宋好好:网络安全等级保护2.0要求解读

ADP_4721

宋好好 公安部第三研究所国家网络与信息系统安全产品质量监督检验中心 大数据安全测评实验室主任

摘要:中华人民共和国网络安全法中明确提出,国家实行网络安全等级保护制度。网络安全等级保护制度已进入2.0阶段,在新阶段具有新的特征和新的落地标准支撑。宋好好从网络安全法具体条款的解读出发,重点介绍网络安全等级保护制度在2.0阶段的新特征和新变化,并对关键网络安全等级保护相关标准、尤其是标准中新增加的个人信息保护、云计算扩展等要求进行详细介绍。

现在《等保》已经进入了2.0这个阶段, 1.0阶段的时候是信息安全等级保护,现在进入到2.0这个阶段,网络安全等级保护。

进入到2.0阶段之后,会有哪些新的变化,或者说有哪些新的特点?

讲到网络安全等级保护不得不先提中华人民共和国《网络安全法》,这是《等保》进入到2.0以后非常显著的特征。以前在1.0阶段的时候,信息安全等级保护这个阶段的时候,其实是国务院的《147号令》和中办发的《2003号文》作为支撑的。当时是国家的法律和法规作为支撑的,但是没有上升到法律层面。那么2.0这个层面不一样了,有了《中华人民共和国网络安全法》的支撑,已经上升到了一个法律的层面,所以说它的地位有了一个显著的变化。

那么在介绍2.0相关的技术要求或者说相关的变化之前,我们先来简单的回顾一下《网络安全法》关于网络安全保护相关的条款。

首先是第二十一条,它说我们国家要实行网络安全等级保护制度。网络运营者应当按照网络安全保护制度相关的要求履行下列的安全保护义务。那么履行这些保护义务是为了做到什么?是为了保障什么呢?是保障网络免受干扰破坏,或者是未经授权的访问,防止网络数据的泄露或者是被窃取、篡改。

其实这就是履行网络安全等级保护制度的相关义务之后,能够起到什么样防护的效果?这是在《网络安全法》第二十一条中有说的。

它具体规定了网络运营这的五项基本义务。

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。第一条其实是从管理制度上要求的,我们都知道没有规矩不成方圆,那么这个规矩其实落在我们现实生活中,或者说落在我们网络运营者这边,其实就是我们的规章制度,有没有合理合规的规章制度,这个规章制度有没有在日常的建设和运维中得以有效的落实,这是非常重要的。

有的人会说,管理制度和技术可能会有一个比例,有的人说是三七,有的人说是七三,其实我认为两种是并重的,缺一不可,就是如果你只有制度没有技术,肯定是不能够保证相对的安全,如果你只有技术而没有任何制度,那么毫无规章可循,运维者今天想起来做这件事,明天不想干就不干了,这肯定是不能保证网络安全的。

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

这是从技术上做要求,那么管理和技术一定要并重才可能保障网络的安全。其实我后面会讲到《等保》落地的一些实施细则,这包括国家标准,新出台的国家标准22239、28448等,它们其实都是从管理和技术两个方面来进行相关的要求,所以说才能够全面的保障网络的安全。

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

这一条其实我觉得跟今天我们的主题非常切合,那就是我们现在已经进入到了一个,就是已经进入到了一个网络攻击多态化,多形式化的这么一个阶段,技术随着时间的推移不停地发展,但是攻击手段其实也在不停的发展。如果你只是,比如说你的网络中只是布了传统的像IDS、IPS,或者简单的防病毒网关进行防御的话,其实可能并不有效的发现现在所谓的app攻击,或者是异常行为等等,那么你需要有一个多数据源的数据量的收集,长时间的数据积累,你才有可能经过一个全面统计的分析来发现你的网络处于哪种态势。

其实现在很多省市或者说部一级的单位都在建立自己的态势感知大平台,其实这种态势感知大平台,要想能够起得了很好的作用,最主要的就是要有多点数据源,要有长时间的数据积累。如果你没有很多的数据积累,你的态势感知是不会有很合理,很有效,很全面的感知。所以说为什么要有一个网络日志留存的时间长度,就是你你日志只有足够的量,只有足够的源,而且有足够的时间,你才能对你的网络有一个综合性的分析。这一条也是《网络安全法》中很少有的不用实施细则,就直接落地的这么一条义务,其实大家都知道《网络安全法》是从2017年6月1日开始正式实施的,大家可以对照一下,看看自己的单位,或者自己所在的网络运营者承担的相关的义务,有没有落实到这一条?有没有讲网络日志的留存保存至少六个月?不光要保存六个月,还要对它们进行一个统一的长时间积累的分析才可以。

