2.6 等级保护

2.6.1 什么是等级保护

等级保护全称为“网络安全等级保护”，是指按照重要性对网络和信息系统等级分类别保护的工作，其中也包含对网络中使用的网络安全产品实行按等级管理，并对网络中发生的安全事件分等级响应和处置的工作。等级保护制度由公安部设计，旨在保护我国网络空间的整体安全。

等级保护制度是我国网络空间安全管理的一项基础性制度，是保障国家网络安全和维护总体安全的支撑。国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对重要网络、信息系统、重要资源进行分等级的安全保护，安全保护等级越高，安全保护能力就越强。在制度具体的实施中，既不能保护不足，也不能保护过度，而通过合理的等级保护既可以做到有侧重地加强安全建设和管理，也可以使建设成本被合理利用。等级保护不仅包含对非涉密网络的保护，还包含对涉密信息的分级保护，但在提到云计算技术时，主要讨论对非涉密网络体系的等级保护。

我国等级保护的发展经历了20多年的时间，从1994年2月18日国务院的《中华人民共和国计算机信息系统安全保护条例》（国务院令147号），到2007年6月实施的《信息安全等级保护管理办法》（公通字[2007]43号），再到2019年5月10日的《信息安全技术 网络安全等级保护基本要求》（GB/T 22239—2019）。这几个关键的条例和办法的颁布也里程碑式地划分了中国信息安全保护制度从建立到全面推进的几个阶段。可以看到，为了适应多领域和新技术，等级保护也在逐渐迭代。信息安全等级保护作为国家信息安全工作的基本方法，也被广泛作为参考依据。

《中华人民共和国网络安全法》（以下简称《网络安全法》）2017年6月1日正式实施，作为中国安全领域的基本法，在其第二十一条明确规定“国家实行网络安全等级保护制度”，要求网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，并在第三十一条规定了对国家关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护的要求。这为网络安全等级保护工作提供了重要的法律保障和支撑，等级保护进入2.0时代。为了贯彻《网络安全法》和解决云计算、物联网、大数据等领域的信息系统等级保护工作中的问题，中国在2019年又相继发布了《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T 25070—2019）等一系列基础性国家标准。

2.6.2 等级保护的重要意义

云计算作为信息化建设中的重要系统，在经过近十余年的发展后已经逐渐被市场认可和接受，包括金融、电信、工业制造等关键信息基础设施已运行在云端，新等级保护标准中明确了云计算平台作为等级保护对象的网络安全保护要求，这对于系统组成复杂并且具有非常强的开放性的云计算而言，有着非常重要的现实意义和指导意义。等级保护的作用主要体现为以下几点：

第一，等级保护是网络安全工作的重要方法和依据。企业通过分类梳理和分析现有基础设施、信息系统和数据资源等信息资产的安全风险，可以发现与国家安全标准间的差距，以及目前的不足和风险，并可以通过安全整改，加强自身的安全防护和恢复能力，避免出现由安全导致的重要损失和影响。

第二，网络安全等级保护是我国关于网络安全的基本国策，等级保护制度本身属于行政法规，其制定依据也是法律，这就意味着等级保护工作是遵循国家相关法律法规和制度的强制性要求，任何网络运营者都必须遵从，并保护网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取，不履行就是违法行为，因此需要引起足够重视。

第三，等级保护也广泛地被各个行业的主管机构作为网络安全工作的要求来执行，目前包括金融、电力、通信、医疗、教育、交通等在内的行业主管单位已发文要求下属单位开展网络安全等级保护工作，行业单位需要把等级保护工作作为重要工作内容向上级主管汇报。

第四，等级保护也在主观上提升了企事业单位对网络安全保护的重视程度，定期的等级保护测评工作对落实单位和个人的网络安全义务、合理规避风险有重要的影响。通过等级保护测评，发现信息系统中的安全问题并制定整改方案，对信息做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”，是等级保护工作最重要的现实意义。

2.6.3 等级保护的标准体系

1.体系框架

网络安全标准体系框架包含基础类标准、应用类标准和其他类标准三类，其中基础类标准主要针对信息安全等级划分的准则做介绍；应用类标准则是根据网络安全等级保护的建设、测评、整改等不同环节，分别制定相应标准；其他类标准包含对风险管理、事件管理、灾难恢复制定的一些指南和规范。图2-6-1列出了等级保护的安全框架。

在等级保护的技术要求中，一个重要的体系框架就是“一个中心，三重防护”的指导理念。一个中心是指安全管理中心，三重防护是指通信网络、区域边界和计算环境的安全保障。在云计算环境下，等级保护也是遵循这个思想来进行设计和构建的，这主要是由于云计算仍然会面对包括网络侧基于带宽、传输会话等的安全挑战，同时攻击者也会利用云平台的一些特点实施基于身份、凭证、漏洞的面向云服务和云资源的网络攻击等。后面我们还会针对云安全的技术和管理要求进行深入探讨和分析。表2-6-1给出了等级保护的主要参考文件。

