5.1 等级保护2.0时代
您可以在百度里搜索“网络安全法和网络安全等级保护2 艾草文学(www.321553.xyz)”查找最新章节!
第5章
网络安全等级保护2.0时代
5.1 等级保护2.0时代
等级保护在网络安全保障、网络强国建设方面起着至关重要的作用。随着信息技术的不断发展,特别是云计算、物联网等新技术的不断涌现和应用,开展等级保护工作面临着越来越多的新情况、新问题,基础信息网络与重要信息系统面临着日益严峻的威胁与挑战。为了适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,从 2014年 3 月开始,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入了2.0时代。
为什么说网络安全建设需要等级保护?先从网络安全现状来看。为了便于读者学习,本书中的信息系统全等级保护和网络安全等级保护等同,核心区别是2.0时代。
5.1.1 网络安全的现状
互联网飞速发展,中国进入信息化社会,从老百姓的衣食住行到国家重要基础设施,互联网无处不在,网络安全已经成为与国家、社会、个人息息相关的问题。对于国家而言,互联网安全已经成为国防安全、金融安全之上的第一安全;对于社会而言,没有互联网安全,社会的健康运作和有尊严的人格体系就无法建立;对于个人而言,失去互联网安全,人们将失去社会对于个人隐私的必要遮蔽,而处在一种时时处处被窥视和被算计的危险之中。
为了保障信息化安全、健康发展,我国在2013年11月12日正式成立国家安全委员会,并在2014年2月27日成立中共中央网络安全和信息化领导小组办公室,由国家主席习近平亲自挂帅,信息安全正式提升到国家战略高度。
2014年8月28日,工业和信息化部发布《工业和信息化部关于加强电信和互联网行业网络安全工作指导意见》,提出以完善网络安全保障体系为目标,着力提高网络基础设施和业务系统安全防护水平,增强网络安全技术能力,强化网络数据和用户信息保护,推进安全可控关键软硬件应用,为维护国家安全、促进经济发展、保护人民群众利益和建设网络强国发挥积极作用。
2015年9月23日,国家主席习近平在西雅图微软公司总部会见出席中美互联网论坛双方主要代表时发表讲话强调,当今时代,社会信息化迅速发展,如何治理互联网、用好互联网是各国都关注、研究、投入的大问题,没有人能置身事外。中国倡导建设和平、安全、开放、合作的网络空间,主张各国制定符合自身国情的互联网公共政策。
但是,我国的网络安全问题依旧突出。如安全意识的缺乏,网络对抗能力较弱,法律、经费和人才等网络安全方面的基础不牢,关键信息基础设施安全防护能力较差等。据 2014年中国互联网网络安全报告称:我国基础网络仍存在较多漏洞风险,云服务日益成为网络攻击的重点目标;域名系统面临严峻的拒绝服务攻击,针对重要网站的域名解析篡改攻击频发;网络攻击威胁日益向工业互联网领域渗透,已发现我国部分地址感染专门针对工业控制系统的恶意程序事件;分布式反射型的拒绝服务攻击日趋频繁,大量伪造攻击数据包来自境外网络;针对重要信息系统、基础应用和通用软硬件漏洞的攻击利用活跃,漏洞风险向传统领域、智能终端领域泛化演进;网站数据和个人信息泄露现象依然严重,移动应用程序成为数据泄露的新主体移动恶;意程序不断发展演化,环境治理仍然面临挑战。
① 基础网络设备仍存在较多安全漏洞风险。随着基础网络安全防护工作的深入推进,发现和处置的深层次安全风险和事件逐渐增多。2014年,CNCERT/CC协调处置涉及基础电信企业的漏洞事件1578起,是2013年的3倍。CNVD收录与基础电信企业软硬件资产相关的漏洞825个,其中与路由器、交换机等网络设备相关的漏洞占比达66.2%,主要包括内置后门、远程代码执行等类型。这些漏洞可能导致网络设备或节点被操控,出现窃取用户信息、传播恶意代码、实施网络攻击、破坏网络稳定运行等安全事件。
② 云服务日益成为网络攻击的重点目标。我国基础电信企业和许多大型互联网服务商纷纷加快云平台部署,大力推广云服务,大量金融、游戏、电子商务、电子政务等业务迁移至云平台。2014年,先后发生了多起因电力、机房线路和网络故障导致的云服务宕机事件,针对云平台的攻击事件也逐年增多。
③ 域名系统面临的拒绝服务攻击威胁进一步加剧。据抽样监测,2014年针对我国域名系统的流量规模达1 Gbps以上的拒绝服务攻击事件日均约187起,约为2013年的3倍,攻击目标上至国家顶级域名系统,下至CDN服务商的域名解析系统。
