人大经验丨分四阶段深入落实等保2.0
2019年5月10日,网络安全等级保护2.0标准正式发布,2019年12月1日正式实施,等级保护2.0时代正式开启。
网络安全等级保护是我国网络安全领域的基本国策、基本制度和基本方法,也是教育行业网络安全工作需要遵守的基线和指南。
中国人民大学持续开展等级保护工作,关注等级保护2.0标准的修订并对主要内容进行研究。
在等级保护2.0元年就依照2.0标准开展网络安全等级保护工作,完善等级保护安全体系,进行深入的研讨和探索,充分学习和理解等级保护2.0标准的核心内容,结合实际开展风险评估、差距分析、对照标准进行预评测,针对评测中的问题结合客观条件积极落实整改,以2.0标准完成一个三级系统和五个二级系统的测评,加强了中国人民大学在新时代、新形势下的网络安全保障能力。
等级保护1.0到2.0的变与不变
等级保护的概念于1994年《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)提出,经过26年的发展、完善和演进,经历试点、推广、行业标准制定、落实,相继出台的政策法规从条例到意见,从意见到实施意见,从试行办法到法律,与政策法规相配套落地实施的标准从等级保护1.0标准演进到了2.0标准,体现了我们国家对于网络安全的高度重视和落实网络安全等级保护的坚定决心。
1.等级保护1.0到2.0的三个“不变”
万变不离其宗,等级保护三个方面的核心内容,五个等级、五项工作、主体职责均没有发生改变。
(1)等级保护的“5个级别”不变
1999年,我国颁布的强制性标准《计算机信息系统安全保护等级划分准则》GB 17859-1999中规定了计算机系统安全保护能力的五个等级,等级保护1.0和2.0一直沿用这五个等级,即:
第一级:用户自主保护级;
第二级:系统保护审计级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级。
(2)等级保护“5个规定步骤”不变
公安部、国家保密局、国家密码管理局、国信办联合颁布的公通字[2007]43号《信息安全等级保护管理办法》,规定了开展等级保护的五个步骤:定级、备案、建设整改、等级测评、监督检查。等级保护1.0和2.0都围绕这5个规定步骤落实实施。
(3)等级保护“4个主体职责”不变
公通字[2007]43号文中规定了4个主体职责:运营使用单位对定级对象的等级保护职责、上级主管单位对所属单位的安全管理职责、第三方测评机构对定级对象的安全评估职责、公安机关对定级对象的备案受理及监督检查职责。等级保护2.0中,这4个主体职责保持不变。
2.等级保护从1.0到2.0的四个“改变”
随着信息技术的发展,等级保护1.0时代涵盖的对传统信息系统、基础信息网络的安全要求,从体系到内容已无法满足新形式、新技术、新应用带来的云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的新需求,以被动防御为主的体系架构已
无法有效防范新的安全风险和威胁。等级保护2.0从法律法规、标准要求、安全体系、实施环节四个方面进行了改变,更加注重全方位主动防御、动态防御、整体防控和精准防护,建立了事前、事中、事后全流程的安全可信、动态感知和全面审计的主动保障体系。
(1)法律法规的改变
等级保护1.0标准依据的最高国家政策是国务院147号令,等级保护2.0标准依据的最高国家政策是《网络安全法》,从条例法规层面提升到法律层面,不实施等级保护的单位和个人将承担相应法律责任。
《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第五十九条明确规定,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予处罚。
(2)标准名称的改变
等级保护1.0标准为《信息安全技术 信息系统安全等级保护基本要求》,2.0标准为《信息安全技术 网络安全等级保护基本要求》,保护对象的范围扩大,并与《网络安全法》中的法律条文保持一致。
(3)标准要求的改变
等级保护2.0标准针对共性安全保护的安全通用要求,在1.0标准基础上进行优化的同时,为配合《网络安全法》的实施,针对云计算、物联网、移动互联网、工业控制、大数据等新技术新领域的安全扩展了要求。形成各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求,标准覆盖度更加全面。
(4)安全体系的改变
