雖說等級保護是網(wǎng)絡(luò)安全的基本要求,是一類基線類的合規(guī)檢查工作��,等級測評工作“入行門檻不高�,且容易上手”,但并不意味著“等保測評是最低要求”����,也不能講“等保測評不重要”。“等級保護”一詞自1994年被提出�����,歷時16年的發(fā)展�,從起初的“一無所有”到等保標(biāo)準(zhǔn)體系建設(shè)完善化,再到“有法可依”的等保2.0時代,是一代等保前輩在逐步推進��,同時也凝聚了一代人的心血����。國家的大力支持、主管部門的積極推動以及等保逐步產(chǎn)業(yè)化����,使得國家網(wǎng)絡(luò)安全行業(yè)有了迅速地發(fā)展。等級測評作為開展等級保護工作的核心內(nèi)容��,豈能講“等保測評不重要”呢�?等保2.0從2019年的正式實施,到后續(xù)推廣�����、落地��,其適用性與可行性也逐步被論證����;隨著“新基建、數(shù)字經(jīng)濟�、人工智能、5G”等一系列新興技術(shù)產(chǎn)業(yè)的發(fā)展,DJBH行業(yè)從業(yè)者應(yīng)考慮如何秉承等保前輩們鉆研�����、探索的精神積極推動等保工作的發(fā)展����,為等級保護“正名”。
我國《標(biāo)準(zhǔn)化法實施條例》第20條規(guī)定:標(biāo)準(zhǔn)實施后��,制定標(biāo)準(zhǔn)的部門應(yīng)當(dāng)根據(jù)科學(xué)技術(shù)的發(fā)展和經(jīng)濟建設(shè)的需要適時進行復(fù)審����,標(biāo)準(zhǔn)復(fù)審周期一般不超過5年�����。等級保護是我國關(guān)于信息安全的基本政策���,自1994年147號令首次提出計算機信息系統(tǒng)實行安全等級保護����,到2007年43號文確立推進等級保護相關(guān)事宜�����,再到2017年網(wǎng)絡(luò)安全法正式實施,等級保護制度上升到法律高度�����。網(wǎng)絡(luò)安全法律法規(guī)體系是國家網(wǎng)絡(luò)安全保障體系的重要組成部分����,維護網(wǎng)絡(luò)安全,需充分發(fā)揮法律的強制性規(guī)范作用�。《網(wǎng)絡(luò)安全法》是網(wǎng)絡(luò)安全工作的基礎(chǔ)性法律框架�����,是一項“基本法”��,其解決了以下幾個問題:
明確了部門��、企業(yè)���、社會組織和個人的權(quán)利����、義務(wù)和責(zé)任;
規(guī)定了國家網(wǎng)絡(luò)安全工作的基本原則�、主要任務(wù)和重大指導(dǎo)思想、理念�����;
將成熟的政策規(guī)定和措施上升為法律,為政府部門的工作提供了法律依據(jù),體現(xiàn)了依法行政��、依法治國要求���;
建立了國家網(wǎng)絡(luò)安全的一系列基本制度,這些基本制度具有全局性��、基礎(chǔ)性特點,是推動工作���、夯實能力�����、防范重大風(fēng)險所必需�。
等級保護制度作為國家網(wǎng)絡(luò)安全的一項基本制度,其從整個信息和網(wǎng)絡(luò)系統(tǒng)全局出發(fā)�,強化夯實網(wǎng)絡(luò)安全防護能力,盡可能地規(guī)避等級保護對象可能面臨的風(fēng)險����。等級測評是等級保護的核心工作��,是具有法律意義的一項工作�,豈能講“等保測評不重要”呢�?等級保護基本要求維持安全技術(shù)+安全管理的體系模式,從技術(shù)和管理兩個維度提出相應(yīng)的安全要求�,保障網(wǎng)絡(luò)和信息系統(tǒng)盡可能地安全。等級保護技術(shù)層面從等保1.0“分層防護�、縱深防御”的體系到等保2.0“一個中心、三重防護”的縱深防御體系也是在吸收國際網(wǎng)絡(luò)安全先進安全體系和安全理念�����。等級保護系列標(biāo)準(zhǔn)成體系化���,2019年等級保護基本要求�、設(shè)計要求���、測評要求三大標(biāo)準(zhǔn)同時發(fā)布���、同步執(zhí)行,將等級保護工作與“三同步”融合���,即在信息系統(tǒng)的“規(guī)劃����、建設(shè)、運營/使用”三階段生命周期���,形成等級保護與“三同步”的結(jié)合點�����。在網(wǎng)絡(luò)和信息系統(tǒng)上線前后基于等級測評可發(fā)現(xiàn)其存在的安全隱患�����,及時整改���,保證系統(tǒng)上線后安全、穩(wěn)定��、合規(guī)的運行���。等級保護整個體系涉及面廣,基本涵蓋網(wǎng)絡(luò)安全所需的各項能力����。