01.等保2.0概述
本次從頭梳理一下等保2.0涉及到的主要步驟:
等保概述、定級備案、差距評估、規劃設計、安全整改以及測評驗收等。
先從概述開始,一些相關的已經寫過的東西就省略。本文部分內容來自中級測評師教學以及網際網路
未經許可,請勿轉載。
等保的歷史
等保1.0
給出幾個等保重要時間節點:
1994年,國務院頒佈國務院147號令《中華人民共和國計算機資訊系統安全保護條例》,規定計算機資訊系統實行安全等級保護。這是第一次提出等保的概念。
1999年,GB 17859-1999《計算機資訊系統安全保護等級劃分準則》國家強制標準釋出。關於標準的知識可以看這裡
2003年,中央辦公廳、國務院辦公廳頒發《國家資訊化領導小組關於加強資訊保安保障工作的意見》(中辦發[2003]27號)明確指出「實行資訊保安等級保護」。
2005年,公安部四大標準初稿出臺(正式稿後面才出來):
GB/T 22239 基本要求
GB/T 22240 定級指南
GB/T 25058 實施指南
GB/T 28448 測評標準
2007年6月,公通字[2007]43號《資訊保安等級保護管理辦法》釋出。
2007年7月,四部門聯合頒佈《關於開展全國重要資訊系統安全等級保護定級工作的通知》。
2007年7月20日,召開全國重要資訊系統安全等級保護定級工作部署專題電視電話會議,標誌著資訊保安等級保護制度正式開始實施。
2010年4月,公安部出臺《關於推動資訊保安等級保護測評體系建設和開展等級測評工作的通知》,提出等級保護工作的階段性目標。
2010年12月,公安部和國務院國有資產監督管理委員會聯合出臺《關於進一步推進中央企業資訊保安等級保護工作的通知》,拉開了央企等保工作的序幕。
以上是等保1.0的發展歷史,以下則是2.0的發展歷史。
等保2.0
2013年,全國資訊保安標準化技術委員會授權WG5-資訊保安評估工作組開始啟動等級保護新標準的研究。
2014年,習總書記出任中央網路安全和資訊化領導小組組長,網路安全上升到國家安全戰略。
2015年,中央網路安全和資訊化領導小組2015年工作要求、落實國家資訊保安等級保護制度
2016年11月7日,《中華人民共和國網路安全法》正式頒佈(2017年6月1日正式實施),第二十一條明確:國家實行【網路安全等級保護制度】。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的存取,防止網路資料洩露或者被竊取、篡改。當然,相關條款還有31條和33條。
2017年1至2月,全國資訊保安標準化技術委員會發布《 網路安全等級保護基本要求》系列標準、《 網路安全等級保護測評要求 》系列標準等「徵求意見稿」。
2017年5月,國家公安部發布《GA/T 1389—2017 網路安全等級保護定級指南》、《GA/T 1390.2—2017 網路安全等級保護基本要求 第 2 部分:雲端計算安全擴充套件要求》等4個公共安全行業等級保護標準。
2019年12月1日,等保2.0標準正式實施,釋出會沈昌祥院士還做了演講,記得B站有視訊。
從以上歷史可以看到,國家對網路安全是越來越重視,等保已經是必然要做的工作(法律規定),但是也還有人想不通,做了等保就安全了嗎?當然不是,那不是白做了?其實這個問題很簡單,等保是為了加強資訊系統(現在不這麼叫,要叫等保物件)的安全防護水平,通俗來說,如果資訊系統出了安全問題且沒有做等保,那麼主體單位(使用者)就要承擔主要責任,要受到公安部門的網監的處罰,如果做了等保出問題也不是說免責,當然等保裡面也相關規定要調查啥啥的流程,但是沒有處罰。提升安全防護水平比較主觀,於是就有了等保相關標準,來指導我們如何來做,對主體的網路安全會有整體的規劃或思路。
關於責任主體的補充:誰主管誰負責、誰運賞誰負責、誰使用誰負責的原則,
流程及參與角色和分工
這塊內容之前寫過,看這裡:
詳細流程那個圖超大,不貼了,直接看大的步驟:
定級備案:梳理等保物件(資訊系統、雲大物工移)情況,確定等級,提交定級報告和備案表到當地網監。(按慣例這塊工作測評機構代勞)
差距評估:聘請第三方測評機構,進行安全檢查和評估,找出現狀問題,提交問題報告和整改方案。(當做初評也行)
整改建設:根據差距評估結果,進行技術+產品+人工+管理制度等方面的整改建設工作。(安全廠商這個時候要出場)
等級測評:聘請第三方測評機構,進行等級保護測評工作,提交相應的等級保護測評報告到當地網監。(拿證,這個證不是安全證書,而是安全防護能力的證書)
後面的章節基本就按這幾個步驟來展開。
關於分工這塊補充一下:
等保一共五級,一到三級都是測評機構做,四五級都是公安部自己搞定。
測評機構和安全廠商雖然職能是分開,但都是「過等保」中不可分開的角色,二者經常狼狽為奸 全面合作,相互介紹客戶。
等保1.0 vs 2.0
這塊內容在中級測評師教材裡面有,裡面是按每個標準進行描述的,這裡還是稍微整理一下,整合到一起:
- 名稱發生變化:這裡的名稱主要是指標準的名稱,為了與《網路安全法》中第21條(看上面)提出的「網路安全等級保護制度」保持一致,例如:
