宋好好 公安部第三研究所國(guó)家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心 大數(shù)據(jù)安全測(cè)評(píng)實(shí)驗(yàn)室主任
現(xiàn)在《等保》已經(jīng)進(jìn)入了2.0這個(gè)階段,, 1.0階段的時(shí)候是信息安全等級(jí)保護(hù),,現(xiàn)在進(jìn)入到2.0這個(gè)階段,網(wǎng)絡(luò)安全等級(jí)保護(hù),。
進(jìn)入到2.0階段之后,,會(huì)有哪些新的變化,或者說(shuō)有哪些新的特點(diǎn),?
講到網(wǎng)絡(luò)安全等級(jí)保護(hù)不得不先提中華人民共和國(guó)《網(wǎng)絡(luò)安全法》,,這是《等?!愤M(jìn)入到2.0以后非常顯著的特征,。以前在1.0階段的時(shí)候,信息安全等級(jí)保護(hù)這個(gè)階段的時(shí)候,,其實(shí)是國(guó)務(wù)院的《147號(hào)令》和中辦發(fā)的《2003號(hào)文》作為支撐的,。當(dāng)時(shí)是國(guó)家的法律和法規(guī)作為支撐的,但是沒(méi)有上升到法律層面,。那么2.0這個(gè)層面不一樣了,,有了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的支撐,已經(jīng)上升到了一個(gè)法律的層面,,所以說(shuō)它的地位有了一個(gè)顯著的變化,。
那么在介紹2.0相關(guān)的技術(shù)要求或者說(shuō)相關(guān)的變化之前,我們先來(lái)簡(jiǎn)單的回顧一下《網(wǎng)絡(luò)安全法》關(guān)于網(wǎng)絡(luò)安全保護(hù)相關(guān)的條款,。
首先是第二十一條,,它說(shuō)我們國(guó)家要實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全保護(hù)制度相關(guān)的要求履行下列的安全保護(hù)義務(wù),。那么履行這些保護(hù)義務(wù)是為了做到什么,?是為了保障什么呢?是保障網(wǎng)絡(luò)免受干擾破壞,,或者是未經(jīng)授權(quán)的訪問(wèn),,防止網(wǎng)絡(luò)數(shù)據(jù)的泄露或者是被竊取、篡改,。
其實(shí)這就是履行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的相關(guān)義務(wù)之后,,能夠起到什么樣防護(hù)的效果?這是在《網(wǎng)絡(luò)安全法》第二十一條中有說(shuō)的,。
它具體規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)這的五項(xiàng)基本義務(wù),。
(一)制定內(nèi)部安全管理制度和操作規(guī)程,,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,,落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任。第一條其實(shí)是從管理制度上要求的,我們都知道沒(méi)有規(guī)矩不成方圓,,那么這個(gè)規(guī)矩其實(shí)落在我們現(xiàn)實(shí)生活中,,或者說(shuō)落在我們網(wǎng)絡(luò)運(yùn)營(yíng)者這邊,其實(shí)就是我們的規(guī)章制度,,有沒(méi)有合理合規(guī)的規(guī)章制度,,這個(gè)規(guī)章制度有沒(méi)有在日常的建設(shè)和運(yùn)維中得以有效的落實(shí),這是非常重要的,。
有的人會(huì)說(shuō),,管理制度和技術(shù)可能會(huì)有一個(gè)比例,有的人說(shuō)是三七,,有的人說(shuō)是七三,,其實(shí)我認(rèn)為兩種是并重的,缺一不可,,就是如果你只有制度沒(méi)有技術(shù),,肯定是不能夠保證相對(duì)的安全,如果你只有技術(shù)而沒(méi)有任何制度,,那么毫無(wú)規(guī)章可循,,運(yùn)維者今天想起來(lái)做這件事,明天不想干就不干了,,這肯定是不能保證網(wǎng)絡(luò)安全的,。
(二)采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊,、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施,;
這是從技術(shù)上做要求,那么管理和技術(shù)一定要并重才可能保障網(wǎng)絡(luò)的安全,。其實(shí)我后面會(huì)講到《等?!仿涞氐囊恍?shí)施細(xì)則,這包括國(guó)家標(biāo)準(zhǔn),,新出臺(tái)的國(guó)家標(biāo)準(zhǔn)22239,、28448等,它們其實(shí)都是從管理和技術(shù)兩個(gè)方面來(lái)進(jìn)行相關(guān)的要求,,所以說(shuō)才能夠全面的保障網(wǎng)絡(luò)的安全,。
