宋好好 公安部第三研究所國家網絡與信息系統安全產品質量監督檢驗中心 大數據安全測評實驗室主任

  　現在《等保》已經進入了2.0這個階段， 1.0階段的時候是信息安全等級保護，現在進入到2.0這個階段，網絡安全等級保護。

　　進入到2.0階段之后，會有哪些新的變化，或者說有哪些新的特點？

　　講到網絡安全等級保護不得不先提中華人民共和國《網絡安全法》，這是《等?！愤M入到2.0以后非常顯著的特征。以前在1.0階段的時候，信息安全等級保護這個階段的時候，其實是國務院的《147號令》和中辦發的《2003號文》作為支撐的。當時是國家的法律和法規作為支撐的，但是沒有上升到法律層面。那么2.0這個層面不一樣了，有了《中華人民共和國網絡安全法》的支撐，已經上升到了一個法律的層面，所以說它的地位有了一個顯著的變化。

　　那么在介紹2.0相關的技術要求或者說相關的變化之前，我們先來簡單的回顧一下《網絡安全法》關于網絡安全保護相關的條款。

　　首先是第二十一條，它說我們國家要實行網絡安全等級保護制度。網絡運營者應當按照網絡安全保護制度相關的要求履行下列的安全保護義務。那么履行這些保護義務是為了做到什么？是為了保障什么呢？是保障網絡免受干擾破壞，或者是未經授權的訪問，防止網絡數據的泄露或者是被竊取、篡改。

　　其實這就是履行網絡安全等級保護制度的相關義務之后，能夠起到什么樣防護的效果？這是在《網絡安全法》第二十一條中有說的。

　　它具體規定了網絡運營這的五項基本義務。

　　（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任。第一條其實是從管理制度上要求的，我們都知道沒有規矩不成方圓，那么這個規矩其實落在我們現實生活中，或者說落在我們網絡運營者這邊，其實就是我們的規章制度，有沒有合理合規的規章制度，這個規章制度有沒有在日常的建設和運維中得以有效的落實，這是非常重要的。

　　有的人會說，管理制度和技術可能會有一個比例，有的人說是三七，有的人說是七三，其實我認為兩種是并重的，缺一不可，就是如果你只有制度沒有技術，肯定是不能夠保證相對的安全，如果你只有技術而沒有任何制度，那么毫無規章可循，運維者今天想起來做這件事，明天不想干就不干了，這肯定是不能保證網絡安全的。

　　（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；

　　這是從技術上做要求，那么管理和技術一定要并重才可能保障網絡的安全。其實我后面會講到《等?！仿涞氐囊恍嵤┘殑t，這包括國家標準，新出臺的國家標準22239、28448等，它們其實都是從管理和技術兩個方面來進行相關的要求，所以說才能夠全面的保障網絡的安全。

　?。ㄈ┎扇”O測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；

　　這一條其實我覺得跟今天我們的主題非常切合，那就是我們現在已經進入到了一個，就是已經進入到了一個網絡攻擊多態化，多形式化的這么一個階段，技術隨著時間的推移不停地發展，但是攻擊手段其實也在不停的發展。如果你只是，比如說你的網絡中只是布了傳統的像IDS、IPS，或者簡單的防病毒網關進行防御的話，其實可能并不有效的發現現在所謂的app攻擊，或者是異常行為等等，那么你需要有一個多數據源的數據量的收集，長時間的數據積累，你才有可能經過一個全面統計的分析來發現你的網絡處于哪種態勢。

　　其實現在很多省市或者說部一級的單位都在建立自己的態勢感知大平臺，其實這種態勢感知大平臺，要想能夠起得了很好的作用，最主要的就是要有多點數據源，要有長時間的數據積累。如果你沒有很多的數據積累，你的態勢感知是不會有很合理，很有效，很全面的感知。所以說為什么要有一個網絡日志留存的時間長度，就是你你日志只有足夠的量，只有足夠的源，而且有足夠的時間，你才能對你的網絡有一個綜合性的分析。這一條也是《網絡安全法》中很少有的不用實施細則，就直接落地的這么一條義務，其實大家都知道《網絡安全法》是從2017年6月1日開始正式實施的，大家可以對照一下，看看自己的單位，或者自己所在的網絡運營者承擔的相關的義務，有沒有落實到這一條？有沒有講網絡日志的留存保存至少六個月？不光要保存六個月，還要對它們進行一個統一的長時間積累的分析才可以。