(四)采取数据分类、重要数据备份和加密等措施;

因为我所在的部门它承担的就是网络安全等级保护的测评工作,其实在《网络安全法》正式出台之前,其实我们调研过很多家单位,它们对于数据的分类分级,或者说分种类的保护其实做的并不是特别好,很多单位都做的不是特别好。其实非常有效的对于数据的保护,其实应该是这样子的,就是你要把你所在的单位或者是你所在单位所有的信息系统,或者是网络中的所有数据要进行一个梳理,将这些信息进行不同的分类,分好类之后要对数据进行分级,要区分哪些数据可能是重要的,哪些数据可能是不重要的,对于重要的数据你要采取什么样的措施?这样子才能够使得每个单位的数据能够得到很好的保护,然后才能够真正做到数据安全,而不是说大家统一打包,我也不管什么数据,我都是采取强加密,或者我都是采取一种处理措施,其实这是非常不科学的。

(五)法律、行政法规规定的其他义务。

在介绍完《网络安全法》中关于网络安全等级保护制度的相关条款之后,我们来看一下今天的主题,就是网络安全等级保护2.0相关要求的解读。

首先,必须跟各位再强调一下。等级保护这个制度进入2.0这个阶段之后,是会有三个显著的特征:

1、如果网络运营者不履行网络安全等级保护制度规定的相关义务,其实就是在触犯我们中华人民共和国的《网络安全法》,是一个违法行为,所以这个层面是个非常非常的严肃,并且很高的。

2、就是公安部会同中央网信办、国家保密局和国家密码管理局,联合起草并上报了《网络安全等级保护条例(征求意见稿)》,目前这个条例,大家看到的是征求意见稿,这也是一个显著特征,就是我们有一个新的网络安全等级保护条例。

3、国家新标准的出台并实施。

下面再来看一下等级保护对象的变化,以前在信息安全等级保护,也就是说《等保》的1.0阶段,我们所保护的对象其实是信息系统,那么在2.0这个阶段,等级保护对象的范围扩大了,它的保护对象包括网络基础设施、信息系统、大数据、云计算平台、物联网、工业控制系统等。那么重点保护对象是国家关键信息基础设施,这里我想跟各位强调的一点是,有很多人会对关键基础设施信息的保护和网络信息安全保护这两个概念,会觉得不是特别理解,这两个是什么样的关系?

其实我想跟各位强调一点,就是关键信息基础设施保护的基础是网络安全等级保护,那么网络安全等级保护,保护的重点是关键信息基础设施。也就是说,两者是密不可分的,如果网络运营者有关键信息基础设施,那么他所要做的工作的第一步还是要履行网络安全等级保护制度规定的相关义务。在此基础上,可以对他的关键信息基础设施再实行关键信息基础设施等级保护条例当中所强调的保护手段或者是保护措施。

所以说,这个是一个非常明确的一个关系,就是《等保》是关键信息基础设施的基础,然后等级保护的重点也是关键信息基础设施。

好,刚才我说到2.0这个阶段有了新的特征,其实刚刚最后一个就是新标准的出台和实施。那么现在大家可以看到,我列出了跟《等保》相关的标准,其实有很多自媒体在介绍的时候说1.0这个阶段《等保》只有一个标准,其实不是的,《等保》一直都是一系列标准。但是确实这个一系列标准现在是有修订,而且是有陆续出台。

在去年2018年,就出台了网络安全等级保护测评制度指南,那么在今年5月10号正式发布了三个标准:

1、22239网络安全等级保护基本要求;

2、25070网络安全等级保护设计要求;

3、28448网络安全等级保护测评要求。

这三个是一起发布的,因为它们是互相支撑的,然后这三个标准是5月10日正式发布,今年的12月1日正式实施,这中间还有一个时间差,所以说各位其实可以详细的来看一下2.0相应的这些标准,然后及时的对自己的信息系统或者是网络进行一个保护措施方面的调整。

