行业要闻 > 正文
我国网络安全将实现重大升级 等级保护2.0标准有望4月出台
2019/4/3 11:40   中国安防行业网      关键字:网络安全,重大升级,等级保护2.0标准      浏览量:
公安部网络安全保卫局的处长祝国邦做了题为"等级保护标准2.0解读"的精彩演讲,指出等级保护步入了一个新的阶段,等级保护2.0标准有望在今年4月份出台。

  3月20日下午,第27届中国国际广播电视信息网络展览会(CCBN2019)期间的重要论坛之一"网络安全论坛"如期举行,公安部网络安全保卫局的处长祝国邦做了题为"等级保护标准2.0解读"的精彩演讲,指出等级保护步入了一个新的阶段,等级保护2.0标准有望在今年4月份出台。
  公安部网络安全保卫局祝国邦处长在介绍国家等级保护标准2.0的进展情况时表示,等级保护标准2.0并不是一个时间节点或者有一套2.0的政策,而是指等级保护步入了一个新的阶段。对于等级保护2.0的一些变化,一方面,体现在网络安全等级保护监管的对象得到了很大扩充。以前更多的是传统的信息系统,比如说售票系统、调度系统等,而随着网络技术的发展,监管对象也涵盖了互联网、移动互联网、物联网、行业专网,以及云平台、公共系统、智能系统等。另一方面,目前的等级保护概念中,监管对象、保护对象等也随着网络技术的发展发生了很大变化,这是等级保护2.0要重点关注的。"融合引领世界,安全决定未来。"谈及等级保护2.0的核心时,祝国邦表示,对网络安全等级保护措施的进一步完善十分关键。同时,需要明确的是,等级保护2.0并不是重新开始,而是在现有工作基础上进一步加强整体的安全防护。
  早在1994年我国就确定了等级保护制度,2007-2017年是等级保护1.0时代,2007年由公安部牵头会同保密局、密码局等正式开始实施网络安全等级保护制度。
  祝国邦指出,"这十年,公安部重点开展了等级保护的顶级、备案、测评、整改和监督检查五项工作,制定等级保护的政策、标准,引领各行业部门贯彻落实等级保护制度。同时也实现了政策方面引领,产业方面更多的支撑。
  "如今,等级保护步入了一个新的阶段--等级保护标准2.0时代。"祝国邦表示,等级保护标准2.0是根据当前的网络安全的形势变化、任务要求和整个技术的发展,重新去审视等级保护制度,在四个方面提出了新的政策和要求。
  第一个方面,2017年6月1号国家网络安全法正式颁布实施,网络安全法第21条明确指出,国家实行网络安全等级保护制度,要按照网络安全等级保护的要求履行网络安全的义务,这是法律确定的基本制度。
  第二个方面,等级保护2.0有一些变化,体现在网络安全等级保护监管的对象得到了很大的扩充,以前更多的是传统的信息系统,现在整个信息系统的发展变化发生了很大变化,这也是等级保护2.0中重点要解决的;原来关注传统系统,现在关注云平台和大数据平台的安全,对广电来说就是关注融媒体的安全。
  第三个方面,对网络安全等级保护的措施会进一步完善,这是等级保护2.0的核心。原来更重视的是等级保护的定级、备案、测评、整改等等一系列的工作,2.0时代,目前公安部牵头制定网络安全等级保护条例,中央网信办、保密局、密码局基本达成一致,准备四部委会签报国务院走立法程序,在等级保护这个条例当中,这里对等级保护的定级备案提出了一些新的要求。比如定级过程当中要求定级各家评审,解决定级不准的问题;比如备案方面,调整为县级以上公安机关就可以备案,原来是地市级才接受备案等等。同时,等级保护2.0还强化对网络运营者数据安全的保护要求。
  第四个方面,等级保护2.0标准有望今年4月份出台,修订了2008年出台的一系列的等级保护的基本要求,安全设计技术要求,等级保护的测评要求等一系列标准。2.0的标准还会发布整个云计算、大数据、物联网、移动互联等级保护的标准,有一套全新的工作机制,包括等级保护协调机制,密切跟行业主管部门的沟通协作的相应的机制,这也会充分发挥测评机构、服务机构、科研院所等方面的作用和力量,推动整个网络安全等级保护制度的落实,进一步加强整体的安全防护。
  针对此,我们来了解一下网络安全等级保护的相关知识:
  网络安全等级保护的概念?
  网络安全等级保护是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。
  网络安全等级保护的五个等级:
  第一级--自主保护级:(无需备案,对测评周期无要求)此类信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成一般损害,不损害国家安全、社会秩序和公共利益。
  第二级--指导保护级:(公安部门备案,建议两年测评一次)此类信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害。会对社会秩序、公共利益造成一般损害,不损害国家安全。
  第三级--监督保护级:(公安部门备案,要求每年测评一次)此类信息系统受到破坏后,会对国家安全、社会秩序造成损害,对公共利益造成严重损害,对公民、法人和其他组织的合法权益造成特别严重的损害。
  第四级--强制保护级:(公安部门备案,要求半年一次)此类信息系统受到破坏后,会对国家安全造成严重损害,对社会秩序、公共利益造成特别严重损害。
  第五级--专控保护级:(公安部门备案,依据特殊安全需求进行)此类信息系统受到破坏后会对国家安全造成特别严重损害。
  等级保护2.0的要点
  2018年6月27日,公安部正式发布《网络安全等级保护条例(征求意见稿)》,标志着《网络安全法》所确立的网络安全等级保护制度有了具体的实施依据与有力抓手,标志着等级保护正式迈入2.0时代。2018年12月28日,全国信息安全标准化技术委员会归口的《信息安全技术网络安全等级保护测评过程指南》等27项国家标准正式发布,为等保对象进行网络安全等级保护的落地实施进行了细化指引。
  等级保护2.0针对共性安全保护需求提出安全通用要求,并针对移动互联、云计算、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求。
  2018年1月19日,全国信息安全标准化技术委员会发布了《信息安全技术网络安全等级保护定级指南2.0(征求意见稿)》(以下称"指南"),为等保的具体适用提供了指引,并细化明确网络安全等级保护制度定级对象范围具体包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。
  等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。

  等级保护2.0沿用了等保1.0的五个规定动作:定级、备案、建设整改、等级测评和监督检查,并扩展到风险评估、安全检测、通报预警、安全事件处置、漏洞风险管理等方面,将其纳入到等级保护的范围之内。而等级保护的实施是一个体系化工作,以"纵深防御、分层防护"为总体策略贯穿始终。

微信扫描二维码,关注公众号。