等保2.0時代已來

5月13日，備受矚目的網絡安全等級保護制度2.0標準（以下簡稱“等保2.0”）正式發布，實施時間為2019年12月1日，我國網絡安全等級保護制度正式由1.0邁入2.0時代。

互聯網發展瞬息萬變，網絡威脅也在不斷升級。如今，日趨復雜的網絡安全問題嚴重威脅個人、企業機構乃至國家安全，沒有網絡安全就沒有國家安全，網絡安全已上升到國家戰略。

維護網絡安全離不開制度、技術、人才等的全面發展和保障，而網絡安全法中明確規定國家實行網絡安全等級保護制度，表明了等級保護制度的法律地位，對我國網絡安全保障工作具有重要意義。

標準宣貫

標準建立起來了，但距離真正落地還有很長的路要走，這其間需要對標準進行宣貫推廣，讓更多的人和企業機構認識和踐行等保2.0標準。

在5月16日舉辦的網絡安全等級保護制度2.0國家標準宣貫會上，公安部網絡安全保衛局書記王瑛瑋表示，等級保護制度2.0國家標準的發布，是具有里程碑意義的一件大事，標志著國家網絡安全等級保護工作步入新時代，對保障和促進國家信息化發展，提升國家網絡安全保護能力，維護國家保護空間安全具有重要的意義。

王瑛瑋提出四點意見。一是要高度重視，深刻領會。各單位要認真學習領會標準各項要求，加快推動國家標準的貫徹和實施。二是要加強宣傳，強化培訓。各地區各部門要加強對2.0標準的宣傳，加強對標準的解讀和培訓，形成廣泛共識，保證標準的整體落地。三是要推動行標，指導實踐。重點行業部門要根據2.0國家標準，結合本行業實踐，加快修訂完善本行業等級保護行業標準。四是加強督導，推動落實。各地公安機關各行業主管部門要加強對本地區本行業網絡安全等級保護工作的監督、檢查和指導，在做好當前網絡安全等級保護工作的基礎上，逐步向2.0國家標準有關要求過渡，不斷提升本地區本行業本部門網絡安全保護能力。

公安部網絡安全保衛局總工程師郭啟全表示，等級保護制度是中國網絡安全保障工作的偉大創舉，是網絡安全的基石，要深入推進等級保護制度，落實網絡安全法，帶動中國的網絡安全企業向世界一流企業發展。他要求全國公安機關網絡安全保衛部門要對各行各業落實國家等級保護制度給予大力支持，真正做到牽頭指導監督，借助這次大會的契機，把我國等級保護制度推進到一個新的高度，推動國家網絡安全工作進入一個新時代。

新標準探究

等保2.0是在1.0的基礎上，聚焦新問題、新威脅和新技術，與時俱進，總結吸取網絡安全保護成功經驗，并借鑒國際先進安全保護技術，創新性地提出安全保護通用要求，以此實現對新技術、新應用安全保護對象的全覆蓋和安全保護領域的全覆蓋。

等保2.0由包括網絡安全等級保護基本要求、網絡安全等級保護安全設計技術要求和網絡安全等級保護測評要求3個核心標準在內的多項標準構成，如圖1所示。公安部信息安全等級保護評估中心副研究員馬力表示，相較于1.0時期的標準結構不一致問題，等保2.0以3個核心標準的統一分類框架，形成了“安全通信網絡”“安全區域邊界”“安全計算環境”和“安全管理中心”支持下的“一個中心，三重防護”體系架構。

同時，馬力表示，等保2.0更加突出技術思維和立體防范，注重全方位主動防御、動態防御、整體防控和精準防護，進一步強化“一個中心，三重防護”的安全保護體系，將進一步指導各單位、各部門整體提升網絡安全保護能力，發揮維護國家關鍵信息基礎設施，重要信息系統和大數據安全的關鍵基礎性作用。

在覆蓋范圍上，等保2.0實現兩個“全覆蓋”：不僅覆蓋全社會的各地區、各單位、各企業、各部門、各機構等，而且通過“通用要求+擴展要求”，覆蓋包括網絡、信息系統、信息，以及云平臺、物聯網、工業控制系統、大數據、移動互聯網等各類新技術應用。

圖1 等級保護系列標準

此外，等保2.0還將基于可信根的可信驗證列入各級別和各環節的主要功能要求，確立可信計算技術的重要地位，結合人工智能、密碼保護、生物識別、大數據分析等高端技術，落實網絡安全管理要求、技術要求、測評要求和設計要求等。

多方聯動，推動落地

據王瑛瑋介紹，自2014年起，為進一步健全完善等級保護制度，公安部組織國內科研院所、網絡安全檢測機構、安全廠商、物聯網企業等30余家單位，在等級保護專家隊伍的全力支持下，全面總結1.0標準實施情況，深入研究云計算、移動互聯、工業控制系統、物聯網、大數據等新技術、新應用的安全問題，廣泛進行研究論證、修改完善和試點試用，到現在完成了2.0標準的制修訂工作，是網絡安全領域專家和學者集體智慧的結晶。

實施網絡安全等級保護制度的目標是要實現變被動防護為主動防護，變靜態防護為動態防護，變單點防護為整體防控，變粗放防護為精準防護，建立“打防管控”一體化的網絡安全綜合防御體系，提升國家網絡安全整體防御能力。

落實等保2.0離不開各相關部門、廣大用戶以及安全廠商等的共同努力，特別是在開展等保工作的系統定級、系統備案、建設整改、系統測評、監督管理五個階段過程中，需要監管部門、評測機構、運營使用單位等的多方合作。

而對于安全廠商來說，也有責任和義務投入到等級保護工作中去，根據等保2.0標準發展新安全技術，開發匹配的安全產品，全力做好網絡安全服務，幫助用戶建設合規、有效的網絡安全體系。

深信服科技股份有限公司CEO何朝曦表示，深信服在踐行等保2.0標準中要做好三方面工作：一是通過宣貫、培訓幫助用戶理解和應用等保方面的知識；二是通過產品的創新，場景的適配，向用戶交付真正有效的等保2.0方案；三是安全廠商要和監管部門、評測機構和其他廠商通力協作，推進等保2.0工作不斷發展。