宋好好 公安部第三研究所國(guó)家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心 大數(shù)據(jù)安全測(cè)評(píng)實(shí)驗(yàn)室主任

  　現(xiàn)在《等?！芬呀?jīng)進(jìn)入了2.0這個(gè)階段， 1.0階段的時(shí)候是信息安全等級(jí)保護(hù)，現(xiàn)在進(jìn)入到2.0這個(gè)階段，網(wǎng)絡(luò)安全等級(jí)保護(hù)。

　　進(jìn)入到2.0階段之后，會(huì)有哪些新的變化，或者說(shuō)有哪些新的特點(diǎn)？

　　講到網(wǎng)絡(luò)安全等級(jí)保護(hù)不得不先提中華人民共和國(guó)《網(wǎng)絡(luò)安全法》，這是《等?！愤M(jìn)入到2.0以后非常顯著的特征。以前在1.0階段的時(shí)候，信息安全等級(jí)保護(hù)這個(gè)階段的時(shí)候，其實(shí)是國(guó)務(wù)院的《147號(hào)令》和中辦發(fā)的《2003號(hào)文》作為支撐的。當(dāng)時(shí)是國(guó)家的法律和法規(guī)作為支撐的，但是沒(méi)有上升到法律層面。那么2.0這個(gè)層面不一樣了，有了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的支撐，已經(jīng)上升到了一個(gè)法律的層面，所以說(shuō)它的地位有了一個(gè)顯著的變化。

　　那么在介紹2.0相關(guān)的技術(shù)要求或者說(shuō)相關(guān)的變化之前，我們先來(lái)簡(jiǎn)單的回顧一下《網(wǎng)絡(luò)安全法》關(guān)于網(wǎng)絡(luò)安全保護(hù)相關(guān)的條款。

　　首先是第二十一條，它說(shuō)我們國(guó)家要實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全保護(hù)制度相關(guān)的要求履行下列的安全保護(hù)義務(wù)。那么履行這些保護(hù)義務(wù)是為了做到什么？是為了保障什么呢？是保障網(wǎng)絡(luò)免受干擾破壞，或者是未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)的泄露或者是被竊取、篡改。

　　其實(shí)這就是履行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的相關(guān)義務(wù)之后，能夠起到什么樣防護(hù)的效果？這是在《網(wǎng)絡(luò)安全法》第二十一條中有說(shuō)的。

　　它具體規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)這的五項(xiàng)基本義務(wù)。

　　（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任。第一條其實(shí)是從管理制度上要求的，我們都知道沒(méi)有規(guī)矩不成方圓，那么這個(gè)規(guī)矩其實(shí)落在我們現(xiàn)實(shí)生活中，或者說(shuō)落在我們網(wǎng)絡(luò)運(yùn)營(yíng)者這邊，其實(shí)就是我們的規(guī)章制度，有沒(méi)有合理合規(guī)的規(guī)章制度，這個(gè)規(guī)章制度有沒(méi)有在日常的建設(shè)和運(yùn)維中得以有效的落實(shí)，這是非常重要的。

　　有的人會(huì)說(shuō)，管理制度和技術(shù)可能會(huì)有一個(gè)比例，有的人說(shuō)是三七，有的人說(shuō)是七三，其實(shí)我認(rèn)為兩種是并重的，缺一不可，就是如果你只有制度沒(méi)有技術(shù)，肯定是不能夠保證相對(duì)的安全，如果你只有技術(shù)而沒(méi)有任何制度，那么毫無(wú)規(guī)章可循，運(yùn)維者今天想起來(lái)做這件事，明天不想干就不干了，這肯定是不能保證網(wǎng)絡(luò)安全的。

　?。ǘ┎扇》婪队?jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

　　這是從技術(shù)上做要求，那么管理和技術(shù)一定要并重才可能保障網(wǎng)絡(luò)的安全。其實(shí)我后面會(huì)講到《等?！仿涞氐囊恍?shí)施細(xì)則，這包括國(guó)家標(biāo)準(zhǔn)，新出臺(tái)的國(guó)家標(biāo)準(zhǔn)22239、28448等，它們其實(shí)都是從管理和技術(shù)兩個(gè)方面來(lái)進(jìn)行相關(guān)的要求，所以說(shuō)才能夠全面的保障網(wǎng)絡(luò)的安全。

