2019年5月10日,，網(wǎng)絡安全等級保護2.0標準正式發(fā)布,，2019年12月1日正式實施，等級保護2.0時代正式開啟,。

網(wǎng)絡安全等級保護是我國網(wǎng)絡安全領域的基本國策,、基本制度和基本方法，也是教育行業(yè)網(wǎng)絡安全工作需要遵守的基線和指南,。

中國人民大學持續(xù)開展等級保護工作,，關注等級保護2.0標準的修訂并對主要內容進行研究。

在等級保護2.0元年就依照2.0標準開展網(wǎng)絡安全等級保護工作,，完善等級保護安全體系,，進行深入的研討和探索，充分學習和理解等級保護2.0標準的核心內容,，結合實際開展風險評估,、差距分析、對照標準進行預評測,，針對評測中的問題結合客觀條件積極落實整改,，以2.0標準完成一個三級系統(tǒng)和五個二級系統(tǒng)的測評,，加強了中國人民大學在新時代、新形勢下的網(wǎng)絡安全保障能力,。

等級保護的概念于1994年《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院147號令）提出,，經過26年的發(fā)展、完善和演進,，經歷試點,、推廣、行業(yè)標準制定,、落實,，相繼出臺的政策法規(guī)從條例到意見，從意見到實施意見,，從試行辦法到法律，與政策法規(guī)相配套落地實施的標準從等級保護1.0標準演進到了2.0標準,，體現(xiàn)了我們國家對于網(wǎng)絡安全的高度重視和落實網(wǎng)絡安全等級保護的堅定決心,。

萬變不離其宗，等級保護三個方面的核心內容,，五個等級,、五項工作、主體職責均沒有發(fā)生改變,。

（1）等級保護的“5個級別”不變

1999年,，我國頒布的強制性標準《計算機信息系統(tǒng)安全保護等級劃分準則》GB 17859-1999中規(guī)定了計算機系統(tǒng)安全保護能力的五個等級，等級保護1.0和2.0一直沿用這五個等級,，即：

第一級：用戶自主保護級,；

第二級：系統(tǒng)保護審計級；

第三級：安全標記保護級,；

第四級：結構化保護級,；

第五級：訪問驗證保護級。

（2）等級保護“5個規(guī)定步驟”不變

公安部,、國家保密局,、國家密碼管理局、國信辦聯(lián)合頒布的公通字[2007]43號《信息安全等級保護管理辦法》,，規(guī)定了開展等級保護的五個步驟：定級,、備案、建設整改,、等級測評,、監(jiān)督檢查。等級保護1.0和2.0都圍繞這5個規(guī)定步驟落實實施,。

（3）等級保護“4個主體職責”不變

公通字[2007]43號文中規(guī)定了4個主體職責：運營使用單位對定級對象的等級保護職責,、上級主管單位對所屬單位的安全管理職責,、第三方測評機構對定級對象的安全評估職責、公安機關對定級對象的備案受理及監(jiān)督檢查職責,。等級保護2.0中,，這4個主體職責保持不變。

隨著信息技術的發(fā)展,，等級保護1.0時代涵蓋的對傳統(tǒng)信息系統(tǒng),、基礎信息網(wǎng)絡的安全要求，從體系到內容已無法滿足新形式,、新技術,、新應用帶來的云計算、大數(shù)據(jù),、物聯(lián)網(wǎng),、移動互聯(lián)網(wǎng)和工業(yè)控制信息系統(tǒng)等級保護對象的新需求，以被動防御為主的體系架構已

無法有效防范新的安全風險和威脅,。等級保護2.0從法律法規(guī),、標準要求、安全體系,、實施環(huán)節(jié)四個方面進行了改變,，更加注重全方位主動防御、動態(tài)防御,、整體防控和精準防護,，建立了事前、事中,、事后全流程的安全可信,、動態(tài)感知和全面審計的主動保障體系。

（1）法律法規(guī)的改變

等級保護1.0標準依據(jù)的最高國家政策是國務院147號令,，等級保護2.0標準依據(jù)的最高國家政策是《網(wǎng)絡安全法》,，從條例法規(guī)層面提升到法律層面，不實施等級保護的單位和個人將承擔相應法律責任,。

《網(wǎng)絡安全法》第二十一條要求,，國家實施網(wǎng)絡安全等級保護制度；第五十九條明確規(guī)定,，網(wǎng)絡運營者不履行本法第二十一條,、第二十五條規(guī)定的網(wǎng)絡安全保護義務的，由有關主管部門給予處罰,。

