01前言
        2018年12月25日，由中關村可信計算產業(yè)聯盟主辦的等級保護新標準解讀培訓班在北京裕龍國際酒店舉行。沈昌祥院士做了《用可信計算筑牢網絡安全防線》的主題演講，公安部范春玲、李秋香和陳廣勇三位專家老師對最新的網絡安全等級保護制度進行了細致的解讀，新華三作為可信計算聯盟的理事成員單位，有幸受邀參加了此次培訓。同時作為等級保護的參編單位，為了更好的學習貫徹和落實國家網絡安全等級保護制度，新華三再次對會上專家的培訓內容做個總結。
        02等級保護標準變化
        等級保護新標準在編制過程中總共經歷了兩次大的變化，第一次是2017年8月根據網信辦和公安部的意見將5個分冊進行了合并，形成一個標準，并在2017年10月參加信安標委WG5工作組在研標準推進會，介紹合并后的標準送審稿，征求127家成員單位意見，修訂完成報批稿；第二次大的變化是2018年7月根據沈昌祥院士的意見再次調整分類結構和強化可信計算，充分體現一個中心、三重防御的思想并強化可信計算安全技術要求的使用。
        經過這兩次大變化后的《網絡安全等級保護基本要求》有10個章節(jié)8個附錄，其中第6、7、8、9、10章為五個安全等級的安全要求章節(jié)，8個附錄分別為：安全要求的選擇和使用、關于等級保護對象整體安全保護能力的要求、等級保護安全框架和關鍵技術使用要求、云計算應用場景說明、移動互聯應用場景說明、物聯網應用場景說明、工業(yè)控制系統(tǒng)應用場景說明和大數據應用場景說明。
        標準名稱由原來的《信息安全技術 信息系統(tǒng)安全等級保護基本要求》變更為《信息安全技術 網絡安全等級保護基本要求》，與《中華人民共和國網絡安全法》保持一致。等級保護對象由原來的“信息系統(tǒng)”改為“等級保護對象（網絡和信息系統(tǒng)）”，安全等級保護對象包括基礎信息網絡（廣電網、電信網等）、信息系統(tǒng)（采用傳統(tǒng)技術的系統(tǒng)）、云計算平臺、大數據平臺、移動互聯、物聯網和工業(yè)控制系統(tǒng)等。新版安全要求在原有通用安全要求的基礎上新增安全擴展要求，安全擴展要求主要針對云計算、移動互聯、物聯網和工業(yè)控制系統(tǒng)提出了特殊安全要求。
        03等級保護章節(jié)結構
        調整后每一級的安全要求均包括安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求這幾個部分：
        安全通用要求規(guī)定了不管等級保護對象形態(tài)如何必須滿足的要求。
        云計算安全擴展要求章節(jié)針對云計算的特點提出特殊保護要求。對云計算環(huán)境主要增加的內容包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務商選擇”和“云計算環(huán)境管理”等方面。這里需要注意云計算環(huán)境的定級，對于云租戶的定級仍按照傳統(tǒng)的定級思路，而對于云計算平臺的定級則分兩種情況，一種是中小型云計算平臺，可將整個云計算平臺作為整體定級對象；另一種是針對大型云計算平臺，應將云計算基礎設施和有關輔助服務系統(tǒng)劃分為不同的定級對象（比如大型云計算平臺的計費系統(tǒng)可單獨作為一個定級對象）。
        移動互聯安全擴展要求章節(jié)針對移動互聯的特點提出特殊保護要求。對移動互聯環(huán)境主要增加的內容包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件采購”和“移動應用軟件開發(fā)”等方面。
        物聯網安全擴展要求章節(jié)針對物聯網的特點提出特殊保護要求。對物聯網環(huán)境主要增加的內容包括“感知節(jié)點的物理防護”、“感知節(jié)點設備安全”、“感知網關節(jié)點設備安全”、“感知節(jié)點的管理”和“數據融合處理”等方面。
        工業(yè)控制系統(tǒng)安全擴展要求章節(jié)針對工業(yè)控制系統(tǒng)的特點提出特殊保護要求。對工業(yè)控制系統(tǒng)主要增加的內容包括“室外控制設備防護”、“工業(yè)控制系統(tǒng)網絡架構安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”等方面，針對工業(yè)控制系統(tǒng)實時性要求高的特點調整了“漏洞和風險管理”和“惡意代碼防范管理”方面的要求。
        04控制措施分類結構
        調整后的控制措施分類結構如下：