　?。ㄈ┎扇”O(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；

　　這一條其實(shí)我覺(jué)得跟今天我們的主題非常切合，那就是我們現(xiàn)在已經(jīng)進(jìn)入到了一個(gè)，就是已經(jīng)進(jìn)入到了一個(gè)網(wǎng)絡(luò)攻擊多態(tài)化，多形式化的這么一個(gè)階段，技術(shù)隨著時(shí)間的推移不停地發(fā)展，但是攻擊手段其實(shí)也在不停的發(fā)展。如果你只是，比如說(shuō)你的網(wǎng)絡(luò)中只是布了傳統(tǒng)的像IDS、IPS，或者簡(jiǎn)單的防病毒網(wǎng)關(guān)進(jìn)行防御的話，其實(shí)可能并不有效的發(fā)現(xiàn)現(xiàn)在所謂的app攻擊，或者是異常行為等等，那么你需要有一個(gè)多數(shù)據(jù)源的數(shù)據(jù)量的收集，長(zhǎng)時(shí)間的數(shù)據(jù)積累，你才有可能經(jīng)過(guò)一個(gè)全面統(tǒng)計(jì)的分析來(lái)發(fā)現(xiàn)你的網(wǎng)絡(luò)處于哪種態(tài)勢(shì)。

　　其實(shí)現(xiàn)在很多省市或者說(shuō)部一級(jí)的單位都在建立自己的態(tài)勢(shì)感知大平臺(tái)，其實(shí)這種態(tài)勢(shì)感知大平臺(tái)，要想能夠起得了很好的作用，最主要的就是要有多點(diǎn)數(shù)據(jù)源，要有長(zhǎng)時(shí)間的數(shù)據(jù)積累。如果你沒(méi)有很多的數(shù)據(jù)積累，你的態(tài)勢(shì)感知是不會(huì)有很合理，很有效，很全面的感知。所以說(shuō)為什么要有一個(gè)網(wǎng)絡(luò)日志留存的時(shí)間長(zhǎng)度，就是你你日志只有足夠的量，只有足夠的源，而且有足夠的時(shí)間，你才能對(duì)你的網(wǎng)絡(luò)有一個(gè)綜合性的分析。這一條也是《網(wǎng)絡(luò)安全法》中很少有的不用實(shí)施細(xì)則，就直接落地的這么一條義務(wù)，其實(shí)大家都知道《網(wǎng)絡(luò)安全法》是從2017年6月1日開(kāi)始正式實(shí)施的，大家可以對(duì)照一下，看看自己的單位，或者自己所在的網(wǎng)絡(luò)運(yùn)營(yíng)者承擔(dān)的相關(guān)的義務(wù)，有沒(méi)有落實(shí)到這一條？有沒(méi)有講網(wǎng)絡(luò)日志的留存保存至少六個(gè)月？不光要保存六個(gè)月，還要對(duì)它們進(jìn)行一個(gè)統(tǒng)一的長(zhǎng)時(shí)間積累的分析才可以。

　?。ㄋ模┎扇?shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

　　因?yàn)槲宜诘牟块T它承擔(dān)的就是網(wǎng)絡(luò)安全等級(jí)保護(hù)的測(cè)評(píng)工作，其實(shí)在《網(wǎng)絡(luò)安全法》正式出臺(tái)之前，其實(shí)我們調(diào)研過(guò)很多家單位，它們對(duì)于數(shù)據(jù)的分類分級(jí)，或者說(shuō)分種類的保護(hù)其實(shí)做的并不是特別好，很多單位都做的不是特別好。其實(shí)非常有效的對(duì)于數(shù)據(jù)的保護(hù)，其實(shí)應(yīng)該是這樣子的，就是你要把你所在的單位或者是你所在單位所有的信息系統(tǒng)，或者是網(wǎng)絡(luò)中的所有數(shù)據(jù)要進(jìn)行一個(gè)梳理，將這些信息進(jìn)行不同的分類，分好類之后要對(duì)數(shù)據(jù)進(jìn)行分級(jí)，要區(qū)分哪些數(shù)據(jù)可能是重要的，哪些數(shù)據(jù)可能是不重要的，對(duì)于重要的數(shù)據(jù)你要采取什么樣的措施？這樣子才能夠使得每個(gè)單位的數(shù)據(jù)能夠得到很好的保護(hù)，然后才能夠真正做到數(shù)據(jù)安全，而不是說(shuō)大家統(tǒng)一打包，我也不管什么數(shù)據(jù)，我都是采取強(qiáng)加密，或者我都是采取一種處理措施，其實(shí)這是非常不科學(xué)的。

　?。ㄎ澹┓伞⑿姓ㄒ?guī)規(guī)定的其他義務(wù)。

　　在介紹完《網(wǎng)絡(luò)安全法》中關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的相關(guān)條款之后，我們來(lái)看一下今天的主題，就是網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0相關(guān)要求的解讀。

　　首先，必須跟各位再?gòu)?qiáng)調(diào)一下。等級(jí)保護(hù)這個(gè)制度進(jìn)入2.0這個(gè)階段之后，是會(huì)有三個(gè)顯著的特征：

　　1、如果網(wǎng)絡(luò)運(yùn)營(yíng)者不履行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度規(guī)定的相關(guān)義務(wù)，其實(shí)就是在觸犯我們中華人民共和國(guó)的《網(wǎng)絡(luò)安全法》，是一個(gè)違法行為，所以這個(gè)層面是個(gè)非常非常的嚴(yán)肅，并且很高的。

　　2、就是公安部會(huì)同中央網(wǎng)信辦、國(guó)家保密局和國(guó)家密碼管理局，聯(lián)合起草并上報(bào)了《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見(jiàn)稿）》，目前這個(gè)條例，大家看到的是征求意見(jiàn)稿，這也是一個(gè)顯著特征，就是我們有一個(gè)新的網(wǎng)絡(luò)安全等級(jí)保護(hù)條例。

　　3、國(guó)家新標(biāo)準(zhǔn)的出臺(tái)并實(shí)施。

　　下面再來(lái)看一下等級(jí)保護(hù)對(duì)象的變化，以前在信息安全等級(jí)保護(hù)，也就是說(shuō)《等保》的1.0階段，我們所保護(hù)的對(duì)象其實(shí)是信息系統(tǒng)，那么在2.0這個(gè)階段，等級(jí)保護(hù)對(duì)象的范圍擴(kuò)大了，它的保護(hù)對(duì)象包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)、大數(shù)據(jù)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等。那么重點(diǎn)保護(hù)對(duì)象是國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施，這里我想跟各位強(qiáng)調(diào)的一點(diǎn)是，有很多人會(huì)對(duì)關(guān)鍵基礎(chǔ)設(shè)施信息的保護(hù)和網(wǎng)絡(luò)信息安全保護(hù)這兩個(gè)概念，會(huì)覺(jué)得不是特別理解，這兩個(gè)是什么樣的關(guān)系？

　　其實(shí)我想跟各位強(qiáng)調(diào)一點(diǎn)，就是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的基礎(chǔ)是網(wǎng)絡(luò)安全等級(jí)保護(hù)，那么網(wǎng)絡(luò)安全等級(jí)保護(hù)，保護(hù)的重點(diǎn)是關(guān)鍵信息基礎(chǔ)設(shè)施。也就是說(shuō)，兩者是密不可分的，如果網(wǎng)絡(luò)運(yùn)營(yíng)者有關(guān)鍵信息基礎(chǔ)設(shè)施，那么他所要做的工作的第一步還是要履行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度規(guī)定的相關(guān)義務(wù)。在此基礎(chǔ)上，可以對(duì)他的關(guān)鍵信息基礎(chǔ)設(shè)施再實(shí)行關(guān)鍵信息基礎(chǔ)設(shè)施等級(jí)保護(hù)條例當(dāng)中所強(qiáng)調(diào)的保護(hù)手段或者是保護(hù)措施。

　　所以說(shuō)，這個(gè)是一個(gè)非常明確的一個(gè)關(guān)系，就是《等?！肥顷P(guān)鍵信息基礎(chǔ)設(shè)施的基礎(chǔ)，然后等級(jí)保護(hù)的重點(diǎn)也是關(guān)鍵信息基礎(chǔ)設(shè)施。

　　好，剛才我說(shuō)到2.0這個(gè)階段有了新的特征，其實(shí)剛剛最后一個(gè)就是新標(biāo)準(zhǔn)的出臺(tái)和實(shí)施。那么現(xiàn)在大家可以看到，我列出了跟《等?！废嚓P(guān)的標(biāo)準(zhǔn)，其實(shí)有很多自媒體在介紹的時(shí)候說(shuō)1.0這個(gè)階段《等保》只有一個(gè)標(biāo)準(zhǔn)，其實(shí)不是的，《等保》一直都是一系列標(biāo)準(zhǔn)。但是確實(shí)這個(gè)一系列標(biāo)準(zhǔn)現(xiàn)在是有修訂，而且是有陸續(xù)出臺(tái)。

　　在去年2018年，就出臺(tái)了網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)制度指南，那么在今年5月10號(hào)正式發(fā)布了三個(gè)標(biāo)準(zhǔn)：

