信息安全等級保護之測評

　　1、2010年4月年公安部出臺《關(guān)于推動(dòng)信息安全等級保護測評體系建設和開(kāi)展等級測評工作的通知》

　　2、2015年11月刑法修正案（九）新增安全處罰條例第二百八十六條之一；

　　3、2017年6月1日《中華人民共和國網(wǎng)絡(luò )安全法》，正式開(kāi)始實(shí)施；

　　4、2018年全國各地公安廳將重點(diǎn)針對等級保護工作提出更高要求以及國家對網(wǎng)絡(luò )安全等級保護制度提出了新的要求，等級保護制度已進(jìn)入2.0時(shí)代。

　　信息安全等級保護，是對信息和信息載體按照重要性等級分級別進(jìn)行保護的一種工作，在中國、美國等很多國家都存在的一種信息安全領(lǐng)域的工作。

　　在中國，信息安全等級保護廣義上為涉及到該工作的標準、產(chǎn)品、系統、信息等均依據等級保護思想的安全工作；狹義上一般指信息系統安全等級保護。

　　第一級，信息系統受到破壞后，會(huì )對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會(huì )秩序和公共利益。第一級信息系統運營(yíng)、使用單位應當依據國家有關(guān)管理規范和技術(shù)標準進(jìn)行保護。

　　第二級，信息系統受到破壞后，會(huì )對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會(huì )秩序和公共利益造成損害，但不損害國家安全。國家信息安全監管部門(mén)對該級信息系統安全等級保護工作進(jìn)行指導。

　　第三級，信息系統受到破壞后，會(huì )對社會(huì )秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監管部門(mén)對該級信息系統安全等級保護工作進(jìn)行監督、檢查。

　　第四級，信息系統受到破壞后，會(huì )對社會(huì )秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家信息安全監管部門(mén)對該級信息系統安全等級保護工作進(jìn)行強制監督、檢查。

　　第五級，信息系統受到破壞后，會(huì )對國家安全造成特別嚴重損害。國家信息安全監管部門(mén)對該級信息系統安全等級保護工作進(jìn)行專(zhuān)門(mén)監督、檢查。

　　在開(kāi)展網(wǎng)絡(luò )安全等級保護工作中應首先明確等級保護對象，等級保護對象包括基礎信息網(wǎng)絡(luò )（如廣電網(wǎng)、電信網(wǎng)等）、信息系統（采用傳統技術(shù)的系統）、云計算平臺、大數據平臺、物聯(lián)網(wǎng)、工業(yè)控制系統等；確定了等級保護對象的安全保護等級后，應根據不同對象的安全保護等級完成安全建設或安全整改工作；應針對等級保護對象特點(diǎn)建立安全技術(shù)體系和安全管理體系，構建具備相應等級安全保護能力的網(wǎng)絡(luò )安全綜合防御體系。應依據國家網(wǎng)絡(luò )安全等級保護政策和標準，開(kāi)展組織管理、機制建設、安全規劃、通報預警、應急處置、態(tài)勢感知、能力建設、監督檢查、技術(shù)檢測、隊伍建設、教育培訓和經(jīng)費保障等工作。

　　刑法修正案（九） 第二百八十六條之一（新增）：“網(wǎng)絡(luò )服務(wù)提供者不履行法律、行政法規規定的信息網(wǎng)絡(luò )安全管理義務(wù)，經(jīng)監管部門(mén)通知采取改正措施而拒絕執行，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金”：

　　（一）致使違法信息大量傳播的；

　　（二）致使用戶(hù)信息泄露，造成嚴重后果的；

　　（三）致使刑事犯罪證據滅失，嚴重妨害司法機關(guān)依法追究犯罪的；

　　（四）有其他嚴重情節的。

　　1.嚴格按照相關(guān)法律法規及標準執行評估，滿(mǎn)足主管單位和行業(yè)安全要求；

　　2.梳理業(yè)務(wù)系統重要資產(chǎn)信息，了解信息資產(chǎn)面臨的外部威脅和自身弱點(diǎn)；

　　3.明確系統安全現狀，防患于未然，對于未來(lái)系統建設和投入有指導意義；

　　4.完善和規范的服務(wù)流程，享受專(zhuān)家技術(shù)支持服務(wù)；

　　5.通過(guò)安全專(zhuān)家核查及提出整改建議，并督促企業(yè)整改，降低系統被入侵風(fēng)險；

　　6.極大提高技術(shù)人員的安全意識和技術(shù)水平，有助降低運維成本，提高效率。

　　背景：云系統由于部署在各類(lèi)云平臺上面，而云平臺的實(shí)際物理地址往往和云系統網(wǎng)絡(luò )運營(yíng)者不在同一地址，大型云平臺還有許多物理節點(diǎn)，很難確定云平臺的具體物理地址，那么這種情況下云系統到底到云平臺所在注冊地址進(jìn)行系統備案，還是到自己所在注冊地址進(jìn)行備案，如果自己的運維團隊和注冊經(jīng)營(yíng)地址不一致怎么辦？到底去哪里備案？不少人以為是到注冊經(jīng)營(yíng)地進(jìn)行備案。

