2017年,《網(wǎng)絡(luò)安全法》的正式實(shí)施�,標(biāo)志著等級(jí)保護(hù)2.0的正式啟動(dòng)。網(wǎng)絡(luò)安全法第21條明確“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度” ��,其第31條明確“國(guó)家對(duì)一旦遭到破壞�、喪失功能或者數(shù)據(jù)泄露����,可能?chē)?yán)重危害國(guó)家安全�、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施�����,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上����,實(shí)行重點(diǎn)保護(hù)”。上述要求為網(wǎng)絡(luò)安全等級(jí)保護(hù)賦予了新的含義���。相較于“等保1.0”�,等保2.0已上升至法律層面����,對(duì)于網(wǎng)絡(luò)經(jīng)營(yíng)者而言,不過(guò)等保就是違法的��。
對(duì)于企業(yè)來(lái)說(shuō)要過(guò)等保�����,除了要了解《信息安全技術(shù)-網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》以外,還應(yīng)結(jié)合《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》����、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》一起來(lái)看。
2.如何理解等保2.0
2.1 等保的對(duì)象
等級(jí)保護(hù)的對(duì)象是網(wǎng)絡(luò)基礎(chǔ)設(shè)施�����、信息系統(tǒng)���、大數(shù)據(jù)、物聯(lián)網(wǎng)�����、云平臺(tái)��、工控系統(tǒng)��、移動(dòng)互聯(lián)網(wǎng)��、智能設(shè)備等���。
等保的核心是等級(jí)保護(hù)��、管理規(guī)范和技術(shù)標(biāo)準(zhǔn)����。 等保要求組織企業(yè)和個(gè)人對(duì)信息系統(tǒng)進(jìn)行分等級(jí)的安全保護(hù),對(duì)安全保護(hù)的實(shí)施進(jìn)行監(jiān)督和管理���,從而保證安全信息系統(tǒng)的基礎(chǔ)安全���。
2.2 等保的歷史和演進(jìn)
2.2.1 等保1.0和等保2.0的區(qū)別
“等保1.0”體系以信息系統(tǒng)為對(duì)象,確立了五級(jí)安全保護(hù)等級(jí)���,并從信息系統(tǒng)安全的定級(jí)方法���、基本要求、實(shí)施過(guò)程���、測(cè)評(píng)工作等方面入手�����,形成了一套相對(duì)完整�、標(biāo)準(zhǔn)明確��、涵蓋技術(shù)和管理要求的等級(jí)保護(hù)規(guī)范,然而隨著網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻�,“等保1.0”已經(jīng)難以持續(xù)應(yīng)對(duì)更加復(fù)雜的網(wǎng)絡(luò)安全新時(shí)代,從而國(guó)家又推出了“等保2.0”���。相較于“等保1.0”為等級(jí)保護(hù)提供指南和方針�,“等保2.0”是其基礎(chǔ)之上的迭代和延伸����。
“等保2.0”相較于“等保1.0”的變化如下:
等保2.0將“信息系統(tǒng)安全”拓展到了“網(wǎng)絡(luò)安全”�����,其中所謂“網(wǎng)絡(luò)”是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集����、存儲(chǔ)、傳輸����、交換、處理的系統(tǒng)�����。
等保2.0的法律意義更高,是國(guó)家的網(wǎng)絡(luò)安全領(lǐng)域的基本國(guó)策���、基本制度和基本方法����。
2.0定級(jí)劃分更加細(xì)致��,對(duì)于企業(yè)來(lái)說(shuō)意味著更高的標(biāo)準(zhǔn)要求����。
2.2.2 等保的演進(jìn)