等级保护2.0标准的安全体系延续了1.0标准的“一个中心、三重防护”,一个中心即安全管理中心,三重防御指“安全网络通信、安全区域边界、安全计算环境”,从安全技术和安全管理两方面构建具备相应等级安全保护能力的事前预防、事中响应、事后审计的动态网络安全综合保障体系。
2.0标准把安全管理中心的要求独立出来,包括系统管理、审计管理、安全管理和集中管控四个控制点,以集中管控为核心展开组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。
(5)实施环节的改变
等级保护2.0在实施环节中延续了定级、备案、建设整改、等级测评、监督检查五个规定步骤不变,但是对每个环节中的实施要求进行了优化和调整。
定级对象:等级保护2.0的定级对象由信息系统扩展至包含基础信息网络、工业控制系统、云计算、物联网、移动互联及大数据平台。
定级流程:等级保护2.0不再要求简单自主定级,而是通过“确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查”这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,加强了定级工作的合理性和严谨性。
等级保护测评:等级保护2.0在测评结果和测评周期方面有所调整。等级保护2.0测评达到70分以上才算基本符合,第三级以上的系统每年开展一次测评。
落实等级保护2.0工作实践
中国人民大学自2008年开始落实网络安全等级保护工作,2019年发布了网络安全等级保护2.0标准,通过学习理解2.0标准,率先在2019年度以2.0标准开展网络安全等保测评工作。在工作实践中进一步理解了等级保护2.0标准的落地实施,积累了经验,也存在一些困惑和落地实施的困难与障碍,在此分享我们的实践。
实施等级保护2.0的工作流程,参见图1。四个阶段的工作落实如下:
1.第一阶段:资产梳理和定级备案
2007 年 12 月, 我校首次启动信息系统等级保护定级备案工作,是全国教育行业较早启动信息系统等级保护工作的高校之一。期间,全面梳理了我校在运行的并具有较完整信息资料的信息系统。在北京市公安局文保处的指导建议下,本着自主定级的原则,确定了三级和二级系统,并于 2008 年完成了三级和二级系统的公安机关备案工作。
2017 年 9 月,召开全校网络安全工作会议,学校要求全面清查信息资产,建立信息资产备案制度。
2008~2018 十年间,我校信息资产发生很大变化。通过全面清查、整理发现,部分定级的系统有些已经停用,有些发生了变更,还有些新增的系统符合定级条件。因此,我们综合信息资产性质、业务流程、主管部门和重要程度等因素,参照教育行业信息系统安全等级保护定级工作指南,结合我校实际重新调整了定级,并完成了公安备案的变更。2018年,按照网络安全等级保护的工作要求,完成了三级系统和二级系统的等保测评。
2019年,我们参照网络安全等级保护2.0标准的要求,再次全面梳理信息资产,完善信息资产备案,开展网站年审,并将所有网站纳入到教育信息安全管理平台,进行安全管理和网络安全监测。
2.第二阶段:差距分析
在完成定级备案后,我校对等级保护第三级系统和5个第二级系统根据等级保护2.0基本要求,进行差距分析,找出等级保护定级对象与相应安全等级的差距,为后续整改提供支撑。
具体到差距分析的实施中,结合风险评估理论,从技术安全和管理安全两个维度对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个层面进行了评估和分析,并通过漏洞扫描、渗透测试等方式增强评估的质量和深度,给出“符合-部分符合-不符合-不适用”四项评定结论。
在差距分析过程中,我校本着全面发现问题的原则,并未按等保抽查的方式,而是对所有资产进行全面排查,在等级保护2.0实际评估中,安全通信网络、安全区域边界、安全计算环境、安全管理层面均是全局性检查项,进行全局性的差距分析工作,安全物理环境分解到办公环境、各物理机房检查,安全计算环境分解到网络设备、安全设备、操作系统、数据库、中间件、应用系统检查。
因此,在安全计算环境中,不符合项和不适用项较多,其中不符合项主要是在各资产上重复配置的问题。等保2.0在评估中的主要变化参见表1。
表1 等保2.0在评估中的主要变化
3.第三阶段:建设整改
针对差距分析阶段的问题,我们没有马上开展整改,而是先结合实际安全需求,依据等级保护2.0安全保障体系的理念,从安全技术、安全管理和安全制度三个方面,通过安全产品部署、安全技术加固、应用系统整改、安全管理优化等方式,对中国人民大学安全保障体系做了相应的规划和设计,使建设整改工作不局限于当前,而是分阶段、分步骤地建设加强和优化整个网络安全环境,具体如图2所示。
