本文根据公安部信息安全等级保护评估中心测评部副主任张振峰在深信服创新技术论坛上的演讲整理
尊敬的各位领导,各位来宾大家上午好!非常荣幸今天受大会主办方的邀请过来分享一下有关《网络安全法》和等级保护2.0相关的内容。今天参会的很多领导和嘉宾都是政府和行业用户的领导,相信对我们中心比较了解的,熟悉我们中心的人都知道,评估中心为了配合公安部网络安全保卫局,在推广推进等级保护这项制度,落地实施的过程中,面临很多的技术方面的问题,我们是在技术领域做前沿的开拓、创新的工作。比如说像一些标准、政策法规的制定,还有就是全国测评体系的建立等方面这是我们重要的使命。
今天来了很多老朋友,我也想谈一点新内容,回顾一下等级保护的发展历程,我会介绍一下《网络安全法》重点的条款,引出等级保护2.0相关的内容和概念,最后简单的介绍一下等级保护2.0在落地实施过程中的一些变化,一些新的内容。
首先给大家放出的这张图是等级保护从1994-2016年等级网络编年史这样的一个内容。基本上是把各个关键时间节点的重要政策文件、一些文献标准展示出来,等级保护这项工作是从1994年开始的,1994年的时候国务院发布了“147号令”,首次提出了国家信息安全工作信息系统是分等级实施保护的。一直到2003年,9年期间实际上没有更多的内容的,在这个过程中,信息化其实才刚刚开始起步,安全来讲的话其实还无从谈起。到了2003年国信办再次强调重申了要实施等级保护,在“27号文”强调加紧制定网络安全等级制度的保护工作。公安部在2004年就这项工作提出了“66号文”实施意见,在这个里面大致拟定了一个具体的工作路线。
到了2007年,正式发布了《网络安全管理办法》,在这个管理办法当中明确下来等级保护所有的相关的工作以及各种参与决策的职责分工等等。从此确立了等级保护这项工作就正式开始实施。在往后若干年当中,国家的各个部委出台相关领域具体实施的意见或者管理的标准。一直到了2016年发布了《网络安全法》,意义是相当的重大。这部法律是我们国家第一部在网络安全空间里面综合性的法律法规。标志着我们国家在网络安全治理,网络空间安全治理方面从此有法可依了。其实目标定位是保障我们国家网络空间安全,以至于上升到了维护国家总体安全的高度上。
《网络安全法》整体来讲是有7章79条的结构,主要的内容有以下几个方面,涵盖了像国家承担的义务,职责分工等等。我今天想讲讲从《网络安全法》实施以来,由于违反《网络安全法》行为造成的事件。
首先我们看一下第一个案例——汕头网警支队查出了网络安全违法事件。这家网络安全公司运行了一家三级系统,在2015年11月以来做了备案测评,从2016年到现在一直没有做等级保护测评的相关工作,等于说是涉嫌违反《网络安全法》第21条和第59条第一款相关的规定,处以警告和责令限期整改。
第二起是重庆,重庆某科技公司在网络安全实施以来,没有对用户登录行为的日志做审计日志的留存,也是处以警限期整改。
第三起是四川宜宾,受到黑客攻击,存在高危漏洞,没有进行相关的工作,涉嫌违反《网络安全法》第21条、第59条,对直接责任人罚款还有限期整改的处罚。
第四起是山西某省直事业单位的网站,存在sql注入漏洞,遭受黑客攻击,被国家通报中心连续通报,以涉嫌《网络安全法》第21条第59条的相关规定处以警告和限期整改的处罚。
最后一个案件我们看一下江苏的一起案件,这个案件是公安民警在执法检查的过程中发现网站有一个违法网站的链接,违法网站提供了互联网接入服务的服务器内容涉嫌法律法规禁止传播的信息,违反《网络安全法》第47条和第68条的规定处以警告和限期整改的处罚。
从这5个已经暴露出来的案件不难发现,《网络安全法》高危的雷区在哪,前面四个都是违反了第21条和第59条,还有一条是违反47条和68条的规定。我们看看相关的规定具体是什么。
首先我们看一下第47条,这一条是涉及到网络信息安全方面的一条内容,网络运营者应该加强用户发布信息管理的内容的监控,禁止发布或者传输信息。如果发现的话应该予以立即的停止传输,这实际上相当于网络运营者有阻止违法信息组织这样的一个义务。
与之对应的法则就是第68条,网络运营者如果没有停止传输采取消除的措施,轻则整改警告,重则罚款,最严重可以达到暂停相关业务、停业整顿、关闭网站,吊销相关营业资质,对直接责任人会处以罚款等相应的处罚。对于信息的发布者也适用于本法则。
