等级保护十大实用问题

什么是等级保护？

       等级保护是我们国家的基本网络安全制度、基本国策，也是一套相对完整和完善的网络安全管理体系。

       等级保护的概念：信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。（《关于信息安全等级保护工作的实施意见》（公通字[2004]66 号））

       其中，信息系统是指由计算机及其相关和配套的设备、设施构成的， 按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。

       值得注意的是，2017年《中华人民共和国网络安全法》实施后，信息系统的概念与网络安全法及当前的网络安全形势不相适应，故提出了“网络安全等级保护制度”的概念，“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

等级保护分为哪几个等级？

       根据等级保护对象在国家安全、经济建设、社会生活中的重要程度；以及一旦遭到破坏后对国家安全、社会秩序和公共利益以及公民、法人和其他组织的合法权益的危害程度，安全保护等级共分五级：

       第一级为自主保护级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益的一般网络。

       第二级为指导保护级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全的一般网络。

       第三级为监督保护级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害，或者会对社会秩序和社会公共利益造成严重危害，或者对国家安全造成危害的重要网络。

       第四级为强制保护级，一旦受到破坏会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害的特别重要网络。

       第五级为专控保护级，一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。

等级保护工作具体包含哪些内容？

       等级保护工作总共分五个阶段，分别为：1）定级。2）备案。3）安全建设整改。4）等级测评。5）监督检查。

       等级保护≠定级备案

       等级保护≠等级测评

       运营使用单位要履行定级、备案、建设整改、等级测评，并接受公安机关和行业主管部门的监督检查。

什么是等级保护1.0和2.0？

       2007年，公安部会同相关部门发布了一个非常重要的红头文件——《信息安全等级保护管理办法》，俗称“43号文件”在这个文件中，明确了等级保护要做的事，包括定级备案、建设整改、等级测评。用户必须完成这三件事，并接受安全检查。这就是2007年提出的“规定动作”。为了支持这些规定动作，公安部会同相关部门起草了相关的标准，我们称之为“标准体系”。三个动作中最为重要的动作就是建设整改。保护是核心，定级备案和等级测评只是辅助动作。2007年到2017年，这期间使用等保1.0。

图一：1.0技术标准体系

2017年后，我们有了等保2.0，原因是2017年6月1号，《中华人民共和国网络安全法》实施后，它提到，国家实行等级安全保护制度，这时候等级保护已经成为法律制度，不做等保就是违法。

       为适应网络安全法及新的网络安全形势，等级保护的标准体系也相应地做了调整，这些标准于2019年12月1日正式实施，也就是我们说的等保2.0。等保2.0，它不是某一个文件，包含支撑网络安全等级保护制度的一系列技术标准。

图二：2.0技术标准体系

系统定级应该遵照什么样的标准？

      定级是等级保护工作的首要环节和关键环节，定级不准，系统备案、建设、整改、等级测评等后续工作都会失去意义，信息系统安全就没有保证。定级时应主要考虑等级保护对象受到破坏后对国家安全、社会稳定的影响。许多运营使用单位认为系统定级越低越好，其实不然，系统等级定低，表面上工作变得容易，但是却没有真正落实网络安全的保护义务，系统等级低安全防护要求也低，如果系统遭到黑客攻击，造成不良影响，主管部门追查责任认定可能会因为定级不合理，安全责任没履行到位而被处罚，得不偿失。定级过程要严格按照《网络安全等级保护定级指南》，确定定级对象，初步确定等级，并经过专家评审、主管部门核准、公安机关备案审核后，最终确定安全保护等级。

什么是等级测评？

       等级测评是按照国家有关管理规范和技术标准对已定级备案的非涉及国家秘密的网络（含信息系统、数据资源等）的安全保护状况进行检测评估的活动。

完成定级备案后

多久需要做一次等级测评？

       等保工作是一个持续的工作，完成定级备案后，需要按照国家有关规定开展等级测评，四级系统每半年做一次，三级系统要求每年做一次，二级系统部分行业明确要求每两年做一次，没有明确要求的行业建议大家两年做一次测评，及时发现系统存在的安全隐患，通过建设整改，逐步提升网络安全保障能力。

等级测评能包过吗？

       等级测评目前有很完善的计分和评价体系，测评结论从测评得分和是否存在高风险项综合判定，分为“优良中差”四种结果。测评结论是对安全保护现状的客观反应，目的是为了发现问题、隐患，对照国家标准进行整改和完善，提升网络安全保护能力，所以运营使用单位要树立正确的网络安全观，客观对待等级测评结果。安全永远是动态的，等级保护工作要一直在路上，持续去落实。图三是判别依据。

图三：等级保护测评判别依据

单位内网没必要做等级保护？

       很多运营使用单位认为，信息系统部署在内网或者专网中，不对外就相对安全，所以就可以不做等保了。首先所有非涉密系统都属于等级保护范畴，和系统在外网还是内网没有关系；其次在内网的系统往往其网络安全技术措施相对薄弱，甚至不少系统长期“带病运行”。

       所以不论系统在内网还是外网都得及时开展等保工作。内网不代表安全，而且现在纯粹的物理内网很少了，大部分或多或少都与互联网有些连接。内网一旦中毒，扩散很快，而且很难清除，因为很多必要的技术防护措施都没有，系统几乎在“裸奔”，一旦遭受攻击或者中毒很容易就跨了。

等保测评后整改是不是很费劲？

       开展等级测评后，运营使用单位要根据测评发现的问题，进行安全建设整改，安全整改优先把高危风险及最急需整改的内容先整改，不强制要求一次或一年内全部整改到位，安全建设及整改是一个持续性的工作。另外安全建设整改本来就是我们网络安全日常工作应该去做的一部分内容，而不是因为做了等保测评才需要去做的，另外，安全建设整改包含技术层面和管理制度层面，整改的难度也取决于你的网络现有的安全防护措施，要视实际情况而定。