等保2.0時代已來

5月13日，備受矚目的網(wǎng)絡(luò)安全等級保護制度2.0標準（以下簡稱“等保2.0”）正式發(fā)布，實施時間為2019年12月1日，我國網(wǎng)絡(luò)安全等級保護制度正式由1.0邁入2.0時代。

互聯(lián)網(wǎng)發(fā)展瞬息萬變，網(wǎng)絡(luò)威脅也在不斷升級。如今，日趨復(fù)雜的網(wǎng)絡(luò)安全問題嚴重威脅個人、企業(yè)機構(gòu)乃至國家安全，沒有網(wǎng)絡(luò)安全就沒有國家安全，網(wǎng)絡(luò)安全已上升到國家戰(zhàn)略。

維護網(wǎng)絡(luò)安全離不開制度、技術(shù)、人才等的全面發(fā)展和保障，而網(wǎng)絡(luò)安全法中明確規(guī)定國家實行網(wǎng)絡(luò)安全等級保護制度，表明了等級保護制度的法律地位，對我國網(wǎng)絡(luò)安全保障工作具有重要意義。

標準宣貫

標準建立起來了，但距離真正落地還有很長的路要走，這其間需要對標準進行宣貫推廣，讓更多的人和企業(yè)機構(gòu)認識和踐行等保2.0標準。

在5月16日舉辦的網(wǎng)絡(luò)安全等級保護制度2.0國家標準宣貫會上，公安部網(wǎng)絡(luò)安全保衛(wèi)局書記王瑛瑋表示，等級保護制度2.0國家標準的發(fā)布，是具有里程碑意義的一件大事，標志著國家網(wǎng)絡(luò)安全等級保護工作步入新時代，對保障和促進國家信息化發(fā)展，提升國家網(wǎng)絡(luò)安全保護能力，維護國家保護空間安全具有重要的意義。

王瑛瑋提出四點意見。一是要高度重視，深刻領(lǐng)會。各單位要認真學習領(lǐng)會標準各項要求，加快推動國家標準的貫徹和實施。二是要加強宣傳，強化培訓(xùn)。各地區(qū)各部門要加強對2.0標準的宣傳，加強對標準的解讀和培訓(xùn)，形成廣泛共識，保證標準的整體落地。三是要推動行標，指導(dǎo)實踐。重點行業(yè)部門要根據(jù)2.0國家標準，結(jié)合本行業(yè)實踐，加快修訂完善本行業(yè)等級保護行業(yè)標準。四是加強督導(dǎo)，推動落實。各地公安機關(guān)各行業(yè)主管部門要加強對本地區(qū)本行業(yè)網(wǎng)絡(luò)安全等級保護工作的監(jiān)督、檢查和指導(dǎo)，在做好當前網(wǎng)絡(luò)安全等級保護工作的基礎(chǔ)上，逐步向2.0國家標準有關(guān)要求過渡，不斷提升本地區(qū)本行業(yè)本部門網(wǎng)絡(luò)安全保護能力。

公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全表示，等級保護制度是中國網(wǎng)絡(luò)安全保障工作的偉大創(chuàng)舉，是網(wǎng)絡(luò)安全的基石，要深入推進等級保護制度，落實網(wǎng)絡(luò)安全法，帶動中國的網(wǎng)絡(luò)安全企業(yè)向世界一流企業(yè)發(fā)展。他要求全國公安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門要對各行各業(yè)落實國家等級保護制度給予大力支持，真正做到牽頭指導(dǎo)監(jiān)督，借助這次大會的契機，把我國等級保護制度推進到一個新的高度，推動國家網(wǎng)絡(luò)安全工作進入一個新時代。

新標準探究

等保2.0是在1.0的基礎(chǔ)上，聚焦新問題、新威脅和新技術(shù)，與時俱進，總結(jié)吸取網(wǎng)絡(luò)安全保護成功經(jīng)驗，并借鑒國際先進安全保護技術(shù)，創(chuàng)新性地提出安全保護通用要求，以此實現(xiàn)對新技術(shù)、新應(yīng)用安全保護對象的全覆蓋和安全保護領(lǐng)域的全覆蓋。