我们再来看看这几个案例里面有4个案例是涉及到第21条,第21条属于《网络安全法》非常重要的一条,涉及到网络运营者基本的义务。《网络安全法》已经正式升级为一项法律,从基本国策升级为重要的法律。21条主要讲的是国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求履行下列义务,首先要制定内部安全管理制度明确相关责任。第二,要采取侵入措施,防止网络攻击和网络侵入的行为。第三,要采取一些监控审计的技术措施,尤其日志要保存6个月。刚才有一个案例没有留存用户登录信息存在违法行为。第四,要采取数据分类,重要数据备份等措施,第五法律法规规定其他的义务。
与之对应的法则是第59条,网络运营者如果违反21条25条的规定,轻则警告重则罚款,关键基础设施的运营者也处以警告、罚款等等。我们相当于把《网络安全法》里面的高危的雷区给大家梳理出来,主要是21条,47条相关的条款。我们具体看一下怎么把雷排掉,我们看到5个案例里面有4条涉及到等级保护,我们看看如何用等级保护的方法落实相关的《网络安全法》的内容。谈到工具我刚才介绍了从2016年以前的十几年应该说是等级保护1.0,以2016年为分界线出现了《网络安全法》以后,随着整个形势的发展,包括工作对象的变化,国内外的网络空间安全的形势的变化,我们再用老的方法,或者老的工具做等保发现不太合适了。因此等级保护这件事需要有大的调整和升级。
所以说伴随着《网络安全法》的出台,意味着“等级保护2.0”这个概念提出了,其实“等级保护2.0”是一个概念,在这个概念的框架下有很多内容发生了变化:等级保护内容大扩展,等级保护内容大不同,以及标准体系的大升级。
传统等级保护关注传统信息系统领域,在2.0时代我们提出了现在不叫新系统,现在叫等级保护对象。从横向和纵向都进行扩展,除了信息系统,将基础信息网络和大数据这样的内容纳入进来,在纵向上,也把对象做了扩展,除了有传统的信息系统以外,还有像云计算平台、工控、物联网、移动互联这样的系统都纳入到等级保护的工作范围,这是等级保护对象的一个大不同。
等级保护主要的工作内容,我们熟悉等级保护1.0工作的大家都知道,传统的等级保护就是5个规定动作,定级、备案、建设整改、等级测评,监督检查,在2.0时代,除了满足以上五个以外,我们把风险评估、安全检测、通报预警,案事件调查等等方面的工作都纳入到等级保护的范围之内。这是在内容上做了相应的扩展。
我们是在等级保护的标准体系也进行了大的修订。传统等级保护主要有几大核心的标准,包括基本要求、测评要求、设计要求,这都是等级保护传统核心的标准。在新技术新应用快速普及的背景下,我们把核心的标准在各个领域做了扩展,除了有传统系统对应的相应的标准以外,像云计算、大数据、移动互联等等我们在每个领域都做了扩展,形成了一个新的标准的体系。我们在每个标准里面把所有领域新系统所需要满足的安全要求,把它融汇在一起变成安全通用要求,在后面我们会分领域把各个领域所特有的一些安全要求放在一些分领域的标准当中。这是在标准体系上的一个大的变化,以上是“等级保护2.0”在概念上主要的变化,接下来我们看看从“等级保护2.0”落地有哪些变化。
从监管的角度来讲,在“等级保护2.0”时代,我们第一个监管对象有所扩展,也是刚才说的等级保护的对象发生了变化,自然而然的监管内容也发生变化。在今天,有可能一个平台一个公共系统都会纳入等级保护的范围之内。然后就是公安机关执法的依据进行了扩展。
未来公安机关民警去执法检查的时候有可能对具体的技术措施,安全的措施做一些相应的检查。
同时,公安机关在执法检查的手段上进一步加强,未来会升级网络安全等保执法检查的工具箱,也是分领域,对云计算的检查有相应的工具。还有具体的技术检查措施在里面。
等级保护备案制度的进一步完善,这一点特别在云计算这个领域特别的明显。在云计算这个领域备案可能大家都有这样的困惑,传统的系统备案里,跨省联网的备案在哪里备案这都很明确。那云计算在哪里备案?一个云计算系统比如网络运营者公司或者是机构的注册机在a地,运维人员所在地在b地,机房遍布各地,到底在全国各地重复备案还是在其中一地备案,在其中一地备案,以哪为准呢?无论从标准编制还是写执法检查指引的时候我们也要考虑一个问题,现在基本上形成了一个主流的想法,以云计算系统的运维所在地为备案地点,叫主备案地,备案结果可以抄送其他的itc机房的所在地,不用异地重新备案,这是目前的主流思想。
