前言

2018年12月25日，由中(zhōng)關村可(kě)信計算産(chǎn)業聯盟主辦(bàn)的“等級保護新(xīn)标準解讀培訓班”在北京裕龍酒店(diàn)舉行。沈昌祥院士、公(gōng)安(ān)部範春玲、李秋香、陳廣勇等專家老師對網絡安(ān)全等級保護制度進行了細緻解讀，為(wèi)了貫徹落實國(guó)家網絡安(ān)全等級保護制度，特針對行業内發布的相關内容進行整理(lǐ)，以便學(xué)習。

等級保護标準變化

等級保護新(xīn)标準在編制過程中(zhōng)總共經曆了兩次大的變化，首先是2017年8月根據國(guó)家網信辦(bàn)和公(gōng)安(ān)部的意見将5個分(fēn)冊進行了合并，形成一個标準，并在2017年10月參加“信安(ān)标委WG5工(gōng)作(zuò)組在研标準推進會”，針對合并後的标準送審稿進行征求意見，經127家成員單位意見彙總後，形成修訂報批稿；其次大的變化是2018年7月根據沈昌祥院士的意見再次調整分(fēn)類結構和強化可(kě)信計算，充分(fēn)體(tǐ)現一個中(zhōng)心、三重防禦的思想并強化可(kě)信計算安(ān)全技(jì )術要求的使用(yòng)。

經過這兩次大變化後的《網絡安(ān)全等級保護基本要求》有(yǒu)10個章節8個附錄，其中(zhōng)第6、7、8、9、10章為(wèi)五個安(ān)全等級的安(ān)全要求章節，8個附錄分(fēn)别為(wèi)：安(ān)全要求的選擇和使用(yòng)、關于等級保護對象整體(tǐ)安(ān)全保護能(néng)力的要求、等級保護安(ān)全框架和關鍵技(jì )術使用(yòng)要求、雲計算應用(yòng)場景說明、移動互聯應用(yòng)場景說明、物(wù)聯網應用(yòng)場景說明、工(gōng)業控制系統應用(yòng)場景說明和大數據應用(yòng)場景說明。

标準名(míng)稱由原來的《信息安(ān)全技(jì )術 信息系統安(ān)全等級保護基本要求》變更為(wèi)《信息安(ān)全技(jì )術 網絡安(ān)全等級保護基本要求》，與《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》保持一緻。等級保護對象由原來的“信息系統”改為(wèi)“等級保護對象（網絡和信息系統）”，安(ān)全等級保護對象包括基礎信息網絡（廣電(diàn)網、電(diàn)信網等）、信息系統（采用(yòng)傳統技(jì )術的系統）、雲計算平台、大數據平台、移動互聯、物(wù)聯網和工(gōng)業控制系統等。新(xīn)版安(ān)全要求在原有(yǒu)通用(yòng)安(ān)全要求的基礎上新(xīn)增安(ān)全擴展要求，安(ān)全擴展要求主要針對雲計算、移動互聯、物(wù)聯網和工(gōng)業控制系統提出了特殊安(ān)全要求。

等級保護章節結構

調整後每一級的安(ān)全要求均包括安(ān)全通用(yòng)要求、雲計算安(ān)全擴展要求、移動互聯安(ān)全擴展要求、物(wù)聯網安(ān)全擴展要求和工(gōng)業控制系統安(ān)全擴展要求這幾個部分(fēn)：

安(ān)全通用(yòng)要求規定了各類等級保護對象形态如何滿足要求。  

雲計算安(ān)全擴展要求章節針對雲計算的特點提出特殊保護要求。對雲計算環境主要增加的内容包括“基礎設施的位置”、“虛拟化安(ān)全保護”、“鏡像和快照保護”、“雲服務(wù)商(shāng)選擇”和“雲計算環境管理(lǐ)”等方面。  

