前言

網(wǎng)絡(luò)安全等級(jí)保護(hù)是國(guó)家網(wǎng)絡(luò)安全工作的基本制度、基本國(guó)策，是維護(hù)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全的重要手段。從1994年至今，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度工作經(jīng)過實(shí)踐及改進(jìn)，不斷豐富制度內(nèi)涵、拓展保護(hù)范圍、完善監(jiān)管措施，逐步健全網(wǎng)絡(luò)安全等級(jí)保護(hù)制度政策、標(biāo)準(zhǔn)和支撐體系，對(duì)我國(guó)的網(wǎng)絡(luò)信息安全建設(shè)具有重要的指導(dǎo)作用。

等級(jí)保護(hù)發(fā)展史

等級(jí)保護(hù)工作經(jīng)過近二十年的發(fā)展已經(jīng)從1.0階段發(fā)展到2.0階段，從制度上升到法律：

等級(jí)保護(hù)1.0：1994年，國(guó)務(wù)院頒布《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，規(guī)定計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。

圖1 等保1.0階段大事件回顧

等級(jí)保護(hù)2.0：2016年10月10日，第五屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)召開，公安部網(wǎng)絡(luò)安全保衛(wèi)局郭啟全總工指出“國(guó)家對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度提出了新的要求，等級(jí)保護(hù)制度已進(jìn)入2.0時(shí)代”。

2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式頒布，第二十一條明確“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度……”，等級(jí)保護(hù)制度正式進(jìn)入有法可依階段。

圖2 等保2.0階段大事件回顧

等?；A(chǔ)之十問十答

Q1：等保2.0、等保3.0是什么？

A1：等保中提到的“二級(jí)”、“三級(jí)”，意指信息系統(tǒng)運(yùn)營(yíng)者根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度及遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度，將信息系統(tǒng)劃分為不同的安全保護(hù)等級(jí)并對(duì)其實(shí)施不同的保護(hù)和監(jiān)管。

等保二級(jí)指對(duì)信息系統(tǒng)進(jìn)行第二級(jí)安全保護(hù)，等保三級(jí)指對(duì)信息系統(tǒng)進(jìn)行第三級(jí)安全保護(hù)，并非是“等保2.0”及“等保3.0”。

等級(jí)保護(hù)根據(jù)《GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（網(wǎng)絡(luò)安全領(lǐng)域唯一一個(gè)強(qiáng)制標(biāo)準(zhǔn)）規(guī)定共分五級(jí)，分別是：

表1 等保定級(jí)分類

Q2：等級(jí)保護(hù)的工作流程是什么？

A2：等級(jí)保護(hù)主要工作流程為定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查五個(gè)環(huán)節(jié)。

圖3 等保工作流程圖

等保工作重點(diǎn)注意事項(xiàng)：

定級(jí)環(huán)節(jié)：二級(jí)及以上的系統(tǒng)必須經(jīng)過專家評(píng)審、主管部門審核（此要求為等保2.0新增）；

備案環(huán)節(jié)：網(wǎng)安備案的審批處理時(shí)間為10個(gè)工作日；

建設(shè)整改環(huán)節(jié)：需參照最新的等保2.0國(guó)標(biāo)進(jìn)行規(guī)劃設(shè)計(jì)；

測(cè)評(píng)環(huán)節(jié)：找具有測(cè)評(píng)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)。

Q3：不同等級(jí)多少分可以通過等保測(cè)評(píng)？

A3：2021年6月18日?qǐng)?zhí)行的新測(cè)評(píng)標(biāo)準(zhǔn)（等保測(cè)評(píng)報(bào)告模板（2021 版）），計(jì)分方式由得分制調(diào)整為缺陷扣分制，由“符合”、“不符合”調(diào)整為“優(yōu)、良、中、差”四個(gè)等級(jí)測(cè)評(píng)結(jié)論。

表2 新版測(cè)評(píng)結(jié)論

表3 老版測(cè)評(píng)結(jié)論（廢棄）

Q4：等保測(cè)評(píng)通過后，多久需要復(fù)測(cè)？

A4：二級(jí)信息系統(tǒng)每?jī)赡隃y(cè)評(píng)一次，三級(jí)信息系統(tǒng)明確規(guī)定每年測(cè)評(píng)一次，四級(jí)信息系統(tǒng)每半年測(cè)評(píng)一次。

