.0,,PolarDB),、安全(WAF、DDOS,、SAS,、CPS)等產(chǎn)品,還支持審計(jì)所需的存儲(chǔ),、查詢及信息匯總等功能,。日志審計(jì)同時(shí)結(jié)合威脅情報(bào)和SLS告警功能,幫助完善企業(yè)用戶的風(fēng)險(xiǎn)監(jiān)控與事件響應(yīng),,具體細(xì)節(jié)可以參考《從日志審計(jì)角度解讀網(wǎng)絡(luò)數(shù)據(jù)時(shí)代新安全》一文,。
圖2 開啟日志審計(jì)
當(dāng)前位置:
