宋好好 公安部第三研究所國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心 大數(shù)據(jù)安全測評實驗室主任

  　現(xiàn)在《等保》已經(jīng)進入了2.0這個階段， 1.0階段的時候是信息安全等級保護，現(xiàn)在進入到2.0這個階段，網(wǎng)絡(luò)安全等級保護。

　　進入到2.0階段之后，會有哪些新的變化，或者說有哪些新的特點？

　　講到網(wǎng)絡(luò)安全等級保護不得不先提中華人民共和國《網(wǎng)絡(luò)安全法》，這是《等?！愤M入到2.0以后非常顯著的特征。以前在1.0階段的時候，信息安全等級保護這個階段的時候，其實是國務(wù)院的《147號令》和中辦發(fā)的《2003號文》作為支撐的。當(dāng)時是國家的法律和法規(guī)作為支撐的，但是沒有上升到法律層面。那么2.0這個層面不一樣了，有了《中華人民共和國網(wǎng)絡(luò)安全法》的支撐，已經(jīng)上升到了一個法律的層面，所以說它的地位有了一個顯著的變化。

　　那么在介紹2.0相關(guān)的技術(shù)要求或者說相關(guān)的變化之前，我們先來簡單的回顧一下《網(wǎng)絡(luò)安全法》關(guān)于網(wǎng)絡(luò)安全保護相關(guān)的條款。

　　首先是第二十一條，它說我們國家要實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全保護制度相關(guān)的要求履行下列的安全保護義務(wù)。那么履行這些保護義務(wù)是為了做到什么？是為了保障什么呢？是保障網(wǎng)絡(luò)免受干擾破壞，或者是未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)的泄露或者是被竊取、篡改。

　　其實這就是履行網(wǎng)絡(luò)安全等級保護制度的相關(guān)義務(wù)之后，能夠起到什么樣防護的效果？這是在《網(wǎng)絡(luò)安全法》第二十一條中有說的。

　　它具體規(guī)定了網(wǎng)絡(luò)運營這的五項基本義務(wù)。

　?。ㄒ唬┲贫▋?nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安全保護責(zé)任。第一條其實是從管理制度上要求的，我們都知道沒有規(guī)矩不成方圓，那么這個規(guī)矩其實落在我們現(xiàn)實生活中，或者說落在我們網(wǎng)絡(luò)運營者這邊，其實就是我們的規(guī)章制度，有沒有合理合規(guī)的規(guī)章制度，這個規(guī)章制度有沒有在日常的建設(shè)和運維中得以有效的落實，這是非常重要的。

　　有的人會說，管理制度和技術(shù)可能會有一個比例，有的人說是三七，有的人說是七三，其實我認(rèn)為兩種是并重的，缺一不可，就是如果你只有制度沒有技術(shù)，肯定是不能夠保證相對的安全，如果你只有技術(shù)而沒有任何制度，那么毫無規(guī)章可循，運維者今天想起來做這件事，明天不想干就不干了，這肯定是不能保證網(wǎng)絡(luò)安全的。

　　（二）采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

　　這是從技術(shù)上做要求，那么管理和技術(shù)一定要并重才可能保障網(wǎng)絡(luò)的安全。其實我后面會講到《等?！仿涞氐囊恍嵤┘?xì)則，這包括國家標(biāo)準(zhǔn)，新出臺的國家標(biāo)準(zhǔn)22239、28448等，它們其實都是從管理和技術(shù)兩個方面來進行相關(guān)的要求，所以說才能夠全面的保障網(wǎng)絡(luò)的安全。

　?。ㄈ┎扇”O(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；

　　這一條其實我覺得跟今天我們的主題非常切合，那就是我們現(xiàn)在已經(jīng)進入到了一個，就是已經(jīng)進入到了一個網(wǎng)絡(luò)攻擊多態(tài)化，多形式化的這么一個階段，技術(shù)隨著時間的推移不停地發(fā)展，但是攻擊手段其實也在不停的發(fā)展。如果你只是，比如說你的網(wǎng)絡(luò)中只是布了傳統(tǒng)的像IDS、IPS，或者簡單的防病毒網(wǎng)關(guān)進行防御的話，其實可能并不有效的發(fā)現(xiàn)現(xiàn)在所謂的app攻擊，或者是異常行為等等，那么你需要有一個多數(shù)據(jù)源的數(shù)據(jù)量的收集，長時間的數(shù)據(jù)積累，你才有可能經(jīng)過一個全面統(tǒng)計的分析來發(fā)現(xiàn)你的網(wǎng)絡(luò)處于哪種態(tài)勢。

