香蕉一区,一区二区三区日韩,欧美另类视频在线

　　2019年12月24日，在2019龍芯新產品發布暨用戶大會上，公安部信息安全等級保護評估中心馬力副研究員為現場參會者進行了《網絡安全等級保護2.0標準體系介紹》的演講。

　　以下為現場演講原文：

　　今天，我時間比較短，我簡單把2019年大家見到的一些等級保護內容做一些簡單介紹。內容分為兩個部分：

　　第一部分，主要帶大家回顧一些等級保護的歷程。等保并不是現在才出現，過去10年，我們一直在推廣等級保護。這一部分講一些過去的等保與現在的區別。第二部分，給大家介紹一些新的標準的變化。

　　2007年，公安部會同相關部門發布了一個非常重要的紅頭文件——《信息安全等級保護管理辦法》，俗稱“43號文件”。在這個文件中，明確了等級保護要做的事，包括定級備案、建設整改、等級測評。用戶必須完成這三件事，并接受安全檢查。這就是2007年提出的“規定動作”。為了支持這些規定動作，公安部會同相關部門起草了相關的標準，我們稱之為“標準體系”。三個動作中最為重要的動作就是建設整改。保護是核心，定級備案和等級測評只是輔助動作。

　　那么，二級標準、三級標準保護到什么水平，國家標準說了算。這就是國標——《信息系統安全等級保護基本要求》，英文叫“Base Line”，這是我們的底線，底線做不到，那就不達標，公安會給你開出整改通知書，強行要求整改，因此，基本要求起著非常重要的作用。

　　2019年5月13日，新的基本要求跟大家見面了。這個基本要求來源于很多重要要求，它包含技術，也包含管理。其中，重要的技術比如1.0時期的“加密技術”，2.0時期的“可信計算”，這些和芯片緊密掛鉤。

　　總結一下，等級保護1.0標準體系構成了基本要求體系。

　　2007年到2017年，這期間使用等保1.0。為什么從2017年后叫做等保2.0了呢?原因是2017年6月1號，《中華人民共和國網絡安全法》出臺，它提到，國家實行等級安全保護制度，注意，這時候等級保護已經成為法律制度，不做等保就是違法。同時，第31條說，如果單位系統非常非常重要，稱之為“關鍵信息基礎設施”，那么這個系統做等保還不夠，還要在等保的基礎上做重點保護。

　　2.0的思想導致我們要調整在1.0的法律法規。這時候，要在《網絡安全法》基礎上添加《網絡安全等級保護條例(起草中)》、《關鍵信息基礎設施保護條例(起草中)》。現在，這兩個條例即將和大家見面。標準體系也相應地做了調整，這些標準已經在2019年與大家見面了，并在12月1日正式實施，這也是今年標準為何如此受到重視。

　　也就是說，未來等級保護用的就是這個新標準。當然，這只是等保標準，在此基礎上還有關鍵基礎設施保護標準。如果你們單位系統非常重要，除了等保，還要做相應的關鍵基礎設施保護。這套標準馬上也要和大家見面了。

　　總結一下，等級保護對象分為五級，第一二級國家認為是一般資產，三級以上包含重要資產以及關鍵資產。這些不同對象對應的監管力度也不一樣。這里我不做贅述。

　　等級保護2.0時期，所有保護對象，不管你叫什么名字，比如云平臺、大數據、物聯網、工控系統等，都要做等保，落實國家安全等級保護制度。注意，不落實是違法的。

　　那怎么做呢?完成以下幾個動作：定級備案、安全建設、等級測評，如果等級測評出現問題還需要接受安全整改，接受監督檢查。這幾個動作，不做就違反了法律要求。如果你是關鍵基礎設施，除了等級保護，還需要完成關鍵信息基礎設施保護。只有這樣，2.0的目標才真正完成。

　　接下來，給大家介紹一些第二部分：新標準的變化。

　　第一，對象范圍擴大。新標準將云計算、移動互聯、物聯網、工業控制系統等列入標準范圍，構成了“安全通用要求+新型應用安全擴展要求”的要求內容。

　　注意：等級保護把所有系統都納入了，包括云計算、物聯網等等。這些系統只需要使用一個標準就可以了，這個標準的要求是通用要求加擴展要求。比如，云計算系統，是云計算擴展;工控系統是工控擴展。概括起來是：一個標準做等保。

　　第二，分類結構統一。新標準“基本要求、設計要求和測評要求”分類框架統一，形成了“安全通信網絡”、“安全區域邊界"安全計算環境”和“安全管理中心”支持下的三重防護體系架構。

　　注意：安全措施的分類，各有各的說法，1.0的分類是層次分類：物理安全、網絡安全、主機安全、應用安全、數據安全，我們很容易接受。2.0強調縱深防御。請看，從外到內，通訊網絡、區域邊界、內部計算環境、通訊邊界計算環境保護，形成縱深防御體系。同時這個防御體系上的控制措施要受大腦控制。大腦速成安全管理中心，一個中心，三重防御。

　　第三：強化可信計算。新標準強化了可信計算技術使用的要求把可信驗證列入各個級別并逐級提出各個環節的主要可信驗證要求。