（2）標準名稱的改變

等級保護1.0標準為《信息安全技術 信息系統(tǒng)安全等級保護基本要求》,，2.0標準為《信息安全技術 網(wǎng)絡安全等級保護基本要求》，保護對象的范圍擴大，并與《網(wǎng)絡安全法》中的法律條文保持一致,。

（3）標準要求的改變

等級保護2.0標準針對共性安全保護的安全通用要求,，在1.0標準基礎上進行優(yōu)化的同時，為配合《網(wǎng)絡安全法》的實施,，針對云計算,、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng),、工業(yè)控制,、大數(shù)據(jù)等新技術新領域的安全擴展了要求。形成各個級別的安全要求為安全通用要求,、云計算安全擴展要求,、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求,，標準覆蓋度更加全面,。

（4）安全體系的改變

等級保護2.0標準的安全體系延續(xù)了1.0標準的“一個中心、三重防護”,，一個中心即安全管理中心,，三重防御指“安全網(wǎng)絡通信、安全區(qū)域邊界,、安全計算環(huán)境”,，從安全技術和安全管理兩方面構建具備相應等級安全保護能力的事前預防,、事中響應,、事后審計的動態(tài)網(wǎng)絡安全綜合保障體系。

2.0標準把安全管理中心的要求獨立出來,，包括系統(tǒng)管理,、審計管理、安全管理和集中管控四個控制點,，以集中管控為核心展開組織管理,、機制建設、安全規(guī)劃,、通報預警,、應急處置、態(tài)勢感知,、能力建設,、監(jiān)督檢查、技術檢測,、隊伍建設,、教育培訓和經費保障等工作。

（5）實施環(huán)節(jié)的改變

等級保護2.0在實施環(huán)節(jié)中延續(xù)了定級,、備案,、建設整改,、等級測評、監(jiān)督檢查五個規(guī)定步驟不變,，但是對每個環(huán)節(jié)中的實施要求進行了優(yōu)化和調整,。

定級對象：等級保護2.0的定級對象由信息系統(tǒng)擴展至包含基礎信息網(wǎng)絡、工業(yè)控制系統(tǒng),、云計算,、物聯(lián)網(wǎng)、移動互聯(lián)及大數(shù)據(jù)平臺,。

定級流程：等級保護2.0不再要求簡單自主定級,，而是通過“確定定級對象→初步確定等級→專家評審→主管部門審核→公安機關備案審查”這種線性的定級流程，系統(tǒng)定級必須經過專家評審和主管部門審核,，才能到公安機關備案,，加強了定級工作的合理性和嚴謹性。

等級保護測評：等級保護2.0在測評結果和測評周期方面有所調整,。等級保護2.0測評達到70分以上才算基本符合,，第三級以上的系統(tǒng)每年開展一次測評。

中國人民大學自2008年開始落實網(wǎng)絡安全等級保護工作,，2019年發(fā)布了網(wǎng)絡安全等級保護2.0標準,，通過學習理解2.0標準，率先在2019年度以2.0標準開展網(wǎng)絡安全等保測評工作,。在工作實踐中進一步理解了等級保護2.0標準的落地實施,，積累了經驗，也存在一些困惑和落地實施的困難與障礙,，在此分享我們的實踐,。

實施等級保護2.0的工作流程，參見圖1,。四個階段的工作落實如下：

2007 年 12 月,， 我校首次啟動信息系統(tǒng)等級保護定級備案工作，是全國教育行業(yè)較早啟動信息系統(tǒng)等級保護工作的高校之一,。期間,，全面梳理了我校在運行的并具有較完整信息資料的信息系統(tǒng)。在北京市公安局文保處的指導建議下,，本著自主定級的原則,，確定了三級和二級系統(tǒng)，并于 2008 年完成了三級和二級系統(tǒng)的公安機關備案工作,。

2017 年 9 月,，召開全校網(wǎng)絡安全工作會議，學校要求全面清查信息資產，建立信息資產備案制度,。

2008~2018 十年間,，我校信息資產發(fā)生很大變化。通過全面清查,、整理發(fā)現(xiàn),，部分定級的系統(tǒng)有些已經停用，有些發(fā)生了變更,，還有些新增的系統(tǒng)符合定級條件,。因此，我們綜合信息資產性質,、業(yè)務流程,、主管部門和重要程度等因素，參照教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南,，結合我校實際重新調整了定級,，并完成了公安備案的變更。2018年,，按照網(wǎng)絡安全等級保護的工作要求,，完成了三級系統(tǒng)和二級系統(tǒng)的等保測評。