　　其實現(xiàn)在很多省市或者說部一級的單位都在建立自己的態(tài)勢感知大平臺，其實這種態(tài)勢感知大平臺，要想能夠起得了很好的作用，最主要的就是要有多點數(shù)據(jù)源，要有長時間的數(shù)據(jù)積累。如果你沒有很多的數(shù)據(jù)積累，你的態(tài)勢感知是不會有很合理，很有效，很全面的感知。所以說為什么要有一個網(wǎng)絡(luò)日志留存的時間長度，就是你你日志只有足夠的量，只有足夠的源，而且有足夠的時間，你才能對你的網(wǎng)絡(luò)有一個綜合性的分析。這一條也是《網(wǎng)絡(luò)安全法》中很少有的不用實施細(xì)則，就直接落地的這么一條義務(wù)，其實大家都知道《網(wǎng)絡(luò)安全法》是從2017年6月1日開始正式實施的，大家可以對照一下，看看自己的單位，或者自己所在的網(wǎng)絡(luò)運營者承擔(dān)的相關(guān)的義務(wù)，有沒有落實到這一條？有沒有講網(wǎng)絡(luò)日志的留存保存至少六個月？不光要保存六個月，還要對它們進行一個統(tǒng)一的長時間積累的分析才可以。

　?。ㄋ模┎扇?shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

　　因為我所在的部門它承擔(dān)的就是網(wǎng)絡(luò)安全等級保護的測評工作，其實在《網(wǎng)絡(luò)安全法》正式出臺之前，其實我們調(diào)研過很多家單位，它們對于數(shù)據(jù)的分類分級，或者說分種類的保護其實做的并不是特別好，很多單位都做的不是特別好。其實非常有效的對于數(shù)據(jù)的保護，其實應(yīng)該是這樣子的，就是你要把你所在的單位或者是你所在單位所有的信息系統(tǒng)，或者是網(wǎng)絡(luò)中的所有數(shù)據(jù)要進行一個梳理，將這些信息進行不同的分類，分好類之后要對數(shù)據(jù)進行分級，要區(qū)分哪些數(shù)據(jù)可能是重要的，哪些數(shù)據(jù)可能是不重要的，對于重要的數(shù)據(jù)你要采取什么樣的措施？這樣子才能夠使得每個單位的數(shù)據(jù)能夠得到很好的保護，然后才能夠真正做到數(shù)據(jù)安全，而不是說大家統(tǒng)一打包，我也不管什么數(shù)據(jù)，我都是采取強加密，或者我都是采取一種處理措施，其實這是非常不科學(xué)的。

　?。ㄎ澹┓?、行政法規(guī)規(guī)定的其他義務(wù)。

　　在介紹完《網(wǎng)絡(luò)安全法》中關(guān)于網(wǎng)絡(luò)安全等級保護制度的相關(guān)條款之后，我們來看一下今天的主題，就是網(wǎng)絡(luò)安全等級保護2.0相關(guān)要求的解讀。

　　首先，必須跟各位再強調(diào)一下。等級保護這個制度進入2.0這個階段之后，是會有三個顯著的特征：

　　1、如果網(wǎng)絡(luò)運營者不履行網(wǎng)絡(luò)安全等級保護制度規(guī)定的相關(guān)義務(wù)，其實就是在觸犯我們中華人民共和國的《網(wǎng)絡(luò)安全法》，是一個違法行為，所以這個層面是個非常非常的嚴(yán)肅，并且很高的。

　　2、就是公安部會同中央網(wǎng)信辦、國家保密局和國家密碼管理局，聯(lián)合起草并上報了《網(wǎng)絡(luò)安全等級保護條例（征求意見稿）》，目前這個條例，大家看到的是征求意見稿，這也是一個顯著特征，就是我們有一個新的網(wǎng)絡(luò)安全等級保護條例。