等保的演進(jìn)伴隨著以下幾個(gè)方面的不斷發(fā)展和完善,從基礎(chǔ)安全(安全加固+補(bǔ)丁管理+應(yīng)用防護(hù))到被動(dòng)防御(基礎(chǔ)對(duì)抗+縮小攻擊面+消耗攻擊資源+延緩攻擊), 從被動(dòng)防御到積極防御(全面檢測(cè)+快速響應(yīng)+安全分析+追根溯源+響應(yīng)處理)并通過(guò)威脅情報(bào)��、動(dòng)態(tài)感知(信息收集+情報(bào)驗(yàn)證+信息挖掘)進(jìn)一步提高整個(gè)防護(hù)保證體系的安全可信度(靜態(tài)可信+動(dòng)態(tài)可信+法律手段+技術(shù)反制+安全驗(yàn)證)����。
從發(fā)展的角度來(lái)說(shuō),網(wǎng)絡(luò)安全等級(jí)保護(hù)制度呈現(xiàn)以下幾個(gè)明顯的演進(jìn)方向:
由亂到治����,有法可依,安全監(jiān)管更加嚴(yán)格�,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第21條規(guī)定“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”,要求“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全保護(hù)等級(jí)制度要求,履行安全保護(hù)義務(wù)”�;第31條規(guī)定“對(duì)于國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上�����,實(shí)行重點(diǎn)保護(hù)”����。
隨著大數(shù)據(jù)、云計(jì)算��、移動(dòng)互聯(lián)網(wǎng)����、人工智能等新技術(shù)不斷涌現(xiàn)��,計(jì)算機(jī)信息系統(tǒng)的概念已經(jīng)不能涵蓋全部���,特別是互聯(lián)網(wǎng)開(kāi)素發(fā)展帶來(lái)的大數(shù)據(jù)價(jià)值的凸顯�����,等保保護(hù)對(duì)象的外延將不斷拓展����。
在定級(jí)、備案���、建設(shè)整改���、等級(jí)評(píng)測(cè)和監(jiān)督檢查等規(guī)定動(dòng)作基礎(chǔ)上,2.0時(shí)代風(fēng)險(xiǎn)評(píng)估����,安全監(jiān)測(cè),通報(bào)預(yù)警��、事件調(diào)查�、數(shù)據(jù)防護(hù)、災(zāi)難備份�����、應(yīng)急處理��、自主可控���、供應(yīng)鏈安全���、效果評(píng)價(jià)�、綜治考核等這些與網(wǎng)絡(luò)安全密切相關(guān)的措施都將全部納入等級(jí)保護(hù)制度并加以實(shí)施���。
2.0時(shí)代��,主管部門(mén)將繼續(xù)指定出臺(tái)一系列政策法規(guī)和技術(shù)標(biāo)準(zhǔn)�����,形成運(yùn)轉(zhuǎn)順暢的工作機(jī)制����、在先有體系基礎(chǔ)上���,建立完善等級(jí)保護(hù)政策體系�、標(biāo)準(zhǔn)體系���、評(píng)測(cè)體系、關(guān)鍵技術(shù)研究體系����、教育培訓(xùn)體系等。自主可信可控的安全系統(tǒng)年,可信環(huán)境成為主要的安全實(shí)現(xiàn)途徑����。
3.過(guò)等保的流程
圖1 過(guò)等保的流程
3.1 定級(jí)
等級(jí)保護(hù)對(duì)象根據(jù)其在國(guó)家安全、經(jīng)濟(jì)建設(shè)�、社會(huì)生活中的重要程度,遭到破壞后對(duì)國(guó)家安全��、社會(huì)秩序�、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等��,由低到高被劃分為五個(gè)安全保護(hù)等級(jí) �。具體的定級(jí)要求參見(jiàn)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》。
不同級(jí)別的等級(jí)保護(hù)對(duì)象應(yīng)具備的基本安全保護(hù)能力要求如下:
|
定級(jí)要求 |
防護(hù)水平 |
處理能力 |
恢復(fù)能力 |
一級(jí) |
