“网络安全为人民,网络安全靠人民"——访青海省交通运输厅信息中心副主任 杨强

 青海省交通运输厅信息中心
访青海省交通运输厅信息中心副主任 杨强

主题: 网络安全为人民,网络安全靠人民

时间: 2019年7月30日上午 09:30

嘉宾: 青海省交通运输厅信息中心副主任 杨强

简介: 等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。《中华人民共和国网络安全法》第21条规定“国家实行网络安全等级保护制度”,要求“网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,等保保护对象的外延将不断拓展。


文字实录
【主持人】     2019-07-30 09:30
    各位网友大家好!欢迎关注青海省交通运输厅门户网站在线访谈。
    2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全等级保护制度”。信息安全等级保护制度是国家信息安全保障工作的基础,也是一项事关国家安全、社会稳定的政治任务。本期访谈,我们特别邀请到青海省交通运输厅信息中心杨强副主任。您好,杨主任!欢迎做客厅门户网站在线访谈。
【杨强】     2019-07-30 09:32
    主持人好,各位网友好,非常高兴与大家一起了解网络安全等级保护条例的相关内容。
【主持人】     2019-07-30 09:32
    网络安全等级保护制度是国家信息安全保障工作的基础,通过开展等级保护工作,找到信息系统存在的安全隐患和不足,提高信息系统的信息安全防护能力,降低系统的入侵风险。2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等级保护2.0 新标准相关的《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,那什么是等级保护2.0新标准呢?
【杨强】     2019-07-30 09:34
   等级保护制度的发展经历了两个阶段:
   首先是以《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》、《GB/T22240-2008信息安全技术信息系统安全等级保护定级指南》等一系列信息安全等级保护标准及其配套政策文件组成的等级保护1.0要求。
   在经历多年的试点、推广、行业标准制定、落实工作后,伴随新技术、新应用、新业务形态的大量出现,安全趋势和形势的变化,尤其是大数据、物联网、云计算等大量应用,原来发布的标准已经不再适用于当前的安全要求,或者在新技术和新应用下已经不能满足,需要重新制定新的等保条例。因此,2014年,全国信息安全标准化技术委员会(以下简称安标委)下达了对《GB/T22239-2008》进行修订的任务。标准修订主要承担单位为公安部第三研究所(公安部信息安全等级保护评估中心),20多家企事业单位派人员参与了标准的修订工作。至此,等级保护2.0新标准逐步形成。
【主持人】     2019-07-30 09:36
    等级保护2.0新标准的设计思想是什么呢?
【杨强】     2019-07-30 09:36
    等保条例的安全设计技术要求的设计思想是以策略为中心,构建防护检测响应防护机制为核心思想,以可信认证为基础、访问控制为核心,构建可信可控可管的立体化纵深防御体系。
    以可信计算技术为基础,是构建一个可信的业务系统执行环境。即用户、平台、程序都是可信的,确保用户无法被冒充、病毒无法执行、入侵行为无法成功。 
    以访问控制技术为核心,是实现主体对客体的受控访问,保证所有的访问行为均在可控范围之内进行,在防范内部攻击的同时有效防止了外部发起的攻击。    
    可管是通过集中管控、最小权限管理与三权分立的管理平台,为管理员创建了一个工作平台,使其可以借助于平台对系统进行更好的管理,从而弥补了我国现在重机制、轻管理的不足,保证信息系统安全可管。
【主持人】     2019-07-30 09:39
    相较于等级保护1.0标准,等级保护2.0新标准有哪些方面的不同呢?
【杨强】     2019-07-30 09:39
    等级保护2.0新标准是2014年3月开始,由公安部牵头组织开展了等级保护重点标准申报国家标准的工作,并从2015年开始陆续对外发布草案、征集意见稿,修订了通用安全要求,增加了云计算、大数据、移动互联、工控、物联网等安全扩展要求,内容包括网络安全等级保护基本要求、安全通用要求和安全扩展要求,习惯称为等级保护2.0。    
    等级保护2.0新标准和等级保护1.0标准主要区别在以下几个方面:    
    一是名称上的变化,名称上由“信息安全等级保护”转变为“网络安全等级保护”;    
    二是法律效力的不同,立法基础不同。等级保护1.0立法基础为行政法规,而等级保护2.0则是以《网络安全法》为立法依据;保护对象有扩展,等级保护1.0主要包括基础信息网络和信息系统,而等级保护2.0将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统、公众服务平台、互联网企业等全部纳入等级保护监管;    
    三是控制措施分类不同,将原有十个控制域整合为八个控制域;    
    四是内容进行了扩充,在等级保护1.0定级、备案、建设整改、测评和监督检查之外,增加了风险评估、安全监测、通报预警、事件调查、数据防护、灾难备份、应急处置等;定级备案流程有所变化,等级保护1.0定级原则是“自主定级、自主保护”,等级保护2.0则采取了专家评审、主管部门审核的方式;    五是等保测评要求不同,等级保护1.0要求三级系统至少每年进行一次等级测评,四级系统至少每半年进行一次等级测评。等级保护2.0要求网络运营者对三级以上系统每年开展等级测评,也就是说四级系统每年至少保证一次等级测评。
【主持人】     2019-07-30 09:44