④ 针对重要网站的域名解析篡改事件频发。2014年发生了多起国内政府网站、重要媒体或企事业单位网站的域名解析被篡改的事件。经CNCERT/CC对我国政府网站(以.gov.cn结尾)域名解析情况监测分析,10月期间测试的870万余个域名中,约有107万余个域名被解析到境外IP地址,其中有2.9万个域名的Web端口能够访问,部分指向推广游戏、色情、赌博等内容的异常页面,还有部分页面被植入恶意代码,不仅影响网站管理方形象,甚至可能造成大面积网络安全危害。
⑤ 涉及重要行业和政府部门的高危漏洞事件增多。漏洞研究者对重要企事业单位信息系统安全问题的关注程度日益提升,在2014年收录的漏洞中,涉及电信行业的占9.0%,涉及工控系统的占2.0%,涉及电子政务的占1.9%,CNCERT/CC全年向政府机构和重要信息系统部门通报漏洞事件9068起,较2013年增长3倍。
⑥ 基础应用或通用软硬件漏洞风险凸显。2014年,CNCERT/CC 通报处置通用软硬件漏洞事件714起,较2013年增长1倍。由于基础应用和通用软硬件产品部署广泛,漏洞容易被批量利用,而且定位和修复困难,影响范围可能波及全网,危害程度远大于一般漏洞。2017年4月8日,开源加密协议Open SSL被披露存在内存泄露高危漏洞(CNVD编号:CNVD-2014-02175,对应 CVE-2014-0160),又称为“心脏出血(HeartBleed)”漏洞。利用该漏洞可窃取服务器敏感信息,实时获取用户的账号和密码,危害波及大量互联网站、电子商务、网上支付、即时聊天、办公系统、邮件系统等。
据抽样统计,我国境内受该漏洞影响的IP地址超过3万个。2017年9月25日,“破壳(Bash Shell Shock)”漏洞几乎存在目前所有主流UNIX/Linux操作系统平台如Redhat、Fedora、CentOS、Ubuntu、Debian、MAC OS,不仅包括服务器系统,还包括交换机、防火墙、网络设备以及摄像头、IP电话等许多基于Linux的定制系统,影响范围比“心脏出血”漏洞更严重。在我国使用微软操作系统的用户中,超过半数仍在使用Windows XP系统,这些用户在未来相当长的一段时间内将面临严重的“零日攻击”风险。
⑦ 漏洞威胁向传统领域泛化演进。随着信息化发展,传统广播电视、公共管理、社会服务等领域与互联网紧密融合,漏洞威胁也在演化跟进。2014年,CNCERT/CC处置多起公共服务管理系统存在漏洞风险的事件,涉及公共场所LED信息管理、高速公路视频监控、区域车辆GPS调度监控等。这些漏洞一旦被利用,将直接影响日常交通管理和公众生活。
⑧ 漏洞威胁向新兴智能设备领域延伸。2014年,移动互联网与传统产业结合催生智能硬件新业态,智能手环、智能手表等可穿戴设备、互联网电视等产品成为市场热点,智能汽车、智能家居、智慧城市成为新时尚,随着终端设备的功能和性能大幅提升,面临的安全威胁随之增大。例如,国外某著名电动汽车车载控制系统存在安全漏洞,导致攻击者可远程控制车辆,实现开锁、鸣笛、闪灯、开启天窗等操作。2014年已经发现一些ADSL终端、智能监控设备、智能路由器、网络摄像头、机顶盒等联网智能设备被黑客控制发起网络攻击,这些联网智能设备普遍存在弱口令、配置不当等安全问题,很容易被攻击者安装木马变成“肉鸡”长期进行控制。
《中华人民共和国网络安全法》在2017年6月1日施行,作为网络安全基础性法律,在第二十一条明确规定了“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第三十一条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。等级保护制度在今天已上升为法律,并在法律层面确立了其在网络安全领域的基础、核心地位,正如业内所言,不做等级保护就是违法了。
从现状可以看出,网络安全的保护对象发展变化,不再局限于传统的信息系统保护,还包括云计算、工业控制系统、国家关键信息基础设施。网络安全等级保护工作内容不再局限于测评整改,还包括漏洞及时预警和应急处置。因此,站在国家战略高度,开展网络安全等级保护工作,是信息化建设的常规工作,是信息安全的重要抓手,也是保障信息安全,维护网络空间安全、国家安全、公共利益和社会稳定的战略工作。
5.1.2 如何理解等级保护2.0
1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,在第九条规定,计算机信息系统实行安全等级保护。至今算起来已有 20 多个年头,一路走来,等级保护与国家信息化发展相生相伴,从探索到成熟、从各方质疑到达成广泛共识,已经成为我们国家信息安全领域影响最为深远的保障制度。