一旦受到破壞會(huì)對(duì)相關(guān)公民�、法人和其他組織的合法權(quán)益造成損害,但不危害國(guó)家安全�����、社會(huì)秩序和公共利益的一般網(wǎng)絡(luò)����; |
防護(hù)免受來(lái)自個(gè)人的、擁有很少資源的威脅源發(fā)起的惡意攻擊�����、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害 |
- |
在自身遭到損害后�����,能夠恢復(fù)部分功能 |
二級(jí) |
一旦受到破壞會(huì)對(duì)相關(guān)公民����、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成危害�,但不危害國(guó)家安全的一般網(wǎng)絡(luò); |
防護(hù)免受來(lái)自外部小型組織的�、擁有少量資源的威脅源發(fā)起的惡意攻擊、 一般的自然災(zāi)難����、以及其他相當(dāng)危害程度的威脅所造成的重要資源損害, |
能夠發(fā)現(xiàn)重要的安全漏洞和處置安 全事件 |
自身遭到損害后�����,能夠在一段時(shí)間內(nèi)恢復(fù)部分功能 |
三級(jí) |
一旦受到破壞會(huì)對(duì)相關(guān)公民��、法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害��,或者會(huì)對(duì)社會(huì)秩序和社會(huì)公共利益造成嚴(yán)重危害����,或者對(duì)國(guó)家安全造成危害的重要網(wǎng)絡(luò); |
在統(tǒng)一安全策略下防護(hù)免受來(lái)自外部有組織的團(tuán)體�、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難����、以及其他相當(dāng)危害程度的威脅所造成的主要資源損害 |
能夠及時(shí)發(fā)現(xiàn)、監(jiān)測(cè)攻擊行為和處置安全事件 |
自身遭到損害后���,能夠較快恢復(fù)絕大部分功能 |
四級(jí) |
一旦受到破壞會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重危害�����,或者對(duì)國(guó)家安全造成嚴(yán)重危害的特別重要網(wǎng)絡(luò)�; |
應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來(lái)自國(guó)家級(jí)別的�����、敵對(duì)組織的��、擁有豐富資 源的威脅源發(fā)起的惡意攻擊�����、嚴(yán)重的自然災(zāi)難 |
能夠及時(shí)發(fā)現(xiàn)、監(jiān)測(cè)發(fā)現(xiàn)攻擊行為和安全事件 |
在自身遭到損害后��,能夠迅速恢復(fù)所有功能 |
五級(jí) |
一旦受到破壞后會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重危害的極其重要網(wǎng)絡(luò)��。 |
略 |
略 |
略 |
第五級(jí)等級(jí)保護(hù)對(duì)象是非常重要的監(jiān)督管理對(duì)象��,對(duì)其有特殊的管理模式和安全要求��,所以不在本文中進(jìn)行詳細(xì)闡述
簡(jiǎn)單而言�����,定級(jí)主要參考行業(yè)要求和業(yè)務(wù)的發(fā)展體量�����,例如普通的門(mén)戶(hù)網(wǎng)站�����,定為二級(jí)已經(jīng)足夠����,而存儲(chǔ)較多敏感信息的系統(tǒng)例如保存用戶(hù)的身份信息���、通訊信息���、住址信息等則需要定為三級(jí)����。對(duì)擬定為第二級(jí)以上的網(wǎng)絡(luò)����,其運(yùn)營(yíng)者應(yīng)當(dāng)組織專(zhuān)家評(píng)審;有行業(yè)主管部門(mén)的�����,應(yīng)當(dāng)在評(píng)審后報(bào)請(qǐng)主管部門(mén)核準(zhǔn)�����?���?缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的網(wǎng)絡(luò)由行業(yè)主管部門(mén)統(tǒng)一擬定安全保護(hù)等級(jí),統(tǒng)一組織定級(jí)評(píng)審����?�?傮w來(lái)說(shuō)����,定級(jí)滿(mǎn)足就高不就低的原則�。