　　3、國家新標(biāo)準(zhǔn)的出臺并實施。

　　下面再來看一下等級保護對象的變化，以前在信息安全等級保護，也就是說《等?！返?.0階段，我們所保護的對象其實是信息系統(tǒng)，那么在2.0這個階段，等級保護對象的范圍擴大了，它的保護對象包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)、大數(shù)據(jù)、云計算平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等。那么重點保護對象是國家關(guān)鍵信息基礎(chǔ)設(shè)施，這里我想跟各位強調(diào)的一點是，有很多人會對關(guān)鍵基礎(chǔ)設(shè)施信息的保護和網(wǎng)絡(luò)信息安全保護這兩個概念，會覺得不是特別理解，這兩個是什么樣的關(guān)系？

　　其實我想跟各位強調(diào)一點，就是關(guān)鍵信息基礎(chǔ)設(shè)施保護的基礎(chǔ)是網(wǎng)絡(luò)安全等級保護，那么網(wǎng)絡(luò)安全等級保護，保護的重點是關(guān)鍵信息基礎(chǔ)設(shè)施。也就是說，兩者是密不可分的，如果網(wǎng)絡(luò)運營者有關(guān)鍵信息基礎(chǔ)設(shè)施，那么他所要做的工作的第一步還是要履行網(wǎng)絡(luò)安全等級保護制度規(guī)定的相關(guān)義務(wù)。在此基礎(chǔ)上，可以對他的關(guān)鍵信息基礎(chǔ)設(shè)施再實行關(guān)鍵信息基礎(chǔ)設(shè)施等級保護條例當(dāng)中所強調(diào)的保護手段或者是保護措施。

　　所以說，這個是一個非常明確的一個關(guān)系，就是《等?！肥顷P(guān)鍵信息基礎(chǔ)設(shè)施的基礎(chǔ)，然后等級保護的重點也是關(guān)鍵信息基礎(chǔ)設(shè)施。

　　好，剛才我說到2.0這個階段有了新的特征，其實剛剛最后一個就是新標(biāo)準(zhǔn)的出臺和實施。那么現(xiàn)在大家可以看到，我列出了跟《等?！废嚓P(guān)的標(biāo)準(zhǔn)，其實有很多自媒體在介紹的時候說1.0這個階段《等保》只有一個標(biāo)準(zhǔn)，其實不是的，《等?！芬恢倍际且幌盗袠?biāo)準(zhǔn)。但是確實這個一系列標(biāo)準(zhǔn)現(xiàn)在是有修訂，而且是有陸續(xù)出臺。

　　在去年2018年，就出臺了網(wǎng)絡(luò)安全等級保護測評制度指南，那么在今年5月10號正式發(fā)布了三個標(biāo)準(zhǔn)：

　　1、22239網(wǎng)絡(luò)安全等級保護基本要求；

　　2、25070網(wǎng)絡(luò)安全等級保護設(shè)計要求；

　　3、28448網(wǎng)絡(luò)安全等級保護測評要求。

　　這三個是一起發(fā)布的，因為它們是互相支撐的，然后這三個標(biāo)準(zhǔn)是5月10日正式發(fā)布，今年的12月1日正式實施，這中間還有一個時間差，所以說各位其實可以詳細(xì)的來看一下2.0相應(yīng)的這些標(biāo)準(zhǔn)，然后及時的對自己的信息系統(tǒng)或者是網(wǎng)絡(luò)進行一個保護措施方面的調(diào)整。

　　我這邊有兩個標(biāo)紅的是22239和28448，以前在1.0這個階段宣講的時候，我們一般會給別人介紹的是，其實是22239和22240這兩個標(biāo)準(zhǔn)，但是在2.0這個階段宣講的時候，我肯定是會將28448納入到其中，這后面我會講到為什么你不能夠脫離28448直接看22239？以前如果你可能對網(wǎng)絡(luò)建設(shè)、網(wǎng)絡(luò)運維比較了解的話，你可能覺得我只看22239就可以了，28448我可看可不看。但是在2.0這個階段，你絕對不能脫離2248直接看22239，因為你不能從22239中直接確定你的保護對象是哪些，這條要求是要求你去保護哪些保護對象？我后面會講到。