　　答：云系統應當在系統實(shí)際運維團隊所在地市網(wǎng)安部門(mén)進(jìn)行系統備案，因為這樣方便屬地公安對系統進(jìn)行監管。

　　擴展：在云計算環(huán)境中，應將云服務(wù)方側的云計算平臺單獨作為定級對象定級，云租戶(hù)側的等級保護對象也應作為單獨的定級對象定級。

　　背景：系統上云的情況越來(lái)越多，不論是公有云（阿里云、騰訊云、微軟Azure云、亞馬遜云等）還是各類(lèi)私有云（政務(wù)云、內部云平臺等）或者就是直接托管到IDC機房，一些客戶(hù)認為系統已經(jīng)不在自己機房了，所以系統的相應安全運維就不歸自己管了，自然等保工作就不需要做了。

　　答：根據“誰(shuí)運營(yíng)誰(shuí)負責，誰(shuí)使用誰(shuí)負責，誰(shuí)主管誰(shuí)負責”的原則，該系統責任主體還是屬于網(wǎng)絡(luò )運營(yíng)者自己，所以還是得承擔相應的網(wǎng)絡(luò )安全責任，該進(jìn)行系統定級的還是得定級，該做等保的還是得做等保。

　　擴展：系統上云或托管后，并不是安全責任主體轉移，只是系統所在機房地址的變更，當然在公有云模式下，Iaas、Paas、Saas不同模式相應的安全責任會(huì )有些區別，但是并不是沒(méi)有責任。

　　背景：一些客戶(hù)擔心系統定級定高了后期給自己工作增加麻煩，一方面等級高了，技術(shù)要求高了，需要做的工作多了；另一方面三級系統需要每年都做測評，也覺(jué)得麻煩。所以想著(zhù)系統定個(gè)二級就可以了，自己省事。

　　答：首先系統到底定幾級是根據受侵害的客體以及對客體侵害的程度來(lái)確定的，是以事實(shí)為根據，而不是拍腦袋決定的。系統等級定低了，乍一看可能工作上是容易做了，但是反而是我們沒(méi)有落實(shí)好網(wǎng)絡(luò )安全保護義務(wù)的直接表現，系統等級低了相應的安全防護要求也低了，那么萬(wàn)一你的系統不小心被攻擊破壞造成一定不良影響，在主管部門(mén)進(jìn)行責任認定追查時(shí)，很有可能就會(huì )因為系統定級不合理，安全責任沒(méi)有履行到位而被處罰。得不償失，還是安安穩穩把自己該做的工作做好。

　　擴展：系統定級按照等保1.0的要求是自主定級，有主管部門(mén)的需要主管部門(mén)審核，最終報送公安機關(guān)進(jìn)行審核。所以定級并不是想定幾級就定幾級的。預計今年會(huì )發(fā)布的等保2.0里定級流程新增了“專(zhuān)家評審”和“主管部門(mén)審核”兩個(gè)環(huán)節，這樣定級過(guò)程將會(huì )變得更加規范，定級也會(huì )更加準確。

　　背景：一些客戶(hù)會(huì )覺(jué)得系統定了級以后相關(guān)主管單位就會(huì )不時(shí)地來(lái)安全檢查了，給自己的工作增加了麻煩，被人管的感覺(jué)很不好。

　　答：所有非涉密系統都屬于等級保護范疇，沒(méi)有定級不代表不需要被監管，相反如果沒(méi)有被納入監管，反而會(huì )比較危險，哪天出了事就比較難收拾殘局。定級后或者被監管，主管單位會(huì )在重點(diǎn)時(shí)刻對我們的重要信息系統進(jìn)行一定掃描及保護，會(huì )及時(shí)告知發(fā)現的一些問(wèn)題，避免發(fā)生網(wǎng)絡(luò )安全攻擊事件；同時(shí)一些重要的政策要求或者行業(yè)會(huì )議，也會(huì )通知你們過(guò)來(lái)參會(huì )，方便大家及時(shí)了解最新的網(wǎng)絡(luò )安全形勢，有利于大家開(kāi)展好網(wǎng)絡(luò )安全工作。

　　擴展：做了等保后，主管單位并不一定會(huì )對你們單位做相關(guān)安全檢查，單位很多，重要的系統很多，主管單位也有自己的一些統一安排，到底會(huì )不會(huì )對你們檢查取決于很多因素，但是一般單位可以不需要有這些顧慮。來(lái)檢查是好事，可以及時(shí)發(fā)現問(wèn)題，督促指導大家開(kāi)展好網(wǎng)絡(luò )安全工作。