　　1、22239網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求；

　　2、25070網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)要求；

　　3、28448網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求。

　　這三個(gè)是一起發(fā)布的，因?yàn)樗鼈兪腔ハ嘀蔚?，然后這三個(gè)標(biāo)準(zhǔn)是5月10日正式發(fā)布，今年的12月1日正式實(shí)施，這中間還有一個(gè)時(shí)間差，所以說(shuō)各位其實(shí)可以詳細(xì)的來(lái)看一下2.0相應(yīng)的這些標(biāo)準(zhǔn)，然后及時(shí)的對(duì)自己的信息系統(tǒng)或者是網(wǎng)絡(luò)進(jìn)行一個(gè)保護(hù)措施方面的調(diào)整。

　　我這邊有兩個(gè)標(biāo)紅的是22239和28448，以前在1.0這個(gè)階段宣講的時(shí)候，我們一般會(huì)給別人介紹的是，其實(shí)是22239和22240這兩個(gè)標(biāo)準(zhǔn)，但是在2.0這個(gè)階段宣講的時(shí)候，我肯定是會(huì)將28448納入到其中，這后面我會(huì)講到為什么你不能夠脫離28448直接看22239？以前如果你可能對(duì)網(wǎng)絡(luò)建設(shè)、網(wǎng)絡(luò)運(yùn)維比較了解的話，你可能覺(jué)得我只看22239就可以了，28448我可看可不看。但是在2.0這個(gè)階段，你絕對(duì)不能脫離2248直接看22239，因?yàn)槟悴荒軓?2239中直接確定你的保護(hù)對(duì)象是哪些，這條要求是要求你去保護(hù)哪些保護(hù)對(duì)象？我后面會(huì)講到。

　　那么先來(lái)看一下網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求，等級(jí)保護(hù)2.0和1.0相比，它的主要變化體現(xiàn)在工作內(nèi)容上有所擴(kuò)展，保護(hù)對(duì)象上有所擴(kuò)展，保護(hù)力度也有所提升。從工作內(nèi)容的方面是除了滿足1.0時(shí)代規(guī)定動(dòng)作，也就是說(shuō)定級(jí)、備案、建設(shè)、整改、測(cè)評(píng)和監(jiān)督檢查之外，還把風(fēng)險(xiǎn)評(píng)估、安全監(jiān)測(cè)、通報(bào)預(yù)警、案件調(diào)查等方面的工作，全納入到了等級(jí)保護(hù)的范圍內(nèi)，所以說(shuō)它多了很多內(nèi)容，這也其實(shí)是跟《網(wǎng)絡(luò)安全法》相對(duì)應(yīng)的，因?yàn)椤毒W(wǎng)絡(luò)安全法》中提出對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者有些相關(guān)的義務(wù)，我們都是在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基本要求中得到的落實(shí)。

　　那么技術(shù)方面是有一個(gè)非常大的調(diào)整，也就是這個(gè)調(diào)整才使得你不能夠只看22239了。技術(shù)方面強(qiáng)調(diào)的是“一個(gè)中心、三層防護(hù)”的網(wǎng)絡(luò)安全架構(gòu)，它是從“一個(gè)中心、三層防護(hù)”方面提出技術(shù)的相關(guān)要求的，而不是以前從對(duì)被保護(hù)對(duì)象的類別方面提的。以前是從被保護(hù)對(duì)象的類別上，網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)安全這一塊來(lái)提出的，那么現(xiàn)在不是這樣子了，現(xiàn)在是“一個(gè)中心、三層防護(hù)”。這些方面其實(shí)都有變化。

　　那么具體可以看一下，這是我直接在2019版中列舉的主要變化，首先是標(biāo)準(zhǔn)名稱變了，以前是叫“信息系統(tǒng)安全等級(jí)保護(hù)基本要求”，現(xiàn)在是叫“網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求”。

　　調(diào)整了分類，主要是技術(shù)方面的調(diào)整，“三層防護(hù)、一個(gè)中心”?，F(xiàn)在是安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心。

　　那么“三層防護(hù)”是哪三層防護(hù)呢？就是安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境到最后計(jì)算節(jié)點(diǎn)的，這是三層方面的防護(hù)。

　　然后“一個(gè)中心”是安全管理中心。有很多自媒體把安全管理中心解讀為管理要求是不對(duì)的，他沒(méi)有看到22239對(duì)安全管理中心的一個(gè)技術(shù)方面的要求，是完全技術(shù)方面的，不是管理方面的。

　　那么制度方面，我前面也講了，《網(wǎng)絡(luò)安全法》中前兩條規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者的義務(wù)，一條是管理制度方面，一條是技術(shù)方面，那么其實(shí)在基本要求22239中，也是技術(shù)方面、管理方面都有的。