(三)采取監(jiān)測(cè),、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài),、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月,;
這一條其實(shí)我覺(jué)得跟今天我們的主題非常切合,,那就是我們現(xiàn)在已經(jīng)進(jìn)入到了一個(gè),,就是已經(jīng)進(jìn)入到了一個(gè)網(wǎng)絡(luò)攻擊多態(tài)化,多形式化的這么一個(gè)階段,,技術(shù)隨著時(shí)間的推移不停地發(fā)展,,但是攻擊手段其實(shí)也在不停的發(fā)展。如果你只是,,比如說(shuō)你的網(wǎng)絡(luò)中只是布了傳統(tǒng)的像IDS,、IPS,或者簡(jiǎn)單的防病毒網(wǎng)關(guān)進(jìn)行防御的話,,其實(shí)可能并不有效的發(fā)現(xiàn)現(xiàn)在所謂的app攻擊,,或者是異常行為等等,那么你需要有一個(gè)多數(shù)據(jù)源的數(shù)據(jù)量的收集,,長(zhǎng)時(shí)間的數(shù)據(jù)積累,,你才有可能經(jīng)過(guò)一個(gè)全面統(tǒng)計(jì)的分析來(lái)發(fā)現(xiàn)你的網(wǎng)絡(luò)處于哪種態(tài)勢(shì)。
其實(shí)現(xiàn)在很多省市或者說(shuō)部一級(jí)的單位都在建立自己的態(tài)勢(shì)感知大平臺(tái),,其實(shí)這種態(tài)勢(shì)感知大平臺(tái),,要想能夠起得了很好的作用,,最主要的就是要有多點(diǎn)數(shù)據(jù)源,,要有長(zhǎng)時(shí)間的數(shù)據(jù)積累。如果你沒(méi)有很多的數(shù)據(jù)積累,,你的態(tài)勢(shì)感知是不會(huì)有很合理,,很有效,很全面的感知,。所以說(shuō)為什么要有一個(gè)網(wǎng)絡(luò)日志留存的時(shí)間長(zhǎng)度,,就是你你日志只有足夠的量,只有足夠的源,,而且有足夠的時(shí)間,,你才能對(duì)你的網(wǎng)絡(luò)有一個(gè)綜合性的分析。這一條也是《網(wǎng)絡(luò)安全法》中很少有的不用實(shí)施細(xì)則,,就直接落地的這么一條義務(wù),,其實(shí)大家都知道《網(wǎng)絡(luò)安全法》是從2017年6月1日開(kāi)始正式實(shí)施的,大家可以對(duì)照一下,,看看自己的單位,,或者自己所在的網(wǎng)絡(luò)運(yùn)營(yíng)者承擔(dān)的相關(guān)的義務(wù),有沒(méi)有落實(shí)到這一條,?有沒(méi)有講網(wǎng)絡(luò)日志的留存保存至少六個(gè)月,?不光要保存六個(gè)月,還要對(duì)它們進(jìn)行一個(gè)統(tǒng)一的長(zhǎng)時(shí)間積累的分析才可以,。
?。ㄋ模┎扇?shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;
因?yàn)槲宜诘牟块T(mén)它承擔(dān)的就是網(wǎng)絡(luò)安全等級(jí)保護(hù)的測(cè)評(píng)工作,,其實(shí)在《網(wǎng)絡(luò)安全法》正式出臺(tái)之前,,其實(shí)我們調(diào)研過(guò)很多家單位,它們對(duì)于數(shù)據(jù)的分類分級(jí),,或者說(shuō)分種類的保護(hù)其實(shí)做的并不是特別好,,很多單位都做的不是特別好。其實(shí)非常有效的對(duì)于數(shù)據(jù)的保護(hù),,其實(shí)應(yīng)該是這樣子的,,就是你要把你所在的單位或者是你所在單位所有的信息系統(tǒng),或者是網(wǎng)絡(luò)中的所有數(shù)據(jù)要進(jìn)行一個(gè)梳理,,將這些信息進(jìn)行不同的分類,,分好類之后要對(duì)數(shù)據(jù)進(jìn)行分級(jí),要區(qū)分哪些數(shù)據(jù)可能是重要的,,哪些數(shù)據(jù)可能是不重要的,,對(duì)于重要的數(shù)據(jù)你要采取什么樣的措施?這樣子才能夠使得每個(gè)單位的數(shù)據(jù)能夠得到很好的保護(hù),,然后才能夠真正做到數(shù)據(jù)安全,,而不是說(shuō)大家統(tǒng)一打包,我也不管什么數(shù)據(jù),,我都是采取強(qiáng)加密,,或者我都是采取一種處理措施,其實(shí)這是非常不科學(xué)的,。
?。ㄎ澹┓伞⑿姓ㄒ?guī)規(guī)定的其他義務(wù),。
在介紹完《網(wǎng)絡(luò)安全法》中關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的相關(guān)條款之后,,我們來(lái)看一下今天的主題,就是網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0相關(guān)要求的解讀,。