　　背景：一些人以為等級保護工作主要就是對系統進(jìn)行定級備案，然后做個(gè)測評就可以了。

　　答：等級保護工作不僅是一個(gè)測評而是包含：定級、備案、測評、建設整改和監督審查五項內容，測評只是其中一項。

　　擴展：測評只是開(kāi)始，更重要的是我們通過(guò)測評尋找出差距，分析出目前我們的系統存在的風(fēng)險，及時(shí)查漏補缺，進(jìn)行安全建設整改，提高信息系統的安全防護能力，降低系統受到攻擊破壞的概率。

　　背景：一些客戶(hù)以為等保測評只要做過(guò)一次就行了，以后就不用做了。把等保工作當成一個(gè)形式當成應付工程去做。

　　答：等保工作是一個(gè)持續的工作，等保測評也是一個(gè)周期性的工作，三級系統要求每年做一次，四級系統每半年做一次，二級系統部分行業(yè)明確要求每?jì)赡曜鲆淮危瑳](méi)有明確要求的行業(yè)建議大家兩年做一次測評。

　　擴展：做等保測評不應當抱著(zhù)應付的心態(tài)去做，如果大家的系統真能按照等級保護的要求去做好，那么你的系統安全防護水平還是很高的。做了等保，一方面是合規，更多的是切切實(shí)實(shí)協(xié)助我們做好單位的網(wǎng)絡(luò )安全工作。

　　背景：一些用戶(hù)以為做不做等保不要緊，關(guān)揵的是不要出網(wǎng)絡(luò )安全事件，只要不出事都沒(méi)問(wèn)題。

　　答：《中華人民共和國網(wǎng)絡(luò )安全法》第二十一條

　　國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改：（五）法律、行政法規規定的其他義務(wù)。不做等保就屬于第五個(gè)行為，國內目前已經(jīng)有公開(kāi)報道的因沒(méi)有落實(shí)等級保護制度而被處罰的真實(shí)案例。所以等保及時(shí)去做，不要等。

　　擴展：網(wǎng)絡(luò )安全技術(shù)發(fā)展日新月異，什么叫安全？買(mǎi)什么產(chǎn)品做什么服務(wù)就能安全？絕對的安全是不可能的，我們不能百分百保證我們的系統是安全的，但是我們得把我們能做的工作及時(shí)做到位，該做的工作做到了，自然也就相對安全了。

　　背景：不少用戶(hù)的系統都在單位內網(wǎng)或者專(zhuān)網(wǎng)中，覺(jué)得系統不對外相對安全，所以就可以不做等保了。

　　答：首先所有非涉密系統都屬于等級保護范疇，和系統在外網(wǎng)還是內網(wǎng)沒(méi)有關(guān)系；其次在內網(wǎng)的系統往往其網(wǎng)絡(luò )安全技術(shù)措施做的并不好，甚至不少系統已經(jīng)中毒不淺。所以不論系統在內網(wǎng)還是外網(wǎng)都得及時(shí)開(kāi)展等保工作。

　　擴展：內網(wǎng)不代表安全，而且現在純粹的物理內網(wǎng)很少了，大部分或多或少都與互聯(lián)網(wǎng)有些連接。內網(wǎng)一旦中毒，擴散很快，而且很難清除，因為很多技術(shù)措施都沒(méi)有，幾乎在裸奔狀態(tài)，一旦中毒很容易就跨了。

　　背景：一些用戶(hù)或者同行搞不清等保到底是個(gè)什么情況，以為是按照整個(gè)單位去做，天真地認為一個(gè)單位做一個(gè)等保測評就可以。

　　答：等保測評是按照信息系統來(lái)的，以一個(gè)信息系統為測評整體，并不是按照一個(gè)單位去做的。

　　擴展：一個(gè)完整的信息系統包括承載其的物理機房、服務(wù)器、主機、應用、數據庫、網(wǎng)絡(luò )設備及安全設備等，測評除了這些具體的實(shí)體對象，還包括相對應的安全管理制度。

　　背景：一些客戶(hù)有疑慮：測評是沒(méi)有多少錢(qián)，但是測評后需要進(jìn)行安全建設整改，需要花很多錢(qián)。

　　答：整改花多少錢(qián)取決于你的信息系統等級、系統現有的安全防護措施狀況以及網(wǎng)絡(luò )運營(yíng)者對測評分數的期望值，不一定要花很多錢(qián)甚至不花錢(qián)。

　　擴展：整改的內容大體分為：安全制度完善、安全加固等安全服務(wù)以及安全設備的添置。在安全制度及安全加固上網(wǎng)絡(luò )運營(yíng)者自己可以做很多整改工作或者委托系統集成方進(jìn)行加固，往往這是不需要額外付費的或者是包含在你和系統集成方合同約定中的，這兩塊內容整改好，加上你有一定的安全技術(shù)措施，基本上是可以達到基本符合的結論的。所以花多少錢(qián)看你怎么去做或者你的期望值是多少。