2017年6月1日施行的《网络安全法》中第二十一条规定“国家实行网络安全等级保护制度。”,自此,等级保护这个次成为了一个热门词和高频词。等级保护起始于2007年公安部颁布的《信息安全等级保护管理办法》(公通字[2007]43号),通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理,将信息系统分为五个等级,一级为最低级,五级为最高级,对于二级及以上的系统,国家信息安全监管部门对该级信息系统信息安全等级保护工作进行不同程度的指导和监管。
等级保护是基于一系列的管理规范和技术标准来明确不同级别的技术和管理要求,主要有《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)、《信息技术 安全技术 信息安全管理体系 要求》(GB/T22080-2016)、《计算机信息系统安全等级保护通用技术要求》(GAT 390-2002)、《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006),等级保护是从技术和管理两个方面入手,通过技术和管理手段持续性地发现风险、消除风险或抑制风险来保证信息系统安全,基于系统的重要性进行分级并提出针对性技术和管理要求。
以《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)中安全管理人员配备要求为例,一级系统要求是“可配备兼职安全管理人员:安全管理人员可以由网络管理人员兼任”,二级要求“安全管理人员不能兼任网络管理人员、系统管理员、数据库管理员等”,三级要求“配备专职安全管理人员:安全管理人员不可兼任,属于专职人员,应具有安全管理工作权限和能力”,三级和四级要求“关键部位的安全管理人员:在三级的基础上,安全管理人员还应按照机要人员条件配备。”单就这一点而言,目前还有很多单位难以满足要求,一人多岗、过度依赖外包服务的情况时有发生。
等级保护制度是让大家“知”要求,而更重要的是日常工作中的“行”。目前等级保护工作中存在着两个误区,一个是按时、按要求做了等保测评,即便出了事也没有法律责任,一个是买些设备就能满足等保要求,保证系统安全。
等保测评的目的是对照标准检查、评价目前的措施,是对现状的评价,帮助运营者更好地进行防护。网络安全法的相关规定是“网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。”如果运营者没能履行相关义务,仍然是违法行为,等保测评只是履行相关义务的一个规定动作,不作肯定违法,但做了也不是“免死金牌”。那么,什么是履行相关义务呢?举个例子就是,合理的设置人员,网络管理人员、安全管理人员和系统管理员三员分立。网络管理员根据需求调整网络结构,合理划分网络区域,分析流量变化;安全管理员定期对各种网络安全设备进行巡检、分析设备日志、更新规则库,适时调整网络配置;系统管理员及时为操作系统、应用软件安装安全补丁、修复漏洞,分析系统日志。
等级保护是技术和管理相结合的,这一点在等级保护测评要求中提现到很明显,其强调的是能力,而不是具体的设备要求。例如在《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)要求“机房出入口应该安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员”,机房不一定非要上专门的门禁系统,有专人值守进行管理,登记出入人员也是符合要求的。单纯的购买设备并不能带来相应的防护能力,一个很久未更新的杀毒软件不能起到防护恶意代码的能力,一个没有配置任何规则的防火墙无法起到访问控制的作用。
等级保护工作要求做到“知行合一”,通过等保测评,“知”标准和不足,通过日常工作的“行”,落实标准要求,补齐短板做好日常工作,只有“知行合一”才能从根本上防患于未然,做好等级保护工作,以上的内容仅仅代表个人的一些心得体验,如有不足之处还望见谅和指出,共同学习进步!
