信息安全等级保护之测评

　　1、2010年4月年公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》

　　2、2015年11月刑法修正案（九）新增安全处罚条例第二百八十六条之一；

　　3、2017年6月1日《中华人民共和国网络安全法》，正式开始实施；

　　4、2018年全国各地公安厅将重点针对等级保护工作提出更高要求以及国家对网络安全等级保护制度提出了新的要求，等级保护制度已进入2.0时代。

　　信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。

　　在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护。

　　第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

　　第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

　　第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

　　第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

　　第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

　　在开展网络安全等级保护工作中应首先明确等级保护对象，等级保护对象包括基础信息网络（如广电网、电信网等）、信息系统（采用传统技术的系统）、云计算平台、大数据平台、物联网、工业控制系统等；确定了等级保护对象的安全保护等级后，应根据不同对象的安全保护等级完成安全建设或安全整改工作；应针对等级保护对象特点建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系。应依据国家网络安全等级保护政策和标准，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。

　　刑法修正案（九） 第二百八十六条之一（新增）：“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门通知采取改正措施而拒绝执行，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金”：

　　（一）致使违法信息大量传播的；

　　（二）致使用户信息泄露，造成严重后果的；

　　（三）致使刑事犯罪证据灭失，严重妨害司法机关依法追究犯罪的；

　　（四）有其他严重情节的。

　　1.严格按照相关法律法规及标准执行评估，满足主管单位和行业安全要求；

　　2.梳理业务系统重要资产信息，了解信息资产面临的外部威胁和自身弱点；

　　3.明确系统安全现状，防患于未然，对于未来系统建设和投入有指导意义；

　　4.完善和规范的服务流程，享受专家技术支持服务；

　　5.通过安全专家核查及提出整改建议，并督促企业整改，降低系统被入侵风险；

　　6.极大提高技术人员的安全意识和技术水平，有助降低运维成本，提高效率。

　　背景：云系统由于部署在各类云平台上面，而云平台的实际物理地址往往和云系统网络运营者不在同一地址，大型云平台还有许多物理节点，很难确定云平台的具体物理地址，那么这种情况下云系统到底到云平台所在注册地址进行系统备案，还是到自己所在注册地址进行备案，如果自己的运维团队和注册经营地址不一致怎么办？到底去哪里备案？不少人以为是到注册经营地进行备案。

　　答：云系统应当在系统实际运维团队所在地市网安部门进行系统备案，因为这样方便属地公安对系统进行监管。

　　扩展：在云计算环境中，应将云服务方侧的云计算平台单独作为定级对象定级，云租户侧的等级保护对象也应作为单独的定级对象定级。

　　背景：系统上云的情况越来越多，不论是公有云（阿里云、腾讯云、微软Azure云、亚马逊云等）还是各类私有云（政务云、内部云平台等）或者就是直接托管到IDC机房，一些客户认为系统已经不在自己机房了，所以系统的相应安全运维就不归自己管了，自然等保工作就不需要做了。

　　答：根据“谁运营谁负责，谁使用谁负责，谁主管谁负责”的原则，该系统责任主体还是属于网络运营者自己，所以还是得承担相应的网络安全责任，该进行系统定级的还是得定级，该做等保的还是得做等保。

　　扩展：系统上云或托管后，并不是安全责任主体转移，只是系统所在机房地址的变更，当然在公有云模式下，Iaas、Paas、Saas不同模式相应的安全责任会有些区别，但是并不是没有责任。

　　背景：一些客户担心系统定级定高了后期给自己工作增加麻烦，一方面等级高了，技术要求高了，需要做的工作多了；另一方面三级系统需要每年都做测评，也觉得麻烦。所以想着系统定个二级就可以了，自己省事。

　　答：首先系统到底定几级是根据受侵害的客体以及对客体侵害的程度来确定的，是以事实为根据，而不是拍脑袋决定的。系统等级定低了，乍一看可能工作上是容易做了，但是反而是我们没有落实好网络安全保护义务的直接表现，系统等级低了相应的安全防护要求也低了，那么万一你的系统不小心被攻击破坏造成一定不良影响，在主管部门进行责任认定追查时，很有可能就会因为系统定级不合理，安全责任没有履行到位而被处罚。得不偿失，还是安安稳稳把自己该做的工作做好。

　　扩展：系统定级按照等保1.0的要求是自主定级，有主管部门的需要主管部门审核，最终报送公安机关进行审核。所以定级并不是想定几级就定几级的。预计今年会发布的等保2.0里定级流程新增了“专家评审”和“主管部门审核”两个环节，这样定级过程将会变得更加规范，定级也会更加准确。