需要注意的是針對雲計算環境的定級，對于雲租戶的定級仍按照傳統的定級思路，而對于雲計算平台的定級則分(fēn)兩種情況，一種是中(zhōng)小(xiǎo)型雲計算平台，可(kě)将整個平台作(zuò)為(wèi)整體(tǐ)定級對象；另一種是針對大型雲計算平台，應将雲計算基礎設施和有(yǒu)關輔助服務(wù)系統劃分(fēn)為(wèi)不同定級對象（比如大型雲計算平台的計費系統可(kě)單獨作(zuò)為(wèi)一個定級對象）。  

移動互聯安(ān)全擴展要求章節針對移動互聯的特點提出特殊保護要求。對移動互聯環境主要增加的内容包括“無線(xiàn)接入點的物(wù)理(lǐ)位置”、“移動終端管控”、“移動應用(yòng)管控”、“移動應用(yòng)軟件采購(gòu)”和“移動應用(yòng)軟件開發”等方面。  

物(wù)聯網安(ān)全擴展要求章節針對物(wù)聯網的特點提出特殊保護要求。針對物(wù)聯網環境主要增加的内容包括“感知節點的物(wù)理(lǐ)防護”、“感知節點設備安(ān)全”、“感知網關節點設備安(ān)全”、“感知節點的管理(lǐ)”和“數據融合處理(lǐ)”等方面。  

工(gōng)業控制系統安(ān)全擴展要求章節針對工(gōng)業控制系統的特點提出特殊保護要求。對工(gōng)業控制系統主要增加的内容包括“室外控制設備防護”、“工(gōng)業控制系統網絡架構安(ān)全”、“撥号使用(yòng)控制”、“無線(xiàn)使用(yòng)控制”和“控制設備安(ān)全”等方面，針對工(gōng)業控制系統實時性要求高的特點調整了“漏洞和風險管理(lǐ)”和“惡意代碼防範管理(lǐ)”方面的要求。  

控制措施分(fēn)類結構  

調整後的控制措施分(fēn)類結構如下：  

技(jì )術要求“從面到點”提出安(ān)全要求，“安(ān)全物(wù)理(lǐ)環境”主要對機房設施提出要求，“安(ān)全通信網絡”和“安(ān)全區(qū)域邊界”主要對網絡整體(tǐ)提出要求，“安(ān)全計算環境”主要對構成節點（包括業務(wù)應用(yòng)和數據）提出要求，“安(ān)全管理(lǐ)中(zhōng)心”主要對系統管理(lǐ)、集中(zhōng)管控等提出要求。  

管理(lǐ)要求“從元素到活動”提出安(ān)全要求，“安(ān)全管理(lǐ)制度”、“安(ān)全管理(lǐ)機構”和“安(ān)全管理(lǐ)人員”主要提出了管理(lǐ)不可(kě)缺少的制度、機構和人員三要素，“安(ān)全建設管理(lǐ)”及“安(ān)全運維管理(lǐ)”主要提出了建設過程和運維過程的安(ān)全活動管理(lǐ)要求。  

