城堡网 >> 新闻中心 >> 互联网新闻 

《网络安全等级保护条例》随笔连续剧第一集

网络安全等级保护条例征求意见稿已出台一段时间,已报国务院司法部,预计年底正式生效。网络安全等级保护制度,是在以习近平同志为核心的党中央的坚强领导下,中国网络安全取得的重大成就,是中国网络安全保障工作的伟大创举,是中国网络安全界广大群众的智慧结晶,是中国网络安全的基石,是维护国家安全,社会秩序和公共利益的根本保障。

网络安全等级保护是落实“分等级保护、突出重点、积极防御、综合防护”的总体要求,建立“打防管控”一体化的网络安全综合防御体系,提升国家网络安全整体防御能力,变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防护,变粗放防护为精准防护。

笔者参考了大量的资料,文章,牛人的ppt,发现有的安全厂商为了推销产品在过度解读,也有的还是停留在1.0的理念,非常保守未接受新的标准。在每一个点经过仔细较真后,请教了多个牛人、权威专家后整理而成,不敢保证理解的都对,但求还原最真实最客观的一面,仅仅从字面理解,毕竟最高法最高检司法解释还没有出台,如何更贴切更真实更准确还得以两个标准说话,两个标准为2019年推出的GB/T28448-2019《信息安全技术网络安全等级保护测评要求》,GB/T22239-2019《信息安全技术网络安全等级保护基本要求》。出于对于学术的尊重,对法律的敬畏,欢迎批评指正。

第一条【立法宗旨与依据】为加强网络安全等级保护工作,提高网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,依据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等法律,制定本条例。

解析:其实这部法律的起草过程中,参考了很多其他的法律,不光是《中华人民共和国网络安全法》,还有比如:《中华人民共和国消防法》,《美国国家网络安全战略》,《计算机信息网络国际联网安全保护管理办法》(公安部令第33号),《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)等,当然《网络安全法》属于上位法,等保条例遵循《中华人民共和国网络安全法》。从《信息安全等级保护管理办法》到《网络安全等级保护条例》,法律效力更强,管理办法不属于法律,行政法规,但是《网络安全等级保护条例》就属于法律和行政法规。比如《网络安全法》第二十一条,(五)法律、行政法规规定的其他义务,信息安全等级保护管理办法不属于第(五)款,但是网络安全等级保护条例就属于第(五)款。

第二条【适用范围】在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用本条例。个人及家庭自建自用的网络除外。

解析:本条例变化最大的地方之一,就是除家庭及个人自建的网络除外。《信息安全等级保护管理办法》中,主要是以国有企事业单位,政府机关的系统作为等保对象,那么在《网络安全等级保护条例》中只要是在中国境内建设、运营、维护、使用的网络,都要遵守网络安全等级保护制度。说白了就是任何系统,不管是内网,外网,物理隔离的,还是云端的系统,哪怕是微信公众号有自己服务器的,私企,外企,小公司、工作室的网站、系统都需要遵守《网络安全等级保护条例》,按照网络安全等级保护制度的要求去做,也就是说等保覆盖了全社会。

第三条【确立制度】国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。前款所称网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

解析:国家实行网络安全等级保护制度,就意味着,所有的网络都能划定等级,最低级是一级,没有0级。网络的定义不是原来的想象中的物理拓扑结构层面的网络,它是个广义的网络,最后的宾语是一个系统,也就是说网络包括系统和那些局域网,专网等网络。比如全国各大银行保险公司在各地市都有分行或支行,那么数据的传输就是靠骨干网络,那么这种骨干网络断了,银行的核心业务也就中止了,这种骨干网叫网络,网站也叫网络,OA,ERP也叫网络。网络=网络+信息系统。

