等保2.0视域下的网络安全工作思考

◆李 丹 杨向东 马卓元 马金玉

等保2.0视域下的网络安全工作思考

◆李 丹 杨向东 马卓元 马金玉

（陕西省网络与信息安全测评中心 陕西 710065）

为适应新技术的发展，解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要，由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，等级保护正式进入了2.0时代。本文结合新时代下国家等级保护制度2.0标准体系与“等保1.0”进行对比分析，针对“等保2.0”对监管部门、测评机构、系统运营单位等带来的网络安全工作变化进行了总结与思考。

网络安全；等级保护；等保2.0

近几年信息技术飞速发展，各种新应用推陈出新，2008年开始实施的“等保1.0”《信息安全技术信息系统安全等级保护基本要求》已经明显力不从心，需要新的等保标准来实现领域、对象和内容上的全面覆盖。因此，网络安全等级保护2.0标准，全称《信息安全技术网络安全等级保护基本要求》（简称“等保2.0”）应运而生。“等保2.0”于2019年5月正式发布，这是继2008年正式发布“等保1.0”十余年来的重大突破。

1 “等保2.0”重要变化解析

（1）标准名称的变化

“等保2.0”将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《中华人民共和国网络安全法》中的相关法律条文保持一致。

网络安全以其更丰富的内涵逐步取代信息安全已成为安全领域共识，《中华人民共和国网络安全法》明确规定“国家实行网络安全等级保护制度”，相关法律条文和标准也需保持一致性，“等保2.0”与时俱进的将原标准的“信息系统安全等级保护”改为“网络安全等级保护”。

（2）等级保护对象和标准内容的变化

“等保1.0”定义的等级保护对象为：信息安全等级保护工作直接作用的具体信息和信息系统。但随着云计算平台、物联网、工业控制系统等新形态的等级保护对象不断涌现，原定义内涵局限性日益显现。修改后的“等保2.0”定义等级保护对象包括：基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。

为了配合《中华人民共和国网络安全法》的实施，“等保2.0”针对共性安全保护需求提出了安全通用要求。安全通用要求为普适性要求，无论等级保护对象形态如何必须满足通用要求。同时，“等保2.0”针对云计算、移动互联、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出了安全扩展要求，以此形成新的网络安全等级保护基本标准。

可以说，“等保2.0”标准为适应新技术的发展而诞生，解决了云计算、移动互联、物联网和工控领域信息系统的等级保护工作的需要。

（3）控制域和要求的变化

“等保2.0”由旧标准的10个控制域合并为8个，新增了个人信息保护的要求，是因为近来越来越多的安全事件以及欧盟保护条例的出台，国内也开始重视个人隐私问题。相比旧标准偏重于防护的要求，“等保2.0”标准更适应当前网络安全形势的发展，内涵更加丰富，除进行“等保1.0”时代网络定级及备案审核、等级测评、安全建设整改、自查等规定动作外，还增加了测评活动安全管理、网络服务管理、产品服务采购使用管理、技术维护管理、监测预警和信息通报管理、数据和信息安全保护要求、应急处置要求等内容。

（4）保障思路的变化

“等保2.0”具有更加完整的体系思路，包括事前、事中、事后的防护，一旦出现问题还能进行事后的溯源分析。在保障思路上，等保制度由“1.0”防御审计的被动保障向“2.0”的安全检测、感知预警、动态防护、应急响应的主动保障体系转变。

总而言之，“等保2.0”较之前的旧标准可以说有突破性的进展，尤其在移动互联、云计算、物联网等新的业务环境均能够提供安全建设标准和指导。积极落实网络安全等级保护制度，不仅能够满足相关法律的合规性要求，更能提升整体网络的综合安全防护能力，真正帮助企业用户保障网络、数据和业务的安全性。

2 “等保2.0”带来的网络安全工作思考

网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。定级对象建设完成后，运营、使用单位或者其主管部门应当选择符合国家要求的测评机构，依据《网络安全等级保护测评要求》等技术标准，定期对定级对象安全等级状况开展等级测评。“等保2.0”的发布，对监管部门、测评机构和系统运营单位等也提出了更高的要求。

（1）监管单位作为督导部门，对信息系统网络安全情况负有监督、指导的职责。无论是《网络安全法》还是《网络安全等级保护条例（征求意见稿）》都提出公安、网信、行业主管部门要协作履行监管职能。这就要求从技术能力与管理能力双向提升，以满足在等保2.0监管过程中的检查、处置、指导、协调、统筹等工作需求，有效帮助用户将等级保护纳入常态化工作，推动网络安全工作进入良性发展轨道。

（2）测评机构是系统运营使用单位等级保护建设情况的“裁判官”。2018年，全国等保测评机构已增至176家，且还在逐年递增，“等保2.0”的到来也会带来测评对象的扩展与业务量的爆发式增长。科技是第一生产力，运用技术手段提高测评专业性、提高测评效率成为刚需，所以测评机构不仅要加强自身对“等保2.0”的贯彻理解，还必须对“等保2.0”涉及的云计算、物联网、工控等新型系统具备充分的业务能力，才能更好地对外提供服务。

（3）系统运营单位方面，首先是业务、数据重要性等自身安全需求驱动；其次是政策方面要求，《网络安全法》规定要开展等级保护工作、《网络安全等级保护条例》要求每年开展自查、行业要求如三甲医院HIS系统必须满足等保三级要求等；再次，还面临着公安、网信、主管部门、内部安全管理部门等的多方监管压力。这就要求自身信息系统的等级保护建设工作，必须满足在“等保2.0”下的安全合规要求。

（4）另外对于安全服务厂商来说，在网络安全发展的初期，用户更多倾向于购买安全设备，通过软硬件的设置保障基本的安全需求。随着网络安全形势不断变化，用户对于安全从基本合规逐步转向真正的安全防护需求。只有将安全服务内容不断细化、深化，由提供安全产品为主上升到围绕系统全生命周期提供安全管理、安全技术和安全运行类服务，才能使“安全服务”变为“服务的安全”。

3 结束语

等级保护工作从来就不是某一个部门或某一个行业的事情，而是整个社会在等级保护框架下各角色根据自身单位职责的协作协同的结果，体现了社会分工、协同的精细化与专业化。随着社会的不断进步，在将来由“等保2.0”发展为“等保3.0”、“等保4.0”也是必然的趋势。只有利用好专业的装备抓手和配套的安全服务，集合全社会相关单位的积极投入力量，才能将网络安全等级保护制度的作用发挥到最大，真正落地到实处，从整体上提升我国网络安全水平。

[1]马力，祝国邦，陆磊.《网络安全等级保护基本要求》（GB/T 22239-2019）标准解读[J].信息网络安全，2019（02）：77-84.

[2]曲洁，范春玲，陈广勇，赵劲涛.新时代下网络安全服务能力体系建设思路[J].信息网络安全，2019（01）：83-87.

[3]崔光耀.等级保护进入新阶段[J].中国信息安全，2019（05）：3.