我们再来看看从合规测评的角度看有哪些变化,首先就是测评对象的变化,我们知道在云计算这项技术引入了很多虚拟计算对象,比如说虚拟机镜像拍照等等,这是在传统等级测评的时候所不涉及到的内容,所以这是一个新的扩充,以后对于虚拟对象的测评是要放在我们的测评对象当中的。
还有一个就是在测评依据上的扩展,就像我刚才说所,标准扩展了,依据肯定要扩展。我们在测云计算平台系统的时候,除了满足安全通用标准使用条款之外,云计算扩展要求同样要满足安全要求的内容。
第三个方面是等级报告模板升级,旧版本是2015版的测评报告,升级之后除了在测评内容上与最新的标准匹配以外,还有引入云平台与云上租户系统得分依赖关系,云计算得分登记与租户等级有一个关系,云计算平台的等级不低于其上曾在的业务应用系统的最高级。
比如说你负责运维一个平台,这个平台可以跑10个系统,有一些是二级的,有一些是三级的,云平台要单独的定级,级别最低也是要三级,这是等级之间的依赖关系。得分在测评报告上也有区分,比如说针对云租户系统的得分报告,报告应该体现云平台得分结果,像租户的得分,同一个租户得分是一样的,在得分较高的平台上的得分会更高,在较低的平台的得分上面最终的云租户得分系统会低一点。平台的得分会影响到上面业务应用系统的得分。
最后一个是等级测评结论复用,大家经常会问一个问题,比如在这个平台上运行了这么多业务系统,是不是每个系统测的时候平台都测呢?这个结果是可以复用的,100多家机构是互认的。a机构测的结果,在b平台上要认证a机构的检测结果的。
在合规建设的角度,现在是强调云平台整体的,特别在统一身份认证,统一用户授权,统一账户管理,统一安全审计。要求大部分内容都是基于4a的要求,如果满足这4a很多内容就满足了。同时要强调的是平台内部通讯的加密以及相互之间的认证和动态预警还有快速响应能力建设安全服务产品的合规。
我们在新的云计算安全扩展要求的条款里面特别强调的就是云平台内部管理数据流与业务数据流的分离,数据流传送的时候要进行加密的方式进行传送还有一些像远程登录云平台进行运维的时候,强调双向的身份认证,更加强调加密、认证这样的一个内容,这是我们从安全合规的角度讲了一下等级保护落地措施的一些变化。
最后谈一谈我个人在标准编制过程中一些小小的个人的体会,我们看纵观整个it技术的发展,从第一台eniac的诞生,到现在从互联网到移动互联网,再到云计算整个技术的发展我们不难发现一个规律,用户或者是人离硬件越来越远,大家可以看,我们当年的eniac的时候,所有业务的逻辑都是靠人手工操作开关实现的。后来操作系统出现了,把人和硬件进一步隔离,再到后来的网络逐渐的普及,到今天大家使用云的时候没有人关心下面网络配置具体的内容。人离硬件越来越远了,势必就意味着安全的层级在逐步的提升。
刚才我注意到何总提的概念,跟我在整个标准编制过程中的体会是不谋而合的,我之前在很多场合讲,在今天安全所关注的界面,从底层在逐步的从系统、网络逐步的向应用这样的一个层次的能力过度。大家可能注意到很多在区别提出的概念打破内网外网之间的区分,不再区分内外网了。把安全的能力放在那了?放在可信的传递和身份的管理认证的管理和加密技术,放在更高层级的维度上了。我们在编制云的基本要求的时候也遇到这样的困惑。
我们以前有一个条款讲的时候要分等级的划分资源池,二级系统只能放在二级的资源池当中,三级系统放在三级资源池当中,我们当时有这样的条款设计,后来随着云技术理解的提升,这个不符合云计算发展的趋势,特别在安全的领域。你还沿用老的办法做硬件的隔离其实达不到现在的效果,解决不了现在所面临的问题。
所以我们那个条款后来取消了,我们说现在所有的一切都在不断的融合,硬件在不断的向通用计算领域发展,所有的能力都被软件定义了。因为我们做云标准编制的时候也调研了很多的安全的厂商,一些云计算的厂商,我们也跟深信服的团队进行过相关的一些交流,当时我们深信服的团队给我们介绍了他们超融合的概念和智安全、云it的凯发登录的解决方案,我们觉得眼前一亮。
很多我们写在基本要求当中的一些条款其实在他这天然的就满足了。这也源于它有一个安全的基因在里面,毕竟是做安全起家的。我们在这个过程中想说一个概念,安全层级在逐步的提升,最后其实是硬件松吻合,一切向着软件定义的方向发展,这是今天上午我想给大家分享的内容,谢谢大家。