首先,,必須跟各位再?gòu)?qiáng)調(diào)一下。等級(jí)保護(hù)這個(gè)制度進(jìn)入2.0這個(gè)階段之后,,是會(huì)有三個(gè)顯著的特征:
1,、如果網(wǎng)絡(luò)運(yùn)營(yíng)者不履行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度規(guī)定的相關(guān)義務(wù),其實(shí)就是在觸犯我們中華人民共和國(guó)的《網(wǎng)絡(luò)安全法》,,是一個(gè)違法行為,,所以這個(gè)層面是個(gè)非常非常的嚴(yán)肅,并且很高的,。
2,、就是公安部會(huì)同中央網(wǎng)信辦,、國(guó)家保密局和國(guó)家密碼管理局,聯(lián)合起草并上報(bào)了《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見(jiàn)稿)》,,目前這個(gè)條例,,大家看到的是征求意見(jiàn)稿,這也是一個(gè)顯著特征,,就是我們有一個(gè)新的網(wǎng)絡(luò)安全等級(jí)保護(hù)條例,。
3、國(guó)家新標(biāo)準(zhǔn)的出臺(tái)并實(shí)施,。
下面再來(lái)看一下等級(jí)保護(hù)對(duì)象的變化,,以前在信息安全等級(jí)保護(hù),也就是說(shuō)《等?!返?.0階段,,我們所保護(hù)的對(duì)象其實(shí)是信息系統(tǒng),那么在2.0這個(gè)階段,,等級(jí)保護(hù)對(duì)象的范圍擴(kuò)大了,,它的保護(hù)對(duì)象包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng),、大數(shù)據(jù),、云計(jì)算平臺(tái)、物聯(lián)網(wǎng),、工業(yè)控制系統(tǒng)等,。那么重點(diǎn)保護(hù)對(duì)象是國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施,這里我想跟各位強(qiáng)調(diào)的一點(diǎn)是,,有很多人會(huì)對(duì)關(guān)鍵基礎(chǔ)設(shè)施信息的保護(hù)和網(wǎng)絡(luò)信息安全保護(hù)這兩個(gè)概念,會(huì)覺(jué)得不是特別理解,,這兩個(gè)是什么樣的關(guān)系,?
其實(shí)我想跟各位強(qiáng)調(diào)一點(diǎn),就是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的基礎(chǔ)是網(wǎng)絡(luò)安全等級(jí)保護(hù),,那么網(wǎng)絡(luò)安全等級(jí)保護(hù),,保護(hù)的重點(diǎn)是關(guān)鍵信息基礎(chǔ)設(shè)施。也就是說(shuō),,兩者是密不可分的,,如果網(wǎng)絡(luò)運(yùn)營(yíng)者有關(guān)鍵信息基礎(chǔ)設(shè)施,那么他所要做的工作的第一步還是要履行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度規(guī)定的相關(guān)義務(wù),。在此基礎(chǔ)上,,可以對(duì)他的關(guān)鍵信息基礎(chǔ)設(shè)施再實(shí)行關(guān)鍵信息基礎(chǔ)設(shè)施等級(jí)保護(hù)條例當(dāng)中所強(qiáng)調(diào)的保護(hù)手段或者是保護(hù)措施。
所以說(shuō),,這個(gè)是一個(gè)非常明確的一個(gè)關(guān)系,,就是《等?!肥顷P(guān)鍵信息基礎(chǔ)設(shè)施的基礎(chǔ),然后等級(jí)保護(hù)的重點(diǎn)也是關(guān)鍵信息基礎(chǔ)設(shè)施,。
好,,剛才我說(shuō)到2.0這個(gè)階段有了新的特征,其實(shí)剛剛最后一個(gè)就是新標(biāo)準(zhǔn)的出臺(tái)和實(shí)施,。那么現(xiàn)在大家可以看到,,我列出了跟《等保》相關(guān)的標(biāo)準(zhǔn),,其實(shí)有很多自媒體在介紹的時(shí)候說(shuō)1.0這個(gè)階段《等?!分挥幸粋€(gè)標(biāo)準(zhǔn),其實(shí)不是的,,《等?!芬恢倍际且幌盗袠?biāo)準(zhǔn)。但是確實(shí)這個(gè)一系列標(biāo)準(zhǔn)現(xiàn)在是有修訂,,而且是有陸續(xù)出臺(tái),。
在去年2018年,就出臺(tái)了網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)制度指南,,那么在今年5月10號(hào)正式發(fā)布了三個(gè)標(biāo)準(zhǔn):
1,、22239網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求;
2,、25070網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)要求,;
3、28448網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求,。