3.2 備案
對(duì)擬定為第二級(jí)及以上的網(wǎng)絡(luò),應(yīng)當(dāng)在網(wǎng)絡(luò)的安全保護(hù)等級(jí)確定后10個(gè)工作日內(nèi)����,到縣級(jí)以上公安機(jī)關(guān)備案。二級(jí)及以上需要提交的備案材料例如定級(jí)報(bào)告��、備案表�����,三級(jí)及以上需要提供組織架構(gòu)圖����、拓?fù)鋱D、系統(tǒng)安全方案����、系統(tǒng)設(shè)備列表及銷(xiāo)售許可證等等����。因網(wǎng)絡(luò)撤銷(xiāo)或變更調(diào)整安全保護(hù)等級(jí)的���,應(yīng)當(dāng)在10個(gè)工作日內(nèi)向原受理備案公安機(jī)關(guān)辦理備案撤銷(xiāo)或變更手續(xù)。
|
第一級(jí)別 |
第二級(jí)別 |
第三級(jí)別 |
第四級(jí)別 |
應(yīng)以書(shū)面的形式說(shuō)明保護(hù)對(duì)象的安全保護(hù)等級(jí)及確定等級(jí)的方法和理由��。 |
|
|
|
|
應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對(duì)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定����; |
|
|
|
|
應(yīng)保證定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門(mén)的批準(zhǔn); |
|
|
|
|
應(yīng)將備案材料報(bào)主管部門(mén)和相應(yīng)公安機(jī)關(guān)備案�����。 |
|
|
|
|
3.3 建設(shè)整改
在確定了等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)后�����,應(yīng)根據(jù)不同對(duì)象的安全保護(hù)等級(jí)完成安全建設(shè)或安全整改工作 ��。就建設(shè)整改而言����,網(wǎng)絡(luò)安全防護(hù)技術(shù)是其基礎(chǔ)��,提高管理水平��、規(guī)范網(wǎng)絡(luò)安全防護(hù)行為是其關(guān)鍵���,良好的運(yùn)維與監(jiān)控也為其提供最有力的支持保障。就第二等級(jí)及以上級(jí)別要求而言��,應(yīng)定期進(jìn)行等級(jí)測(cè)評(píng)��,發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的需要及時(shí)整改����。
3.4 等級(jí)測(cè)評(píng)
等級(jí)測(cè)評(píng)主要是兩個(gè)方面的評(píng)估,一個(gè)方面是技術(shù)上的評(píng)估���,例如安全能力是否達(dá)標(biāo)���、網(wǎng)絡(luò)架構(gòu)是否合規(guī),另一個(gè)方面是管理上的評(píng)估�,例如管理制度和人員的培訓(xùn)是否到位等等?��!暗缺?.0”要求二級(jí)及以上級(jí)別的企業(yè)應(yīng)在發(fā)生重大變更或級(jí)別發(fā)生變化時(shí)進(jìn)行等級(jí)測(cè)評(píng)�����,應(yīng)確保測(cè)評(píng)機(jī)構(gòu)的選擇符合國(guó)家有關(guān)規(guī)定�����。
3.5 監(jiān)督檢查
監(jiān)督檢查貫穿等級(jí)保護(hù)的全部方面��,從定級(jí)到備案��,從備案到整改�����,從整改到測(cè)評(píng)����,都離不開(kāi)監(jiān)督檢查的貫徹與實(shí)施�����。對(duì)于二級(jí)及以上等級(jí)而言�,應(yīng)定期進(jìn)行常規(guī)安全檢查,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行��、系統(tǒng)漏洞和數(shù)據(jù)備份等情況 ���。
|
第一級(jí)別 |
第二級(jí)別 |
第三級(jí)別 |
第四級(jí)別 |
應(yīng)定期進(jìn)行常規(guī)安全檢查�����,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行�、系統(tǒng)漏洞和數(shù)據(jù)備份等情況 |