Q5：有包過的技術(shù)解決方案嗎？

A5：不存在包過的技術(shù)方案。等級(jí)保護(hù)測(cè)評(píng)包含技術(shù)部分和管理部分，單純的技術(shù)解決方案默認(rèn)分?jǐn)?shù)占比只有50%，管理部分的建設(shè)也至關(guān)重要，可以選取專業(yè)的安全廠商及專業(yè)的測(cè)評(píng)機(jī)構(gòu)來開展等保建設(shè)及測(cè)評(píng)工作，更加容易通過。

Q6：業(yè)務(wù)系統(tǒng)在云上，如何進(jìn)行等保建設(shè)工作？

A6：根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）附錄D，云服務(wù)商根據(jù)提供的IaaS、PaaS、SaaS模式承擔(dān)不同的平臺(tái)安全責(zé)任。業(yè)務(wù)系統(tǒng)上云后，云租戶與云平臺(tái)服務(wù)商之間應(yīng)遵循責(zé)任分擔(dān)矩陣共同承擔(dān)相應(yīng)的安全責(zé)任，根據(jù)“誰運(yùn)營(yíng)誰負(fù)責(zé)、誰使用誰負(fù)責(zé)、誰主管誰負(fù)責(zé)”的原則，云平臺(tái)與云租戶應(yīng)根據(jù)平臺(tái)建設(shè)模式承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任。

Q7：什么是“一個(gè)中心，三重防護(hù)”？

A7：”一個(gè)中心、三重防護(hù)“是等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)框架，”一個(gè)中心“指安全管理中心， ”三重防護(hù)“指安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境。此框架是網(wǎng)絡(luò)安全整體架構(gòu)設(shè)計(jì)、方案編制的基本參考原則。

圖4 等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)框架

Q8：什么是網(wǎng)絡(luò)安全建設(shè)“三同步”？

A8：“三同步”指網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)在網(wǎng)絡(luò)建設(shè)和運(yùn)營(yíng)過程中，同步規(guī)劃、同步建設(shè)、同步使用有關(guān)網(wǎng)絡(luò)安全保護(hù)措施。

Q9：“三化六防”是什么？

A9：“三化六防”是公網(wǎng)安〔2020〕1960號(hào)《貫徹落實(shí)網(wǎng)絡(luò)安全等保制度和關(guān)保制度的指導(dǎo)意見》中要求深入貫徹實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，落實(shí)“三化六防”的措施，即實(shí)戰(zhàn)化、體系化、常態(tài)化的思路，以及動(dòng)態(tài)防御、主動(dòng)防御、縱深防御、精準(zhǔn)防護(hù)、整體防控、聯(lián)防聯(lián)控的措施。

Q10：等保1.0到2.0有什么變化？

A10：等保1.0到2.0從名稱、定級(jí)對(duì)象、安全要求、控制措施分類結(jié)構(gòu)、規(guī)定動(dòng)作等多個(gè)方面都有明顯的變化。

?表4 等保1.0與2.0變化對(duì)比

總結(jié)

信息化的建設(shè)和實(shí)施是一個(gè)系統(tǒng)且復(fù)雜的工程，積極落實(shí)關(guān)鍵信息系統(tǒng)的等級(jí)保護(hù)建設(shè)不僅可以幫助企業(yè)快速提高信息系統(tǒng)的安全水平，同時(shí)可以避免因信息系統(tǒng)安全漏洞帶來的經(jīng)濟(jì)風(fēng)險(xiǎn)，從而有利的降低信息化投入，同時(shí)滿足國(guó)家相關(guān)法律法規(guī)的要求，進(jìn)一步提升國(guó)家整體的信息化安全水平。因此，堅(jiān)持落地實(shí)踐網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)工作是我們需要長(zhǎng)期堅(jiān)守的方向。

來源：等級(jí)保護(hù)測(cè)評(píng)