图2 等保2.0安全保障体系全景
我们经常强调“三分技术七分管理”。在网络安全管理方面,我们采用等级保护2.0和ISO27001标准融合的方式,建设网络安全管理体系,融合后的管理体系既保留了等保2.0的落地优势,又实现了PDCA的不断优化过程。安全管理体系建立过程中,形成规范的四级安全管理体系,即安全管理策略-安全管理组织-安全管理制度-安全管理落地表单,逐步落地执行,如图3所示。
图3 四级安全管理体系
在安全技术层面,我们分析了等级保护2.0差距分析中发现的问题,结合中国人民大学的安全现状和需求,进行了针对性整改,具体包括:
(1)依据等级保护2.0主动保障思路,确立外防、内控、感知、处置结合的完整思路,实现端到端安全。
对外提供互联网服务的信息系统,在本地做好收敛防护的基础上,增加云端安全防护监测,实现7×24小时实时防御;对内控制校园网对重要信息资产的访问,通过分区分域、访问控制、运维管控的方式营造相对可信的内部网络空间;对安全日志统一管理、分析,通过威胁情报,及时对网络态势进行感知;在发现安全事件时能够通过安全设备联动和外部应急处置服务力量,及时处置恢复。
(2)对应用系统问题及时进行代码修复,并通过结合管理制度完善应用系统上线流程,根本上提升应用系统的安全水平。
(3)对操作系统、数据库、网络设备、安全设备,根据等级保护2.0要求,对身份鉴别、访问控制、安全审计、入侵防范等层面全面加固,加固前进行了备份和加固测试,保证加固不影响业务运行。
4.第四阶段:网络安全等级测评
在网络安全等级测评阶段,我们分预测评和机构测评两步开展。
预测评:在全面安全建设整改完毕后,进行了充分的预测评。主要工作包括:对发现的安全问题全面核查,对安全管理制度的落地情况全面查验,对安全配置尤其是安全设备新增的安全配置进行有效性判断,对代码修复后是否带来新的问题进行测试,并判断了遗留问题是否对测评结果和安全造成直接影响,确认无误后,进入机构测评阶段。
机构测评:2019年11月底,等级保护2.0标准正式实施前夕,我们邀请教育信息安全等级保护测评中心,率先采用等级保护2.0标准条款进行测评,并顺利通过了机构测评。
至此,网络安全等级保护2.0的全流程工作顺利完成,达到了网络安全合规和网络安全保障提升的工作目标。
网络安全等级保护工作中的困难和思考
在落实网络安全等级保护的工作中,有国家法律、法规、政策和标准作为保障,有教育行业的各项政策和标准作为指导,学校领导层安全意识到位、领导力强,在组织机构、制度和经费多方面保障,使得网络安全等级保护工作有效开展。
在此过程中,我们也面临一些困难、困惑和思考。随着学校信息系统数量的不断增长,在定级备案阶段,按照等级保护2.0标准的要求,如何完成等级保护对象的预定级?如何保证或者提高预定级的科学性、合理性和可行性?如何开展定级的专家评审?
学校信息系统归属几十个管理部门,大多数部门没有专业的IT技术人员,对等级保护标准也无法做到深入理解,学校ITC或信息办也无法全面深入掌握每个系统的具体情况,预定级可能存在偏差。如果完全照搬《教育行业信息系统安全等级保护定级工作指南(试行)》进行定级,势必存在数量不小的三级和二级系统,针对三级和二级系统的建设、运维和测评需要投入不菲的人力、物力和财力,难以持续实行。
通常,三级和二级系统预定级后,在合规性和科学性方面通过专家评审可以对定级工作进行指导和审核,在公安备案环节,公安机关做最后的审核和把关,保证合规和科学性。等级保护2.0标准颁布后,对二级和三级系统的预定级工作还增加了上级审核环节,认为这一环节可对三级和二级系统定级的合理性和可行性起到保障作用。
针对成百上千个信息系统,如何评定出三级和二级,预定级工作的质量和科学性、合理性如何保证?我们讨论过请专家对学校所有信息系统进行评审,从而对定级给予指导,审核三级、二级和一级系统定级是否规范、科学、合理,事实是信息系统的数量太过庞大,专家评审的工作量、难度和责任都太大,难以落实。
总之,网络安全工作不可能一蹴而就,要经过PDCA不断的整改、优化、完善,针对新的信息资产、新的技术、新的问题和新的要求,需要采用新的技术手段、新的管理措施和新的解决办法。
中国人民大学未来将不断加强和完善网络安全建设,通过技术、管理、人的有机结合,实现安全保障的动态弹性,以应对不断变化的网络安全形势。在国家推进“全民共建网络安全、共筑网络强国梦”的大背景下,加强与教育行业、网络安全专业领域的沟通合作,不断探索和实践,深入落实网络安全等级保护2.0。
(本文刊载于《中国教育网络》杂志2020年5月刊,作者:葛泓 赵伟 金维佳,单位为中国人民大学,责编:朴艺娜)
相关阅读