我这边有两个标红的是22239和28448,以前在1.0这个阶段宣讲的时候,我们一般会给别人介绍的是,其实是22239和22240这两个标准,但是在2.0这个阶段宣讲的时候,我肯定是会将28448纳入到其中,这后面我会讲到为什么你不能够脱离28448直接看22239?以前如果你可能对网络建设、网络运维比较了解的话,你可能觉得我只看22239就可以了,28448我可看可不看。但是在2.0这个阶段,你绝对不能脱离2248直接看22239,因为你不能从22239中直接确定你的保护对象是哪些,这条要求是要求你去保护哪些保护对象?我后面会讲到。

那么先来看一下网络安全等级保护基本要求,等级保护2.0和1.0相比,它的主要变化体现在工作内容上有所扩展,保护对象上有所扩展,保护力度也有所提升。从工作内容的方面是除了满足1.0时代规定动作,也就是说定级、备案、建设、整改、测评和监督检查之外,还把风险评估、安全监测、通报预警、案件调查等方面的工作,全纳入到了等级保护的范围内,所以说它多了很多内容,这也其实是跟《网络安全法》相对应的,因为《网络安全法》中提出对网络运营者有些相关的义务,我们都是在网络安全等级保护制度的基本要求中得到的落实。

那么技术方面是有一个非常大的调整,也就是这个调整才使得你不能够只看22239了。技术方面强调的是“一个中心、三层防护”的网络安全架构,它是从“一个中心、三层防护”方面提出技术的相关要求的,而不是以前从对被保护对象的类别方面提的。以前是从被保护对象的类别上,网络、主机、应用、数据安全这一块来提出的,那么现在不是这样子了,现在是“一个中心、三层防护”。这些方面其实都有变化。

那么具体可以看一下,这是我直接在2019版中列举的主要变化,首先是标准名称变了,以前是叫“信息系统安全等级保护基本要求”,现在是叫“网络安全等级保护基本要求”。

调整了分类,主要是技术方面的调整,“三层防护、一个中心”。现在是安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心。

那么“三层防护”是哪三层防护呢?就是安全通信网络、安全区域边界、安全计算环境到最后计算节点的,这是三层方面的防护。

然后“一个中心”是安全管理中心。有很多自媒体把安全管理中心解读为管理要求是不对的,他没有看到22239对安全管理中心的一个技术方面的要求,是完全技术方面的,不是管理方面的。

那么制度方面,我前面也讲了,《网络安全法》中前两条规定网络运营者的义务,一条是管理制度方面,一条是技术方面,那么其实在基本要求22239中,也是技术方面、管理方面都有的。

那么管理制度方面有安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理,其实在管理制度大类的区分上面,并没有特别大的变化,但是里面的内容会有很多的变化,体系方面是有了非常大的变化,要求项也很多了,但是分类并没有特别大的变化。

然后调整了各级别的要求,以前我们大家都知道,以前就叫基本要求,也没有区分你用了什么技术,反正就是所有的网络,所有的信息系统都是一个要求,这其实也是跟当时的情况相关的。当时22239是2008版其实在2007年我们就已经报批了这个国标了,当时大家可以回忆一下,2007年,我们国家的云计算、公有云、政务云、私有云其实发展的并不是特别成熟,当时2007年的时候,我们不拿手机没问题,还能够生活。但现在不一样了,现在公有云、政务云、私有云都建的非常非常多,而且很多重要的信息系统都已经上云了,无论是公有云、政务云还是搭建自己的私有云,而且我们现在生活中已经离不开智能终端,或者离不开我们的无线网络等等。

所以说,因为技术发展了,应用成熟了,所以说对于它们的安全需求也提到日程上来了,所以在2015年我们修订《等保》的基础标准的时候我们就提出了要按照应用、按照技术来增加不同方面的安全需求,才能够有所区别,才能够重点保护。

那么现在的安全要求变成了安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

然后简单看一下新标准的结构,新标准的结构是分为范围、规范性引用文件、术语和定义、缩略语、网络安全等级保护概述,包括等级保护的对象、不同级别的安全保护能力、安全通用要求和安全扩展要求。

第6-第10章是第1-第5级的安全要求,比如说我要看到第3级的安全要求,我就要看第8章,我要看到第3级的安全通用要求,我就要看8.1,如果我要看第3级的工业控制系统安全要求,我就要看8.5,这样子来看。

