等保资讯

网络安全等级保护（以下简称：等保）制度作为我国网络安全的基本国策、基本制度，已经实行了二十多年了，在我国网络安全保障体系建设中发挥了重要作用。在《网络安全法》实施后，国家和各行业开始关注关键信息基础设施保护（以下简称：关基）制度的建设，相关政策、文件、标准已经陆续颁布，其中《关键信息基础设施网络安全保护基本要求（报批稿）》已经开展试点工作，那么同样作为我国网络安全保障领域里重要的基本制度，“等保”和“关基”有何区别？有何联系？本文从以下几点进行初步分析。

 一、概念上的辨析

首先，让我们回顾一下等保和关基的概念：

1）什么是等保？

在《关于信息安全等级保护工作的实施意见（公通字[2004]66号）》文件中明确规定：等级保护是指对网络(含信息系统、数据，下同)实施分等级保护、分等级监管，对网络中使用的网络安全产品实行按等级管理，对网络中发生的安全事件分等级响应、处置。

由此可见，等保其实包含三个方面的工作：信息系统分等级保护、网络安全产品分等级管理、安全事件分等级响应处置。

2）什么是关基？

在《网络安全法》第三十一条中明确规定：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

此外，在中央网信办2017年07月颁布的《关键信息基础设施安全保护条例（征求意见稿）》中又进一步细化了关基的范围：

      第十八条 下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：

    （一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；

    （二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；

    （三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；

    （四）广播电台、电视台、通讯社等新闻单位；

     （五）其他重点单位。

另外，在《密码法》、《国家网络空间安全战略》、《网络安全审查办法》、《商用密码管理条例（修订草案征求意见稿）》等配套法律、政策文件中，对关基从密码使用、安全审查等方面提出了更加细化的要求。目前，我国部分重点行业已经完成了关基系统的识别、报备工作。

 在明确了等保和关基的概念后，我们来分析他们之间的异同点。

二、“等保”和“关基”的相同点

1）关基系统也需要做等保：在《网络安全法》的第三十一条中明确要求：“关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”这说明关基系统，也需要实施等级保护。关键信息基础设施的保护也须按照网络安全等级保护制度要求，开展定级、备案测评、安全建设整改、安全检查等强制性、规定性工作。

2）等保是普适性的制度，而关基是重点保护：对关于组织自身利益、社会秩序、公共利益、国家安全的信息系统，都需要做等级保护。等级保护工作是关键信息基础设施保护工作的基础，关键信息基础设施是等级保护制度中重点保护的系统。

3）关基系统不会低于等保三级：信息系统运营者应当在等级保护的第三级（含）以上的系统中确定哪些是关键信息基础设施，并进行重点保护。也就是说，关基系统至少为等保三级系统，也可能为等保四级或者更高级别的系统。

三、“等保”和“关基”的不同点

1）流程不同：等保的五个阶段为：定级、备案、建设整改、等级测评、监督检查。而在标准《信息安全技术  关键信息基础设施网络安全保护基本要求（报批稿）》中，将关基实施的五个阶段划分为：识别认定、安全防护、检测评估、监测预警、事件处置。可以看出，实施流程区别较大。

2）产品和服务标准要求不同：关基行业运营者采购网络产品和服务，可能影响国家安全的，需要做网络安全审查。而等保运营者采购的网络产品和服务，一般通过国家标准的强制性要求并获得认证证书就可以上线使用。

3）关基有很强的行业特性：每个行业的业务系统都有自己的特色，对保密性、完整性、可用性的要求都不相同，因此需要充分发挥行业监管部门的职责，制定具有行业特色的“关基”标准。

4）关基的系统范围更广：关基可以是跨责任主体，可跨地域、跨部门的多业务系统组合。

5）关基更加重视网络安全新技术的使用：在关基标准中，提到了很多新技术的使用，如：网络空间测绘系统、零信任解决方案、APT监测、网络靶场系统等，详情可见：表3“关基”要求的新需求、新技术举例。

四、“关基”要求的增强

“关基”和“等保”相比，在标准上进行了全面细致的增强，举例说明：

（1）有部分要求做了增强：如对于日志留存的问题，在等保测评中一般是参考《网络安全法》的要求，要求留存6个月，而在关基要求中，是要求留存12个月。

（2）有部分要求做了明确：如针对入侵防范，“等保”中要求针对新型网络攻击采取技术措施，进行检测、限制和分析，而在关基中，明确要求针对APT攻击的入侵进行防范。

（3）有部分要求做了新增的要求：“关基”要求信息系统运营者制定自身的监测预警和信息通报制度，这其实也要求各行业应该建立行业级的监测预警中心，并实现网络安全情报信息共享。

五、“关基”所带来的新需求、新技术

在关基标准的要求中，需要采用大量的新需求、新技术。