2.等级保护的分级

等级保护的思想体系参考了20世纪80年代美国发布的彩虹系列橘皮书——TCSEC标准，并根据实际情况，将TCSEC的七个级别重新归类为五级。因此，等级保护的思想是在吸纳国外实践经验的基础上，结合我国特点构建的信息安全保障的基本制度、策略和方法，用于指导用户开展保护信息安全的工作。

这五个级别分别是第一级：自主保护级、第二级：指导保护级、第三级：监督保护级、第四级：强制保护级、第五级：专控保护级，其中系统的重要程度逐级升高。这是根据网络在国家安全、经济建设、社会生活的重要程度，以及网络遭到破坏后，对国家安全、社会秩序、公共利益、公民、法人和其他组织合法权益的危害程度等因素进行分级的。其中，对客体的侵害程度需要根据客观方面的不同外在表现综合判断，根据对客户破坏的危害方式、危害后果和危害程度的描述，可以分为一般损害、严重损害和特别严重损害。如果定了一级，则不需要做等级测评，自助进行保护即可。对于其他级别，网络运营者需要通过“自主+专家评审+主管部门”的模式来进行定级。云平台作为关键信息系统基础设施平台，有明确的常态监督要求，其等级保护级别不应该低于第三级，同时云平台原则上应不低于其承载的等级保护对象的安全保护等级。表2-6-2给出了定级要素和安全保护等级关系。

3.定级对象

等级保护由最初的对计算机信息系统的保护，到对信息安全的保护，再到如今对网络安全空间的保护，其保护客体已扩大至网络设施、信息系统，以及由数据资源组成的网络空间的范畴。定级对象是确定的主要的安全责任主体，承载相对独立的业务应用，并且包含相互关联的多个资源，而网络运营者是指网络的所有者、管理者和网络服务提供者，而个人及家庭自建、自用的网络除外。

国家的关键信息基础设施是等级保护的重点保护对象，这些设施是指关系国家安全、国计民生的基础信息网络、重要信息系统、大数据和大型公共服务平台，涵盖政府、金融、能源、电信、交通、广电等重要行业。根据“谁主管、谁运营，谁负责”的原则，网络运营者就成为等级保护的责任主体，而企业需要对其建设、掌管、运营的各类系统等负责，除了需要符合等级保护的要求，它们还应该符合关键基础设备的具体安全保护办法。

与传统网络架构中的分区分域、各个组件之间紧耦合的特点不同，云环境中的网络架构呈现扁平化、业务应用与硬件平台松耦合的特点，因此单纯以物理网络和边界划分定级对象变得十分困难。参考之前提到的责任共担模型，公有云的定级对象分为云服务商控制部分和云服务客户控制部分。在责任共担模型下，云服务商需要运营和维护包含物理硬件和虚拟化层等的云支撑平台，而云上的租户根据服务模式承担其控制的应用系统等的安全责任。我们需要从定级对象的业务应用角度出发，梳理业务与对应模块的逻辑关系，进行切分定级。而对于私有云环境，有时候基础的支撑平台与其承载的业务应用存在对应关系，那么这时此平台和其承载的应用就有可能作为独立的定级系统进行定级，在一定程度上这增加了定级的复杂性和难度。

4.工作流程

等级保护主要包含定级备案、方案设计、等级测评、建设整改和监督检查五个步骤。定级是等级保护的首要环节，即通过调查初步确定定级对象的网络安全保护等级，之后再通过专家评审和主管部门审核，确定网络安全保护等级。定级的主体是网络运营者和行业主管部门，包括公安机关、保密机关等。

云平台下的所有系统都需要进行定级，另外云服务商和云租户的应用系统应分别定级。在等级确定后，网络运营者或其主管部门需要到定级主管部门进行备案。而云服务商对平台本身也要进行单独备案，云上的租户也需要进行独立备案和相应的等级保护测评，若涉及平台端的内容则可以直接引用，不重复测评。企业需要接受等级保护测评，这项工作是由符合《网络安全等级保护测评机构管理办法》的测评机构依据国家网络安全等级保护规定进行检测评估的，主要目的是发现网络中存在的问题、了解目前的安全状况、排查网络隐患和发现薄弱环节、衡量安全保护技术和管理措施是否符合等级保护的基本要求。测评机构在测评后会给出《等级保护测试报告》。对于云平台来讲，第三级（含）以上的网络应当每年至少进行一次等级测评。根据测评结果，企业需要进行相应的建设整改，主要目的是提升安全管理水平和防范能力，降低安全隐患和安全事故，因此这是落实等级保护的关键。最后的监督检查包括备案单位定期自查、行业主管部门的督导检查和公安机关的监督检查。除了这五个步骤，新的等级保护还纳入了风险评估、安全监测、通报预警、事件调查、应急演练、灾难备份、自主可控、供应链安全、效果评价、综合考核等重点措施。

