下文将网络安全法中与等级保护有关的条款进行解读分析,从网络安全法角度梳理出我们等级保护工作的重点和核心。同时介绍下在2.0时代等级保护的标准体系和工作流程。
一、网络安全法明确了等级保护工作重点
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
解读:本条规定的是网络运营者的义务。条款提到的网络安全等级保护制度与公安部运营多年的信息系统安全等级保护制度(即等级保护1.0)有非常大的关联,也说明国家会修订和出台相关“网络安全等级保护”的相关配套制度(即等级保护2.0),目前等级保护2.0标准体系的修订工作已基本完成,近期即将出台。
(一) 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
解读:一般第一主要责任人是单位一把手,厅长、局长、院长、校长等领导,第二主要责任人是单位具体分管信息化、分管网络安全的领导,副厅长、副局长、副院长、副校长或总工等。
(二) 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
解读:一般来说防火墙、IDS、IPS、防病毒网关、杀毒软件和防DDOS攻击系统等属于这类技术措施。
(三) 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
解读:网络审计、行为审计、运维审计、日志管理分析、安全管理平台和态势感知平台等都属于这类技术措施。
(四) 采取数据分类、重要数据备份和加密等措施;
解读:数据安全越来越重要,等保方案需要充分考虑数据备份、数据传输和数据存储安全等内容。
(五)法律、行政法规规定的其他义务。
第五十九条 网络运营者违反规定拒不改正或情节严重的,罚款1-10万元,直接责任人罚款0.5-5万元
二、网络安全法明确了等级保护的核心
1、关键信息基础设施的定义
第三十一条国家公共通信和信息服务、能源、交通、 水利、金融、公共服务、电子政务等重要行业和领域,以及一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
解读:等级保护工作的核心是关键信息基础设施,本条首先定义了什么是关键信息基础设施。国家互联网信息办公室已于2017年7月发布《关键信息基础设施安全保护条例(征求意见稿)》,参照网络安全法和关键信息基础设施安全保护条例等法律法规要求,关键信息基础设施的认定可参照下表:
关键信息基础设施种类 | 认定标准 | 网络安全事件的潜在影响 |
网站类 | 1)县级(含)以上党政机关网站。 2)重点新闻网站。 3)日均访问量超过100万人次的网站。 4)一旦发生网络安全事故,可能造成右边列影 响之一的。 5)其他应该认定为关键信息基础设施。 | 1) 影响超过100万人工作、生活; |
平台类 | 1)注册用户数超过1000万,或活跃用户(每 日至少登陆一次)数超过100万。 2)日均成交订单额或交易额超过1000万元。 3)一旦发生网络安全事故,可能造成右边列 影响之一的。 4)其他应该认定为关键信息基础设施 | 1) 造成1000万元以上的直接经济损失; |
生产业务类 | 1)地市级以上政府机关面向公众服务的业务 系统,或与医疗、安防、消防、应急指挥、 生产调度、交通指挥等相关的城市管理系统。 2)规模超过1500个标准机架的数据中心。 3)一旦发生网络安全事故,可能造成右边列影响之一的。 4)其他应该认定为关键信息基础设施。 | 1) 影响单个地市级行政区30%以上人口的工作、生活; |
2、关键信息基础设施的安全保护义务
第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等。
解读:本条款说明关键信息基础设施的保护要求高于网络安全等级保护制度的一般要求,从制度、培训、灾备、应急等方面提出了进一步要求。
第五十九条 运营者拒不改正或导致危害网络安全的,罚款10-100万元,直接责任人罚款1-10万元。
3、敏感信息保存
第三十七条 境内收集产生的个人信息和重要数据应当在境内存储。确需向境外提供的,应进行安全评估。
解读:本条是外企和有海外业务的国内企业很关注的一条。主要是关于数据境内存储和境外数据流动的问题。核心是数据安全。这里有两个关键词,一个是“重要数据”,什么是重要数据,相关的常见提法还有“业务数据”、“运营数据”、“服务数据”、“个人数据”、“企业数据”、“国家数据”,专家认为,重要数据是从影响因子的权重来区分数据,是一种新的数据分类方式,而不是从用途和归属的角度去分类。另一个关键词是“安全评估”,这个安全评估的方式是将来要出台的配置制度。相关问题也并不清晰,例如评估对象的问题,是对要流向境外的数据进行评估?还是对业务的模式进行评估?还有谁来评估的问题,是主管单位来评估,还是运营者自己进行评估? 本条说明了将来会出台“向境外提供关键信息基础设施重要数据的安全评估办法”。
第六十六条 运营者违反规定的,没收违法所得,罚款5-50万元,吊销执照,直接责任人罚款1-10万元。
4、风险检测评估
第三十八条 运营者每年至少组织一次安全风险检测评估,并评估情况和改进措施报相关部门。
解读:本条主要是关于对关键信息基础设施年度检测评估的问题。这里提到了网络安全服务机构,就是我们常说的提供风险评估等各类安全服务的机构,这些机构以后又多了一项业务了。
第五十九条 运营者拒不改正或导致危害网络安全的,罚款10-100万元,直接责任人罚款1-10万元。
三、等级保护2.0标准体系
等级保护2.0系列标准已形成标准送审稿,近期将颁布出台。等级保护2.0为1+N模式,1为通用要求,适用各个行业和各个领域,N指具体的一个领域内的扩展要求,目前N为5,分别是云计算、移动互联、物联网、工业控制、大数据。未来随着技术的发展,N会不断扩展。
等级保护2.0工作流程
与等保1.0相比,等保2.0将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综合考核等与网络安全密切相关的措施纳入等级保护制度并加以实施。
总结
作为全国唯一具备等级保护建设能力资质的综合网络安全厂商,新华三是国家信息安全标准委员会标准牵头单位,参与了公安部的云计算安全等级保护标准与测评要求以及国家信息中心的政务云等级保护基本要求及实施指南等相关标准制定,并拥有系列齐全的安全产品和服务,具备等级保护一体化交付能力,可帮助客户完成定级备案、差距分析、方案设计、整改加固、等保测评和等保运维的全部流程。新华三等级保护整体解决方案完全满足网络安全法和等级保护2.0标准体系要求,全面覆盖政府、教育、医疗、交通等多个行业的等级保护需求。另外新华三拥有信息安全风险评估服务资质,可为客户提供风险检测评估服务。