等級保護(hù)再認(rèn)識

□揭建成

等級保護(hù)進(jìn)入2.0時代，對其重要性、保護(hù)對象、內(nèi)涵、體系都需要再認(rèn)識

網(wǎng)絡(luò)安全等級保護(hù)是對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作，在中國、美國等很多國家都存在的一種信息安全領(lǐng)域的工作。近年來，隨著互聯(lián)網(wǎng)+、大數(shù)據(jù)、中國智造2025等重大戰(zhàn)略的實施，云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、工業(yè)控制、移動互聯(lián)等新技術(shù)的應(yīng)用發(fā)展，帶來了一系列重大的網(wǎng)絡(luò)安全新問題，原有的等級保護(hù)制度、標(biāo)準(zhǔn)體系已不能完全適應(yīng)新形勢的需要，社會上對等級保護(hù)產(chǎn)生一些質(zhì)疑的聲音，認(rèn)為等級保護(hù)已經(jīng)過時，等級保護(hù)缺乏技術(shù)含量，甚至認(rèn)為等級保護(hù)測評已失去意義。然而，事實上，新形勢下等級保護(hù)自身也在與時俱進(jìn)，正在升級完善，應(yīng)當(dāng)用發(fā)展的眼光重新認(rèn)識等級保護(hù)。

隨著《中華人民共和國網(wǎng)絡(luò)安全法》的正式實施，國家對等級保護(hù)制度提出了新要求，等級保護(hù)進(jìn)入2.0時代。2.0時代，云計算、大數(shù)據(jù)等新技術(shù)應(yīng)用不斷增多，網(wǎng)絡(luò)安全的環(huán)境更加復(fù)雜，網(wǎng)絡(luò)安全攻擊手段日趨多樣化，網(wǎng)絡(luò)安全的基礎(chǔ)仍然不夠扎實。在這種背景下，等級保護(hù)已經(jīng)不再是1.0時代的等級保護(hù)，對其重要性、保護(hù)對象、內(nèi)涵、體系都需要再認(rèn)識。

等級保護(hù)重要性空前提高?！吨腥A人民共和國網(wǎng)絡(luò)安全法》第21條明確規(guī)定“國家實行網(wǎng)絡(luò)安全等級保護(hù)制度，要求網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度要求，履行安全保護(hù)義務(wù)”；第31條規(guī)定“對于國家關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實行重點保護(hù)”。等級保護(hù)制度不再只是部門文件規(guī)定，上升到了法律層面，在法律層面確立了其在網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)、核心地位。正如業(yè)內(nèi)所言，不做等保就是違法了，國內(nèi)出現(xiàn)了多個地方公安機關(guān)依據(jù)《網(wǎng)絡(luò)安全法》對未履行等級保護(hù)責(zé)任的網(wǎng)絡(luò)運營單位和個人進(jìn)行處罰的案例。同時，教育、征信、金融等多個行業(yè)出臺了落實等級保護(hù)的規(guī)定，等級保護(hù)的重要性空前提高。

等級保護(hù)對象不斷擴展。在1.0時代，等級保護(hù)的對象為傳統(tǒng)信息系統(tǒng)；2.0時代，計算機信息系統(tǒng)的概念已經(jīng)不能涵蓋全部，新的系統(tǒng)形態(tài)、新業(yè)態(tài)下的應(yīng)用、新模式背后的服務(wù)以及重要數(shù)據(jù)和資源統(tǒng)統(tǒng)進(jìn)入了等保視野。等級保護(hù)對象包括了大型互聯(lián)網(wǎng)企業(yè)、基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、網(wǎng)站、大數(shù)據(jù)中心、云計算平臺、物聯(lián)網(wǎng)系統(tǒng)、移動互聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、公眾服務(wù)平臺等等。

等級保護(hù)內(nèi)容更加豐富。等級保護(hù)1.0有五個規(guī)定動作，即定級、備案、建設(shè)整改、等級測評和監(jiān)督檢查；2.0時代，等級保護(hù)的內(nèi)涵已大為豐富和完善。風(fēng)險評估、安全監(jiān)測、通報預(yù)警、案事件調(diào)查、數(shù)據(jù)防護(hù)、災(zāi)難備份、應(yīng)急處置、自主可控、供應(yīng)鏈安全、效果評價、綜治考核等這些與網(wǎng)絡(luò)安全密切相關(guān)的措施都將全部納入等級保護(hù)制度并加以實施。

等級保護(hù)體系更加完善。2.0時代，主管部門將繼續(xù)制定出臺一系列政策法規(guī)和技術(shù)標(biāo)準(zhǔn)，形成運轉(zhuǎn)順暢的工作機制，在現(xiàn)有體系基礎(chǔ)上，建立完善等級保護(hù)政策體系、標(biāo)準(zhǔn)體系、測評體系、技術(shù)體系、服務(wù)體系、教育訓(xùn)練體系等。等級保護(hù)也將作為核心，圍繞它來構(gòu)建起安全監(jiān)測、通報預(yù)警、快速處置、態(tài)勢感知、安全防范、精確打擊等為一體的國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保衛(wèi)體系。

等級保護(hù)管理更加規(guī)范。2017年，公安部組織開展了針對全國測評機構(gòu)等級保護(hù)測評工作的飛行檢查，發(fā)現(xiàn)查處了一批問題測評機構(gòu)。近期，公安部第十一局印發(fā)了《網(wǎng)絡(luò)安全等級保護(hù)測評機構(gòu)管理辦法》，該辦法進(jìn)一步規(guī)范了對測評項目、測評機構(gòu)、測評師隊伍的管理，強化了對測評機構(gòu)測評質(zhì)量和能力的要求，很好地回應(yīng)了社會關(guān)于提高等級保護(hù)測評質(zhì)量的呼聲。

當(dāng)前，新技術(shù)、新應(yīng)用形態(tài)不斷呈現(xiàn)，關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)形勢仍然相當(dāng)嚴(yán)峻。等級保護(hù)在運行過程中盡管還存在一些不盡完美的地方，但等級保護(hù)仍然是國內(nèi)最普及、最有效的安全管理體系，且正在不斷地升級完善，政策體系將進(jìn)一步細(xì)化和完善，標(biāo)準(zhǔn)體系將進(jìn)一步提高適用性和可操作性，人才隊伍正在持續(xù)壯大，相信其將在新形勢下發(fā)揮新的更大的作用。