| 原標準名,等保1.0 | 新標準名,等保2.0 |
|---|---|
| GB/T 25058-2010 資訊保安技術 資訊系統安全等級保護實施指南 | GB/T 25058-2019 資訊保安技術 網路安全等級保護實施指南 |
| GB/T 22240-2008 資訊保安技術 資訊系統安全等級保護定級指南 | GB/T 22240-2020 資訊保安技術 網路安全等級保護定級指南 |
| GB/T 22239-2008 資訊保安技術 資訊系統等級保護基本要求 | GB/T 22239-2019 資訊保安技術 網路安全等級保護基本要求 |
| GB/T 25070-2010 資訊保安技術 資訊系統保護安全設計技術要求 | GB/T 25070-2019 資訊保安技術 網路安全等級保護安全設計技術要求 |
| GB/T 28448-2012 資訊保安技術 資訊系統等級保護測評要求 | GB/T 28448-2019 資訊保安技術 網路安全等級保護測評要求 |
| GB/T 28449-2012 資訊保安技術 資訊系統等級保護測評過程指南 | GB/T 28449-2018 資訊保安技術 網路安全等級保護測評過程指南 |
這裡要點就是資訊系統換成了網路安全,從整體範圍來看,資訊系統安全∈網路安全∈資訊保安。
- 定級物件的變化:名稱的變化導致定級物件的變化,原來只考慮資訊系統安全,現在要考慮網路安全,即:
網 絡 = 信 息 系 統 + 關 基 + 雲 大 物 工 移 網路=資訊系統+關基+雲大物工移 網絡=信息系統+關基+雲大物工移 - 等保安全要求的變化:由於物件變多了,所以等保安全要求也就發生了變化,我們把資訊系統對應的安全要求稱為安全通用要求,把其他系統或網路對應的安全要求稱為安全擴充套件要求。(關鍵資訊基礎設施沒有單獨列擴充套件要求,應根據其具體形態或者說型別選擇相應要求)
- 控制點和要求項的變化:都是分為技術和管理兩個大類,在對應關係和名稱上有變化,不用解釋,2.0更加好背(都是安全兩個字打頭,然後加居然要求)。裡面的具體控制點還有變化,有減少也有增加。這裡面可以看到比較明顯的就是多了一個安全管理中心,也就說等保2.0對於網路安全的集中管控也有新的要求,具體可以參考安全廠商推出的各種相關管控軟硬體介紹。當然還增加一些類似可信計算之類的控制點。
- 流程的變化(增加):等保1.0中對於整套流程的規定為:定級備案、差距評估、安全整改、等級測評、監督檢查,五個。等保2.0中在以上五個步驟上,還增加了風險評估、安全監測、通報預警、安全事件調查、資料防護、災備、應急處置等安全要求。這點其實還可以和第四點結合起來理解
- 效力變化:從原來的強制標準變成法律法規,因此最近出現了一些不做等保被處罰的一些案例。
- 其他變化:例如理念的變化,正如沈院士所說,從原來的被動的防禦變成主動防禦;測評細節如測評結果的公式和分數要求有變化,加入了權重,不再眉毛鬍子一把抓。
等保常見誤區
1.等保的級別僅能代表等保物件的重要程度;過等保,僅能代表等保物件無高危漏洞,(基本)符合安全防護等級的大部分要求。並不能反映等保物件主體的具體情況,從最近幾年的等保測評來看一些單位為了省錢都想方設法把等保級別定低一些,但是一些民間金融機構上來就是三級系統,雖然涉及到金融方面定三級無可厚非,但是這些機構確將過等保三級作為一種實力的象徵(也代表一丟丟實力,畢竟這玩意每年都要燒一筆錢)但不代表這個機構不會倒閉或者跑路。
2.過等保僅能代表等保物件當前一段時間內容的安全狀態,對於安全風險而言,它是一個動態的一個過程,例如某系統突然爆發出一個高危漏洞,而你未及時關注並修復,那麼等保物件就處於一種危險狀態,這也是為什麼二級以上系統每一年都要整一次(原來1.0裡面四級系統是半年整一波)。因此,等保也是一個動態的過程,在等保的測評報告中還專門有對上一次等保遺留問題的如何解決描述。
3.物理隔離的系統也需要做等保。有研究表明,70%-80%網路攻擊都是從網路內部發起的,因此等保等級的劃分標準並不是按照網路的隔離效果來區分,只要屬於等保物件,就要納入等保的範疇。
4.部署在雲上的系統,尤其是網站,也要做等保。很多單位的主管,認為網站或系統放在別人的雲上,出了安全事故就和自己沒有關係,這個想法是錯誤的(通常雲平臺只負責物理環境安全),具體看上面對安全主體的定義。這裡要注意兩點:第一,部署在雲上的系統/網站的等保級別≤雲的等保級別;第二,將已經通過等保的系統/網站,遷移到未定級的雲平臺的,應該先將雲平臺定級做等保,然後通過等保的系統/網站要重新做等保(定級標準裡面有說明,這屬於重大變更)。
5.不能自己定等保級別,新定級標準還未實施,新標準加入了專家評審機制。但是仍然不能自己定級別,定低了沒有起到保護等保物件的作用,定高了白白燒錢。一般有行業標準按行業標準,沒有行業標準看上級部門,沒有上級部分看兄弟單位的類似系統,再就是根據基本,例如市級系統定三級,縣級就可以考慮降一級。不過一般這個事都是測評機構代勞。