5.基本要求

《网络安全等级保护基本要求》及行业标准规范或细则构成了网络安全建设整改的安全需求，此标准在推行网络安全等级保护制度的过程中起到了非常重要的作用。在等级保护的新标准中，其可以按管理部分和技术部分进行归类。管理部分包含制度、机构、人员，体现了管理中不可缺少的三要素，同时等级保护也对建设过程和运维过程中的管理提出了要求。技术部分对机房设施等物理环境、安全通信和区域边界的网络整体，以及安全计算环境包括构成的节点、数据和应用提出了要求，而安全管理中心主要是对系统管理、审计管理、安全管理提出要求。等级保护中的《网络安全等级保护基本要求》是网络安全建设整改的基本目标，而《网络安全等级保护安全设计技术要求》是实现该目标的方法和途径之一，技术要求从“一个中心和三重防护”四个方面给出了五个级别的网络安全保护设计要求，可用于指导网络的等级保护和安全技术设计，与基本要求配合使用。图2-6-2列出了等级保护中的云安全控制点与控制项。

等级保护中的安全通用要求是针对共性化保护需求提出的，等级保护对象无论以何种形式出现都必须根据安全保护等级实现相应级别的安全通用要求。而安全扩展要求是针对个性化保护需求提出的，需要根据安全保护等级和使用的特定技术或特定的应用场景选择性地实现安全扩展要求。等级保护针对云计算也提出了特别的安全扩展要求，云计算等级保护的每个等级要依据威胁的影响程度形成有梯度的防护，从而进行相应等级的网络安全保护能力的安全防御体系建设。图2-6-3给出了等级保护的安全通用要求与扩展要求的关系。

总的来说，新等级保护更加注重主动防御，以及从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，还有对传统信息系统之外的云计算等新技术的全覆盖。无论是云下还是云中，企业都需要通过安全技术手段加强身份鉴别、访问控制、入侵防范、数据完整性、保密性、个人信息保护等安全防护措施，实现平台的全方位安全防护。

6.责任处罚

如果企业不履行网络安全等级保护的要求、不执行网络安全等级保护的相关工作，则可能会被罚款甚至承担刑事责任。《网络安全法》第五十九条规定：网络运营者不履行义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。《网络安全法》的正式生效，使许多地区的相关部门开展了专项检查，加强了执法力度。

2.6.4 云环境下的等级保护

云计算作为外延的一个重要部分，与大数据、物联网、工业控制等被列入等级保护对象的范围。云计算作为一种通过网络提供计算等资源的服务模式，其中云平台提供基础设施和服务层软件集合，云客户按需动态自助管理和供给，这一特点决定了其在进行定级、备案、建设整改、等级测评、监督检查的过程中除了要遵从通用要求，还需要根据云计算的扩展要求进行等级保护建设。

云平台或系统由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。前面已经提到，在云计算中由于云服务商和云客户对资源控制范围的不同决定了它们具有不同的安全责任边界，因此在定级对象上，云平台的服务商与云客户分别作为定级对象。对于大型的云平台，云计算基础设施和有关的辅助服务系统可划分为不同的定级对象。等级保护建设强调云平台的整体性，特别是在身份认证与授权、统一账户管理、安全审计等方面需要整体进行测评和过保，而对于跨地区联网的客户，可通过以云计算系统运维所在地为主备案地点进行等级保护备案和测评。

具体来看，云客户不再负责云平台安全物理环境中的数据中心、物理设施、办公场地等硬件设施的测评，而由云服务商负责承担软硬件基础设施的合规问题。在安全通信网络和区域边界中，云服务商需要提供云管平台、网管系统、开放性的安全接口和安全产品与服务，需要承担访问控制、入侵防范、安全审计的网络管理平台和附属设备的合规性，而云客户仅需要考虑客户网络安全策略和与其业务相关的虚拟机、虚拟网络设备、虚拟安全设备等虚拟环境的测评。在安全计算环境中，云服务商也承担了新纳入测评范围的镜像、快照等虚拟计算对象的过保工作。云客户只需要对虚拟设备、相关应用系统的软件、配置和业务数据信息等进行合规测评。在安全管理中心，强调云平台管理数据流与业务数据流的分离，以实现各自控制的部分达到检测的合规要求。在安全建设和运维管理上，云客户不需要再关注云平台的供应链管理、安全事件、重要信息变更和运维地点等问题，只需要考虑云服务商的选择和管理流程即可。

总的来说，新等级保护在企业解决云计算等新技术带来的新安全挑战的工作中，提供了重要的理论支撑、策略和方法，这对于云服务商和云客户都有重要的指导意义。图2-6-4给出了云计算等级保护安全技术的设计框架。