　?。ㄋ模┎扇祿诸?、重要數據備份和加密等措施；

　　因為我所在的部門它承擔的就是網絡安全等級保護的測評工作，其實在《網絡安全法》正式出臺之前，其實我們調研過很多家單位，它們對于數據的分類分級，或者說分種類的保護其實做的并不是特別好，很多單位都做的不是特別好。其實非常有效的對于數據的保護，其實應該是這樣子的，就是你要把你所在的單位或者是你所在單位所有的信息系統，或者是網絡中的所有數據要進行一個梳理，將這些信息進行不同的分類，分好類之后要對數據進行分級，要區分哪些數據可能是重要的，哪些數據可能是不重要的，對于重要的數據你要采取什么樣的措施？這樣子才能夠使得每個單位的數據能夠得到很好的保護，然后才能夠真正做到數據安全，而不是說大家統一打包，我也不管什么數據，我都是采取強加密，或者我都是采取一種處理措施，其實這是非常不科學的。

　　（五）法律、行政法規規定的其他義務。

　　在介紹完《網絡安全法》中關于網絡安全等級保護制度的相關條款之后，我們來看一下今天的主題，就是網絡安全等級保護2.0相關要求的解讀。

　　首先，必須跟各位再強調一下。等級保護這個制度進入2.0這個階段之后，是會有三個顯著的特征：

　　1、如果網絡運營者不履行網絡安全等級保護制度規定的相關義務，其實就是在觸犯我們中華人民共和國的《網絡安全法》，是一個違法行為，所以這個層面是個非常非常的嚴肅，并且很高的。

　　2、就是公安部會同中央網信辦、國家保密局和國家密碼管理局，聯合起草并上報了《網絡安全等級保護條例（征求意見稿）》，目前這個條例，大家看到的是征求意見稿，這也是一個顯著特征，就是我們有一個新的網絡安全等級保護條例。

　　3、國家新標準的出臺并實施。

　　下面再來看一下等級保護對象的變化，以前在信息安全等級保護，也就是說《等?！返?.0階段，我們所保護的對象其實是信息系統，那么在2.0這個階段，等級保護對象的范圍擴大了，它的保護對象包括網絡基礎設施、信息系統、大數據、云計算平臺、物聯網、工業控制系統等。那么重點保護對象是國家關鍵信息基礎設施，這里我想跟各位強調的一點是，有很多人會對關鍵基礎設施信息的保護和網絡信息安全保護這兩個概念，會覺得不是特別理解，這兩個是什么樣的關系？

　　其實我想跟各位強調一點，就是關鍵信息基礎設施保護的基礎是網絡安全等級保護，那么網絡安全等級保護，保護的重點是關鍵信息基礎設施。也就是說，兩者是密不可分的，如果網絡運營者有關鍵信息基礎設施，那么他所要做的工作的第一步還是要履行網絡安全等級保護制度規定的相關義務。在此基礎上，可以對他的關鍵信息基礎設施再實行關鍵信息基礎設施等級保護條例當中所強調的保護手段或者是保護措施。

　　所以說，這個是一個非常明確的一個關系，就是《等?！肥顷P鍵信息基礎設施的基礎，然后等級保護的重點也是關鍵信息基礎設施。

　　好，剛才我說到2.0這個階段有了新的特征，其實剛剛最后一個就是新標準的出臺和實施。那么現在大家可以看到，我列出了跟《等?！废嚓P的標準，其實有很多自媒體在介紹的時候說1.0這個階段《等?！分挥幸粋€標準，其實不是的，《等保》一直都是一系列標準。但是確實這個一系列標準現在是有修訂，而且是有陸續出臺。

　　在去年2018年，就出臺了網絡安全等級保護測評制度指南，那么在今年5月10號正式發布了三個標準：

　　1、22239網絡安全等級保護基本要求；

　　2、25070網絡安全等級保護設計要求；

　　3、28448網絡安全等級保護測評要求。

　　這三個是一起發布的，因為它們是互相支撐的，然后這三個標準是5月10日正式發布，今年的12月1日正式實施，這中間還有一個時間差，所以說各位其實可以詳細的來看一下2.0相應的這些標準，然后及時的對自己的信息系統或者是網絡進行一個保護措施方面的調整。