1.2.0时代,网络安全等级保护在国家网络空间战略发挥重要作用
当前我们国家正面临经济社会结构调整和转型,信息技术已经成为新的引擎,等级保护将继续扮演不可替代的重要角色。同时,网络空间已经成为与陆地、海洋、天空、太空同等重要的人类活动新领域,网络空间主权成为了国家主权的一个新维度。维护网络空间主权的重心在网络空间安全,等级保护的防护核心始终是关键信息基础设施保护。因此,网络安全等级保护将在国家网络空间战略发挥重要作用。
2.2.0时代,等级保护制度法制化
《中华人民共和国网络安全法》是我国网络安全方面的基本大法,是网络安全基础性法律。在第二十一条明确规定了“国家实行网络安全等级保护制度”,第三十一条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。因此,等级保护制度自2017年6月1日起上升为法律。网络安全等级保护制度法制化,在法律层面确立了其在网络安全领域的基础、核心地位。网络运营者履行网络安全等级保护将是违法行为。
3.2.0时代,等级保护保护对象丰富化、具体化
早在 2003年,中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》中指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统”,这个定义就是网络安全法中的“关键信息基础设施”。所以说,等级保护的核心从未改变。但是,随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,这些都要求等级保护外延的拓展。新的系统形态、新业态下的应用、新模式背后的服务、重要数据和资源统统进入了等级保护的视野。具体对象囊括了大型互联网企业、基础网络、重要信息系统、网站、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等。
4.2.0时代,等级保护内涵精准化
在2.0时代之前,等级保护包括5个规定动作,即定级、备案、建设整改、等级测评和监督检查。那么在 2.0 时代,等保的内涵将更加精准化。风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。
5.2.0时代,等级保护制度体系更完善,机制更灵活
这些年来,等级保护工作一直是在顶层设计下,以体系化的思路逐层展开、分步实施。2.0时代,主管部门将继续制定出台一系列政策法规和技术标准,形成运转顺畅的工作机制,在现有体系基础上,建立完善等级保护政策体系、标准体系、测评体系、技术体系、服务体系、关键技术研究体系、教育训练体系等。等级保护也将作为核心,围绕它来构建起安全监测、通报预警、快速处置、态势感知、安全防范、精确打击等为一体的国家关键信息基础设施安全保卫体系,如图5-1所示。
可见,等级保护将发挥国家制度优势,集中各方力量应对各种挑战。从“信息安全等级保护制度”到“网络安全等级保护制度”的变更,不难看出,等级保护不仅从信息安全扩大到网络安全,更从国家制度变更为国家法律,表达的是国家对保障网络空间安全的自信。接下来的 2.0 时代,等级保护将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。
图5-1 网络安全等级保护架构
5.1.3 开展等级保护的重要意义
近年来,党中央、国务院高度重视,有关方面协调配合、共同努力,我国信息安全保障工作取得了很大进展。但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:
① 信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;
② 信息系统安全建设和管理的目标不明确;
③ 信息安全保障工作的重点不突出;
④ 信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。
随着信息技术的高速发展和网络应用的迅速普及,我国国民经济和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为国家经济建设和社会发展的重要战略资源之一。保障信息安全,维护国家安全、公共利益和社会稳定,是当前信息化发展中迫切需要解决的重大问题。
实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 网络安全法和网络安全等级保护2