前言

網(wǎng)絡(luò)安全等級保護是國家網(wǎng)絡(luò)安全工作的基本制度、基本國策，是維護國家關(guān)鍵信息基礎(chǔ)設(shè)施安全的重要手段。從1994年至今，網(wǎng)絡(luò)安全等級保護制度工作經(jīng)過實踐及改進，不斷豐富制度內(nèi)涵、拓展保護范圍、完善監(jiān)管措施，逐步健全網(wǎng)絡(luò)安全等級保護制度政策、標(biāo)準(zhǔn)和支撐體系，對我國的網(wǎng)絡(luò)信息安全建設(shè)具有重要的指導(dǎo)作用。

等級保護發(fā)展史

等級保護工作經(jīng)過近二十年的發(fā)展已經(jīng)從1.0階段發(fā)展到2.0階段，從制度上升到法律：

等級保護1.0：1994年，國務(wù)院頒布《中華人民共和國計算機信息系統(tǒng)安全保護條例》，規(guī)定計算機信息系統(tǒng)實行安全等級保護。

圖1 等保1.0階段大事件回顧

等級保護2.0：2016年10月10日，第五屆全國信息安全等級保護技術(shù)大會召開，公安部網(wǎng)絡(luò)安全保衛(wèi)局郭啟全總工指出“國家對網(wǎng)絡(luò)安全等級保護制度提出了新的要求，等級保護制度已進入2.0時代”。

2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式頒布，第二十一條明確“國家實行網(wǎng)絡(luò)安全等級保護制度……”，等級保護制度正式進入有法可依階段。

圖2 等保2.0階段大事件回顧

等?；A(chǔ)之十問十答

Q1：等保2.0、等保3.0是什么？

A1：等保中提到的“二級”、“三級”，意指信息系統(tǒng)運營者根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度及遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度，將信息系統(tǒng)劃分為不同的安全保護等級并對其實施不同的保護和監(jiān)管。

等保二級指對信息系統(tǒng)進行第二級安全保護，等保三級指對信息系統(tǒng)進行第三級安全保護，并非是“等保2.0”及“等保3.0”。

等級保護根據(jù)《GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》（網(wǎng)絡(luò)安全領(lǐng)域唯一一個強制標(biāo)準(zhǔn)）規(guī)定共分五級，分別是：

表1 等保定級分類

Q2：等級保護的工作流程是什么？

A2：等級保護主要工作流程為定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查五個環(huán)節(jié)。

圖3 等保工作流程圖

等保工作重點注意事項：

定級環(huán)節(jié)：二級及以上的系統(tǒng)必須經(jīng)過專家評審、主管部門審核（此要求為等保2.0新增）；

備案環(huán)節(jié)：網(wǎng)安備案的審批處理時間為10個工作日；

建設(shè)整改環(huán)節(jié)：需參照最新的等保2.0國標(biāo)進行規(guī)劃設(shè)計；

測評環(huán)節(jié)：找具有測評資質(zhì)的測評機構(gòu)進行測評。

Q3：不同等級多少分可以通過等保測評？

A3：2021年6月18日執(zhí)行的新測評標(biāo)準(zhǔn)（等保測評報告模板（2021 版）），計分方式由得分制調(diào)整為缺陷扣分制，由“符合”、“不符合”調(diào)整為“優(yōu)、良、中、差”四個等級測評結(jié)論。

表2 新版測評結(jié)論

表3 老版測評結(jié)論（廢棄）

Q4：等保測評通過后，多久需要復(fù)測？

A4：二級信息系統(tǒng)每兩年測評一次，三級信息系統(tǒng)明確規(guī)定每年測評一次，四級信息系統(tǒng)每半年測評一次。

Q5：有包過的技術(shù)解決方案嗎？

A5：不存在包過的技術(shù)方案。等級保護測評包含技術(shù)部分和管理部分，單純的技術(shù)解決方案默認(rèn)分?jǐn)?shù)占比只有50%，管理部分的建設(shè)也至關(guān)重要，可以選取專業(yè)的安全廠商及專業(yè)的測評機構(gòu)來開展等保建設(shè)及測評工作，更加容易通過。

Q6：業(yè)務(wù)系統(tǒng)在云上，如何進行等保建設(shè)工作？

A6：根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）附錄D，云服務(wù)商根據(jù)提供的IaaS、PaaS、SaaS模式承擔(dān)不同的平臺安全責(zé)任。業(yè)務(wù)系統(tǒng)上云后，云租戶與云平臺服務(wù)商之間應(yīng)遵循責(zé)任分擔(dān)矩陣共同承擔(dān)相應(yīng)的安全責(zé)任，根據(jù)“誰運營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)、誰主管誰負(fù)責(zé)”的原則，云平臺與云租戶應(yīng)根據(jù)平臺建設(shè)模式承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任。

Q7：什么是“一個中心，三重防護”？

A7：”一個中心、三重防護“是等級保護安全設(shè)計技術(shù)框架，”一個中心“指安全管理中心， ”三重防護“指安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境。此框架是網(wǎng)絡(luò)安全整體架構(gòu)設(shè)計、方案編制的基本參考原則。

圖4 等級保護安全設(shè)計技術(shù)框架

Q8：什么是網(wǎng)絡(luò)安全建設(shè)“三同步”？

A8：“三同步”指網(wǎng)絡(luò)運營者應(yīng)在網(wǎng)絡(luò)建設(shè)和運營過程中，同步規(guī)劃、同步建設(shè)、同步使用有關(guān)網(wǎng)絡(luò)安全保護措施。

Q9：“三化六防”是什么？

A9：“三化六防”是公網(wǎng)安〔2020〕1960號《貫徹落實網(wǎng)絡(luò)安全等保制度和關(guān)保制度的指導(dǎo)意見》中要求深入貫徹實施網(wǎng)絡(luò)安全等級保護制度，落實“三化六防”的措施，即實戰(zhàn)化、體系化、常態(tài)化的思路，以及動態(tài)防御、主動防御、縱深防御、精準(zhǔn)防護、整體防控、聯(lián)防聯(lián)控的措施。

Q10：等保1.0到2.0有什么變化？

A10：等保1.0到2.0從名稱、定級對象、安全要求、控制措施分類結(jié)構(gòu)、規(guī)定動作等多個方面都有明顯的變化。

?表4 等保1.0與2.0變化對比

總結(jié)

信息化的建設(shè)和實施是一個系統(tǒng)且復(fù)雜的工程，積極落實關(guān)鍵信息系統(tǒng)的等級保護建設(shè)不僅可以幫助企業(yè)快速提高信息系統(tǒng)的安全水平，同時可以避免因信息系統(tǒng)安全漏洞帶來的經(jīng)濟風(fēng)險，從而有利的降低信息化投入，同時滿足國家相關(guān)法律法規(guī)的要求，進一步提升國家整體的信息化安全水平。因此，堅持落地實踐網(wǎng)絡(luò)安全等級保護建設(shè)工作是我們需要長期堅守的方向。

來源：等級保護測評