#每日三件事,第679天#
《中华人民共和国网络安全法》第二十一条规定国家实行网络安全等级保护制度。网络安全等级保护制度的核心在于划分等级保障安全,按不同的等级对网络信息系统给予合理的、科学的、适度的安全保护。
如何划分等级呢?就是1999年发布的国家强制性标准《计算机信息系统安全保护等级划分准则》。标准规定了计算机信息系统安全保护能力的五个等级,即:
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级:
第四级:结构化保护级;
第五级:访问验证保护级。
对于普通的网络运营者来讲,怎么知道自己运营的网络信息系统的究竟算哪一个级别呢?
从2008年开始,国家出台了《信息安全技术 信息系统安全等级保护定级指南》GB/T22240-2008,对信息系统如何定级给出了明确的指导。在2020年,随着《中华人民共和国网络安全法》的实行,对此标准也进行的更新。新的标准是《信息安全技术 网络安全等级保护定级指南》GB/T22240-2020,新标准对新技术,诸如云计算、工业控制系统、物联网、移动互联网以及大数据平台的定级进行了说明。其中非常重要的一点就是网络运营者根据《定级指南》初步确定网络系统的等级后,要经过专家评审的环节,然后确定最终的安全保护等级。
定级是网络安全等级保护工作非常重要的一个环节。定级之后要到公安机关备案;备案后要测评,测评后要整改,整改后要接受公安机关的监督检查。从定级到监督检查这才是完整的等级保护工作。
我们一开始就在说,网络安全等级保护制度的核心在于划分等级保障安全。划分等级的依据就是GB17859-1999和GB/T22240-2020。那如何保障网络安全呢?
人如果不舒服的话,先去找医生诊断一下,然后对症下药进行医治,最终让我们恢复健康。中医讲究望闻问切,扁鹊见蔡桓公就能知其病在腠理,诊断的方法是——望。理论依据大约就是中医经典文献,诸如《黄帝内经》之类的。
网络安全的问题出在哪里呢?诊断的标准就是《信息安全技术 网络安全等级保护基本要求》GB/T22239-2019,诊断的方法就是现场访谈、配置核查,工具测试等。测评机构完成测评工作后,出具的《网络安全等级保护测评报告》就像我们的体检报告。唯一不同的是医生会根据检查的结果给我们施药救治,而等级保护测评机构不能做完测评工作再做安全加固和整改。一句话:不能既当裁判员又当运动员。
测评工作之后留给网络运营者的是一个整改的空白!虽然网络安全等级保护的标准已经颁布了很久,但除了等保测评机构之外,其他组织对标准的理解非常有限,安全加固和整改更是无从谈起。设备厂商专注于卖自己的设备,并不能提供一套完整的加固整改方案。网络运营者自己来整改更是难上加难,一方面限于人手,一方面限于技术能力。
切实落实网络安全等级保护制度,亟需一个对测评标准理解到位的、又有技术能力的服务机构。为网络运营者提供全方位、一站式、综合化的安全服务,切实保障网络系统的安全。其实这个责任还得测评机构来承担。测评机构为什么在安全整改方面做得少呢?主要是做了整改工作就不能做测评工作,避免既当裁判员又当运动员。另外就是网络运营者的安全意识和法律意识强了,等保测评的市场太大,测评机构的人手都非常紧缺,再去做整改的话真的就是心有余而力不足了。
落实法律责任和义务,切实加强网络安全,是每个人的职责。
网友评论