　　我這邊有兩個標紅的是22239和28448，以前在1.0這個階段宣講的時候，我們一般會給別人介紹的是，其實是22239和22240這兩個標準，但是在2.0這個階段宣講的時候，我肯定是會將28448納入到其中，這后面我會講到為什么你不能夠脫離28448直接看22239？以前如果你可能對網絡建設、網絡運維比較了解的話，你可能覺得我只看22239就可以了，28448我可看可不看。但是在2.0這個階段，你絕對不能脫離2248直接看22239，因為你不能從22239中直接確定你的保護對象是哪些，這條要求是要求你去保護哪些保護對象？我后面會講到。

　　那么先來看一下網絡安全等級保護基本要求，等級保護2.0和1.0相比，它的主要變化體現在工作內容上有所擴展，保護對象上有所擴展，保護力度也有所提升。從工作內容的方面是除了滿足1.0時代規定動作，也就是說定級、備案、建設、整改、測評和監督檢查之外，還把風險評估、安全監測、通報預警、案件調查等方面的工作，全納入到了等級保護的范圍內，所以說它多了很多內容，這也其實是跟《網絡安全法》相對應的，因為《網絡安全法》中提出對網絡運營者有些相關的義務，我們都是在網絡安全等級保護制度的基本要求中得到的落實。

　　那么技術方面是有一個非常大的調整，也就是這個調整才使得你不能夠只看22239了。技術方面強調的是“一個中心、三層防護”的網絡安全架構，它是從“一個中心、三層防護”方面提出技術的相關要求的，而不是以前從對被保護對象的類別方面提的。以前是從被保護對象的類別上，網絡、主機、應用、數據安全這一塊來提出的，那么現在不是這樣子了，現在是“一個中心、三層防護”。這些方面其實都有變化。

　　那么具體可以看一下，這是我直接在2019版中列舉的主要變化，首先是標準名稱變了，以前是叫“信息系統安全等級保護基本要求”，現在是叫“網絡安全等級保護基本要求”。

　　調整了分類，主要是技術方面的調整，“三層防護、一個中心”?，F在是安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心。

　　那么“三層防護”是哪三層防護呢？就是安全通信網絡、安全區域邊界、安全計算環境到最后計算節點的，這是三層方面的防護。

　　然后“一個中心”是安全管理中心。有很多自媒體把安全管理中心解讀為管理要求是不對的，他沒有看到22239對安全管理中心的一個技術方面的要求，是完全技術方面的，不是管理方面的。

　　那么制度方面，我前面也講了，《網絡安全法》中前兩條規定網絡運營者的義務，一條是管理制度方面，一條是技術方面，那么其實在基本要求22239中，也是技術方面、管理方面都有的。

　　那么管理制度方面有安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理，其實在管理制度大類的區分上面，并沒有特別大的變化，但是里面的內容會有很多的變化，體系方面是有了非常大的變化，要求項也很多了，但是分類并沒有特別大的變化。

　　然后調整了各級別的要求，以前我們大家都知道，以前就叫基本要求，也沒有區分你用了什么技術，反正就是所有的網絡，所有的信息系統都是一個要求，這其實也是跟當時的情況相關的。當時22239是2008版其實在2007年我們就已經報批了這個國標了，當時大家可以回憶一下，2007年，我們國家的云計算、公有云、政務云、私有云其實發展的并不是特別成熟，當時2007年的時候，我們不拿手機沒問題，還能夠生活。但現在不一樣了，現在公有云、政務云、私有云都建的非常非常多，而且很多重要的信息系統都已經上云了，無論是公有云、政務云還是搭建自己的私有云，而且我們現在生活中已經離不開智能終端，或者離不開我們的無線網絡等等。

　　所以說，因為技術發展了，應用成熟了，所以說對于它們的安全需求也提到日程上來了，所以在2015年我們修訂《等?！返幕A標準的時候我們就提出了要按照應用、按照技術來增加不同方面的安全需求，才能夠有所區別，才能夠重點保護。

　　那么現在的安全要求變成了安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求和工業控制系統安全擴展要求。

　　然后簡單看一下新標準的結構，新標準的結構是分為范圍、規范性引用文件、術語和定義、縮略語、網絡安全等級保護概述，包括等級保護的對象、不同級別的安全保護能力、安全通用要求和安全擴展要求。

　　第6-第10章是第1-第5級的安全要求，比如說我要看到第3級的安全要求，我就要看第8章，我要看到第3級的安全通用要求，我就要看8.1，如果我要看第3級的工業控制系統安全要求，我就要看8.5，這樣子來看。

　　簡單講一下通用要求和擴展要求的選擇，通用要求是針對共性化的保護需求提出的，等級保護對象無論以何種形式出現，必須根據安全保護等級實現相應級別的安全通用要求。所以說通用要求是必選的。