　　那么管理制度方面有安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理，其實(shí)在管理制度大類的區(qū)分上面，并沒(méi)有特別大的變化，但是里面的內(nèi)容會(huì)有很多的變化，體系方面是有了非常大的變化，要求項(xiàng)也很多了，但是分類并沒(méi)有特別大的變化。

　　然后調(diào)整了各級(jí)別的要求，以前我們大家都知道，以前就叫基本要求，也沒(méi)有區(qū)分你用了什么技術(shù)，反正就是所有的網(wǎng)絡(luò)，所有的信息系統(tǒng)都是一個(gè)要求，這其實(shí)也是跟當(dāng)時(shí)的情況相關(guān)的。當(dāng)時(shí)22239是2008版其實(shí)在2007年我們就已經(jīng)報(bào)批了這個(gè)國(guó)標(biāo)了，當(dāng)時(shí)大家可以回憶一下，2007年，我們國(guó)家的云計(jì)算、公有云、政務(wù)云、私有云其實(shí)發(fā)展的并不是特別成熟，當(dāng)時(shí)2007年的時(shí)候，我們不拿手機(jī)沒(méi)問(wèn)題，還能夠生活。但現(xiàn)在不一樣了，現(xiàn)在公有云、政務(wù)云、私有云都建的非常非常多，而且很多重要的信息系統(tǒng)都已經(jīng)上云了，無(wú)論是公有云、政務(wù)云還是搭建自己的私有云，而且我們現(xiàn)在生活中已經(jīng)離不開(kāi)智能終端，或者離不開(kāi)我們的無(wú)線網(wǎng)絡(luò)等等。

　　所以說(shuō)，因?yàn)榧夹g(shù)發(fā)展了，應(yīng)用成熟了，所以說(shuō)對(duì)于它們的安全需求也提到日程上來(lái)了，所以在2015年我們修訂《等?！返幕A(chǔ)標(biāo)準(zhǔn)的時(shí)候我們就提出了要按照應(yīng)用、按照技術(shù)來(lái)增加不同方面的安全需求，才能夠有所區(qū)別，才能夠重點(diǎn)保護(hù)。

　　那么現(xiàn)在的安全要求變成了安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求。

　　然后簡(jiǎn)單看一下新標(biāo)準(zhǔn)的結(jié)構(gòu)，新標(biāo)準(zhǔn)的結(jié)構(gòu)是分為范圍、規(guī)范性引用文件、術(shù)語(yǔ)和定義、縮略語(yǔ)、網(wǎng)絡(luò)安全等級(jí)保護(hù)概述，包括等級(jí)保護(hù)的對(duì)象、不同級(jí)別的安全保護(hù)能力、安全通用要求和安全擴(kuò)展要求。

　　第6-第10章是第1-第5級(jí)的安全要求，比如說(shuō)我要看到第3級(jí)的安全要求，我就要看第8章，我要看到第3級(jí)的安全通用要求，我就要看8.1，如果我要看第3級(jí)的工業(yè)控制系統(tǒng)安全要求，我就要看8.5，這樣子來(lái)看。

　　簡(jiǎn)單講一下通用要求和擴(kuò)展要求的選擇，通用要求是針對(duì)共性化的保護(hù)需求提出的，等級(jí)保護(hù)對(duì)象無(wú)論以何種形式出現(xiàn)，必須根據(jù)安全保護(hù)等級(jí)實(shí)現(xiàn)相應(yīng)級(jí)別的安全通用要求。所以說(shuō)通用要求是必選的。

　　安全擴(kuò)展性要求是針對(duì)個(gè)性化保護(hù)需求提出的，需要根據(jù)安全保護(hù)的等級(jí)和使用的特定的技術(shù)或者是特定場(chǎng)景來(lái)實(shí)現(xiàn)安全擴(kuò)展要求，安全擴(kuò)展要求是根據(jù)需要選擇的。

　　因?yàn)榻裉煳覀兪菙?shù)據(jù)安全和云計(jì)算安全的專場(chǎng)，所以我想特別強(qiáng)調(diào)一點(diǎn)，如果網(wǎng)絡(luò)運(yùn)營(yíng)者是一個(gè)網(wǎng)絡(luò)服務(wù)的提供方，是一個(gè)云平臺(tái)服務(wù)的提供方，那么他要看的是相應(yīng)級(jí)別的.1+.2，這個(gè)是比較好理解的，所有云服務(wù)商應(yīng)該都能理解。但是對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)者，他是作為云租戶的話，其實(shí)他還是要看.1+.2，不過(guò).2中有很多是針對(duì)云平臺(tái)或者云服務(wù)提供商來(lái)提出的要求的話，那么對(duì)于云租戶是不適用的。但是也確實(shí)是有對(duì)云租戶適用的要求，所以你仍舊要看.1+.2。