這三個(gè)是一起發(fā)布的,,因?yàn)樗鼈兪腔ハ嘀蔚模缓筮@三個(gè)標(biāo)準(zhǔn)是5月10日正式發(fā)布,,今年的12月1日正式實(shí)施,,這中間還有一個(gè)時(shí)間差,所以說(shuō)各位其實(shí)可以詳細(xì)的來(lái)看一下2.0相應(yīng)的這些標(biāo)準(zhǔn),,然后及時(shí)的對(duì)自己的信息系統(tǒng)或者是網(wǎng)絡(luò)進(jìn)行一個(gè)保護(hù)措施方面的調(diào)整,。
我這邊有兩個(gè)標(biāo)紅的是22239和28448,以前在1.0這個(gè)階段宣講的時(shí)候,,我們一般會(huì)給別人介紹的是,,其實(shí)是22239和22240這兩個(gè)標(biāo)準(zhǔn),但是在2.0這個(gè)階段宣講的時(shí)候,,我肯定是會(huì)將28448納入到其中,,這后面我會(huì)講到為什么你不能夠脫離28448直接看22239?以前如果你可能對(duì)網(wǎng)絡(luò)建設(shè),、網(wǎng)絡(luò)運(yùn)維比較了解的話,,你可能覺(jué)得我只看22239就可以了,,28448我可看可不看。但是在2.0這個(gè)階段,,你絕對(duì)不能脫離2248直接看22239,,因?yàn)槟悴荒軓?2239中直接確定你的保護(hù)對(duì)象是哪些,這條要求是要求你去保護(hù)哪些保護(hù)對(duì)象,?我后面會(huì)講到,。
那么先來(lái)看一下網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求,等級(jí)保護(hù)2.0和1.0相比,,它的主要變化體現(xiàn)在工作內(nèi)容上有所擴(kuò)展,,保護(hù)對(duì)象上有所擴(kuò)展,保護(hù)力度也有所提升,。從工作內(nèi)容的方面是除了滿足1.0時(shí)代規(guī)定動(dòng)作,,也就是說(shuō)定級(jí)、備案,、建設(shè),、整改、測(cè)評(píng)和監(jiān)督檢查之外,,還把風(fēng)險(xiǎn)評(píng)估,、安全監(jiān)測(cè)、通報(bào)預(yù)警,、案件調(diào)查等方面的工作,,全納入到了等級(jí)保護(hù)的范圍內(nèi),所以說(shuō)它多了很多內(nèi)容,,這也其實(shí)是跟《網(wǎng)絡(luò)安全法》相對(duì)應(yīng)的,,因?yàn)椤毒W(wǎng)絡(luò)安全法》中提出對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者有些相關(guān)的義務(wù),我們都是在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基本要求中得到的落實(shí),。
那么技術(shù)方面是有一個(gè)非常大的調(diào)整,,也就是這個(gè)調(diào)整才使得你不能夠只看22239了。技術(shù)方面強(qiáng)調(diào)的是“一個(gè)中心,、三層防護(hù)”的網(wǎng)絡(luò)安全架構(gòu),它是從“一個(gè)中心,、三層防護(hù)”方面提出技術(shù)的相關(guān)要求的,,而不是以前從對(duì)被保護(hù)對(duì)象的類別方面提的。以前是從被保護(hù)對(duì)象的類別上,,網(wǎng)絡(luò),、主機(jī)、應(yīng)用,、數(shù)據(jù)安全這一塊來(lái)提出的,,那么現(xiàn)在不是這樣子了,,現(xiàn)在是“一個(gè)中心、三層防護(hù)”,。這些方面其實(shí)都有變化,。
那么具體可以看一下,這是我直接在2019版中列舉的主要變化,,首先是標(biāo)準(zhǔn)名稱變了,,以前是叫“信息系統(tǒng)安全等級(jí)保護(hù)基本要求”,現(xiàn)在是叫“網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求”,。
調(diào)整了分類,,主要是技術(shù)方面的調(diào)整,“三層防護(hù),、一個(gè)中心”?,F(xiàn)在是安全物理環(huán)境、安全通信網(wǎng)絡(luò),、安全區(qū)域邊界,、安全計(jì)算環(huán)境和安全管理中心。
那么“三層防護(hù)”是哪三層防護(hù)呢,?就是安全通信網(wǎng)絡(luò),、安全區(qū)域邊界、安全計(jì)算環(huán)境到最后計(jì)算節(jié)點(diǎn)的,,這是三層方面的防護(hù),。
然后“一個(gè)中心”是安全管理中心。有很多自媒體把安全管理中心解讀為管理要求是不對(duì)的,,他沒(méi)有看到22239對(duì)安全管理中心的一個(gè)技術(shù)方面的要求,,是完全技術(shù)方面的,不是管理方面的,。
那么制度方面,,我前面也講了,《網(wǎng)絡(luò)安全法》中前兩條規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者的義務(wù),,一條是管理制度方面,,一條是技術(shù)方面,那么其實(shí)在基本要求22239中,,也是技術(shù)方面,、管理方面都有的。