　　安全擴展性要求是針對個性化保護需求提出的，需要根據安全保護的等級和使用的特定的技術或者是特定場景來實現安全擴展要求，安全擴展要求是根據需要選擇的。

　　因為今天我們是數據安全和云計算安全的專場，所以我想特別強調一點，如果網絡運營者是一個網絡服務的提供方，是一個云平臺服務的提供方，那么他要看的是相應級別的.1+.2，這個是比較好理解的，所有云服務商應該都能理解。但是對于網絡運營者，他是作為云租戶的話，其實他還是要看.1+.2，不過.2中有很多是針對云平臺或者云服務提供商來提出的要求的話，那么對于云租戶是不適用的。但是也確實是有對云租戶適用的要求，所以你仍舊要看.1+.2。

　　這是我簡單列了一下，就是內容上面的變化，主要是內容方面有所擴展。

　　安全通用要求之間的差異，我這邊對比的一下1.0和2.0，其實主要變化就是在三層防護和一個中心上。大家可以看到前面物理環境對應著安全物理環境，對應的內容項都是一樣的，都是對于網絡或者是信息系統所在的機房的安全要求，那么下面是完全不一樣了，以前是根據保護對象來區分的，保護對象的種類是什么我就區分，以前保護對象是網絡，我就看網絡安全，保護對象是服務器、重要的運維終端或者是管理終端以及數據庫，那么我就要看主機安全，如果是對應用系統，我就要看應用安全，如果專門針對數據安全，我就要看數據安全和備份分布?，F在不一樣了，現在是三層防護一個中心了，這是有了非常大的調整。我后面會講到，你為什么不能夠看28448就直接看22239。

　　下面是沒有變化的，就是在人員安全管理的這邊，現在改成安全管理人員，大其實大的范圍不變，具體的要求項會變。

　　下面我講一下為什么你不能離開28448單獨去看22239。28448是網絡安全保護測評要求是和基本要求同時發布的，那么它的新標準的結構是范圍、規范性引用文件、術語定義、縮略語、等級測評的一個概述。然后6-10章是5個等級的測評要求，它所有的測評要求都是對著基本要求來的，也就是說，基本要求有的所有的要求項都會有對應的測評要求在28448中找到，然后11是整體測評，12是測評結論，還有3個附錄。

　　這里我選取了安全計算環境，我覺得這一點是比較好理解的，所以說我跟各位講解一下。

　　以前的28448，它是身份鑒別作為一個測評單元的，測評單元中會有測評指標，測評指標A項是來源于22239，和22239完全一一對應。但是以前在28448中是沒有測評對象B這一條的，會有C和D，以前只有ACD，以前的28448?，F在它增加了B，就是測評對象這個環節。

　　我不知道大家對1.0的標準了不了解，比如說身份鑒別，在網絡安全里它有設備自身安全這一塊的要求，就是設備安全，它里頭會有身份鑒別要求，就是對網絡設備、安全設備要有身份鑒別的要求。那么在主機安全里它仍舊會有身份鑒別的要求，就是登錄服務器登錄數據庫，登錄所有主機的時候要有身份鑒別的要求。在應用安全里它仍舊會有身份鑒別要求，它會在三個不同的對象上都提出身份鑒別的要求。但是這里只有在計算環境中有身份鑒別的要求，只有在安全計算環境中有身份鑒別要求，而且這條要求是沒有主語的，大家可以看一下。

　　測評指標說，應對登錄的用戶進行身份標識和鑒別，至于對登錄的什么用戶，什么設備的登錄用戶，什么系統的登錄用戶沒有說，這在22239中就是這么些的，身份標識要具有唯一性，身份鑒別信息具有復雜度要求并定期更換。

　　那么如果你是一個資深的安全運維者，你看到這一條的時候，你就會想那肯定是對網絡設備、安全設備、服務器、數據庫、應用系統都有相應的要求，但是全嗎？其實你考慮的并不全，你一定要看28448它的測評對象包括哪些？

　　測評對象包括終端和服務器等設備中的操作系統，包括宿主機和虛擬機操作系統，網絡設備包括虛擬網絡設備，安全設備包括虛擬安全社波，移動終端管理系統、移動終端管理客戶端、感知節點、網關節點、控制設備、業務應用系統、數據庫管理系統、中間件和系統管理軟件及系統設計、文檔等。也就是說，如果你的系統中有以下需要被保護的對象，你都要落實身份鑒別，這就是為什么你不能夠離開28448去看22239，因為你只看22239，你可能并不能夠很全面的對你需要保護的對象落實相關的要求。