　　背景：一些客户会觉得系统定了级以后相关主管单位就会不时地来安全检查了，给自己的工作增加了麻烦，被人管的感觉很不好。

　　答：所有非涉密系统都属于等级保护范畴，没有定级不代表不需要被监管，相反如果没有被纳入监管，反而会比较危险，哪天出了事就比较难收拾残局。定级后或者被监管，主管单位会在重点时刻对我们的重要信息系统进行一定扫描及保护，会及时告知发现的一些问题，避免发生网络安全攻击事件；同时一些重要的政策要求或者行业会议，也会通知你们过来参会，方便大家及时了解最新的网络安全形势，有利于大家开展好网络安全工作。

　　扩展：做了等保后，主管单位并不一定会对你们单位做相关安全检查，单位很多，重要的系统很多，主管单位也有自己的一些统一安排，到底会不会对你们检查取决于很多因素，但是一般单位可以不需要有这些顾虑。来检查是好事，可以及时发现问题，督促指导大家开展好网络安全工作。

　　背景：一些人以为等级保护工作主要就是对系统进行定级备案，然后做个测评就可以了。

　　答：等级保护工作不仅是一个测评而是包含：定级、备案、测评、建设整改和监督审查五项内容，测评只是其中一项。

　　扩展：测评只是开始，更重要的是我们通过测评寻找出差距，分析出目前我们的系统存在的风险，及时查漏补缺，进行安全建设整改，提高信息系统的安全防护能力，降低系统受到攻击破坏的概率。

　　背景：一些客户以为等保测评只要做过一次就行了，以后就不用做了。把等保工作当成一个形式当成应付工程去做。

　　答：等保工作是一个持续的工作，等保测评也是一个周期性的工作，三级系统要求每年做一次，四级系统每半年做一次，二级系统部分行业明确要求每两年做一次，没有明确要求的行业建议大家两年做一次测评。

　　扩展：做等保测评不应当抱着应付的心态去做，如果大家的系统真能按照等级保护的要求去做好，那么你的系统安全防护水平还是很高的。做了等保，一方面是合规，更多的是切切实实协助我们做好单位的网络安全工作。

　　背景：一些用户以为做不做等保不要紧，关揵的是不要出网络安全事件，只要不出事都没问题。

　　答：《中华人民共和国网络安全法》第二十一条

　　国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（五）法律、行政法规规定的其他义务。不做等保就属于第五个行为，国内目前已经有公开报道的因没有落实等级保护制度而被处罚的真实案例。所以等保及时去做，不要等。

　　扩展：网络安全技术发展日新月异，什么叫安全？买什么产品做什么服务就能安全？绝对的安全是不可能的，我们不能百分百保证我们的系统是安全的，但是我们得把我们能做的工作及时做到位，该做的工作做到了，自然也就相对安全了。

　　背景：不少用户的系统都在单位内网或者专网中，觉得系统不对外相对安全，所以就可以不做等保了。

　　答：首先所有非涉密系统都属于等级保护范畴，和系统在外网还是内网没有关系；其次在内网的系统往往其网络安全技术措施做的并不好，甚至不少系统已经中毒不浅。所以不论系统在内网还是外网都得及时开展等保工作。

　　扩展：内网不代表安全，而且现在纯粹的物理内网很少了，大部分或多或少都与互联网有些连接。内网一旦中毒，扩散很快，而且很难清除，因为很多技术措施都没有，几乎在裸奔状态，一旦中毒很容易就跨了。

　　背景：一些用户或者同行搞不清等保到底是个什么情况，以为是按照整个单位去做，天真地认为一个单位做一个等保测评就可以。

　　答：等保测评是按照信息系统来的，以一个信息系统为测评整体，并不是按照一个单位去做的。

　　扩展：一个完整的信息系统包括承载其的物理机房、服务器、主机、应用、数据库、网络设备及安全设备等，测评除了这些具体的实体对象，还包括相对应的安全管理制度。

　　背景：一些客户有疑虑：测评是没有多少钱，但是测评后需要进行安全建设整改，需要花很多钱。

　　答：整改花多少钱取决于你的信息系统等级、系统现有的安全防护措施状况以及网络运营者对测评分数的期望值，不一定要花很多钱甚至不花钱。

　　扩展：整改的内容大体分为：安全制度完善、安全加固等安全服务以及安全设备的添置。在安全制度及安全加固上网络运营者自己可以做很多整改工作或者委托系统集成方进行加固，往往这是不需要额外付费的或者是包含在你和系统集成方合同约定中的，这两块内容整改好，加上你有一定的安全技术措施，基本上是可以达到基本符合的结论的。所以花多少钱看你怎么去做或者你的期望值是多少。