　　那么先來看一下網(wǎng)絡(luò)安全等級保護基本要求，等級保護2.0和1.0相比，它的主要變化體現(xiàn)在工作內(nèi)容上有所擴展，保護對象上有所擴展，保護力度也有所提升。從工作內(nèi)容的方面是除了滿足1.0時代規(guī)定動作，也就是說定級、備案、建設(shè)、整改、測評和監(jiān)督檢查之外，還把風(fēng)險評估、安全監(jiān)測、通報預(yù)警、案件調(diào)查等方面的工作，全納入到了等級保護的范圍內(nèi)，所以說它多了很多內(nèi)容，這也其實是跟《網(wǎng)絡(luò)安全法》相對應(yīng)的，因為《網(wǎng)絡(luò)安全法》中提出對網(wǎng)絡(luò)運營者有些相關(guān)的義務(wù)，我們都是在網(wǎng)絡(luò)安全等級保護制度的基本要求中得到的落實。

　　那么技術(shù)方面是有一個非常大的調(diào)整，也就是這個調(diào)整才使得你不能夠只看22239了。技術(shù)方面強調(diào)的是“一個中心、三層防護”的網(wǎng)絡(luò)安全架構(gòu)，它是從“一個中心、三層防護”方面提出技術(shù)的相關(guān)要求的，而不是以前從對被保護對象的類別方面提的。以前是從被保護對象的類別上，網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)安全這一塊來提出的，那么現(xiàn)在不是這樣子了，現(xiàn)在是“一個中心、三層防護”。這些方面其實都有變化。

　　那么具體可以看一下，這是我直接在2019版中列舉的主要變化，首先是標(biāo)準(zhǔn)名稱變了，以前是叫“信息系統(tǒng)安全等級保護基本要求”，現(xiàn)在是叫“網(wǎng)絡(luò)安全等級保護基本要求”。

　　調(diào)整了分類，主要是技術(shù)方面的調(diào)整，“三層防護、一個中心”。現(xiàn)在是安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心。

　　那么“三層防護”是哪三層防護呢？就是安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境到最后計算節(jié)點的，這是三層方面的防護。

　　然后“一個中心”是安全管理中心。有很多自媒體把安全管理中心解讀為管理要求是不對的，他沒有看到22239對安全管理中心的一個技術(shù)方面的要求，是完全技術(shù)方面的，不是管理方面的。

　　那么制度方面，我前面也講了，《網(wǎng)絡(luò)安全法》中前兩條規(guī)定網(wǎng)絡(luò)運營者的義務(wù)，一條是管理制度方面，一條是技術(shù)方面，那么其實在基本要求22239中，也是技術(shù)方面、管理方面都有的。

　　那么管理制度方面有安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理，其實在管理制度大類的區(qū)分上面，并沒有特別大的變化，但是里面的內(nèi)容會有很多的變化，體系方面是有了非常大的變化，要求項也很多了，但是分類并沒有特別大的變化。

　　然后調(diào)整了各級別的要求，以前我們大家都知道，以前就叫基本要求，也沒有區(qū)分你用了什么技術(shù)，反正就是所有的網(wǎng)絡(luò)，所有的信息系統(tǒng)都是一個要求，這其實也是跟當(dāng)時的情況相關(guān)的。當(dāng)時22239是2008版其實在2007年我們就已經(jīng)報批了這個國標(biāo)了，當(dāng)時大家可以回憶一下，2007年，我們國家的云計算、公有云、政務(wù)云、私有云其實發(fā)展的并不是特別成熟，當(dāng)時2007年的時候，我們不拿手機沒問題，還能夠生活。但現(xiàn)在不一樣了，現(xiàn)在公有云、政務(wù)云、私有云都建的非常非常多，而且很多重要的信息系統(tǒng)都已經(jīng)上云了，無論是公有云、政務(wù)云還是搭建自己的私有云，而且我們現(xiàn)在生活中已經(jīng)離不開智能終端，或者離不開我們的無線網(wǎng)絡(luò)等等。

　　所以說，因為技術(shù)發(fā)展了，應(yīng)用成熟了，所以說對于它們的安全需求也提到日程上來了，所以在2015年我們修訂《等?！返幕A(chǔ)標(biāo)準(zhǔn)的時候我們就提出了要按照應(yīng)用、按照技術(shù)來增加不同方面的安全需求，才能夠有所區(qū)別，才能夠重點保護。

