在2007年,好莱坞的“Die Hard”(虎胆龙威)系列第四部电影正式上映,电影中能达到“fire sale”程度的网络攻击会企图分三步通过“交通系统”、“金融和通讯系统”和其他基础设施来攻占整个美国的网络系统。十年后的2017年,“WannaCry”勒索病毒在全球肆掠,直接影响到公共服务、重要业务、基础设施的正常运行,电影中看似荒诞的情节逐渐在真实生活中上演。随后陆续发生的委内瑞拉遭受网络攻击导致大停电、某著名酒店及某社交类互联网平台等公司频频发生上亿数量级的客户数据泄露等事件,也印证了电影中对于“网络安全”的担忧。
在网络安全的新形势下,网络空间已成为大国博弈的制高点,以国家意志来保障网络空间安全与发展,正成为各国国家战略,并成为培育新的国家比较优势的重要方面。[1]而我国《网络安全法》(以下简称“《网安法》”)亦在2017年正式施行,旨在提高全社会的网络安全意识和网络安全保障水平,其中专门构建了“网络安全等级保护制度”作为保障基本网络、关键信息基础设施与大数据安全的基础。在全球化网络空间主权争夺的大背景下“登高望远”,“网络安全等级保护制度”是作为提升我国网络安全水平,保障国家安全,促进经济发展,迎接国际化挑战的基础制度之一。
一、“再上层楼”,从1.0到2.0
(一)1.0到2.0,十年磨一剑
早在1994年,我国就已经通过《计算机信息系统安全保护条例》确立了适用于“计算机信息系统”的安全等级保护制度,经过多年的发展形成以《信息系统安全等级保护管理办法》(以下简称“《等保办法》”)为核心的规范体系,这一规范体系常常被称作“等保1.0”体系。2017年,《网安法》将“国家网络安全等级保护制度”提升为法律要求,使得等级保护制度从“信息(系统)安全”层面进一步拓展至“网络安全”层面。以《网安法》为标志,我国网络安全等级保护制度进入“等保2.0”时代。
近日正式发布的三项核心国家标准(即GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》、GB/T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》与GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》)均将于2019年7月1日正式施行,意味着“等保2.0”时代的新里程正式启航。
(二)全球互联时代的等保2.0体系
为了积极响应和配合落实《网安法》对“网络安全等级保护制度”的要求,2018年6月,公安部会同中央网信办、国家保密局、国家密码管理局等主管部门联合起草、发布了《网络安全等级保护条例(征求意见稿)》(以下简称“《网络等保条例(征求意见稿)》”),具体构筑网络运行分级保护和分级管理的制度体系。
除了法律法规,等保制度作为网络运营者落实网络安全保护义务、国家维护信息和网络安全的重要依据与有力抓手,高度依赖国家标准对等级评定、技术建设整改、测评等环节的具体要求和实践指导。相应地,着眼于当前的技术条件和产业发展变化,为体现更好的政策与产业兼容性,等保2.0体系也将云计算、物联网、工业控制系统和大数据等应用纳入防护体系中。
等保2.0的核心变化
等保1.0 | 等保2.0 | |
防护理念 | 遵循“一个中心、三重防御”的理念,即“安全管理中心”+“安全通信网络、安全区域边界、安全计算环境的防御” | |
标准命名 | “信息系统安全” | “网络安全等级保护” |
定级对象 | “信息系统” | “基础信息网络、信息系统(含)采用移动互联技术的系统、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统” |
安全要求结构 | 不区分“通用要求”和“拓展要求” |
区分“通用要求”和“拓展要求” 针对云计算、移动互联网、物联网以及工业控制系统等四大新型应用领域的行业特点,明确提出相应的安全拓展要求 |
(安全)技术要求结构 |
“物理安全” “网络安全” “主机安全” “应用安全” “数据安全和备份与恢复” |
“安全物理环境” “安全通信网络” “安全区域边界” “安全计算环境” “安全管理中心” |
(安全)管理要求结构 |
“安全管理制度” “安全管理机构” “人员安全管理” “系统建设管理” “系统运维管理” |
“安全管理制度” “安全管理机构” “安全管理人员” “安全建设管理” “安全运维管理” |
