千呼萬喚始出來，2019年5月13日，國家標(biāo)準(zhǔn)新聞發(fā)布會在市場監(jiān)管總局馬甸辦公區(qū)新聞發(fā)布廳召開，網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn)（以下簡稱 等保2.0標(biāo)準(zhǔn)）正式發(fā)布，將于2019年12月1日開始實施。

網(wǎng)絡(luò)安全等級保護(hù)制度是國家網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度和基本方法，等保2.0標(biāo)準(zhǔn)在1.0標(biāo)準(zhǔn)的基礎(chǔ)上，注重全方位主動防御、安全可信、動態(tài)感知和全面審計，實現(xiàn)了對傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)和工業(yè)控制信息系統(tǒng)等保護(hù)對象的全覆蓋。

究竟等保2.0標(biāo)準(zhǔn)與等保1.0標(biāo)準(zhǔn)相比，有哪些變化？又有哪些工作保持不變？受邀參與等保2.0標(biāo)準(zhǔn)編纂的等保專家、安恒信息王勇，是這樣說的。

等保2.0標(biāo)準(zhǔn)的“不變”

等級保護(hù)的概念自1994年提出后，經(jīng)過20多年的發(fā)展和演進(jìn)，在2.0時代已經(jīng)有了不小的變化。但萬變不離其宗，等級保護(hù)的五個等級不變、五項工作不變、主體職責(zé)不變。

01等級保護(hù)“五個級別”不變

第一級：用戶自主保護(hù)級

第二級：系統(tǒng)保護(hù)審計級

第三級：安全標(biāo)記保護(hù)級

第四級：結(jié)構(gòu)化保護(hù)級

第五級：訪問驗證保護(hù)級

02等級保護(hù)“規(guī)定動作”不變

等級保護(hù)五個規(guī)定動作是指：定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查。等保2.0標(biāo)準(zhǔn)仍然將圍繞這5個規(guī)定動作開展工作。

03等級保護(hù)“主體職責(zé)”不變

運(yùn)營使用單位對定級對象的等級保護(hù)職責(zé)不變

上級主管單位對所屬單位的安全管理職責(zé)不變

第三方測評機(jī)構(gòu)對定級對象的安全評估職責(zé)不變

網(wǎng)安對定級對象的備案受理及監(jiān)督檢查職責(zé)不變

等保2.0標(biāo)準(zhǔn)的“變化”

近年來，隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)安全形勢的變化，傳統(tǒng)等保安全要求已無法有效應(yīng)對安全風(fēng)險和新技術(shù)應(yīng)用所帶來的新威脅，以被動防御為主的防御已經(jīng)out了，急需建立主動保障體系。等保2.0標(biāo)準(zhǔn)適時而出，應(yīng)對新形勢、新風(fēng)險，滿足新要求，擴(kuò)大新內(nèi)容。

如此“新”的等保2.0標(biāo)準(zhǔn)，從法律法規(guī)、標(biāo)準(zhǔn)要求、安全體系、實施環(huán)節(jié)等方面都有了“變化”：

01法律法規(guī)變化

從條例法規(guī)提升到法律層面。等保1.0的最高國家政策是國務(wù)院147號令，而等保2.0標(biāo)準(zhǔn)的最高國家政策是網(wǎng)絡(luò)安全法。

《網(wǎng)絡(luò)安全法》第二十一條要求，國家實施網(wǎng)絡(luò)安全等級保護(hù)制度；第二十五條要求，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案； 第三十一條則要求，關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實行重點(diǎn)保護(hù)；第五十九條明確了，網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門給予處罰。

總而言之，不開展等級保護(hù)等于違法！

02標(biāo)準(zhǔn)要求變化

等保2.0標(biāo)準(zhǔn)在對等保1.0標(biāo)準(zhǔn)基本要求進(jìn)行優(yōu)化的同時，針對云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)新技術(shù)提出了新的安全擴(kuò)展要求。也就是說，使用新技術(shù)的信息系統(tǒng)需要同時滿足“通用要求+安全擴(kuò)展”的要求。并且，針對新的安全形勢提出了新的安全要求，標(biāo)準(zhǔn)覆蓋度更加全面，安全防護(hù)能力有很大提升。

通用要求方面，等保2.0標(biāo)準(zhǔn)的核心是“優(yōu)化”。刪除了過時的測評項，對測評項進(jìn)行合理性改寫，新增對新型網(wǎng)絡(luò)攻擊行為防護(hù)和個人信息保護(hù)等新要求，調(diào)整了標(biāo)準(zhǔn)結(jié)構(gòu)、將安全管理中心從管理層面提升至技術(shù)層面。

這里我們重點(diǎn)談，安全擴(kuò)展要求是等保2.0標(biāo)準(zhǔn)的“亮點(diǎn)”，要求細(xì)則必看：

1）云計算擴(kuò)展要求

云計算技術(shù)的普及，解決了傳統(tǒng)數(shù)據(jù)中心的存儲難、資源占用大、成本高等問題，伴隨而來安全風(fēng)險也非常尖銳，主要來自于系統(tǒng)和數(shù)據(jù)所有權(quán)的轉(zhuǎn)移，新技術(shù)、虛擬環(huán)境等新模式兩方面帶來的風(fēng)險。等保2.0標(biāo)準(zhǔn)從原則性、自身防護(hù)、提供能力三方面提出了要求：

原則性要求：

應(yīng)確保云計算平臺不承載高于其安全保護(hù)等級的業(yè)務(wù)應(yīng)用系統(tǒng)；應(yīng)確保云計算基礎(chǔ)設(shè)施位于中國境內(nèi)；應(yīng)確保云服務(wù)客戶數(shù)據(jù)、用戶個人信息等存儲于中國境內(nèi)，如需出境應(yīng)遵循國家相關(guān)規(guī)定等。