    为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,全国人民代表大会常务委员会于2016年11月7日发布《网络安全法》,自2017年6月1日起施行。等级保护条例和《网络安全法》的关系是?
【杨强】     2019-07-30 09:45
    等级保护是国家网络安全基础工作,是网络安全法要求我们履行的一项安全责任。网络安全法是网络安全领域的基本法,从国家层面对等级保护工作的法律认可,网络安全法中明确的提到信息安全的建设要遵照等级保护标准来建设。对此,《网络安全法》第二十一条明确规定按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
【主持人】     2019-07-30 09:48
    我们知道,《网络安全法》要求保护关键信息基础设施运行安全,那等级保护条例和关键信息基础设施保护关系是什么?
【杨强】     2019-07-30 09:49
    关键信息基础设施保护是在等级保护的基础上,对包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统、工业控制系统等关键信息基础设施进行增强保护。
【主持人】     2019-07-30 09:51
    等级保护条例是否明确了哪些单位需要开展等级保护建设工作?
【杨强】     2019-07-30 09:51
    是否开展等级保护建设工作需要根据其在国家安全、经济建设、社会生活中的重要程度,遭到组织破坏后对国家安全、社会秩序、公共利益、以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划为五个安全保护等级。我们最常接触到的是第三级安全保护能力,三级等保应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富的资源的威胁源发起的恶意攻击、较为严重的自然灾害、以及其他相当危害程度的威胁所造成的主要资源损害、能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分的功能。
【主持人】     2019-07-30 09:54
    根据等级保护2.0新标准,如何规划实施级保护建设的相关工作呢?
【杨强】     2019-07-30 09:54
    等级保护工作是一个系统性工程,根据网络安全等级保护相关标准,等级保护工作总共分为五个阶段系统定级、系统备案、建设整改、系统测评、监督管理,分别为:    
    第一阶段系统定级,对拟定为第二级以上的网络,其运营者应当组织专家评审。有行业主管部门的,应当在评审后报请主管部门核准。跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审;    
    第二阶段定级备案,各信息系统主管部门和运营使用单位应准备系统定级备案材料,第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案;    
    第三阶段建设整改,对于新建的信息系统,要按照等级保护相关标准,撰写等级保护建设方案,并根据建设方案组织集成实施。对于已有信息系统,信息系统运营使用单位负责系统的风险评估和整改建设方案,并根据整改方案组织集成建设;    
    第四阶段系统测评,信息系统的运营使用单位应落实系统安全等级测评资金保障工作,同时开展等级测评工作。第五阶段监督检查:受理备案的公安机关应当对二级及以上信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。
【主持人】     2019-07-30 09:59
    等级保护2.0新标准中对确定等级对象又是如何规定的呢?
【杨强】     2019-07-30 09:59
    信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。等级保护对象受到破坏所侵害的客体包括,公民、法人和其他组织的合法权益,社会秩序、公共利益,国家安全。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:造成一般侵害、造成严重损害、造成特别严重损害。信息系统的安全保护等级由两个定级要素决定;等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
【主持人】     2019-07-30 10:02
    在等保2.0新标准中,对个人信息防护方面有哪些规定呢?
【杨强】     2019-07-30 10:02
    在等保2.0中新增个人信息保护要求,二级以上系统中要求仅采集和保存业务必需的用户个人信息,应禁止未授权访问和非法使用用户个人信息,二级以上个人信息防护要求没有变化。具体规定是,二级、三级、四级系统中应仅采集和保存业务必需的用户个人信息,应禁止未授权访问和非法使用用户个人信息。
【主持人】     2019-07-30 10:04
    《网络安全法》中,是否对不进行等级保护行为进行了明确处罚规定?
【杨强】     2019-07-30 10:04
    《网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。    
    2016 年发布的《网络安全法》明确规定,国家实行网络安全等级保护制度,标志着网络安全等级保护制度正式上升为国家法律要求,并在法律层面确立了其在网络安全领域的基础、核心地位。不做等保就是违法,责任主体要承担相应的法律责任。
【主持人】     2019-07-30 10:06
    非常感谢杨强主任做客本期在线访谈。感谢各位网友的关注,本期访谈到此结束。
【杨强】     2019-07-30 10:07
    谢谢主持人,谢谢大家,再见!