定级流程 | “确定定级对象”→“确定等级”→(“主管部门/专家审核”)→“公安机关备案审查”→“最终确定等级” | “确定定级对象”→“初步确定等级”→“专家评审”→“主管部门审核”→“公安机关备案审查”→“最终确定等级” |
测评周期 | 四级系统每半年进行一次测评 | 三级(以上)系统每年进行一次测评 |
内容调整 |
新增了“个人信息保护”的内容; 强调安全通信网络、安全区域边界和安全计算环境等三重防御的“可信验证” |
二、等保2.0的责任和义务
(一)开展等保是履行法律义务的一部分
开展网络安全等级保护工作的主要目的就是要保护国家关键信息基础设施安全、维护国家安全,这是一项事关国家安全、社会稳定、国家利益的重要决策部署。[2]因此,国家机关、企事业单位开展等保工作将有助于从基础和根本层面推进网络安全防护,履行《网安法》所提出的网络安全合规义务,维护企业自身网络安全。
2019年1月,公安部宣布在全国范围内连续第二年开展“净网”专项行动,要求“进一步加大互联网安全监管力度,督促企业落实主体责任,依法严厉查处不履行网络安全义务、为网络违法犯罪提供支持帮助等违法违规行为”,[3]并已在全国范围内逐渐取得显著成效。[4]事实上,现实中已出现不落实等保要求而被认定违法并处罚的案例。[5]
(二)等保2.0与《网安法》相关义务的承接
考虑到《网安法》是等保2.0制度的法律依据,原则上如果企业根据等保2.0的相关制度规定和技术要求相应地落实等级保护义务,能够较大程度地履行《网安法》中的相关义务(具体示例请见下表)。然而,我们也注意到,虽然《网安法》义务与等保制度的落实从性质上都属于法律义务,《网安法》义务与等保2.0要求仍然存在一定区别,这将要求企业在合规实践中着重关注二者之间的差异,整合现有的合规体系避免遗漏。
例如《网安法》第二十一条对网络运营者留存网络日志的期限存在六个月的具体要求。相较而言,如某网络运营者的内部办公系统被评定为等保二级系统,按照其相应的安全通用要“应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容”,并不存在明确的日志留存期限要求。
此外,等保2.0中的特定要求也可能为澄清《网安法》中的具体规定提供了重要参考。虽然关键信息基础设施通常被要求达到等保三级及其以上的要求,但等保2.0制度中在三级安全通用要求中,并未明确要求企业将数据(如个人信息或重要数据)存储于境内服务器。然而,在云计算安全拓展要求中则存在“应保证云计算基础设施位于中国境内”以及“应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定”的要求。在等保2.0制度与《网安法》及其配套措施要求保持一致的前提下,该要求将进一步增加云计算基础设施被认定为关键信息基础设施的可能性。
《网安法》相关条款 |
《网络安全等级保护基本要求》 相关要求项/控制点(摘录) |
|
第二十一条 | (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任 |
(以等保二级要求为例) 7.1.6 安全管理制度 7.1.7 安全管理机构 7.1.8 安全管理人员 |
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施 |
(以等保二级要求为例) 7.1.3.3 & 4 安全区域边界-入侵防范 & 恶意代码防范 7.1.4.3 & 4 安全计算环境-入侵防范 & 恶意代码防范 |
|
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月 |
(以等保二级要求为例) 7.1.3.5 安全区域边界-安全审计 7.1.4.5 安全计算环境-安全审计 7.1.10.6 安全运维管理-网络和系统安全管理 注:未明确要求网络日志留存期限不少于六个月 |
|
(四)采取数据分类、重要数据备份和加密等措施 |
(以等保二级要求为例) 7.1.4.1 安全计算环境-身份鉴别 7.1.4.7 安全计算环境-数据完整性 7.1.4.8 安全计算环境-数据备份恢复 注:未明确数据分类要求 |
|
第二十五条 | 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。 |
(以等保二级要求为例) 7.1.10.12安全运维管理-安全事件处置 7.1.10.13安全运维管理-应急预案管理 |
