当前位置:网络安全保卫
为什么说等级保护进入2.0时代
发布:wljc  发布时间:2017-10-09 14:28:29  浏览次数:22018

勒索病毒“WannaCry”肆虐全球,我们在断网、打补丁、关端口、杀病毒的同时,有没有想到些什么?《网络安全法》施行在际,这样一个事件一下子挑动起大家的神经,让我们突然意识到,那个没有硝烟的战场一直在我们身边,从未远去。

在一个翅膀抖动都可能带来龙卷风的世界,我们需要不断提高风暴来临前的洞察和感知能力,我们的专家、研究机构、安全企业以及整个产业界一直在这条道路上努力,但同时,我们是否也应意识到,对于网络安全这件事儿,我们比任何时候都需要来自国家的力量。

1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,在第九条规定,计算机信息系统实行安全等级保护。至今算起来已有23个年头,一路走来,等级保护与国家信息化发展相生相伴,从探索到成熟、从各方质疑到达成广泛共识,今天,它已经成为我们国家信息安全领域影响最为深远的保障制度。

这些年来,等级保护也在不断完善,但为什么我们今天才说,等级保护进入了2.0时代,原因何在?

1)  2.0时代,等级保护空前重要

首先看国内,当前我们国家正面临经济社会结构调整和转型,信息技术已经成为新的引擎,可以预见,网络和信息系统作为新兴动力的承载者,必将构建起整个经济社会的神经中枢。重要性带来的必然是安全保障的紧迫性,因此,等级保护将继续扮演不可替代的重要角色。

再换一个全球视角,网络空间已经成为与陆地、海洋、天空、太空同等重要的人类活动新领域,随着我国全球地位不断提升,网络空间主权成为了国家主权的一个新维度。维护网络空间主权的重心在网络空间安全,什么是网络空间安全?这一次的勒索病毒事件让我们看得更加清晰,就是要让这一新兴空间里的关键信息基础设施不受攻击破坏。多年来,等保的核心始终是围绕关键信息基础设施保护,所以,它已经成为了国家网络空间战略的重要组成部分。 

2)  2.0时代,等级保护制度上升为法律

《中华人民共和国网络安全法》即将在6月1日施行,作为网络安全基础性法律,在第21条明确规定了“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。等级保护制度在今天已上升为法律,并在法律层面确立了其在网络安全领域的基础、核心地位,正如业内所言,不做等保就是违法了。

3)  2.0时代,等级保护对象大扩展

早在2003年,中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》中指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统”,这个定义就是网络安全法中的“关键信息基础设施”,所以说,等保的核心从未改变。

但是,随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,这些都要求等保外延的拓展。新的系统形态、新业态下的应用、新模式背后的服务、以及重要数据和资源统统进入了等保视野。具体对象则囊括了大型互联网企业、基础网络、重要信息系统、网站、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等等。

4)  2.0时代,等级保护内容大不同

我们总说等级保护有五个规定动作,即定级、备案、建设整改、等级测评和监督检查,2.0时代,等保的内涵已大为丰富和完善。风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。

5)  2.0时代,等级保护体系大升级

这些年来,等级保护工作一直是在顶层设计下,以体系化的思路逐层展开、分步实施。 2.0时代,主管部门将继续制定出台一系列政策法规和技术标准,形成运转顺畅的工作机制,在现有体系基础上,建立完善等级保护政策体系、标准体系、测评体系、技术体系、服务体系、关键技术研究体系、教育训练体系等。等级保护也将作为核心,围绕它来构建起安全监测、通报预警、快速处置、态势感知、安全防范、精确打击等为一体的国家关键信息基础设施安全保卫体系。

可见,等级保护是最能发挥我们国家制度优势,集中各方力量应对各种挑战的网络安全保障制度。接下来的2.0时代,等保将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。