2019年,，我們參照網(wǎng)絡安全等級保護2.0標準的要求,，再次全面梳理信息資產，完善信息資產備案,，開展網(wǎng)站年審,，并將所有網(wǎng)站納入到教育信息安全管理平臺，進行安全管理和網(wǎng)絡安全監(jiān)測,。

在完成定級備案后,，我校對等級保護第三級系統(tǒng)和5個第二級系統(tǒng)根據(jù)等級保護2.0基本要求,，進行差距分析,，找出等級保護定級對象與相應安全等級的差距，為后續(xù)整改提供支撐,。

具體到差距分析的實施中,，結合風險評估理論，從技術安全和管理安全兩個維度對安全物理環(huán)境,、安全通信網(wǎng)絡,、安全區(qū)域邊界、安全計算環(huán)境,、安全管理中心,、安全管理制度、安全管理機構、安全管理人員,、安全建設管理,、安全運維管理十個層面進行了評估和分析，并通過漏洞掃描,、滲透測試等方式增強評估的質量和深度,，給出“符合-部分符合-不符合-不適用”四項評定結論。

在差距分析過程中,，我校本著全面發(fā)現(xiàn)問題的原則,，并未按等保抽查的方式，而是對所有資產進行全面排查,，在等級保護2.0實際評估中,，安全通信網(wǎng)絡、安全區(qū)域邊界,、安全計算環(huán)境,、安全管理層面均是全局性檢查項，進行全局性的差距分析工作,，安全物理環(huán)境分解到辦公環(huán)境,、各物理機房檢查，安全計算環(huán)境分解到網(wǎng)絡設備,、安全設備,、操作系統(tǒng)、數(shù)據(jù)庫,、中間件,、應用系統(tǒng)檢查。

因此,，在安全計算環(huán)境中,，不符合項和不適用項較多，其中不符合項主要是在各資產上重復配置的問題,。等保2.0在評估中的主要變化參見表1,。

表1  等保2.0在評估中的主要變化

針對差距分析階段的問題，我們沒有馬上開展整改,，而是先結合實際安全需求,，依據(jù)等級保護2.0安全保障體系的理念，從安全技術,、安全管理和安全制度三個方面,，通過安全產品部署、安全技術加固,、應用系統(tǒng)整改,、安全管理優(yōu)化等方式,，對中國人民大學安全保障體系做了相應的規(guī)劃和設計，使建設整改工作不局限于當前,，而是分階段,、分步驟地建設加強和優(yōu)化整個網(wǎng)絡安全環(huán)境，具體如圖2所示,。

圖2  等保2.0安全保障體系全景

我們經常強調“三分技術七分管理”,。在網(wǎng)絡安全管理方面，我們采用等級保護2.0和ISO27001標準融合的方式,，建設網(wǎng)絡安全管理體系,，融合后的管理體系既保留了等保2.0的落地優(yōu)勢，又實現(xiàn)了PDCA的不斷優(yōu)化過程,。安全管理體系建立過程中,，形成規(guī)范的四級安全管理體系，即安全管理策略-安全管理組織-安全管理制度-安全管理落地表單,，逐步落地執(zhí)行,，如圖3所示。

圖3  四級安全管理體系

在安全技術層面,，我們分析了等級保護2.0差距分析中發(fā)現(xiàn)的問題,，結合中國人民大學的安全現(xiàn)狀和需求，進行了針對性整改,，具體包括：

（1）依據(jù)等級保護2.0主動保障思路,，確立外防、內控,、感知,、處置結合的完整思路，實現(xiàn)端到端安全,。

對外提供互聯(lián)網(wǎng)服務的信息系統(tǒng),，在本地做好收斂防護的基礎上，增加云端安全防護監(jiān)測,，實現(xiàn)7×24小時實時防御,；對內控制校園網(wǎng)對重要信息資產的訪問，通過分區(qū)分域,、訪問控制,、運維管控的方式營造相對可信的內部網(wǎng)絡空間,；對安全日志統(tǒng)一管理,、分析，通過威脅情報,，及時對網(wǎng)絡態(tài)勢進行感知,；在發(fā)現(xiàn)安全事件時能夠通過安全設備聯(lián)動和外部應急處置服務力量,，及時處置恢復。

