来源:https://www.cloudallonline.com/
网络安全等级保护作为国家网络安全的基本制度和基本国策,扮演着维护国家关键信息基础设施安全的重要角色。从1994年起,这一制度经过实践和改进,逐步发展成为一个完备的政策、标准和支撑体系,对我国网络信息安全建设发挥着重要的指导作用。
网络安全等级保护制度的发展经历了近二十年,从1.0阶段发展到了2.0阶段,从制度上升到法律。在1994年,国务院颁布了《中华人民共和国计算机信息系统安全保护条例》,首次规定了计算机信息系统的安全等级保护。此后,经过多次修订和补充,制度逐渐完善。
到了2016年10月10日,第五届全国信息安全等级保护技术大会召开,标志着等级保护制度进入了2.0时代。随后,2017年6月1日,《中华人民共和国网络安全法》的颁布更是为等级保护制度正式迈入了有法可依的阶段。
在等级保护中,“二级”、“三级”等术语并非指“等保2.0”、“等保3.0”,而是表示信息系统的安全等级。这根据《GB17859-1999计算机信息系统安全保护等级划分准则》规定,分为五个等级。这种等级划分是根据信息系统在国家安全、经济建设、社会生活中的重要程度和受到威胁后对国家安全、社会秩序、公共利益及个人、法人和其他组织的危害程度而设立的。
等级保护的工作流程主要包括定级、备案、建设整改、等级测评和监督检查。在这一过程中,各个环节都有其重要性。二级及以上系统需要专家评审和主管部门审核,备案审批时间在10个工作日内,建设和整改要按照最新的等保2.0国标进行规划设计,而测评则需要找到具有资质的测评机构进行。
自2021年6月18日起,新的测评标准开始执行。相较于之前的得分制,现在采用了缺陷扣分制,测评结论也从“符合”、“不符合”变为“优、良、中、差”四个等级。这种调整旨在更准确地评估系统的安全状况。
随着业务系统迁移到云上,等保建设也需要相应调整。云服务商和云租户之间应根据提供的IaaS、PaaS、SaaS模式分担不同的平台安全责任。责任分担矩阵需要明确规定,以确保网络安全责任的履行。
“一个中心,三重防护”作为等级保护的安全设计技术框架,强调了安全管理中心的作用,同时明确了安全通信网络、安全区域边界、安全计算环境的重要性。这一框架为整体架构设计和方案编制提供了基本参考原则。
“网络安全建设强调“三同步”:规划、建设、使用有关网络安全保护措施必须同步进行。而“三化六防”则是在深入贯彻实施网络安全等级保护制度中,实现实战化、体系化、常态化思路的同时,采取动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的措施。
从等保1.0到2.0,变化是多方面的。包括名称、定级对象、安全要求、控制措施分类结构、规定动作等方面都有明显的变化。这一升级旨在更好地适应当前网络安全的形势和需求。
信息化的建设和实施是一个系统而复杂的工程。积极落实关键信息系统的等级保护建设,不仅能够快速提高信息系统的安全水平,还能避免因信息系统安全漏洞带来的经济风险。这对于降低信息化投入,满足国家法规要求,提升国家整体信息化安全水平都具有积极作用。
综合来看,网络安全等级保护制度作为国家网络安全的基本保障,经过近二十年的发展,已经逐步完善和法制化。从1.0到2.0,从制度到法律,这一制度在不断演进中更好地适应了网络安全的新形势。在未来,我们期待网络安全等级保护继续发挥其在国家安全建设中的关键作用,为构建网络安全的坚实防线贡献力量。