自身防護(hù)要求：

應(yīng)能檢測到云服務(wù)客戶發(fā)起的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等；應(yīng)能檢測虛擬機(jī)之間的資源隔離失效，并進(jìn)行告警等。

提供能力要求：

應(yīng)實現(xiàn)不同云服務(wù)客戶虛擬網(wǎng)絡(luò)之間的隔離；應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求提供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制的能力等。

2）大數(shù)據(jù)擴(kuò)展要求

管理流量與業(yè)務(wù)流量分離

大數(shù)據(jù)授權(quán)與分類分級管理

大數(shù)據(jù)層面入侵防范與告警

大數(shù)據(jù)應(yīng)用安全管理

3）物聯(lián)網(wǎng)擴(kuò)展要求

網(wǎng)絡(luò)安全入侵防范與認(rèn)證授權(quán)

感知節(jié)點(diǎn)設(shè)備安全

非法感知節(jié)點(diǎn)設(shè)備識別與防范

抗數(shù)據(jù)重放，數(shù)據(jù)融合處理

感知節(jié)點(diǎn)管理

4）工業(yè)控制擴(kuò)展要求

工業(yè)控制系統(tǒng)隔離與安全區(qū)域劃分

工業(yè)控制數(shù)據(jù)加密傳輸

工業(yè)無線通信安全

工業(yè)控制設(shè)備自身安全

工業(yè)安全運(yùn)維管理

5）移動互聯(lián)擴(kuò)展要求

無線邊界控制與入侵防范

SSID廣播與WEP認(rèn)證

MDM、MCM管理

移動端應(yīng)用安全管控

移動端數(shù)據(jù)安全管控

后續(xù)，我們還會就新增的擴(kuò)展要求進(jìn)行進(jìn)一步的解讀哦。

03安全體系變化

等保2.0標(biāo)準(zhǔn)依然采用“一個中心、三重防護(hù)” 的理念，從等保1.0標(biāo)準(zhǔn)被動防御的安全體系向事前預(yù)防、事中響應(yīng)、事后審計的動態(tài)保障體系轉(zhuǎn)變。

建立安全技術(shù)體系和安全管理體系，構(gòu)建具備相應(yīng)等級安全保護(hù)能力的網(wǎng)絡(luò)安全綜合防御體系，開展組織管理、機(jī)制建設(shè)、安全規(guī)劃、通報預(yù)警、應(yīng)急處置、態(tài)勢感知、能力建設(shè)、監(jiān)督檢查、技術(shù)檢測、隊伍建設(shè)、教育培訓(xùn)和經(jīng)費(fèi)保障等工作 。

圖：等級保護(hù)安全框架

04實施環(huán)節(jié)變化

在等級保護(hù)定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查的實施過程中，等保2.0標(biāo)準(zhǔn)進(jìn)行了優(yōu)化和調(diào)整。

定級對象的變化：

等保1.0定級的對象是信息系統(tǒng)，等保2.0標(biāo)準(zhǔn)的定級的對象擴(kuò)展至：基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)、其他網(wǎng)絡(luò)以及大數(shù)據(jù)等多個系統(tǒng)平臺，覆蓋面更廣。

定級級別的變化：

公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害時，相應(yīng)系統(tǒng)的等級保護(hù)級別從1.0的第二級調(diào)整到了第三級。

定級流程的變化：

等保2.0標(biāo)準(zhǔn)不再自主定級，而是通過“確定定級對象——>初步確定等級——>專家評審——>主管部門審核——>公安機(jī)關(guān)備案審查——>最終確定等級”這種線性的定級流程，系統(tǒng)定級必須經(jīng)過專家評審和主管部門審核，才能到公安機(jī)關(guān)備案，整體定級更加嚴(yán)格。

相較于等保1.0，等保2.0標(biāo)準(zhǔn)測評周期、測評結(jié)果評定有所調(diào)整。等保2.0標(biāo)準(zhǔn)要求，第三級以上的系統(tǒng)每年開展一次測評，測評達(dá)到75分以上才算基本符合要求。基本分高了，要求更嚴(yán)苛了。

輸

當(dāng)新技術(shù)不斷沖擊傳統(tǒng)安全和傳統(tǒng)等保，“與時俱進(jìn)”的等保2.0標(biāo)準(zhǔn)，為保障云計算、大數(shù)據(jù)等新技術(shù)下的安全合規(guī)提供了基礎(chǔ)保障。并且有助于增強(qiáng)未知威脅防范和攻擊溯源的能力，打造包含感知預(yù)警、安全分析、動態(tài)防護(hù)、全面檢測、應(yīng)急處置并重等于一體的主動安全保障體系。此外，數(shù)據(jù)安全和個人信息保護(hù)也是等保2.0標(biāo)準(zhǔn)的重點(diǎn)，當(dāng)數(shù)據(jù)價值被無限放大的當(dāng)下，數(shù)據(jù)安全保護(hù)是一門“必修課”。

安恒信息的等級保護(hù)思路和解決方案一直緊跟國家網(wǎng)絡(luò)安全法律法規(guī)、政策要求、信息技術(shù)前沿和等級保護(hù)實際需求，主動擁抱等保2.0。在網(wǎng)絡(luò)安全新時代、新威脅、新體系、新能力要求的背景下，安恒信息不斷提升等保解決方案，以等保合規(guī)為基礎(chǔ)，打造主動、動態(tài)、自適應(yīng)等保2.0標(biāo)準(zhǔn)的新體系，致力為客戶提供安全、有效、合規(guī)的等級保護(hù)解決方案，保障客戶傳統(tǒng)信息系統(tǒng)安全、云安全、大數(shù)據(jù)安全和智慧城市安全。