（2）對應用系統(tǒng)問題及時進行代碼修復,，并通過結合管理制度完善應用系統(tǒng)上線流程,，根本上提升應用系統(tǒng)的安全水平。

（3）對操作系統(tǒng),、數(shù)據(jù)庫,、網(wǎng)絡設備、安全設備,，根據(jù)等級保護2.0要求,，對身份鑒別、訪問控制,、安全審計,、入侵防范等層面全面加固，加固前進行了備份和加固測試,，保證加固不影響業(yè)務運行,。

在網(wǎng)絡安全等級測評階段，我們分預測評和機構測評兩步開展,。

預測評：在全面安全建設整改完畢后,，進行了充分的預測評。主要工作包括：對發(fā)現(xiàn)的安全問題全面核查,，對安全管理制度的落地情況全面查驗,，對安全配置尤其是安全設備新增的安全配置進行有效性判斷，對代碼修復后是否帶來新的問題進行測試,，并判斷了遺留問題是否對測評結果和安全造成直接影響,，確認無誤后，進入機構測評階段,。

機構測評：2019年11月底,，等級保護2.0標準正式實施前夕，我們邀請教育信息安全等級保護測評中心,，率先采用等級保護2.0標準條款進行測評,，并順利通過了機構測評。

至此,，網(wǎng)絡安全等級保護2.0的全流程工作順利完成,，達到了網(wǎng)絡安全合規(guī)和網(wǎng)絡安全保障提升的工作目標。

在落實網(wǎng)絡安全等級保護的工作中,，有國家法律,、法規(guī)、政策和標準作為保障,，有教育行業(yè)的各項政策和標準作為指導,，學校領導層安全意識到位,、領導力強，在組織機構,、制度和經費多方面保障,，使得網(wǎng)絡安全等級保護工作有效開展。

在此過程中,，我們也面臨一些困難,、困惑和思考。隨著學校信息系統(tǒng)數(shù)量的不斷增長,，在定級備案階段,，按照等級保護2.0標準的要求，如何完成等級保護對象的預定級,？如何保證或者提高預定級的科學性,、合理性和可行性？如何開展定級的專家評審,？

學校信息系統(tǒng)歸屬幾十個管理部門,，大多數(shù)部門沒有專業(yè)的IT技術人員，對等級保護標準也無法做到深入理解,，學校ITC或信息辦也無法全面深入掌握每個系統(tǒng)的具體情況,，預定級可能存在偏差。如果完全照搬《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南（試行）》進行定級,，勢必存在數(shù)量不小的三級和二級系統(tǒng),，針對三級和二級系統(tǒng)的建設、運維和測評需要投入不菲的人力,、物力和財力,，難以持續(xù)實行。

通常,，三級和二級系統(tǒng)預定級后,，在合規(guī)性和科學性方面通過專家評審可以對定級工作進行指導和審核，在公安備案環(huán)節(jié),，公安機關做最后的審核和把關,，保證合規(guī)和科學性。等級保護2.0標準頒布后,，對二級和三級系統(tǒng)的預定級工作還增加了上級審核環(huán)節(jié),，認為這一環(huán)節(jié)可對三級和二級系統(tǒng)定級的合理性和可行性起到保障作用。

針對成百上千個信息系統(tǒng),，如何評定出三級和二級,，預定級工作的質量和科學性、合理性如何保證,？我們討論過請專家對學校所有信息系統(tǒng)進行評審,，從而對定級給予指導,，審核三級,、二級和一級系統(tǒng)定級是否規(guī)范,、科學、合理,，事實是信息系統(tǒng)的數(shù)量太過龐大,，專家評審的工作量、難度和責任都太大,，難以落實,。

總之，網(wǎng)絡安全工作不可能一蹴而就,，要經過PDCA不斷的整改,、優(yōu)化、完善,，針對新的信息資產,、新的技術、新的問題和新的要求,，需要采用新的技術手段,、新的管理措施和新的解決辦法。

中國人民大學未來將不斷加強和完善網(wǎng)絡安全建設,，通過技術,、管理、人的有機結合,，實現(xiàn)安全保障的動態(tài)彈性,，以應對不斷變化的網(wǎng)絡安全形勢。在國家推進“全民共建網(wǎng)絡安全,、共筑網(wǎng)絡強國夢”的大背景下,，加強與教育行業(yè)、網(wǎng)絡安全專業(yè)領域的溝通合作,，不斷探索和實踐,，深入落實網(wǎng)絡安全等級保護2.0。

（本文刊載于《中國教育網(wǎng)絡》雜志2020年5月刊,，作者：葛泓 趙偉 金維佳,，單位為中國人民大學，責編：樸藝娜）