　　這是我簡(jiǎn)單列了一下，就是內(nèi)容上面的變化，主要是內(nèi)容方面有所擴(kuò)展。

　　安全通用要求之間的差異，我這邊對(duì)比的一下1.0和2.0，其實(shí)主要變化就是在三層防護(hù)和一個(gè)中心上。大家可以看到前面物理環(huán)境對(duì)應(yīng)著安全物理環(huán)境，對(duì)應(yīng)的內(nèi)容項(xiàng)都是一樣的，都是對(duì)于網(wǎng)絡(luò)或者是信息系統(tǒng)所在的機(jī)房的安全要求，那么下面是完全不一樣了，以前是根據(jù)保護(hù)對(duì)象來(lái)區(qū)分的，保護(hù)對(duì)象的種類是什么我就區(qū)分，以前保護(hù)對(duì)象是網(wǎng)絡(luò)，我就看網(wǎng)絡(luò)安全，保護(hù)對(duì)象是服務(wù)器、重要的運(yùn)維終端或者是管理終端以及數(shù)據(jù)庫(kù)，那么我就要看主機(jī)安全，如果是對(duì)應(yīng)用系統(tǒng)，我就要看應(yīng)用安全，如果專門針對(duì)數(shù)據(jù)安全，我就要看數(shù)據(jù)安全和備份分布?，F(xiàn)在不一樣了，現(xiàn)在是三層防護(hù)一個(gè)中心了，這是有了非常大的調(diào)整。我后面會(huì)講到，你為什么不能夠看28448就直接看22239。

　　下面是沒(méi)有變化的，就是在人員安全管理的這邊，現(xiàn)在改成安全管理人員，大其實(shí)大的范圍不變，具體的要求項(xiàng)會(huì)變。

　　下面我講一下為什么你不能離開(kāi)28448單獨(dú)去看22239。28448是網(wǎng)絡(luò)安全保護(hù)測(cè)評(píng)要求是和基本要求同時(shí)發(fā)布的，那么它的新標(biāo)準(zhǔn)的結(jié)構(gòu)是范圍、規(guī)范性引用文件、術(shù)語(yǔ)定義、縮略語(yǔ)、等級(jí)測(cè)評(píng)的一個(gè)概述。然后6-10章是5個(gè)等級(jí)的測(cè)評(píng)要求，它所有的測(cè)評(píng)要求都是對(duì)著基本要求來(lái)的，也就是說(shuō)，基本要求有的所有的要求項(xiàng)都會(huì)有對(duì)應(yīng)的測(cè)評(píng)要求在28448中找到，然后11是整體測(cè)評(píng)，12是測(cè)評(píng)結(jié)論，還有3個(gè)附錄。

　　這里我選取了安全計(jì)算環(huán)境，我覺(jué)得這一點(diǎn)是比較好理解的，所以說(shuō)我跟各位講解一下。

　　以前的28448，它是身份鑒別作為一個(gè)測(cè)評(píng)單元的，測(cè)評(píng)單元中會(huì)有測(cè)評(píng)指標(biāo)，測(cè)評(píng)指標(biāo)A項(xiàng)是來(lái)源于22239，和22239完全一一對(duì)應(yīng)。但是以前在28448中是沒(méi)有測(cè)評(píng)對(duì)象B這一條的，會(huì)有C和D，以前只有ACD，以前的28448。現(xiàn)在它增加了B，就是測(cè)評(píng)對(duì)象這個(gè)環(huán)節(jié)。

　　我不知道大家對(duì)1.0的標(biāo)準(zhǔn)了不了解，比如說(shuō)身份鑒別，在網(wǎng)絡(luò)安全里它有設(shè)備自身安全這一塊的要求，就是設(shè)備安全，它里頭會(huì)有身份鑒別要求，就是對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備要有身份鑒別的要求。那么在主機(jī)安全里它仍舊會(huì)有身份鑒別的要求，就是登錄服務(wù)器登錄數(shù)據(jù)庫(kù)，登錄所有主機(jī)的時(shí)候要有身份鑒別的要求。在應(yīng)用安全里它仍舊會(huì)有身份鑒別要求，它會(huì)在三個(gè)不同的對(duì)象上都提出身份鑒別的要求。但是這里只有在計(jì)算環(huán)境中有身份鑒別的要求，只有在安全計(jì)算環(huán)境中有身份鑒別要求，而且這條要求是沒(méi)有主語(yǔ)的，大家可以看一下。