因等級保護的“定位和作用”���,使得其有點“廣而不深”,即等?;拘砸蟛⑽丛谀承┌踩珜用婕?xì)化,但其對系統(tǒng)安全體系建設(shè)存在一定的指導(dǎo)作用��,豈能講“等保測評不重要”呢�?“任何一門學(xué)科如果不引入數(shù)學(xué), 就無法成為科學(xué)?��!钡缺y評的測評結(jié)果分析與報告編制階段積極嘗試進行量化����,通過“定性+定量”的方式使得結(jié)果更具有科學(xué)性�����、更加的合理性�����,保證等級測評的嚴(yán)謹(jǐn)性����。雖然等級測評工作的復(fù)雜程度以及科學(xué)程度沒有密碼學(xué)對于“數(shù)學(xué)”的理論性要求強�,但等保測評也在積極推動量化工作���,多指標(biāo)����、多層次的量化工作并非易事���,也希望DJBH行業(yè)從業(yè)者能夠積多人之力�,實現(xiàn)量化方法更加合理化�。“算法并無錯與對���,只有優(yōu)與不優(yōu)”�,等保2.0中計算公式可能在理解�����、使用時存在一定的出入���,但其依據(jù)“最優(yōu)距離法�、平均法”的數(shù)學(xué)理論��,也保證了一定的“科學(xué)性”�����。等級測評結(jié)論基于風(fēng)險的定性分析和測評結(jié)論的量化結(jié)果綜合進行判定�����,測評結(jié)論如何合理的引導(dǎo)也是論證“等保測評非常重要”這一命題的有力支撐��,用戶也無須擔(dān)憂“測評分?jǐn)?shù)”是“拍腦袋”得到的�����。業(yè)內(nèi)習(xí)慣稱“等級測評”為“過等?���!保鋵嵉燃壉Wo制度����,開展等級保護工作需進行定級、備案、建設(shè)整改�����、等級測評���、監(jiān)督檢查一系列工作����。用戶在積極落實等級保護工作過程中��,等級測評僅僅是其中的一部分工作內(nèi)容���,等級測評結(jié)論為差����,只能說明等級保護對象安全防護能力暫未達(dá)到等級保護基本要求��,還需繼續(xù)推進整改工作�。等級測評結(jié)論為差與不落實、開展等級保護工作是兩個不同層面的事情��,前者只需接受監(jiān)督管理����、持續(xù)改進�����,盡快滿足等級保護基本要求,后者則在違法網(wǎng)絡(luò)安全法���,需要接受監(jiān)管部門的處罰����。等級測評非常重要��,“0元過等?���!笨赡艽嬖谡`導(dǎo),用戶自身還需結(jié)合業(yè)務(wù)和實際網(wǎng)絡(luò)環(huán)境仔細(xì)落實���。
測評機構(gòu)等級測評服務(wù)不到位�,未按監(jiān)管方規(guī)定履行等級測評機構(gòu)應(yīng)盡義務(wù)����;
等級測評工作人員未經(jīng)合格培訓(xùn)、盲目上崗,工作效率���、能力未獲用戶單位認(rèn)可�����;
用戶單位未意識到等級保護工作的重要性�,安全意識薄弱�;
用戶單位安全職責(zé)劃分不明確,無法有效推動等級保護工作開展�����;
等級保護對象定級不合理���,等級保護工作投入成本嚴(yán)重高于產(chǎn)出或罰款額��;
標(biāo)準(zhǔn)要求滯后或超前���,無法恰當(dāng)引導(dǎo)用戶依據(jù)相關(guān)等級保護標(biāo)準(zhǔn)進行安全建設(shè)或整改;
標(biāo)準(zhǔn)要求力度無法合理把握�����,等級測評未基于業(yè)務(wù)屬性開展,高風(fēng)險判定呈“拍腦袋”式����;
……
網(wǎng)絡(luò)安全雖不止于合規(guī),倘若最基本的等級保護合規(guī)性要求都無法滿足��,豈能談網(wǎng)絡(luò)和信息系統(tǒng)是安全的呢�?等級保護測評旨在協(xié)助用戶理清資產(chǎn)��、梳理網(wǎng)絡(luò)結(jié)構(gòu)����、發(fā)現(xiàn)系統(tǒng)可能存在的安全問題、盡可能地幫助用戶及早規(guī)避安全風(fēng)險��,但等級保護并不是網(wǎng)絡(luò)安全的全部����。任何安全風(fēng)險在被攻擊者利用前都“一文不值”,一旦被利用成功��,可能“后患無窮”�����。因此,等保測評是協(xié)助用戶單位防止攻擊者發(fā)起攻擊的���,而不應(yīng)該被認(rèn)為是“不重要”���。愿業(yè)內(nèi)各方積極推動等級保護發(fā)展、扎實網(wǎng)絡(luò)安全根基�、推動新型技術(shù)的使用、攻破網(wǎng)絡(luò)安全技術(shù)(可信計算����、強訪問控制、數(shù)據(jù)協(xié)議隔離��、電磁屏蔽等)難題���,助力網(wǎng)絡(luò)安全等級保護工作的積極落實���,讓等級保護更具有科學(xué)性,讓網(wǎng)絡(luò)空間更合規(guī)����、更安全。
等保測評咨詢