第三十四条 | (一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查 |
(以等保三级要求为例) 8.1.7 安全管理机构 8.1.8 安全管理人员 |
(二)定期对从业人员进行网络安全教育、技术培训和技能考核 |
(以等保三级要求为例) 8.1.8.3 安全管理人员-安全意识教育和培训 |
|
(三)对重要系统和数据库进行容灾备份 |
(以等保三级要求为例) 8.1.4.9 安全计算环境-数据备份恢复 注:备份等级未明确要求具备容灾能力 |
|
(四)制定网络安全事件应急预案,并定期进行演练 |
(以等保三级要求为例) 8.1.10.13安全运维管理-应急预案管理 |
|
第三十七条 | 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。 |
(以云计算安全拓展要求为例) 7.2.1.1 安全物理环境-基础设施位置 7.2.4.3 安全计算环境-数据完整性和保密性 注:三级安全通用要求中不存在明确的数据本地化要求 |
第四十一条 |
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。 |
(以等保二级要求为例) 7.1.4.11 安全计算环境-个人信息保护 |
第四十二条 |
网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。 网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 |
三、企业开展等保工作的具体指南
(一)公司内部需要做等保的网络/信息系统的范围?
根据《网络安全等级保护基本要求》等标准文件的规定,等级保护对象主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)和工业控制系统和采用移动互联技术的系统等。对于普通企业而言,企业网站、办公系统和管理系统、企业开发的移动应用软件理论上都会落入到上述等级保护对象的范畴内。
值得注意的是,根据《网络等保条例(征求意见稿)》的有关规定,个人及家庭自建自用的网络无需适用《网络等保条例(征求意见稿)》。[6]涉密网络除遵守一般的等保义务之外,还应当依据国家保密规定和标准,结合系统实际进行保密防护和保密监管。[7]
(二)企业开展等保工作的具体流程?
对于企业而言,网络安全等级保护工作大致可以分为定级对象梳理、定级、备案、网络安全建设、等保测评和安全运行与维护六个阶段。企业可以根据自身情况自行或聘用专业咨询机构开展等保工作,以下是我们梳理的等保工作各阶段的具体工作内容和参与方。
(三)企业已经通过ISO 27000系列标准的认证,是否仍需开展等保工作?
ISO2 7000系列标准是目前国际范围内认可度最高的信息安全管理标准体系之一。实践中,很多大型企业已按照ISO 27000系列标准构建了集团内部的信息安全管理组织架构和组织制度,并适用于全球范围内的集团实体。
ISO 27000系列标准和国内等保标准均能指导企业建立适合企业实际要求的信息安全管理体系,二者均结合系统的重要程度,从技术和管理两方面出发提出风险控制要求,如信息安全处理机制、访问控制、安全审计等。即便如此,等保标准关注于底层网络安全的控制,两者对于网络安全等级的分级标准、具体的信息安全要求仍然存在不小的差异。
相应地,即使企业已经通过了ISO 27000系列标准的认证,企业仍应当按照上述工作流程逐步开展等保工作,在确定企业各系统的网络安全等级之后,在网络安全建设阶段,企业可以基于已有的ISO 27000体系制度进行相应的整改和完善。
(四)可能被认定为第二级的网络?
根据《网络等保条例(征求意见稿)》的规定,对拟定为第二级以上的网络,其运营者应当组织专家评审来完成定级工作,并应当在网络的安全保护等级确定后到县级以上公安机关备案。因此,公司的网络是否被认定为二级网络是企业密切关注的问题。
根据规定,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络属于第二级网络。参照公安部相关部门的定级原则:第二级信息系统一般适用于县级单位中的重要信息系统,地市级以上国家机关、企事业单位内部一般的信息系统,例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。[8]
(五)哪些网络可能被定为第三级网络?