　　下面我又選取了一個，就是跟今天的主題非常相關的，就是個人信息保護，數據安全，我個人認為在《網絡安全法》中它最關注的就是兩類數據，一類是重要業務信息，這個對于每個網絡運營者來說，都不一樣，我這家單位有這家單位我所認為的重要業務信息，另外一家單位有另外一家單位重要業務信息，這個肯定每家單位都不一樣。但是對于公民個人信息，這個每家單位都是一樣的。如果你有收集公民個人信息，這肯定都是一樣的。

　　《網絡安全法》中我認為最重要的就是兩類信息需要保護它所強調的：

　　1、重要業務信息；

　　2、公民個人信息。

　　所以說在新的22239中，我們單獨把數據安全中的數據信息中的個人信息提出來，單獨對它進行一個相應的要求，當然還有數據安全的那部分要求，但是這一塊是單獨有的。

　　那么個人信息，個人信息保護，它的測評指標有兩個，應僅采集和保存業務必需的用戶個人信息。也就是說，如果你的業務真正需要的話，你可以采集，但是如果你的業務不需要的話，你不要采集，你只采集你需要的信息，不要多采，這是對網絡運營者的要求。

　　第二條應禁止未授權訪問和非法使用用戶個人信息，你對你采集了的個人信息，你要有保護的相應落實的制度，相應有落實的措施保護措施，你不能夠說我需要我采，我采了之后我就放那，也不對它進行保護。如果因為你保護不利，使得從你的信息系統中，或者從你的網絡中流出了公民個人信息，造成了公民個人信息的泄露，或者是篡改，那么你要承擔相應的法律責任的。

　　這是兩條要求。

　　那么因為在網絡安全等級保護的內容中有云計算安全擴展要求，所以說我們簡單講一下云計算安全擴展要求的一些特點。

　　先從定級來講，首先在云計算環境中，應將云服務提供商的云計算平臺單獨作為定級對象，這個應該比較好理解，因為它是一個基礎平臺，它肯定要先做一個定性，它是一個支撐平臺，它肯定要自己先做定級，做一個獨立的網絡或者信息系統來做一個定級。那么云服務客戶的等級保護對象也應該單獨的定級，也就是說，如果你是一個云租戶，你把自己的網絡，或者把自己的信息系統遷到云上，那么你的這塊也要做一個單獨的定級。

　　云服務商的云計算平臺應根據其承載或者將要承載的等級保護對象的重要程度確定其安全保護等級，應不低于其承載的等級保護對象的安全保護等級。

　　我這邊舉一個例子，比如一個區域的政府想要建一個政務云，他肯定先要考慮我有哪些政務系統要上這個云？可能有二級的政務系統要上這個政務云，也可能有三級的政務系統也要上這個政務云，那么我肯定要將我的云平臺至少定級為是三級的信息系統，因為如果我的級別低，我怎么能保證我承載的比我級別高的信息系統的安全呢？所以說是這樣子的。

　　那么備案，因為云服務商它的機房，它的運維可能是比較復雜的，所以說它有可能會有很多種的情況，那么云服務商這個應該負責將云平臺的定級結果向所轄公安機關進行備案，備案地應為運維管理端所在地。

　　然后云服務客戶負責對云平臺上承載的租戶信息系統進行定級備案，然后備案地應為工商注冊地或者是實際經營所在地。

　　在建設整改方面，我前面也強調了，無論是云平臺的提供方，云服務提供商還是云租戶，你都要按照通用要求、云計算安全擴展要求，這兩部分要求對你的網絡進行建設和整改，當然測評機構也會按照這兩項的要求對你的網絡進行測評。

　　好，簡單總結一下。網絡安全等級保護進入到了2.0階段，它有很多新的特征，最重要的特征就是它有了中華人民共和國《網絡安全法》的支撐，上升到了一個法律的地位。那么如果網絡運營者不履行網絡安全等級保護制度所規定的相關的義務，那其實就是在觸犯我們國家的法律。《等?！番F在也已經有了相應的落地實施細則，雖然這個相應的標準還沒有完全全部出臺，但是有很多主要的標準已經出臺了，包括22239、28448都已經出臺了，那么它們的實施日期是在今年的12月1號，所以說網絡運營者有時間對自己現在的網絡開始找差距，按照新的22239和22248當中所提的要求對比一下看看自己的網絡中還有哪些防護措施可以上，還有那些不足可以補。