等級保護再認識

□揭建成

等級保護進入2.0時代，對其重要性、保護對象、內涵、體系都需要再認識

網絡安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，在中國、美國等很多國家都存在的一種信息安全領域的工作。近年來，隨著互聯網+、大數據、中國智造2025等重大戰略的實施，云計算、物聯網、大數據、工業控制、移動互聯等新技術的應用發展，帶來了一系列重大的網絡安全新問題，原有的等級保護制度、標準體系已不能完全適應新形勢的需要，社會上對等級保護產生一些質疑的聲音，認為等級保護已經過時，等級保護缺乏技術含量，甚至認為等級保護測評已失去意義。然而，事實上，新形勢下等級保護自身也在與時俱進，正在升級完善，應當用發展的眼光重新認識等級保護。

隨著《中華人民共和國網絡安全法》的正式實施，國家對等級保護制度提出了新要求，等級保護進入2.0時代。2.0時代，云計算、大數據等新技術應用不斷增多，網絡安全的環境更加復雜，網絡安全攻擊手段日趨多樣化，網絡安全的基礎仍然不夠扎實。在這種背景下，等級保護已經不再是1.0時代的等級保護，對其重要性、保護對象、內涵、體系都需要再認識。

等級保護重要性空前提高。《中華人民共和國網絡安全法》第21條明確規定“國家實行網絡安全等級保護制度，要求網絡運營者應當按照網絡安全等級保護制度要求，履行安全保護義務”；第31條規定“對于國家關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護”。等級保護制度不再只是部門文件規定，上升到了法律層面，在法律層面確立了其在網絡安全領域的基礎、核心地位。正如業內所言，不做等保就是違法了，國內出現了多個地方公安機關依據《網絡安全法》對未履行等級保護責任的網絡運營單位和個人進行處罰的案例。同時，教育、征信、金融等多個行業出臺了落實等級保護的規定，等級保護的重要性空前提高。

等級保護對象不斷擴展。在1.0時代，等級保護的對象為傳統信息系統；2.0時代，計算機信息系統的概念已經不能涵蓋全部，新的系統形態、新業態下的應用、新模式背后的服務以及重要數據和資源統統進入了等保視野。等級保護對象包括了大型互聯網企業、基礎網絡、重要信息系統、網站、大數據中心、云計算平臺、物聯網系統、移動互聯網、工業控制系統、公眾服務平臺等等。

等級保護內容更加豐富。等級保護1.0有五個規定動作，即定級、備案、建設整改、等級測評和監督檢查；2.0時代，等級保護的內涵已大為豐富和完善。風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價、綜治考核等這些與網絡安全密切相關的措施都將全部納入等級保護制度并加以實施。

等級保護體系更加完善。2.0時代，主管部門將繼續制定出臺一系列政策法規和技術標準，形成運轉順暢的工作機制，在現有體系基礎上，建立完善等級保護政策體系、標準體系、測評體系、技術體系、服務體系、教育訓練體系等。等級保護也將作為核心，圍繞它來構建起安全監測、通報預警、快速處置、態勢感知、安全防范、精確打擊等為一體的國家關鍵信息基礎設施安全保衛體系。

等級保護管理更加規范。2017年，公安部組織開展了針對全國測評機構等級保護測評工作的飛行檢查，發現查處了一批問題測評機構。近期，公安部第十一局印發了《網絡安全等級保護測評機構管理辦法》，該辦法進一步規范了對測評項目、測評機構、測評師隊伍的管理，強化了對測評機構測評質量和能力的要求，很好地回應了社會關于提高等級保護測評質量的呼聲。

當前，新技術、新應用形態不斷呈現，關鍵信息基礎設施安全保護形勢仍然相當嚴峻。等級保護在運行過程中盡管還存在一些不盡完美的地方，但等級保護仍然是國內最普及、最有效的安全管理體系，且正在不斷地升級完善，政策體系將進一步細化和完善，標準體系將進一步提高適用性和可操作性，人才隊伍正在持續壯大，相信其將在新形勢下發揮新的更大的作用。