　　測(cè)評(píng)指標(biāo)說(shuō)，應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，至于對(duì)登錄的什么用戶，什么設(shè)備的登錄用戶，什么系統(tǒng)的登錄用戶沒(méi)有說(shuō)，這在22239中就是這么些的，身份標(biāo)識(shí)要具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換。

　　那么如果你是一個(gè)資深的安全運(yùn)維者，你看到這一條的時(shí)候，你就會(huì)想那肯定是對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)都有相應(yīng)的要求，但是全嗎？其實(shí)你考慮的并不全，你一定要看28448它的測(cè)評(píng)對(duì)象包括哪些？

　　測(cè)評(píng)對(duì)象包括終端和服務(wù)器等設(shè)備中的操作系統(tǒng)，包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)，網(wǎng)絡(luò)設(shè)備包括虛擬網(wǎng)絡(luò)設(shè)備，安全設(shè)備包括虛擬安全社波，移動(dòng)終端管理系統(tǒng)、移動(dòng)終端管理客戶端、感知節(jié)點(diǎn)、網(wǎng)關(guān)節(jié)點(diǎn)、控制設(shè)備、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)、文檔等。也就是說(shuō)，如果你的系統(tǒng)中有以下需要被保護(hù)的對(duì)象，你都要落實(shí)身份鑒別，這就是為什么你不能夠離開(kāi)28448去看22239，因?yàn)槟阒豢?2239，你可能并不能夠很全面的對(duì)你需要保護(hù)的對(duì)象落實(shí)相關(guān)的要求。

　　下面我又選取了一個(gè)，就是跟今天的主題非常相關(guān)的，就是個(gè)人信息保護(hù)，數(shù)據(jù)安全，我個(gè)人認(rèn)為在《網(wǎng)絡(luò)安全法》中它最關(guān)注的就是兩類數(shù)據(jù)，一類是重要業(yè)務(wù)信息，這個(gè)對(duì)于每個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)者來(lái)說(shuō)，都不一樣，我這家單位有這家單位我所認(rèn)為的重要業(yè)務(wù)信息，另外一家單位有另外一家單位重要業(yè)務(wù)信息，這個(gè)肯定每家單位都不一樣。但是對(duì)于公民個(gè)人信息，這個(gè)每家單位都是一樣的。如果你有收集公民個(gè)人信息，這肯定都是一樣的。

　　《網(wǎng)絡(luò)安全法》中我認(rèn)為最重要的就是兩類信息需要保護(hù)它所強(qiáng)調(diào)的：

　　1、重要業(yè)務(wù)信息；

　　2、公民個(gè)人信息。

　　所以說(shuō)在新的22239中，我們單獨(dú)把數(shù)據(jù)安全中的數(shù)據(jù)信息中的個(gè)人信息提出來(lái)，單獨(dú)對(duì)它進(jìn)行一個(gè)相應(yīng)的要求，當(dāng)然還有數(shù)據(jù)安全的那部分要求，但是這一塊是單獨(dú)有的。

　　那么個(gè)人信息，個(gè)人信息保護(hù)，它的測(cè)評(píng)指標(biāo)有兩個(gè)，應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個(gè)人信息。也就是說(shuō)，如果你的業(yè)務(wù)真正需要的話，你可以采集，但是如果你的業(yè)務(wù)不需要的話，你不要采集，你只采集你需要的信息，不要多采，這是對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的要求。

　　第二條應(yīng)禁止未授權(quán)訪問(wèn)和非法使用用戶個(gè)人信息，你對(duì)你采集了的個(gè)人信息，你要有保護(hù)的相應(yīng)落實(shí)的制度，相應(yīng)有落實(shí)的措施保護(hù)措施，你不能夠說(shuō)我需要我采，我采了之后我就放那，也不對(duì)它進(jìn)行保護(hù)。如果因?yàn)槟惚Ｗo(hù)不利，使得從你的信息系統(tǒng)中，或者從你的網(wǎng)絡(luò)中流出了公民個(gè)人信息，造成了公民個(gè)人信息的泄露，或者是篡改，那么你要承擔(dān)相應(yīng)的法律責(zé)任的。

　　這是兩條要求。

　　那么因?yàn)樵诰W(wǎng)絡(luò)安全等級(jí)保護(hù)的內(nèi)容中有云計(jì)算安全擴(kuò)展要求，所以說(shuō)我們簡(jiǎn)單講一下云計(jì)算安全擴(kuò)展要求的一些特點(diǎn)。