　　那么現(xiàn)在的安全要求變成了安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求。

　　然后簡單看一下新標(biāo)準(zhǔn)的結(jié)構(gòu)，新標(biāo)準(zhǔn)的結(jié)構(gòu)是分為范圍、規(guī)范性引用文件、術(shù)語和定義、縮略語、網(wǎng)絡(luò)安全等級保護概述，包括等級保護的對象、不同級別的安全保護能力、安全通用要求和安全擴展要求。

　　第6-第10章是第1-第5級的安全要求，比如說我要看到第3級的安全要求，我就要看第8章，我要看到第3級的安全通用要求，我就要看8.1，如果我要看第3級的工業(yè)控制系統(tǒng)安全要求，我就要看8.5，這樣子來看。

　　簡單講一下通用要求和擴展要求的選擇，通用要求是針對共性化的保護需求提出的，等級保護對象無論以何種形式出現(xiàn)，必須根據(jù)安全保護等級實現(xiàn)相應(yīng)級別的安全通用要求。所以說通用要求是必選的。

　　安全擴展性要求是針對個性化保護需求提出的，需要根據(jù)安全保護的等級和使用的特定的技術(shù)或者是特定場景來實現(xiàn)安全擴展要求，安全擴展要求是根據(jù)需要選擇的。

　　因為今天我們是數(shù)據(jù)安全和云計算安全的專場，所以我想特別強調(diào)一點，如果網(wǎng)絡(luò)運營者是一個網(wǎng)絡(luò)服務(wù)的提供方，是一個云平臺服務(wù)的提供方，那么他要看的是相應(yīng)級別的.1+.2，這個是比較好理解的，所有云服務(wù)商應(yīng)該都能理解。但是對于網(wǎng)絡(luò)運營者，他是作為云租戶的話，其實他還是要看.1+.2，不過.2中有很多是針對云平臺或者云服務(wù)提供商來提出的要求的話，那么對于云租戶是不適用的。但是也確實是有對云租戶適用的要求，所以你仍舊要看.1+.2。

　　這是我簡單列了一下，就是內(nèi)容上面的變化，主要是內(nèi)容方面有所擴展。

　　安全通用要求之間的差異，我這邊對比的一下1.0和2.0，其實主要變化就是在三層防護和一個中心上。大家可以看到前面物理環(huán)境對應(yīng)著安全物理環(huán)境，對應(yīng)的內(nèi)容項都是一樣的，都是對于網(wǎng)絡(luò)或者是信息系統(tǒng)所在的機房的安全要求，那么下面是完全不一樣了，以前是根據(jù)保護對象來區(qū)分的，保護對象的種類是什么我就區(qū)分，以前保護對象是網(wǎng)絡(luò)，我就看網(wǎng)絡(luò)安全，保護對象是服務(wù)器、重要的運維終端或者是管理終端以及數(shù)據(jù)庫，那么我就要看主機安全，如果是對應(yīng)用系統(tǒng)，我就要看應(yīng)用安全，如果專門針對數(shù)據(jù)安全，我就要看數(shù)據(jù)安全和備份分布?，F(xiàn)在不一樣了，現(xiàn)在是三層防護一個中心了，這是有了非常大的調(diào)整。我后面會講到，你為什么不能夠看28448就直接看22239。

　　下面是沒有變化的，就是在人員安全管理的這邊，現(xiàn)在改成安全管理人員，大其實大的范圍不變，具體的要求項會變。

　　下面我講一下為什么你不能離開28448單獨去看22239。28448是網(wǎng)絡(luò)安全保護測評要求是和基本要求同時發(fā)布的，那么它的新標(biāo)準(zhǔn)的結(jié)構(gòu)是范圍、規(guī)范性引用文件、術(shù)語定義、縮略語、等級測評的一個概述。然后6-10章是5個等級的測評要求，它所有的測評要求都是對著基本要求來的，也就是說，基本要求有的所有的要求項都會有對應(yīng)的測評要求在28448中找到，然后11是整體測評，12是測評結(jié)論，還有3個附錄。