安(ān)全通信網絡、安(ān)全區(qū)域邊界、安(ān)全管理(lǐ)中(zhōng)心的第四級在第三級的基礎上增加了7個條款：  

1)應按照業務(wù)服務(wù)重要程度分(fēn)配帶寬，優先保障重要業務(wù)；  

2)應在通信前基于密碼技(jì )術對通信的雙方進行驗證或認證；  

3)應基于硬件密碼模塊對重要通信過程進行密碼運算和密鑰管理(lǐ)；  

4)應能(néng)夠在發現非授權設備私自聯到内部網絡的行為(wèi)或内部用(yòng)戶非授權聯到外部網絡的行為(wèi)時，對其進行有(yǒu)效阻斷；  

5)應采用(yòng)可(kě)信驗證機制對接入到網絡中(zhōng)的設備進行可(kě)信驗證，保證接入的網絡設備真實可(kě)信；  

6)應在網絡邊界通過通信協議轉換或通信協議隔離等方式進行數據交換；  

7)應保證系統範圍内的時間由唯 一确定的時鍾産(chǎn)生，以保證各種數據的管理(lǐ)和分(fēn)析在時間上的一緻性。  

安(ān)全計算環境的第四級在第三級的基礎上增加了5個條款：  

1)登錄用(yòng)戶執行重要操作(zuò)時應再次進行身份鑒别；  

2)應對主體(tǐ)、客體(tǐ)設置安(ān)全标記，并依據安(ān)全标記和強制訪問控制規則确定主體(tǐ)對客體(tǐ)的訪問；  

3)應采用(yòng)主動免疫可(kě)信驗證機制及時識别入侵和病毒行為(wèi)，并将其有(yǒu)效阻斷；  

4)在可(kě)能(néng)涉及法律責任認定的應用(yòng)中(zhōng)，應采用(yòng)密碼技(jì )術提供數據原發證據和數據接收證據，實現數據原發行為(wèi)的抗抵賴和數據接收行為(wèi)的抗抵賴；  

5)應建立異地災難備份中(zhōng)心，提供業務(wù)應用(yòng)的實時切換。  

惡意代碼防範，從一級到四級主要做了如下要求：  

一級：應安(ān)裝(zhuāng)防惡意代碼軟件或配置具(jù)有(yǒu)相應功能(néng)的軟件，并定期進行升級和更新(xīn)防惡意代碼庫。  

二級：應安(ān)裝(zhuāng)防惡意代碼軟件或配置具(jù)有(yǒu)相應功能(néng)的軟件，并定期進行升級和更新(xīn)防惡意代碼庫。  

三級：應采用(yòng)免受惡意代碼攻擊的技(jì )術措施或主動免疫可(kě)信驗證機制及時識别入侵和病毒行為(wèi)，并将其有(yǒu)效阻斷。  

四級：應采用(yòng)主動免疫可(kě)信驗證機制及時識别入侵和病毒行為(wèi)，并将其有(yǒu)效阻斷。  

從标準控制措施整體(tǐ)看，對可(kě)信控制點有(yǒu)所增加，各個級别和層面均增加了可(kě)信驗證控制點，從一級到四級均在“安(ān)全通信網絡”、“安(ān)全區(qū)域邊界”和“安(ān)全計算環境”中(zhōng)增加了“可(kě)信驗證”控制點，并且從第二級開始，增加了安(ān)全管理(lǐ)中(zhōng)心技(jì )術要求。  

在等級保護測評方面，對等級保護符合性評價方法較之前有(yǒu)了很(hěn)大不同，新(xīn)的測評要求增加了重點測評項和常規測評項，重點測評項實行一票否決制，重點測評項優先通過測評後，才進行常規測評項測評。目前公(gōng)安(ān)部正研究并整理(lǐ)各保護級别的重點測評項列表。  

結束語  

網絡安(ān)全等級保護是我國(guó)信息安(ān)全保障的基本制度性工(gōng)作(zuò)，是網絡空間安(ān)全保障體(tǐ)系的重要支撐，也是應對惡意APT攻擊的有(yǒu)效措施。在法律支撐層面，我國(guó)的計算機系統等級保護條例提升為(wèi)國(guó)家基礎性法律制度，即“網絡安(ān)全法”中(zhōng)的網絡安(ān)全等級保護制度；在科(kē)學(xué)技(jì )術層面，由分(fēn)層被動防護發展到了科(kē)學(xué)安(ān)全框架下的主動免疫防護；在工(gōng)程應用(yòng)層面，由傳統的計算機信息系統防護轉向了新(xīn)型計算環境下的網絡空間主動防禦體(tǐ)系建設。等保2.0時代重點對雲計算、移動互聯、物(wù)聯網、工(gōng)業控制系統以及大數據安(ān)全等進行安(ān)全防護，确保關鍵信息基礎設施安(ān)全。  

關于天科(kē)信安(ān)  

天科(kē)信安(ān)是一家專門從事工(gōng)業信息安(ān)全的科(kē)技(jì )型企業。公(gōng)司依托核心團隊在信息安(ān)全、工(gōng)控自動化等領域的深厚積澱，傳承與創新(xīn)并舉，以工(gōng)控安(ān)全防護技(jì )術為(wèi)核心，為(wèi)國(guó)家關鍵信息基礎設施提供完善整體(tǐ)解決方案、産(chǎn)品及服務(wù)。