        技術要求“從面到點”提出安全要求，“安全物理環(huán)境”主要對機房設施提出要求，“安全通信網絡”和“安全區(qū)域邊界”主要對網絡整體提出要求，“安全計算環(huán)境”主要對構成節(jié)點（包括業(yè)務應用和數據）提出要求，“安全管理中心”主要對系統(tǒng)管理、集中管控等提出要求。
        管理要求“從元素到活動”提出安全要求，“安全管理制度”、“安全管理機構”和“安全管理人員”主要提出了管理不可缺少的制度、機構和人員三要素，“安全建設管理”及“安全運維管理”主要提出了建設過程和運維過程的安全活動管理要求。
        安全通信網絡+安全區(qū)域邊界+安全管理中心的第四級在第三級的基礎上增加了7個條款：
        1)應按照業(yè)務服務的重要程度分配帶寬，優(yōu)先保障重要業(yè)務；
        2)應在通信前基于密碼技術對通信的雙方進行驗證或認證；
        3)應基于硬件密碼模塊對重要通信過程進行密碼運算和密鑰管理；
        4)應能夠在發(fā)現非授權設備私自聯到內部網絡的行為或內部用戶非授權聯到外部網絡的行為時，對其進行有效阻斷；
        5)應采用可信驗證機制對接入到網絡中的設備進行可信驗證，保證接入的網絡設備真實可信；
        6)應在網絡邊界通過通信協議轉換或通信協議隔離等方式進行數據交換；
        7)應保證系統(tǒng)范圍內的時間由唯一確定的時鐘產生，以保證各種數據的管理和分析在時間上的一致性。
        安全計算環(huán)境的第四級在第三級的基礎上增加了5個條款：
        1)登錄用戶執(zhí)行重要操作時應再次進行身份鑒別；
        2)應對主體、客體設置安全標記，并依據安全標記和強制訪問控制規(guī)則確定主體對客體的訪問；
        3)應采用主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷；
        4)在可能涉及法律責任認定的應用中，應采用密碼技術提供數據原發(fā)證據和數據接收證據，實現數據原發(fā)行為的抗抵賴和數據接收行為的抗抵賴；
        5)應建立異地災難備份中心，提供業(yè)務應用的實時切換。
        惡意代碼防范，從一級到四級主要做了如下要求：
        第一級：應安裝防惡意代碼軟件或配置具有相應功能的軟件，并定期進行升級和更新防惡意代碼庫。
        第二級：應安裝防惡意代碼軟件或配置具有相應功能的軟件，并定期進行升級和更新防惡意代碼庫。
        第三級：應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷。
        第四級：應采用主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷。
        從標準控制措施整體看，對可信控制點有所增加，各個級別和層面均增加了可信驗證控制點，從第一級到第四級均在“安全通信網絡”、“安全區(qū)域邊界”和“安全計算環(huán)境”中增加了“可信驗證”控制點，并且從第二級開始，增加了安全管理中心技術要求。
        最后，等級保護測評方面，對等級保護符合性評價方法較之前有了很大不同，新的測評要求增加了“重點測評項”和“常規(guī)測評項”（由于當天培訓內容較多，已經記不清專家老師怎么描述的了，我在這里暫且將此劃分稱為“重點測評項”和“常規(guī)測評項” ）的劃分，“重點測評項”實行“一票否決制”。也就是說，測評要求中列出的對應級別的“重點測評項”中任意一項不符合，整體將判定為不符合，無需再進行“常規(guī)測評項”的測評，“重點測評項”優(yōu)先通過測評后，才進行“常規(guī)測評項”的測評。目前公安部正研究并整理各保護級別的“重點測評項”列表。
        05結束語
        網絡安全等級保護是我國信息安全保障的基本制度性工作，是網絡空間安全保障體系的重要支撐，也是應對強敵APT攻擊的有效措施。在法律支撐層面，我國的計算機系統(tǒng)等級保護條例提升為國家基礎性法律制度，即“網絡安全法”中的網絡安全等級保護制度；在科學技術層面，由分層被動防護發(fā)展到了科學安全框架下的主動免疫防護；在工程應用層面，由傳統(tǒng)的計算機信息系統(tǒng)防護轉向了新型計算環(huán)境下的網絡空間主動防御體系建設。等保2時代重點對云計算、移動互聯、物聯網、工業(yè)控制以及大數據安全等進行全面安全防護，確保關鍵信息基礎設施安全。