　　這里我選取了安全計算環(huán)境，我覺得這一點是比較好理解的，所以說我跟各位講解一下。

　　以前的28448，它是身份鑒別作為一個測評單元的，測評單元中會有測評指標(biāo)，測評指標(biāo)A項是來源于22239，和22239完全一一對應(yīng)。但是以前在28448中是沒有測評對象B這一條的，會有C和D，以前只有ACD，以前的28448。現(xiàn)在它增加了B，就是測評對象這個環(huán)節(jié)。

　　我不知道大家對1.0的標(biāo)準(zhǔn)了不了解，比如說身份鑒別，在網(wǎng)絡(luò)安全里它有設(shè)備自身安全這一塊的要求，就是設(shè)備安全，它里頭會有身份鑒別要求，就是對網(wǎng)絡(luò)設(shè)備、安全設(shè)備要有身份鑒別的要求。那么在主機安全里它仍舊會有身份鑒別的要求，就是登錄服務(wù)器登錄數(shù)據(jù)庫，登錄所有主機的時候要有身份鑒別的要求。在應(yīng)用安全里它仍舊會有身份鑒別要求，它會在三個不同的對象上都提出身份鑒別的要求。但是這里只有在計算環(huán)境中有身份鑒別的要求，只有在安全計算環(huán)境中有身份鑒別要求，而且這條要求是沒有主語的，大家可以看一下。

　　測評指標(biāo)說，應(yīng)對登錄的用戶進行身份標(biāo)識和鑒別，至于對登錄的什么用戶，什么設(shè)備的登錄用戶，什么系統(tǒng)的登錄用戶沒有說，這在22239中就是這么些的，身份標(biāo)識要具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換。

　　那么如果你是一個資深的安全運維者，你看到這一條的時候，你就會想那肯定是對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、數(shù)據(jù)庫、應(yīng)用系統(tǒng)都有相應(yīng)的要求，但是全嗎？其實你考慮的并不全，你一定要看28448它的測評對象包括哪些？

　　測評對象包括終端和服務(wù)器等設(shè)備中的操作系統(tǒng)，包括宿主機和虛擬機操作系統(tǒng)，網(wǎng)絡(luò)設(shè)備包括虛擬網(wǎng)絡(luò)設(shè)備，安全設(shè)備包括虛擬安全社波，移動終端管理系統(tǒng)、移動終端管理客戶端、感知節(jié)點、網(wǎng)關(guān)節(jié)點、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計、文檔等。也就是說，如果你的系統(tǒng)中有以下需要被保護的對象，你都要落實身份鑒別，這就是為什么你不能夠離開28448去看22239，因為你只看22239，你可能并不能夠很全面的對你需要保護的對象落實相關(guān)的要求。

　　下面我又選取了一個，就是跟今天的主題非常相關(guān)的，就是個人信息保護，數(shù)據(jù)安全，我個人認(rèn)為在《網(wǎng)絡(luò)安全法》中它最關(guān)注的就是兩類數(shù)據(jù)，一類是重要業(yè)務(wù)信息，這個對于每個網(wǎng)絡(luò)運營者來說，都不一樣，我這家單位有這家單位我所認(rèn)為的重要業(yè)務(wù)信息，另外一家單位有另外一家單位重要業(yè)務(wù)信息，這個肯定每家單位都不一樣。但是對于公民個人信息，這個每家單位都是一樣的。如果你有收集公民個人信息，這肯定都是一樣的。

　　《網(wǎng)絡(luò)安全法》中我認(rèn)為最重要的就是兩類信息需要保護它所強調(diào)的：

　　1、重要業(yè)務(wù)信息；

　　2、公民個人信息。

　　所以說在新的22239中，我們單獨把數(shù)據(jù)安全中的數(shù)據(jù)信息中的個人信息提出來，單獨對它進行一個相應(yīng)的要求，當(dāng)然還有數(shù)據(jù)安全的那部分要求，但是這一塊是單獨有的。

　　那么個人信息，個人信息保護，它的測評指標(biāo)有兩個，應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個人信息。也就是說，如果你的業(yè)務(wù)真正需要的話，你可以采集，但是如果你的業(yè)務(wù)不需要的話，你不要采集，你只采集你需要的信息，不要多采，這是對網(wǎng)絡(luò)運營者的要求。