简单讲一下通用要求和扩展要求的选择,通用要求是针对共性化的保护需求提出的,等级保护对象无论以何种形式出现,必须根据安全保护等级实现相应级别的安全通用要求。所以说通用要求是必选的。

安全扩展性要求是针对个性化保护需求提出的,需要根据安全保护的等级和使用的特定的技术或者是特定场景来实现安全扩展要求,安全扩展要求是根据需要选择的。

因为今天我们是数据安全和云计算安全的专场,所以我想特别强调一点,如果网络运营者是一个网络服务的提供方,是一个云平台服务的提供方,那么他要看的是相应级别的.1+.2,这个是比较好理解的,所有云服务商应该都能理解。但是对于网络运营者,他是作为云租户的话,其实他还是要看.1+.2,不过.2中有很多是针对云平台或者云服务提供商来提出的要求的话,那么对于云租户是不适用的。但是也确实是有对云租户适用的要求,所以你仍旧要看.1+.2。

这是我简单列了一下,就是内容上面的变化,主要是内容方面有所扩展。

安全通用要求之间的差异,我这边对比的一下1.0和2.0,其实主要变化就是在三层防护和一个中心上。大家可以看到前面物理环境对应着安全物理环境,对应的内容项都是一样的,都是对于网络或者是信息系统所在的机房的安全要求,那么下面是完全不一样了,以前是根据保护对象来区分的,保护对象的种类是什么我就区分,以前保护对象是网络,我就看网络安全,保护对象是服务器、重要的运维终端或者是管理终端以及数据库,那么我就要看主机安全,如果是对应用系统,我就要看应用安全,如果专门针对数据安全,我就要看数据安全和备份分布。现在不一样了,现在是三层防护一个中心了,这是有了非常大的调整。我后面会讲到,你为什么不能够看28448就直接看22239。

下面是没有变化的,就是在人员安全管理的这边,现在改成安全管理人员,大其实大的范围不变,具体的要求项会变。

下面我讲一下为什么你不能离开28448单独去看22239。28448是网络安全保护测评要求是和基本要求同时发布的,那么它的新标准的结构是范围、规范性引用文件、术语定义、缩略语、等级测评的一个概述。然后6-10章是5个等级的测评要求,它所有的测评要求都是对着基本要求来的,也就是说,基本要求有的所有的要求项都会有对应的测评要求在28448中找到,然后11是整体测评,12是测评结论,还有3个附录。

这里我选取了安全计算环境,我觉得这一点是比较好理解的,所以说我跟各位讲解一下。

以前的28448,它是身份鉴别作为一个测评单元的,测评单元中会有测评指标,测评指标A项是来源于22239,和22239完全一一对应。但是以前在28448中是没有测评对象B这一条的,会有C和D,以前只有ACD,以前的28448。现在它增加了B,就是测评对象这个环节。

我不知道大家对1.0的标准了不了解,比如说身份鉴别,在网络安全里它有设备自身安全这一块的要求,就是设备安全,它里头会有身份鉴别要求,就是对网络设备、安全设备要有身份鉴别的要求。那么在主机安全里它仍旧会有身份鉴别的要求,就是登录服务器登录数据库,登录所有主机的时候要有身份鉴别的要求。在应用安全里它仍旧会有身份鉴别要求,它会在三个不同的对象上都提出身份鉴别的要求。但是这里只有在计算环境中有身份鉴别的要求,只有在安全计算环境中有身份鉴别要求,而且这条要求是没有主语的,大家可以看一下。

测评指标说,应对登录的用户进行身份标识和鉴别,至于对登录的什么用户,什么设备的登录用户,什么系统的登录用户没有说,这在22239中就是这么些的,身份标识要具有唯一性,身份鉴别信息具有复杂度要求并定期更换。

那么如果你是一个资深的安全运维者,你看到这一条的时候,你就会想那肯定是对网络设备、安全设备、服务器、数据库、应用系统都有相应的要求,但是全吗?其实你考虑的并不全,你一定要看28448它的测评对象包括哪些?