那么管理制度方面有安全管理制度,、安全管理機(jī)構(gòu),、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理,,其實(shí)在管理制度大類的區(qū)分上面,,并沒(méi)有特別大的變化,,但是里面的內(nèi)容會(huì)有很多的變化,體系方面是有了非常大的變化,,要求項(xiàng)也很多了,,但是分類并沒(méi)有特別大的變化。
然后調(diào)整了各級(jí)別的要求,,以前我們大家都知道,,以前就叫基本要求,也沒(méi)有區(qū)分你用了什么技術(shù),,反正就是所有的網(wǎng)絡(luò),,所有的信息系統(tǒng)都是一個(gè)要求,這其實(shí)也是跟當(dāng)時(shí)的情況相關(guān)的,。當(dāng)時(shí)22239是2008版其實(shí)在2007年我們就已經(jīng)報(bào)批了這個(gè)國(guó)標(biāo)了,,當(dāng)時(shí)大家可以回憶一下,2007年,,我們國(guó)家的云計(jì)算,、公有云、政務(wù)云,、私有云其實(shí)發(fā)展的并不是特別成熟,,當(dāng)時(shí)2007年的時(shí)候,我們不拿手機(jī)沒(méi)問(wèn)題,,還能夠生活,。但現(xiàn)在不一樣了,現(xiàn)在公有云,、政務(wù)云,、私有云都建的非常非常多,而且很多重要的信息系統(tǒng)都已經(jīng)上云了,,無(wú)論是公有云,、政務(wù)云還是搭建自己的私有云,而且我們現(xiàn)在生活中已經(jīng)離不開(kāi)智能終端,,或者離不開(kāi)我們的無(wú)線網(wǎng)絡(luò)等等,。
所以說(shuō),因?yàn)榧夹g(shù)發(fā)展了,,應(yīng)用成熟了,,所以說(shuō)對(duì)于它們的安全需求也提到日程上來(lái)了,所以在2015年我們修訂《等?!返幕A(chǔ)標(biāo)準(zhǔn)的時(shí)候我們就提出了要按照應(yīng)用、按照技術(shù)來(lái)增加不同方面的安全需求,,才能夠有所區(qū)別,,才能夠重點(diǎn)保護(hù),。
那么現(xiàn)在的安全要求變成了安全通用要求、云計(jì)算安全擴(kuò)展要求,、移動(dòng)互聯(lián)安全擴(kuò)展要求,、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求。
然后簡(jiǎn)單看一下新標(biāo)準(zhǔn)的結(jié)構(gòu),,新標(biāo)準(zhǔn)的結(jié)構(gòu)是分為范圍,、規(guī)范性引用文件、術(shù)語(yǔ)和定義,、縮略語(yǔ),、網(wǎng)絡(luò)安全等級(jí)保護(hù)概述,包括等級(jí)保護(hù)的對(duì)象,、不同級(jí)別的安全保護(hù)能力,、安全通用要求和安全擴(kuò)展要求。
第6-第10章是第1-第5級(jí)的安全要求,,比如說(shuō)我要看到第3級(jí)的安全要求,,我就要看第8章,我要看到第3級(jí)的安全通用要求,,我就要看8.1,,如果我要看第3級(jí)的工業(yè)控制系統(tǒng)安全要求,我就要看8.5,,這樣子來(lái)看,。
簡(jiǎn)單講一下通用要求和擴(kuò)展要求的選擇,通用要求是針對(duì)共性化的保護(hù)需求提出的,,等級(jí)保護(hù)對(duì)象無(wú)論以何種形式出現(xiàn),,必須根據(jù)安全保護(hù)等級(jí)實(shí)現(xiàn)相應(yīng)級(jí)別的安全通用要求。所以說(shuō)通用要求是必選的,。
安全擴(kuò)展性要求是針對(duì)個(gè)性化保護(hù)需求提出的,,需要根據(jù)安全保護(hù)的等級(jí)和使用的特定的技術(shù)或者是特定場(chǎng)景來(lái)實(shí)現(xiàn)安全擴(kuò)展要求,安全擴(kuò)展要求是根據(jù)需要選擇的,。
因?yàn)榻裉煳覀兪菙?shù)據(jù)安全和云計(jì)算安全的專場(chǎng),,所以我想特別強(qiáng)調(diào)一點(diǎn),如果網(wǎng)絡(luò)運(yùn)營(yíng)者是一個(gè)網(wǎng)絡(luò)服務(wù)的提供方,,是一個(gè)云平臺(tái)服務(wù)的提供方,,那么他要看的是相應(yīng)級(jí)別的.1+.2,這個(gè)是比較好理解的,,所有云服務(wù)商應(yīng)該都能理解,。但是對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)者,他是作為云租戶的話,其實(shí)他還是要看.1+.2,,不過(guò).2中有很多是針對(duì)云平臺(tái)或者云服務(wù)提供商來(lái)提出的要求的話,,那么對(duì)于云租戶是不適用的。但是也確實(shí)是有對(duì)云租戶適用的要求,,所以你仍舊要看.1+.2,。
這是我簡(jiǎn)單列了一下,就是內(nèi)容上面的變化,,主要是內(nèi)容方面有所擴(kuò)展,。