　　第二條應(yīng)禁止未授權(quán)訪問和非法使用用戶個人信息，你對你采集了的個人信息，你要有保護的相應(yīng)落實的制度，相應(yīng)有落實的措施保護措施，你不能夠說我需要我采，我采了之后我就放那，也不對它進行保護。如果因為你保護不利，使得從你的信息系統(tǒng)中，或者從你的網(wǎng)絡(luò)中流出了公民個人信息，造成了公民個人信息的泄露，或者是篡改，那么你要承擔(dān)相應(yīng)的法律責(zé)任的。

　　這是兩條要求。

　　那么因為在網(wǎng)絡(luò)安全等級保護的內(nèi)容中有云計算安全擴展要求，所以說我們簡單講一下云計算安全擴展要求的一些特點。

　　先從定級來講，首先在云計算環(huán)境中，應(yīng)將云服務(wù)提供商的云計算平臺單獨作為定級對象，這個應(yīng)該比較好理解，因為它是一個基礎(chǔ)平臺，它肯定要先做一個定性，它是一個支撐平臺，它肯定要自己先做定級，做一個獨立的網(wǎng)絡(luò)或者信息系統(tǒng)來做一個定級。那么云服務(wù)客戶的等級保護對象也應(yīng)該單獨的定級，也就是說，如果你是一個云租戶，你把自己的網(wǎng)絡(luò)，或者把自己的信息系統(tǒng)遷到云上，那么你的這塊也要做一個單獨的定級。

　　云服務(wù)商的云計算平臺應(yīng)根據(jù)其承載或者將要承載的等級保護對象的重要程度確定其安全保護等級，應(yīng)不低于其承載的等級保護對象的安全保護等級。

　　我這邊舉一個例子，比如一個區(qū)域的政府想要建一個政務(wù)云，他肯定先要考慮我有哪些政務(wù)系統(tǒng)要上這個云？可能有二級的政務(wù)系統(tǒng)要上這個政務(wù)云，也可能有三級的政務(wù)系統(tǒng)也要上這個政務(wù)云，那么我肯定要將我的云平臺至少定級為是三級的信息系統(tǒng)，因為如果我的級別低，我怎么能保證我承載的比我級別高的信息系統(tǒng)的安全呢？所以說是這樣子的。

　　那么備案，因為云服務(wù)商它的機房，它的運維可能是比較復(fù)雜的，所以說它有可能會有很多種的情況，那么云服務(wù)商這個應(yīng)該負(fù)責(zé)將云平臺的定級結(jié)果向所轄公安機關(guān)進行備案，備案地應(yīng)為運維管理端所在地。

　　然后云服務(wù)客戶負(fù)責(zé)對云平臺上承載的租戶信息系統(tǒng)進行定級備案，然后備案地應(yīng)為工商注冊地或者是實際經(jīng)營所在地。

　　在建設(shè)整改方面，我前面也強調(diào)了，無論是云平臺的提供方，云服務(wù)提供商還是云租戶，你都要按照通用要求、云計算安全擴展要求，這兩部分要求對你的網(wǎng)絡(luò)進行建設(shè)和整改，當(dāng)然測評機構(gòu)也會按照這兩項的要求對你的網(wǎng)絡(luò)進行測評。

　　好，簡單總結(jié)一下。網(wǎng)絡(luò)安全等級保護進入到了2.0階段，它有很多新的特征，最重要的特征就是它有了中華人民共和國《網(wǎng)絡(luò)安全法》的支撐，上升到了一個法律的地位。那么如果網(wǎng)絡(luò)運營者不履行網(wǎng)絡(luò)安全等級保護制度所規(guī)定的相關(guān)的義務(wù)，那其實就是在觸犯我們國家的法律。《等?！番F(xiàn)在也已經(jīng)有了相應(yīng)的落地實施細(xì)則，雖然這個相應(yīng)的標(biāo)準(zhǔn)還沒有完全全部出臺，但是有很多主要的標(biāo)準(zhǔn)已經(jīng)出臺了，包括22239、28448都已經(jīng)出臺了，那么它們的實施日期是在今年的12月1號，所以說網(wǎng)絡(luò)運營者有時間對自己現(xiàn)在的網(wǎng)絡(luò)開始找差距，按照新的22239和22248當(dāng)中所提的要求對比一下看看自己的網(wǎng)絡(luò)中還有哪些防護措施可以上，還有那些不足可以補。