相比于等保1.0,等保2.0对第三级及以上网络提出了更加严格的网络安全保护义务。根据《网络等保条例(征求意见稿)》的规定,第三级以上的网络运营者需要承担更多的网络安全保护义务,包括对网络安全管理负责人和关键岗位的人员进行安全背景审查;建立网络安全等级测评制度;境内实施技术运维的原则要求等。
根据相关规定,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。参照公安部相关部门的定级原则,第三级信息系统一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。[9]
(六)如何看待关键信息基础设施保护与等保的关系?
网络安全等级保护制度是国家网络安全保障工作的基本制度,关键信息基础设施是网络安全等级保护的重点。关键信息基础设施的安全建设应当遵守网络安全等级保护制度的相关要求。
根据此前《信息安全技术 网络安全等级保护定级指南(征求意见稿)》中的建议,对于确定为关键信息基础设施的,原则上其安全保护等级不低于第三级。因此,关键信息基础设施运营者至少应当按照第三级网络安全等级保护的要求开展等保工作。如关键信息基础设施根据其重要性被认定为第五级的网络,则应当遵守特殊的管理模式和安全要求。
(七)企业已完成等保0的合规工作,是否还需要开展等保2.0工作?
如前所述,等保2.0在等保1.0的基础上提出了很多新的技术和组织上的安全管理要求。已经完成等保1.0合规工作的企业,同样应当对比等保2.0的要求,进一步加强网络安全建设,以确保通过新的等保测评。对于新上线的网络和信息系统,则应当按照等保2.0的要求进行系统梳理、定级、备案和测评。
(八)企业完成等保工作后,是否已经满足个人信息保护管理要求?
等保2.0在“通用要求”、“安全计算环境”的安全控制点中新增了“个人信息保护”的内容,但仅仅提出了原则性的管理要求。比如,对于第二级的网络仅要求“应仅采集和保存业务必须的用户个人信息;禁止未授权访问和非法使用用户个人信息”。实践中,企业仍需遵守《网安法》的相关规定,并可参照《互联网个人信息安全保护指南》、《GB/T 35273—2017 信息安全技术 个人信息安全规范》等落实个人信息保护安全管理义务。
[1] “推动全球网络空间治理体系变革”,具体参见 http://www.xinhuanet.com/politics/2018-07/07/c_1123091116.htm (访问日期:2019年5月17日)。
[2] “推动全球网络空间治理体系变革”,具体参见 http://www.xinhuanet.com/politics/2018-07/07/c_1123091116.htm (访问日期:2019年5月17日)。
[3] “公安部召开‘净网2018’专项行动总结暨‘净网2019’专项行动部署会 林锐出席并讲话”,具体参见 http://www.mps.gov.cn/n2253534/n2253535/c6372997/content.html (访问日期:2019年5月17日)。
[4] “各地深入开展‘净网2019”专项行动’,具体参加 http://www.mps.gov.cn/n2255079/n4242954/n4841045/n4841055/c6470655/content.html(访问日期:2019年5月17日)。
[5] 据报道,2019年2月,南京某研究院、无锡某图书馆因安全责任意识淡薄、网络安全等级保护制度落实不到位、管理制度和技术防护措施严重缺失,导致网站遭受攻击破坏。南京、无锡警方依据《网络安全法》第21条、第59条规定,对上述单位分别予以5万元罚款,对相关责任人予以5千元、2万元不等罚款,同时责令限期整改安全隐患,落实网络安全等级保护制度。“江苏网警发布‘净网2019’专项行动行政执法典型案例”,具体参见 https://www.secrss.com/articles/9157 (访问日期:2019年5月17日)。
[6] 《网络等保条例(征求意见稿)》第二条。
[7] 《网络等保条例(征求意见稿)》第四条。
[8] “关于重要信息系统安全等级保护定级的几点意见”,具体参见http://www.djbh.net/webdev/web/SafeProductAction.do?p=getBzgfZxbz&id=8a8182565deefd0d015e6ee9603d0078 (访问日期:2019年5月17日)。
[9] “关于重要信息系统安全等级保护定级的几点意见”,具体参见http://www.djbh.net/webdev/web/SafeProductAction.do?p=getBzgfZxbz&id=8a8182565deefd0d015e6ee9603d0078 (访问日期:2019年5月17日)。