“等保2.0”即將實施 為網絡安全築起更強防火牆

摘要：2019年12月1日，《信息安全技術網絡安全等級保護基本要求》國家標準正式實施，這標誌著“等保2.0”時代即將揚帆起航。

本報記者 劉波報導

自2007年《信息安全等級保護管理辦法》發布至今，信息安全等級保護（等保）政策開始在全社會範圍內得到大力推行，並逐步築起了國家網絡和信息安全的重要防線。尤其是2017年6月1日起施行的《中華人民共和國網絡安全法》，更明確規定國家正式實行網絡安全等級保護制度。此後，我國網絡內容建設持續加強，網絡安全保障能力穩步提升。

現今，蓬勃發展的中國等保制度即將步入新階段。2019年5月13日，國家市場監督管理總局正式發布《信息安全技術網絡安全等級保護基本要求》國家標準，並於2019年12月1日起正式實施。這標誌著“等保2.0”時代即將揚帆起航。

據專家介紹，等保2.0是面向範圍更廣、力度更大的普適性的制度。未來，開展網絡安全等級保護勢將成為中國網絡運營者（擁有或管理網絡的中國企業）合規運營的必經之路。

1

劃分等級 合理保護

等級保護是我國信息安全保障的基本制度，其全稱為“信息系統安全等級保護”，現已更改為“網絡安全等級保護”，是指對網絡和信息系統按照重要性等級分級別保護的一種制度。根據《網絡安全法》規定，網絡運營者應當按安全等級保護制度的要求，履行“保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據洩露或者被竊取、篡改”等安全保護義務。

相關資料顯示，依據系統受破壞後危害的範圍和嚴重程度，等保制度由低到高分為五個等級，隨著安全保護等級的增高，其相應的安全保護能力逐漸加強。

第一級，指信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。因系統被破壞後影響較小，所以一般由使用部門自行依據國家有關管理規範和技術標準進行保護。

第二級，指信息系統受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。由國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。

第三級，定義為在信息系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。由國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。

第四級，指會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。由國家信息安全監管部門對該級信息系統安全等級保護工作進行強製監督、檢查。

第五級，則是信息系統遭破壞後，會對國家安全造成特別嚴重損害。由國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。

遵循客觀規律，通過明確等級劃分，不僅能更好地把握突出重點，有針對性地加強安全建設和管理，實施合理保護，更對控制信息安全建設的成本，平衡投入產出比例起到關鍵作用。

2

完善制度 與日俱進

隨著網絡規模的擴大、通信技術的演進，中國網絡相關產業發展迅猛。尤其是在深度融合的數字化、網絡化、智能化進程中，生產力實現了又一次的重大跨越，堪稱百年一遇，影響深遠。在日新月異的變化中，要想做到與日俱進，重新審視等級保護制度就顯得極為必要。業內普遍認為，要滿足當前網絡安全的形勢變化、任務要求和新技術發展，需對舊有標準做出重大突破，等保2.0的發布與實施著實是迫切而需要。

某網絡安全行業企業工程師馬近輝表示，與等保1.0相比，等保2.0根據信息技術發展應用和網絡安全態勢，在不斷豐富制度內涵、拓展保護範圍、完善監管措施同時，也逐步健全我國網絡安全等級保護制度政策、標準和支撐體系。

進入2.0時代，原“信息安全等級保護制度”，變更為“網絡安全等級保護制度”。馬近輝認為，從整個網絡空間的角度來看，信息系統只是其中的一小部分，由“信息”到“網絡”，意味著等級保護的對象已全面升級，不在拘泥於過去單一的信息系統層面，而是拓展到了整個網絡空間的安全保護。許多新興的業務環境，諸如網絡安全基礎設施、雲計算平台、移動互聯網、物聯網、工業控制系統、大數據安全等，都被等保2.0時代納入了管理的體系之中，並為其提供安全建設標準和指導。

等保2.0將安全要求的範圍擴大的同時，對安全的整體架構提出了更高的要求。除去等保1.0舊有的定級、備案、建設整改、等級評測與監督檢查五個規定動作之外，還增加了風險評估、安全監測、通報預警、態勢感知等新的安全要求。

這些安全要求在一定程度上強調了組織和機構擁有在事件發生前就對潛在威脅有感知與評估，甚至是防禦的能力。馬近輝指出，尤其是通過對安全要求進行前置，使得固有安全的觀念從被動防禦轉為了主動防禦，這使得網絡安全保護不再是單點的防護手段，而是對整體化的體系進行分類管控。

據悉，等級保護對象定級工作的一般流程分為五個步驟，分別是：確定定級對象、初步確定等級、專家評審、主管部門審批以及警察機關備案審查。明確的步驟認定，在填補過去只有按照定級要素進行沒有嚴格流程的不足外，還在備案環節縮減了時日，將原有30天內的備案時間，縮短為10個工作日。

通過安全整改，等保2.0把監管對象從體制內拓展到了全社會，隨著日後更深層次的推進，勢必助推相關產業全面進步，進而促進國家網絡安全保障水準的提高，降低系統被攻擊的風險。

值得注意的是，全新等保制度的落地並非單一事件，網絡安全行業將因此被整體帶入新一輪發展的高峰期。業內專家提醒相關從業者，網絡安全建設的成熟度，並不意味著網絡安全產品數量和種類的堆疊。隨著網絡安全的熱度持續升溫，需從安全體系的角度合理規劃、合理建設、甚至適度精簡入手，將資源和建設能力投放在如何抵禦新時代的網絡安全風險上。在信息化建設的同時，統籌考慮網絡安全的建設，順應時代，做到同步規劃、同步建設、同步執行。

（本文圖片來自互聯網，若涉及版權問題請聯繫本公眾號編輯。）