安全通用要求之間的差異,我這邊對(duì)比的一下1.0和2.0,,其實(shí)主要變化就是在三層防護(hù)和一個(gè)中心上,。大家可以看到前面物理環(huán)境對(duì)應(yīng)著安全物理環(huán)境,對(duì)應(yīng)的內(nèi)容項(xiàng)都是一樣的,,都是對(duì)于網(wǎng)絡(luò)或者是信息系統(tǒng)所在的機(jī)房的安全要求,,那么下面是完全不一樣了,以前是根據(jù)保護(hù)對(duì)象來(lái)區(qū)分的,,保護(hù)對(duì)象的種類是什么我就區(qū)分,,以前保護(hù)對(duì)象是網(wǎng)絡(luò),我就看網(wǎng)絡(luò)安全,,保護(hù)對(duì)象是服務(wù)器,、重要的運(yùn)維終端或者是管理終端以及數(shù)據(jù)庫(kù),那么我就要看主機(jī)安全,,如果是對(duì)應(yīng)用系統(tǒng),,我就要看應(yīng)用安全,如果專門(mén)針對(duì)數(shù)據(jù)安全,,我就要看數(shù)據(jù)安全和備份分布?,F(xiàn)在不一樣了,現(xiàn)在是三層防護(hù)一個(gè)中心了,,這是有了非常大的調(diào)整,。我后面會(huì)講到,你為什么不能夠看28448就直接看22239,。
下面是沒(méi)有變化的,,就是在人員安全管理的這邊,現(xiàn)在改成安全管理人員,,大其實(shí)大的范圍不變,,具體的要求項(xiàng)會(huì)變。
下面我講一下為什么你不能離開(kāi)28448單獨(dú)去看22239,。28448是網(wǎng)絡(luò)安全保護(hù)測(cè)評(píng)要求是和基本要求同時(shí)發(fā)布的,,那么它的新標(biāo)準(zhǔn)的結(jié)構(gòu)是范圍,、規(guī)范性引用文件、術(shù)語(yǔ)定義,、縮略語(yǔ),、等級(jí)測(cè)評(píng)的一個(gè)概述。然后6-10章是5個(gè)等級(jí)的測(cè)評(píng)要求,,它所有的測(cè)評(píng)要求都是對(duì)著基本要求來(lái)的,也就是說(shuō),,基本要求有的所有的要求項(xiàng)都會(huì)有對(duì)應(yīng)的測(cè)評(píng)要求在28448中找到,,然后11是整體測(cè)評(píng),12是測(cè)評(píng)結(jié)論,,還有3個(gè)附錄,。
這里我選取了安全計(jì)算環(huán)境,我覺(jué)得這一點(diǎn)是比較好理解的,,所以說(shuō)我跟各位講解一下,。
以前的28448,它是身份鑒別作為一個(gè)測(cè)評(píng)單元的,,測(cè)評(píng)單元中會(huì)有測(cè)評(píng)指標(biāo),,測(cè)評(píng)指標(biāo)A項(xiàng)是來(lái)源于22239,和22239完全一一對(duì)應(yīng),。但是以前在28448中是沒(méi)有測(cè)評(píng)對(duì)象B這一條的,,會(huì)有C和D,以前只有ACD,,以前的28448?,F(xiàn)在它增加了B,就是測(cè)評(píng)對(duì)象這個(gè)環(huán)節(jié),。
我不知道大家對(duì)1.0的標(biāo)準(zhǔn)了不了解,,比如說(shuō)身份鑒別,在網(wǎng)絡(luò)安全里它有設(shè)備自身安全這一塊的要求,,就是設(shè)備安全,,它里頭會(huì)有身份鑒別要求,就是對(duì)網(wǎng)絡(luò)設(shè)備,、安全設(shè)備要有身份鑒別的要求,。那么在主機(jī)安全里它仍舊會(huì)有身份鑒別的要求,就是登錄服務(wù)器登錄數(shù)據(jù)庫(kù),,登錄所有主機(jī)的時(shí)候要有身份鑒別的要求,。在應(yīng)用安全里它仍舊會(huì)有身份鑒別要求,它會(huì)在三個(gè)不同的對(duì)象上都提出身份鑒別的要求,。但是這里只有在計(jì)算環(huán)境中有身份鑒別的要求,,只有在安全計(jì)算環(huán)境中有身份鑒別要求,,而且這條要求是沒(méi)有主語(yǔ)的,大家可以看一下,。
測(cè)評(píng)指標(biāo)說(shuō),,應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別,至于對(duì)登錄的什么用戶,,什么設(shè)備的登錄用戶,,什么系統(tǒng)的登錄用戶沒(méi)有說(shuō),這在22239中就是這么些的,,身份標(biāo)識(shí)要具有唯一性,,身份鑒別信息具有復(fù)雜度要求并定期更換。
那么如果你是一個(gè)資深的安全運(yùn)維者,,你看到這一條的時(shí)候,,你就會(huì)想那肯定是對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備,、服務(wù)器,、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)都有相應(yīng)的要求,,但是全嗎,?其實(shí)你考慮的并不全,你一定要看28448它的測(cè)評(píng)對(duì)象包括哪些,?
