入行DJBH已有数年,从入行实习第一个月被某单位信息化负责人指责过“等保测评不重要”,到后来成为一名“老测评师”后,依稀会听到“等保测评不重要”之类的言辞。在入行几年里,从学着如何开展测评工作,到了解等级保护相关政策、标准以及等级保护的发展历程,再到如何应用等级保护相关要求,始终在琢磨一个问题:等保测评到底有多重要?
虽说等级保护是网络安全的基本要求,是一类基线类的合规检查工作,等级测评工作“入行门槛不高,且容易上手”,但并不意味着“等保测评是最低要求”,也不能讲“等保测评不重要”。“等级保护”一词自1994年被提出,历时16年的发展,从起初的“一无所有”到等保标准体系建设完善化,再到“有法可依”的等保2.0时代,是一代等保前辈在逐步推进,同时也凝聚了一代人的心血。国家的大力支持、主管部门的积极推动以及等保逐步产业化,使得国家网络安全行业有了迅速地发展。等级测评作为开展等级保护工作的核心内容,岂能讲“等保测评不重要”呢?等保2.0从2019年的正式实施,到后续推广、落地,其适用性与可行性也逐步被论证;随着“新基建、数字经济、人工智能、5G”等一系列新兴技术产业的发展,DJBH行业从业者应考虑如何秉承等保前辈们钻研、探索的精神积极推动等保工作的发展,为等级保护“正名”。
我国《标准化法实施条例》第20条规定:标准实施后,制定标准的部门应当根据科学技术的发展和经济建设的需要适时进行复审,标准复审周期一般不超过5年。等级保护是我国关于信息安全的基本政策,自1994年147号令首次提出计算机信息系统实行安全等级保护,到2007年43号文确立推进等级保护相关事宜,再到2017年网络安全法正式实施,等级保护制度上升到法律高度。网络安全法律法规体系是国家网络安全保障体系的重要组成部分,维护网络安全,需充分发挥法律的强制性规范作用。《网络安全法》是网络安全工作的基础性法律框架,是一项“基本法”,其解决了以下几个问题:
明确了部门、企业、社会组织和个人的权利、义务和责任;
规定了国家网络安全工作的基本原则、主要任务和重大指导思想、理念;
将成熟的政策规定和措施上升为法律,为政府部门的工作提供了法律依据,体现了依法行政、依法治国要求;
建立了国家网络安全的一系列基本制度,这些基本制度具有全局性、基础性特点,是推动工作、夯实能力、防范重大风险所必需。
等级保护制度作为国家网络安全的一项基本制度,其从整个信息和网络系统全局出发,强化夯实网络安全防护能力,尽可能地规避等级保护对象可能面临的风险。等级测评是等级保护的核心工作,是具有法律意义的一项工作,岂能讲“等保测评不重要”呢?等级保护基本要求维持安全技术+安全管理的体系模式,从技术和管理两个维度提出相应的安全要求,保障网络和信息系统尽可能地安全。等级保护技术层面从等保1.0“分层防护、纵深防御”的体系到等保2.0“一个中心、三重防护”的纵深防御体系也是在吸收国际网络安全先进安全体系和安全理念。等级保护系列标准成体系化,2019年等级保护基本要求、设计要求、测评要求三大标准同时发布、同步执行,将等级保护工作与“三同步”融合,即在信息系统的“规划、建设、运营/使用”三阶段生命周期,形成等级保护与“三同步”的结合点。在网络和信息系统上线前后基于等级测评可发现其存在的安全隐患,及时整改,保证系统上线后安全、稳定、合规的运行。等级保护整个体系涉及面广,基本涵盖网络安全所需的各项能力。因等级保护的“定位和作用”,使得其有点“广而不深”,即等保基本性要求并未在某些安全层面细化,但其对系统安全体系建设存在一定的指导作用,岂能讲“等保测评不重要”呢?“任何一门学科如果不引入数学, 就无法成为科学。”等保测评的测评结果分析与报告编制阶段积极尝试进行量化,通过“定性+定量”的方式使得结果更具有科学性、更加的合理性,保证等级测评的严谨性。虽然等级测评工作的复杂程度以及科学程度没有密码学对于“数学”的理论性要求强,但等保测评也在积极推动量化工作,多指标、多层次的量化工作并非易事,也希望DJBH行业从业者能够积多人之力,实现量化方法更加合理化。“算法并无错与对,只有优与不优”,等保2.0中计算公式可能在理解、使用时存在一定的出入,但其依据“最优距离法、平均法”的数学理论,也保证了一定的“科学性”。等级测评结论基于风险的定性分析和测评结论的量化结果综合进行判定,测评结论如何合理的引导也是论证“等保测评非常重要”这一命题的有力支撑,用户也无须担忧“测评分数”是“拍脑袋”得到的。业内习惯称“等级测评”为“过等保”,落实等级保护制度,开展等级保护工作需进行定级、备案、建设整改、等级测评、监督检查一系列工作。用户在积极落实等级保护工作过程中,等级测评仅仅是其中的一部分工作内容,等级测评结论为差,只能说明等级保护对象安全防护能力暂未达到等级保护基本要求,还需继续推进整改工作。等级测评结论为差与不落实、开展等级保护工作是两个不同层面的事情,前者只需接受监督管理、持续改进,尽快满足等级保护基本要求,后者则在违法网络安全法,需要接受监管部门的处罚。等级测评非常重要,“0元过等保”可能存在误导,用户自身还需结合业务和实际网络环境仔细落实。
测评机构等级测评服务不到位,未按监管方规定履行等级测评机构应尽义务;
等级测评工作人员未经合格培训、盲目上岗,工作效率、能力未获用户单位认可;
用户单位未意识到等级保护工作的重要性,安全意识薄弱;
用户单位安全职责划分不明确,无法有效推动等级保护工作开展;
等级保护对象定级不合理,等级保护工作投入成本严重高于产出或罚款额;
标准要求滞后或超前,无法恰当引导用户依据相关等级保护标准进行安全建设或整改;
标准要求力度无法合理把握,等级测评未基于业务属性开展,高风险判定呈“拍脑袋”式;
……
网络安全虽不止于合规,倘若最基本的等级保护合规性要求都无法满足,岂能谈网络和信息系统是安全的呢?等级保护测评旨在协助用户理清资产、梳理网络结构、发现系统可能存在的安全问题、尽可能地帮助用户及早规避安全风险,但等级保护并不是网络安全的全部。任何安全风险在被攻击者利用前都“一文不值”,一旦被利用成功,可能“后患无穷”。因此,等保测评是协助用户单位防止攻击者发起攻击的,而不应该被认为是“不重要”。愿业内各方积极推动等级保护发展、扎实网络安全根基、推动新型技术的使用、攻破网络安全技术(可信计算、强访问控制、数据协议隔离、电磁屏蔽等)难题,助力网络安全等级保护工作的积极落实,让等级保护更具有科学性,让网络空间更合规、更安全。