第四条【工作原则】网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。】

网络运营者在网络建设过程中,应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。

涉密网络应当依据国家保密规定和标准,结合系统实际进行保密防护和保密监管。

解析:等级保护工作突出重点,国家整体的网络安全思想也是要突出重点保护,对于国家事务处理信息系统(党政机关办公系统),金融、税务、工商、海关、能源、交通运输、社会保障、教育等关键信息基础设施的系统,国防工业、国家科研等单位的信息系统,公用通信、广播电视传输等基础信息网络中的信息系统要进行重点保护,对于一些不是很重要的系统防护要求也就没那么高。变被动防御为主动防御,就是在入侵行为发生前,能够及时精准预警,构建弹性防御体系,避免、转移、降低信息系统面临的风险。等级保护由1.02.0是被动防御变成主动防御的变化,依照等级保护制度可以做到整体防御、分区隔离;积极防护、内外兼防;自身防御、主动免疫;纵深防御、技管并重。至于同步规划、同步建设、同步运行的三同步原则没有变。

第五条【职责分工】中央网络安全和信息化领导机构统一领导网络安全等级保护工作。国家网信部门负责网络安全等级保护工作的统筹协调。

国务院公安部门主管网络安全等级保护工作,负责网络安全等级保护工作的监督管理,依法组织开展网络安全保卫。

国家保密行政管理部门主管涉密网络分级保护工作,负责网络安全等级保护工作中有关保密工作的监督管理。

国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理。

国务院其他有关部门依照有关法律法规的规定,在各自职责范围内开展网络安全等级保护相关工作。

县级以上地方人民政府依照本条例和有关法律法规规定,开展网络安全等级保护工作。

解析:这一条明确了,中央网信机构领导网络安全等级保护工作,公安部门主管网络安全等级保护工作,国家网信部门负责等保工作的统筹协调。保密局,密码局负责各自领域的监督管理。也就是说密码局和保密局的分级保护(简称分保)也是等保工作的一部分。县级以上公安机关(包括县区一级),等保工作第一次下放到县区一级。未来等保监督、执法检查、备案等工作,县区一级公安机关也要参与。

第六条【网络运营者责任义务】网络运营者应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作,采取管理和技术措施,保障网络基础设施安全、网络运行安全、数据安全和信息安全,有效应对网络安全事件,防范网络违法犯罪活动。

解析:根据《中华人民共和国网络安全法》的解释网络运营者,是指网络的所有者、管理者和网络服务提供者。网络运营者应当依法开展网络定级备案,意味着网络运营者必须对自己拥有的系统不管是一级系统还是一级以上的系统都要进行定级工作。在《信息安全技术网络安全等级保护基本要求》中对于一级系统这么要求的:应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由。也就是说一级网络可以不用到公安机关备案,但是必须要有记录表单类文档,来记录保护对象的安全保护等级和确定等级的方法和理由。但是对于二级以上的系统要求必须到公安机关备案。对安全建设整改、等级测评和自查等工作,这里指的是对应的等保标准里要履行的动作,比如三级系统每年必须测评一次,但标准里没有要求二级系统必须测评,二级只是要求定期进行等级测评,在发生重大变更或级别发生变化时进行等级测评。根据各自系统的级别,查询对应级别的标准里的要求。至于后面的采取管理和技术措施,保障网络基础设施安全、网络运行安全、数据安全和信息安全,有效应对网络安全事件,防范网络违法犯罪活动,15级系统标准都有要求。

第七条【行业要求】行业主管部门应当组织、指导本行业、本领域落实网络安全等级保护制度。

解析:行业主管部门比如说教育局,卫健委,银保监局,人民银行等行业主管部门应当组织、指导本行业、本领域落实网络安全等级保护制度。对于下级单位的定级问题,应该出具主管部门的审批意见。具体的行业主管部门怎么定义,什么单位算行业主管部门,有具体文件要求。

第二章支持与保障

第八条【总体保障】国家建立健全网络安全等级保护制度的组织领导体系、技术支持体系和保障体系。

各级人民政府和行业主管部门应当将网络安全等级保护制度实施纳入信息化工作总体规划,统筹推进。

解析:各级政府和行业主管部门必须将网络安全等级保护制度纳入信息化工作的总体规划之中,之前很多部门,每年信息化工作可能会投入很多钱,但是经常忽略安全的建设,只重建设,不重安全,忽略网络安全的重要性,这一条明确要求纳入总体规划。