　　先從定級(jí)來(lái)講，首先在云計(jì)算環(huán)境中，應(yīng)將云服務(wù)提供商的云計(jì)算平臺(tái)單獨(dú)作為定級(jí)對(duì)象，這個(gè)應(yīng)該比較好理解，因?yàn)樗且粋€(gè)基礎(chǔ)平臺(tái)，它肯定要先做一個(gè)定性，它是一個(gè)支撐平臺(tái)，它肯定要自己先做定級(jí)，做一個(gè)獨(dú)立的網(wǎng)絡(luò)或者信息系統(tǒng)來(lái)做一個(gè)定級(jí)。那么云服務(wù)客戶的等級(jí)保護(hù)對(duì)象也應(yīng)該單獨(dú)的定級(jí)，也就是說(shuō)，如果你是一個(gè)云租戶，你把自己的網(wǎng)絡(luò)，或者把自己的信息系統(tǒng)遷到云上，那么你的這塊也要做一個(gè)單獨(dú)的定級(jí)。

　　云服務(wù)商的云計(jì)算平臺(tái)應(yīng)根據(jù)其承載或者將要承載的等級(jí)保護(hù)對(duì)象的重要程度確定其安全保護(hù)等級(jí)，應(yīng)不低于其承載的等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)。

　　我這邊舉一個(gè)例子，比如一個(gè)區(qū)域的政府想要建一個(gè)政務(wù)云，他肯定先要考慮我有哪些政務(wù)系統(tǒng)要上這個(gè)云？可能有二級(jí)的政務(wù)系統(tǒng)要上這個(gè)政務(wù)云，也可能有三級(jí)的政務(wù)系統(tǒng)也要上這個(gè)政務(wù)云，那么我肯定要將我的云平臺(tái)至少定級(jí)為是三級(jí)的信息系統(tǒng)，因?yàn)槿绻业募?jí)別低，我怎么能保證我承載的比我級(jí)別高的信息系統(tǒng)的安全呢？所以說(shuō)是這樣子的。

　　那么備案，因?yàn)樵品?wù)商它的機(jī)房，它的運(yùn)維可能是比較復(fù)雜的，所以說(shuō)它有可能會(huì)有很多種的情況，那么云服務(wù)商這個(gè)應(yīng)該負(fù)責(zé)將云平臺(tái)的定級(jí)結(jié)果向所轄公安機(jī)關(guān)進(jìn)行備案，備案地應(yīng)為運(yùn)維管理端所在地。

　　然后云服務(wù)客戶負(fù)責(zé)對(duì)云平臺(tái)上承載的租戶信息系統(tǒng)進(jìn)行定級(jí)備案，然后備案地應(yīng)為工商注冊(cè)地或者是實(shí)際經(jīng)營(yíng)所在地。

　　在建設(shè)整改方面，我前面也強(qiáng)調(diào)了，無(wú)論是云平臺(tái)的提供方，云服務(wù)提供商還是云租戶，你都要按照通用要求、云計(jì)算安全擴(kuò)展要求，這兩部分要求對(duì)你的網(wǎng)絡(luò)進(jìn)行建設(shè)和整改，當(dāng)然測(cè)評(píng)機(jī)構(gòu)也會(huì)按照這兩項(xiàng)的要求對(duì)你的網(wǎng)絡(luò)進(jìn)行測(cè)評(píng)。

　　好，簡(jiǎn)單總結(jié)一下。網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)入到了2.0階段，它有很多新的特征，最重要的特征就是它有了中華人民共和國(guó)《網(wǎng)絡(luò)安全法》的支撐，上升到了一個(gè)法律的地位。那么如果網(wǎng)絡(luò)運(yùn)營(yíng)者不履行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度所規(guī)定的相關(guān)的義務(wù)，那其實(shí)就是在觸犯我們國(guó)家的法律?！兜缺！番F(xiàn)在也已經(jīng)有了相應(yīng)的落地實(shí)施細(xì)則，雖然這個(gè)相應(yīng)的標(biāo)準(zhǔn)還沒(méi)有完全全部出臺(tái)，但是有很多主要的標(biāo)準(zhǔn)已經(jīng)出臺(tái)了，包括22239、28448都已經(jīng)出臺(tái)了，那么它們的實(shí)施日期是在今年的12月1號(hào)，所以說(shuō)網(wǎng)絡(luò)運(yùn)營(yíng)者有時(shí)間對(duì)自己現(xiàn)在的網(wǎng)絡(luò)開(kāi)始找差距，按照新的22239和22248當(dāng)中所提的要求對(duì)比一下看看自己的網(wǎng)絡(luò)中還有哪些防護(hù)措施可以上，還有那些不足可以補(bǔ)。