測(cè)評(píng)對(duì)象包括終端和服務(wù)器等設(shè)備中的操作系統(tǒng),,包括宿主機(jī)和虛擬機(jī)操作系統(tǒng),網(wǎng)絡(luò)設(shè)備包括虛擬網(wǎng)絡(luò)設(shè)備,,安全設(shè)備包括虛擬安全社波,,移動(dòng)終端管理系統(tǒng)、移動(dòng)終端管理客戶端,、感知節(jié)點(diǎn),、網(wǎng)關(guān)節(jié)點(diǎn)、控制設(shè)備,、業(yè)務(wù)應(yīng)用系統(tǒng),、數(shù)據(jù)庫(kù)管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì),、文檔等,。也就是說(shuō),如果你的系統(tǒng)中有以下需要被保護(hù)的對(duì)象,,你都要落實(shí)身份鑒別,,這就是為什么你不能夠離開(kāi)28448去看22239,因?yàn)槟阒豢?2239,,你可能并不能夠很全面的對(duì)你需要保護(hù)的對(duì)象落實(shí)相關(guān)的要求,。
下面我又選取了一個(gè),,就是跟今天的主題非常相關(guān)的,就是個(gè)人信息保護(hù),,數(shù)據(jù)安全,,我個(gè)人認(rèn)為在《網(wǎng)絡(luò)安全法》中它最關(guān)注的就是兩類數(shù)據(jù),一類是重要業(yè)務(wù)信息,,這個(gè)對(duì)于每個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)者來(lái)說(shuō),,都不一樣,我這家單位有這家單位我所認(rèn)為的重要業(yè)務(wù)信息,,另外一家單位有另外一家單位重要業(yè)務(wù)信息,,這個(gè)肯定每家單位都不一樣。但是對(duì)于公民個(gè)人信息,,這個(gè)每家單位都是一樣的。如果你有收集公民個(gè)人信息,,這肯定都是一樣的,。
《網(wǎng)絡(luò)安全法》中我認(rèn)為最重要的就是兩類信息需要保護(hù)它所強(qiáng)調(diào)的:
1、重要業(yè)務(wù)信息,;
2,、公民個(gè)人信息。
所以說(shuō)在新的22239中,,我們單獨(dú)把數(shù)據(jù)安全中的數(shù)據(jù)信息中的個(gè)人信息提出來(lái),,單獨(dú)對(duì)它進(jìn)行一個(gè)相應(yīng)的要求,當(dāng)然還有數(shù)據(jù)安全的那部分要求,,但是這一塊是單獨(dú)有的,。
那么個(gè)人信息,個(gè)人信息保護(hù),,它的測(cè)評(píng)指標(biāo)有兩個(gè),,應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個(gè)人信息。也就是說(shuō),,如果你的業(yè)務(wù)真正需要的話,,你可以采集,但是如果你的業(yè)務(wù)不需要的話,,你不要采集,,你只采集你需要的信息,不要多采,,這是對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的要求,。
第二條應(yīng)禁止未授權(quán)訪問(wèn)和非法使用用戶個(gè)人信息,你對(duì)你采集了的個(gè)人信息,,你要有保護(hù)的相應(yīng)落實(shí)的制度,,相應(yīng)有落實(shí)的措施保護(hù)措施,,你不能夠說(shuō)我需要我采,我采了之后我就放那,,也不對(duì)它進(jìn)行保護(hù),。如果因?yàn)槟惚Wo(hù)不利,使得從你的信息系統(tǒng)中,,或者從你的網(wǎng)絡(luò)中流出了公民個(gè)人信息,,造成了公民個(gè)人信息的泄露,或者是篡改,,那么你要承擔(dān)相應(yīng)的法律責(zé)任的,。
這是兩條要求。
那么因?yàn)樵诰W(wǎng)絡(luò)安全等級(jí)保護(hù)的內(nèi)容中有云計(jì)算安全擴(kuò)展要求,,所以說(shuō)我們簡(jiǎn)單講一下云計(jì)算安全擴(kuò)展要求的一些特點(diǎn),。