测评对象包括终端和服务器等设备中的操作系统,包括宿主机和虚拟机操作系统,网络设备包括虚拟网络设备,安全设备包括虚拟安全社波,移动终端管理系统、移动终端管理客户端、感知节点、网关节点、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计、文档等。也就是说,如果你的系统中有以下需要被保护的对象,你都要落实身份鉴别,这就是为什么你不能够离开28448去看22239,因为你只看22239,你可能并不能够很全面的对你需要保护的对象落实相关的要求。

下面我又选取了一个,就是跟今天的主题非常相关的,就是个人信息保护,数据安全,我个人认为在《网络安全法》中它最关注的就是两类数据,一类是重要业务信息,这个对于每个网络运营者来说,都不一样,我这家单位有这家单位我所认为的重要业务信息,另外一家单位有另外一家单位重要业务信息,这个肯定每家单位都不一样。但是对于公民个人信息,这个每家单位都是一样的。如果你有收集公民个人信息,这肯定都是一样的。

《网络安全法》中我认为最重要的就是两类信息需要保护它所强调的:

1、重要业务信息;

2、公民个人信息。

所以说在新的22239中,我们单独把数据安全中的数据信息中的个人信息提出来,单独对它进行一个相应的要求,当然还有数据安全的那部分要求,但是这一块是单独有的。

那么个人信息,个人信息保护,它的测评指标有两个,应仅采集和保存业务必需的用户个人信息。也就是说,如果你的业务真正需要的话,你可以采集,但是如果你的业务不需要的话,你不要采集,你只采集你需要的信息,不要多采,这是对网络运营者的要求。

第二条应禁止未授权访问和非法使用用户个人信息,你对你采集了的个人信息,你要有保护的相应落实的制度,相应有落实的措施保护措施,你不能够说我需要我采,我采了之后我就放那,也不对它进行保护。如果因为你保护不利,使得从你的信息系统中,或者从你的网络中流出了公民个人信息,造成了公民个人信息的泄露,或者是篡改,那么你要承担相应的法律责任的。

这是两条要求。

那么因为在网络安全等级保护的内容中有云计算安全扩展要求,所以说我们简单讲一下云计算安全扩展要求的一些特点。

先从定级来讲,首先在云计算环境中,应将云服务提供商的云计算平台单独作为定级对象,这个应该比较好理解,因为它是一个基础平台,它肯定要先做一个定性,它是一个支撑平台,它肯定要自己先做定级,做一个独立的网络或者信息系统来做一个定级。那么云服务客户的等级保护对象也应该单独的定级,也就是说,如果你是一个云租户,你把自己的网络,或者把自己的信息系统迁到云上,那么你的这块也要做一个单独的定级。

云服务商的云计算平台应根据其承载或者将要承载的等级保护对象的重要程度确定其安全保护等级,应不低于其承载的等级保护对象的安全保护等级。

我这边举一个例子,比如一个区域的政府想要建一个政务云,他肯定先要考虑我有哪些政务系统要上这个云?可能有二级的政务系统要上这个政务云,也可能有三级的政务系统也要上这个政务云,那么我肯定要将我的云平台至少定级为是三级的信息系统,因为如果我的级别低,我怎么能保证我承载的比我级别高的信息系统的安全呢?所以说是这样子的。

那么备案,因为云服务商它的机房,它的运维可能是比较复杂的,所以说它有可能会有很多种的情况,那么云服务商这个应该负责将云平台的定级结果向所辖公安机关进行备案,备案地应为运维管理端所在地。

然后云服务客户负责对云平台上承载的租户信息系统进行定级备案,然后备案地应为工商注册地或者是实际经营所在地。

在建设整改方面,我前面也强调了,无论是云平台的提供方,云服务提供商还是云租户,你都要按照通用要求、云计算安全扩展要求,这两部分要求对你的网络进行建设和整改,当然测评机构也会按照这两项的要求对你的网络进行测评。

好,简单总结一下。网络安全等级保护进入到了2.0阶段,它有很多新的特征,最重要的特征就是它有了中华人民共和国《网络安全法》的支撑,上升到了一个法律的地位。那么如果网络运营者不履行网络安全等级保护制度所规定的相关的义务,那其实就是在触犯我们国家的法律。《等保》现在也已经有了相应的落地实施细则,虽然这个相应的标准还没有完全全部出台,但是有很多主要的标准已经出台了,包括22239、28448都已经出台了,那么它们的实施日期是在今年的12月1号,所以说网络运营者有时间对自己现在的网络开始找差距,按照新的22239和22248当中所提的要求对比一下看看自己的网络中还有哪些防护措施可以上,还有那些不足可以补。

上一篇:邵国安:主持人

下一篇:唐志红:电子认证服务在云安全与数据安全领域的研究与实践