第九条【标准制定】国家建立完善网络安全等级保护标准体系。国务院标准化行政主管部门和国务院公安部门、国家保密行政管理部门、国家密码管理部门根据各自职责,组织制定网络安全等级保护的国家标准、行业标准。

国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全等级保护国家标准、行业标准的制定。

解析:国务院各相关部门,根据自己的职责,组织制定网络安全等级保护的相关标准。国家支持企业、研究机构、高校、行业组织参与制定等保相关标准,事实上也是这么做的,比如2019年推出的GB/T25070-2019《信息安全技术网络安全等级保护安全设计技术要求》,GB/T28448-2019《信息安全技术网络安全等级保护测评要求》,GB/T22239-2019《信息安全技术网络安全等级保护基本要求》,这些标准参与起草单位超过30多家,包含了高校,私企,研究所,银行、事业单位等各行各业,起草人超过50人。

第十条【投入和保障】各级人民政府鼓励扶持网络安全等级保护重点工程和项目,支持网络安全等级保护技术的研究开发和应用,推广安全可信的网络产品和服务。

解析:各级人民政府鼓励扶持网络安全等级保护的重点工程和项目,就意味着有相关的国家和地方的产业政策来扶持等保的项目和工程。意思很明确,就是要培养一批能和美国等国际知名的像IBM,雷神、火眼、洛克希德马丁等网络安全公司抗衡的中国本土安全公司。本土的网络安全企业能力水平提升了,国内的网络安全环境也自热而然得到改善。在2018全球最热门、最具创新网络安全公司500强名单中:美国公司上榜最多,总共有358家;其次是以色列公司,共计42家。欧洲地区有67家公司上榜,亚洲地区有20家公司上榜,其中中国只有8家公司。

第十一条【技术支持】国家建设网络安全等级保护专家队伍和等级测评、安全建设、应急处置等技术支持体系,为网络安全等级保护制度提供支撑。

解析:这几年等级测评的机构已经开始逐渐成熟,《网络安全等级保护测评机构管理办法》的出台,标志着测评机构越来越正规。接下来会有更多的正规的安全建设单位、应急处置单位出现。

第十二条【绩效考核】行业主管部门、各级人民政府应当将网络安全等级保护工作纳入绩效考核评价、社会治安综合治理考核等。

解析:第一次将网络安全等级保护工作纳入绩效考核评价、和社会治安综合治理考核,意味着,会有很多单位因为违反等保条例而影响年终绩效考核,可能对于很多单位来讲意味着年底奖金的减少,或者考核扣分。

第十三条【宣传教育培训】各级人民政府及其有关部门应当加强网络安全等级保护制度的宣传教育,提升社会公众的网络安全防范意识。

国家鼓励和支持企事业单位、高等院校、研究机构等开展网络安全等级保护制度的教育与培训,加强网络安全等级保护管理和技术人才培养。

解析:为了提升整个国家的网络安全防护水平,鼓励各级政府和相关部门加强网络安全等级保护制度的宣传教育,提升全民的网络安全防范意识。也鼓励事业单位、高校、研究机构开展网络安全等级保护制度的教育和培训,培养网络安全等级保护管理和技术人才。现在网络安全人才缺口非常大,也亟需网络安全人才。当前网络安全防护水平相比十年前已经得到了极大的提升,等级保护工作可以说功不可没。

第十四条【鼓励创新】国家鼓励利用新技术、新应用开展网络安全等级保护管理和技术防护,采取主动防御、可信计算、人工智能等技术,创新网络安全技术保护措施,提升网络安全防范能力和水平。

国家对网络新技术、新应用的推广,组织开展网络安全风险评估,防范网络新技术、新应用的安全风险。

解析:第一次在网络安全等级保护条例中提出了可信计算的概念,而且在一到五级系统中都有要求可信验证。这是国内著名院士沈昌祥极力推荐要求的,思路非常好,但是目前看有一定难度。在2019年推出的GB/T28448-2019《信息安全技术网络安全等级保护测评要求》,对于可信这一部分要求,是可基于可信根对边界设备的系统引导程序、系统程序等进行可信验证。这里注意是可基于,不是应该基于,没有强制性要求。在等保标准中可信计算不同于安全可信和安全可靠,安全可靠主题思想是全部国产化,安全可信是《中华人民共和国网络安全法》中提到的,安全可信与自主可控、安全可控一样,至少包括以下三个方面含义:

一是保障用户对数据可控,产品或服务提供者不应该利用提供产品或服务的便利条件非法获取用户重要数据,损害用户对自己数据的控制权;

二是保障用户对系统可控,产品或服务提供者不应通过网络非法控制和操纵用户设备,损害用户对自己所拥有、使用设备和系统的控制权;

三是保障用户的选择权,产品和服务提供者不应利用用户对其产品和服务的依赖性,限制用户选择使用其他产品和服务,或停止提供合理的安全技术支持,迫使用户更新换代,损害用户的网络安全和利益。

安全可信没有国别和地区差异,国内外企业和产品都应该符合安全可信的要求。

第三章网络的安全保护

第十五条【网络等级】根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。

(一)第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。

(二)第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。

(三)第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。

(四)第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。

(五)第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。

解析:这一条与《信息安全等级保护管理办法》区别最大的就是,第一次把相关公民、法人和其他组织的合法权益造成特别严重损害定为三级,在等保1.0里,对公民、法人和其他组织的合法权益造成严重损害是2级,也间接说明了国家对个人信息保护的重视程度,其他的没有什么变化。

不同级别的等级保护对象应具备的基本安全保护能力如下:

第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。

第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。

第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。

第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。

第十六条【网络定级】网络运营者应当在规划设计阶段确定网络的安全保护等级。

当网络功能、服务范围、服务对象和处理的数据等发生重大变化时,网络运营者应当依法变更网络的安全保护等级。

解析:本条强调的是网络运营者应该在规划设计阶段就要确定网络的安全保护等级,而不是系统建成后才确定等级,在建设之初就先定级,按照级别去考虑防护能力。当网络功能、服务范围、服务对象和处理的数据等发生重大变化时,应该立即更改系统的级别。按照相应的级别调整防护策略。

网络运营者不履行本条规定,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。即:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

第十七条【定级评审】对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准。

跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。

行业主管部门可以依据国家标准规范,结合本行业网络特点制定行业网络安全等级保护定级指导意见。

解析:业务系统应该定为二级的或者二级以上的,网络运营者要组织专家进行评审,有行业主管部门的,应当在评审后报请主管部门核准。定级备案的流程是确定定级对象》拟定二级的系统》进行专家评审—》行业主管部门审批定级是否合理》公安机关终审定级是否准确》符合发备案证明》否则退回重新定级。

跨省或者全国统一联网运行的网络由行业主管部门统一拟定等级后,组织专家定级评审,行业主管部门,依据等保标准和行业标准等国家标准,制定行业网络安全保护等级的定级指导意见,行业标准可以高于等保标准,但是不能低于等保标准,否则应该按照等保标准去定级。

网络运营者不履行本条第一款规定,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。即:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

第十八条【定级备案】第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案。

因网络撤销或变更调整安全保护等级的,应当在10个工作日内向原受理备案公安机关办理备案撤销或变更手续。

备案的具体办法由国务院公安部门组织制定。

解析:第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案。这里强调的是等级确定后的10个工作日内,而不是网络建成后的10个工作日。如果网络撤销、废弃,不再使用或者需要调整安全保护等级,在10个工作日内也要去受理备案的公安机关备案撤销,或者变更。备案的具体办法由公安部门制定,当前的公安机关的备案表也会很快发生变化,因为当前公安机关的备案表中的表三确定系统服务安全保护等级和业务信息安全保护等级中根本就没有一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害这一项描述。

网络运营者不履行本条第一款,第二款规定,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。即:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

第十九条【备案审核】公安机关应当对网络运营者提交的备案材料进行审核。对定级准确、备案材料符合要求的,应在10个工作日内出具网络安全等级保护备案证明。

分享到:
责任编辑:
我有话说 已有 0 条评论
最新评论 刷新
暂无评论