先從定級(jí)來(lái)講,首先在云計(jì)算環(huán)境中,,應(yīng)將云服務(wù)提供商的云計(jì)算平臺(tái)單獨(dú)作為定級(jí)對(duì)象,,這個(gè)應(yīng)該比較好理解,因?yàn)樗且粋€(gè)基礎(chǔ)平臺(tái),,它肯定要先做一個(gè)定性,,它是一個(gè)支撐平臺(tái),它肯定要自己先做定級(jí),,做一個(gè)獨(dú)立的網(wǎng)絡(luò)或者信息系統(tǒng)來(lái)做一個(gè)定級(jí),。那么云服務(wù)客戶的等級(jí)保護(hù)對(duì)象也應(yīng)該單獨(dú)的定級(jí),也就是說(shuō),,如果你是一個(gè)云租戶,,你把自己的網(wǎng)絡(luò),或者把自己的信息系統(tǒng)遷到云上,,那么你的這塊也要做一個(gè)單獨(dú)的定級(jí),。
云服務(wù)商的云計(jì)算平臺(tái)應(yīng)根據(jù)其承載或者將要承載的等級(jí)保護(hù)對(duì)象的重要程度確定其安全保護(hù)等級(jí),應(yīng)不低于其承載的等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí),。
我這邊舉一個(gè)例子,,比如一個(gè)區(qū)域的政府想要建一個(gè)政務(wù)云,他肯定先要考慮我有哪些政務(wù)系統(tǒng)要上這個(gè)云,?可能有二級(jí)的政務(wù)系統(tǒng)要上這個(gè)政務(wù)云,,也可能有三級(jí)的政務(wù)系統(tǒng)也要上這個(gè)政務(wù)云,那么我肯定要將我的云平臺(tái)至少定級(jí)為是三級(jí)的信息系統(tǒng),,因?yàn)槿绻业募?jí)別低,,我怎么能保證我承載的比我級(jí)別高的信息系統(tǒng)的安全呢?所以說(shuō)是這樣子的,。
那么備案,,因?yàn)樵品?wù)商它的機(jī)房,,它的運(yùn)維可能是比較復(fù)雜的,所以說(shuō)它有可能會(huì)有很多種的情況,,那么云服務(wù)商這個(gè)應(yīng)該負(fù)責(zé)將云平臺(tái)的定級(jí)結(jié)果向所轄公安機(jī)關(guān)進(jìn)行備案,,備案地應(yīng)為運(yùn)維管理端所在地。
然后云服務(wù)客戶負(fù)責(zé)對(duì)云平臺(tái)上承載的租戶信息系統(tǒng)進(jìn)行定級(jí)備案,,然后備案地應(yīng)為工商注冊(cè)地或者是實(shí)際經(jīng)營(yíng)所在地,。
在建設(shè)整改方面,我前面也強(qiáng)調(diào)了,,無(wú)論是云平臺(tái)的提供方,,云服務(wù)提供商還是云租戶,你都要按照通用要求,、云計(jì)算安全擴(kuò)展要求,,這兩部分要求對(duì)你的網(wǎng)絡(luò)進(jìn)行建設(shè)和整改,當(dāng)然測(cè)評(píng)機(jī)構(gòu)也會(huì)按照這兩項(xiàng)的要求對(duì)你的網(wǎng)絡(luò)進(jìn)行測(cè)評(píng),。
好,,簡(jiǎn)單總結(jié)一下。網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)入到了2.0階段,,它有很多新的特征,最重要的特征就是它有了中華人民共和國(guó)《網(wǎng)絡(luò)安全法》的支撐,,上升到了一個(gè)法律的地位,。那么如果網(wǎng)絡(luò)運(yùn)營(yíng)者不履行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度所規(guī)定的相關(guān)的義務(wù),那其實(shí)就是在觸犯我們國(guó)家的法律,?!兜缺!番F(xiàn)在也已經(jīng)有了相應(yīng)的落地實(shí)施細(xì)則,,雖然這個(gè)相應(yīng)的標(biāo)準(zhǔn)還沒(méi)有完全全部出臺(tái),,但是有很多主要的標(biāo)準(zhǔn)已經(jīng)出臺(tái)了,包括22239,、28448都已經(jīng)出臺(tái)了,,那么它們的實(shí)施日期是在今年的12月1號(hào),所以說(shuō)網(wǎng)絡(luò)運(yùn)營(yíng)者有時(shí)間對(duì)自己現(xiàn)在的網(wǎng)絡(luò)開(kāi)始找差距,,按照新的22239和22248當(dāng)中所提的要求對(duì)比一下看看自己的網(wǎng)絡(luò)中還有哪些防護(hù)措施可以上,,還有那些不足可以補(bǔ)。