|
|
|
|
應(yīng)定期進(jìn)行全面安全檢查�,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置 與安全策略的一致性��、安全管理制度的執(zhí)行情況等 |
|
|
|
|
應(yīng)制定安全檢查表格實(shí)施安全檢查����,匯總安全檢查數(shù)據(jù),形成安全檢查報(bào)告��,并 對(duì)安全檢查結(jié)果進(jìn)行通報(bào) |
|
|
|
|
4.等保與日志審計(jì)
4.1 等保的基本要求
“等保2.0”將安全要求分為10個(gè)子項(xiàng)�����,從技術(shù)角度來(lái)說(shuō)��,包括安全物理環(huán)節(jié)、安全通信網(wǎng)絡(luò)��、安全區(qū)域邊界�、安全計(jì)算環(huán)境、安全管理中心�����;從管理角度來(lái)說(shuō)���,包括安全管理制度�,安全管理機(jī)構(gòu)����、安全管理人員���、安全建設(shè)管理和安全運(yùn)維管理����。此外����,基本要求又對(duì)每個(gè)子項(xiàng)做出安全通用要求和個(gè)性化的安全拓展要求�����。
4.2 阿里云的資質(zhì)和生態(tài)
阿里云可靠的安全資質(zhì)和完善的安全生態(tài)產(chǎn)品可以幫助網(wǎng)絡(luò)運(yùn)營(yíng)者達(dá)到等保2.0的基本技術(shù)要求����,很多阿里云產(chǎn)品均為等保測(cè)評(píng)的首個(gè)落地試點(diǎn)�����,云防火墻����、WAF、DDoS防護(hù)等安全產(chǎn)品為等保創(chuàng)造了一個(gè)安全的計(jì)算環(huán)境���,VPC���、SLB等網(wǎng)絡(luò)資源又為等保2.0劃出了安全的區(qū)域邊界,堡壘機(jī)�����、統(tǒng)一身份認(rèn)證�����、RAM等在訪(fǎng)問(wèn)控制方面為等保2.0牢牢把關(guān),RDS�、Polardb等數(shù)據(jù)庫(kù)的安全審計(jì)又提升了等保2.0的數(shù)據(jù)安全,云安全管理中心從整體上也幫助企業(yè)全面了解�、有效處理服務(wù)器的安全隱患,實(shí)現(xiàn)對(duì)云上資產(chǎn)的集中安全管理����。
4.3 日志審計(jì)服務(wù)
在阿里云全面豐富的安全產(chǎn)品生態(tài)基礎(chǔ)上,基于根據(jù)《網(wǎng)絡(luò)安全法》第二十一條第三小節(jié)中明確規(guī)定了“采取監(jiān)測(cè)��、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)��、網(wǎng)絡(luò)安全事件的技術(shù)措施�����,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月"的要求����,日志審計(jì)APP應(yīng)運(yùn)而生���。
日志審計(jì)服務(wù)為存儲(chǔ)和查詢(xún)網(wǎng)絡(luò)安全生態(tài)云產(chǎn)品日志提供一個(gè)簡(jiǎn)單完備的有效手段���。日志審計(jì)APP可以自動(dòng)化��、中心化地采集云產(chǎn)品日志并進(jìn)行審計(jì)�,其服務(wù)覆蓋基礎(chǔ)(操作審計(jì)�、k8s)、存儲(chǔ)(OSS��、NAS)����、網(wǎng)絡(luò)(SLB、API網(wǎng)關(guān)����、VPC)、數(shù)據(jù)庫(kù)(RDS��、PolarDB-X1.0��,PolarDB)��、安全(WAF�����、DDOS、SAS�、CPS)等產(chǎn)品,還支持審計(jì)所需的存儲(chǔ)����、查詢(xún)及信息匯總等功能。日志審計(jì)同時(shí)結(jié)合威脅情報(bào)和SLS告警功能����,幫助完善企業(yè)用戶(hù)的風(fēng)險(xiǎn)監(jiān)控與事件響應(yīng),具體細(xì)節(jié)可以參考《從日志審計(jì)角度解讀網(wǎng)絡(luò)數(shù)據(jù)時(shí)代新安全》一文����。
圖2 開(kāi)啟日志審計(jì)