等保2.0由包括網(wǎng)絡(luò)安全等級保護基本要求、網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求和網(wǎng)絡(luò)安全等級保護測評要求3個核心標準在內(nèi)的多項標準構(gòu)成，如圖1所示。公安部信息安全等級保護評估中心副研究員馬力表示，相較于1.0時期的標準結(jié)構(gòu)不一致問題，等保2.0以3個核心標準的統(tǒng)一分類框架，形成了“安全通信網(wǎng)絡(luò)”“安全區(qū)域邊界”“安全計算環(huán)境”和“安全管理中心”支持下的“一個中心，三重防護”體系架構(gòu)。

同時，馬力表示，等保2.0更加突出技術(shù)思維和立體防范，注重全方位主動防御、動態(tài)防御、整體防控和精準防護，進一步強化“一個中心，三重防護”的安全保護體系，將進一步指導(dǎo)各單位、各部門整體提升網(wǎng)絡(luò)安全保護能力，發(fā)揮維護國家關(guān)鍵信息基礎(chǔ)設(shè)施，重要信息系統(tǒng)和大數(shù)據(jù)安全的關(guān)鍵基礎(chǔ)性作用。

在覆蓋范圍上，等保2.0實現(xiàn)兩個“全覆蓋”：不僅覆蓋全社會的各地區(qū)、各單位、各企業(yè)、各部門、各機構(gòu)等，而且通過“通用要求+擴展要求”，覆蓋包括網(wǎng)絡(luò)、信息系統(tǒng)、信息，以及云平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等各類新技術(shù)應(yīng)用。

圖1 等級保護系列標準

此外，等保2.0還將基于可信根的可信驗證列入各級別和各環(huán)節(jié)的主要功能要求，確立可信計算技術(shù)的重要地位，結(jié)合人工智能、密碼保護、生物識別、大數(shù)據(jù)分析等高端技術(shù)，落實網(wǎng)絡(luò)安全管理要求、技術(shù)要求、測評要求和設(shè)計要求等。

多方聯(lián)動，推動落地

據(jù)王瑛瑋介紹，自2014年起，為進一步健全完善等級保護制度，公安部組織國內(nèi)科研院所、網(wǎng)絡(luò)安全檢測機構(gòu)、安全廠商、物聯(lián)網(wǎng)企業(yè)等30余家單位，在等級保護專家隊伍的全力支持下，全面總結(jié)1.0標準實施情況，深入研究云計算、移動互聯(lián)、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)、新應(yīng)用的安全問題，廣泛進行研究論證、修改完善和試點試用，到現(xiàn)在完成了2.0標準的制修訂工作，是網(wǎng)絡(luò)安全領(lǐng)域?qū)＜液蛯W者集體智慧的結(jié)晶。

實施網(wǎng)絡(luò)安全等級保護制度的目標是要實現(xiàn)變被動防護為主動防護，變靜態(tài)防護為動態(tài)防護，變單點防護為整體防控，變粗放防護為精準防護，建立“打防管控”一體化的網(wǎng)絡(luò)安全綜合防御體系，提升國家網(wǎng)絡(luò)安全整體防御能力。

落實等保2.0離不開各相關(guān)部門、廣大用戶以及安全廠商等的共同努力，特別是在開展等保工作的系統(tǒng)定級、系統(tǒng)備案、建設(shè)整改、系統(tǒng)測評、監(jiān)督管理五個階段過程中，需要監(jiān)管部門、評測機構(gòu)、運營使用單位等的多方合作。

而對于安全廠商來說，也有責任和義務(wù)投入到等級保護工作中去，根據(jù)等保2.0標準發(fā)展新安全技術(shù)，開發(fā)匹配的安全產(chǎn)品，全力做好網(wǎng)絡(luò)安全服務(wù)，幫助用戶建設(shè)合規(guī)、有效的網(wǎng)絡(luò)安全體系。

深信服科技股份有限公司CEO何朝曦表示，深信服在踐行等保2.0標準中要做好三方面工作：一是通過宣貫、培訓(xùn)幫助用戶理解和應(yīng)用等保方面的知識；二是通過產(chǎn)品的創(chuàng)新，場景的適配，向用戶交付真正有效的等保2.0方案；三是安全廠商要和監(jiān)管部門、評測機構(gòu)和其他廠商通力協(xié)作，推進等保2.0工作不斷發(fā)展。