安全資訊

等保2.0發(fā)布后，整個(gè)網(wǎng)絡(luò )安全行業(yè)積極學(xué)習并按照新規范進(jìn)行網(wǎng)絡(luò )系統的部署。然而許多人仍然對等保制度的來(lái)歷、發(fā)展、演變以及貫徹重點(diǎn)存在疑問(wèn)。

一、等保的重要歷史作用

2007年我國信息安全等級保護制度正式實(shí)施，通過(guò)十余年的時(shí)間的發(fā)展與實(shí)踐，成為了我國非涉密信息系統網(wǎng)絡(luò )安全建設的重要標準。

等保標準具有很強的實(shí)用性：它是監管部門(mén)合規執法檢查的依據，是我國諸多網(wǎng)絡(luò )信息安全標準制度的重要參考體系架構，是行業(yè)主管部門(mén)對于下級部門(mén)網(wǎng)絡(luò )安全建設的指引標準的重要依據和參考體系，由此標準衍生了諸多行業(yè)標準：例如人社行業(yè)等保標準、金融行業(yè)等保標準、能源行業(yè)（電力）等保標準、教育行業(yè)等保標準等行業(yè)標準?？偟膩?lái)說(shuō)，等保制度是網(wǎng)絡(luò )安全從業(yè)者開(kāi)展網(wǎng)絡(luò )安全工作的重要指導體系和制度。

二、等保制度的發(fā)展歷程

等保制度從2007信息安全等級保護制度正式發(fā)布執行。2014年全國安標委秘書(shū)處下達對《信息安全技術(shù)信息系統等級保護基本要求》（ GB/T 22239—2008）進(jìn)行修訂的任務(wù)，修訂工作由公安部第三研究所（公安部信息安全等保護評估中心）主要承擔。

2016第五屆全國信息安全等級保護大會(huì )提出國家對等級保護制度提出了新的要求，等級保護制度將進(jìn)入2.0時(shí)代。2017年信安標委開(kāi)展網(wǎng)絡(luò )安全等級保護標準的制修訂工作，17年1月形成征求意見(jiàn)稿。2017年《網(wǎng)絡(luò )安全法》正式執行明確了網(wǎng)絡(luò )安全等級保護制度作為落實(shí)網(wǎng)絡(luò )安全法網(wǎng)絡(luò )安全建設的重要標準依據。2018年6月網(wǎng)絡(luò )安全等級保護條例（征求意見(jiàn)稿）發(fā)布。2019年5月網(wǎng)絡(luò )安全等級保護2.0標準正式發(fā)布。

三、等保2.0變化的幾個(gè)關(guān)鍵點(diǎn)

首先是意義的變化：由信息安全等級保護→網(wǎng)絡(luò )安全等級保護，強調網(wǎng)絡(luò )空間安全。網(wǎng)絡(luò )安全法第21條、第31條明確規定了網(wǎng)絡(luò )運營(yíng)者和關(guān)鍵信息基礎設施運營(yíng)者，都應該按網(wǎng)絡(luò )安全等級保護制度的要求對系統進(jìn)行安全保護，以法律的形式確定等級保護工作為國家網(wǎng)絡(luò )安全的基本國策，并在法律層面確立了其在網(wǎng)絡(luò )安全領(lǐng)域的基礎、核心地位。

第二，是對象的變化。新等保實(shí)現了保護對象的全覆蓋，更具普適性與指導性，對象擴大了（包括基礎網(wǎng)絡(luò )），通用要求加擴展要求（工控、云計算、大數據、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)），更適應當前信息化高速發(fā)展所面臨的新問(wèn)題新挑戰。

第三，定級上的變化，三級系統的定級新增了一類(lèi)受侵害客體：對于公民、法人和其他組織的合法權益造成嚴重影響的應定為三級。

第四，是測評標準的變化。測評要求的【測評單元】中增加了【測評對象】項，進(jìn)一步明確了測評的對象。測評條件更具適應性但是要求更嚴格（復測評周期、測評控制項的減少、合規基線(xiàn)上調測評75分以上合格，當然這部分要求在部分地區部分行業(yè)主管單位現行等保標準也有基于現狀及預期效果有彈性要求、例如個(gè)別地區衛健委要求醫院等保初次等保測評合格分數基線(xiàn)為80分，復測評合格分數基線(xiàn)為85分）、某省金融行業(yè)等保測評合格分數基線(xiàn)為90分。四級及以上系統復測評周期延長(cháng)，改為一年為復測評周期，兼顧考慮了實(shí)際等級保護工作的所面臨的復雜情況，更符合實(shí)際工作的場(chǎng)景。

等保2.0在定級備案實(shí)施也發(fā)生了變化，在備案環(huán)節原30天內備案的時(shí)間縮短為10個(gè)工作日。等保2.0的定級，不是自主定級，到公安機關(guān)定級備案前要新增兩個(gè)關(guān)鍵環(huán)節，確保定級備案的嚴謹與準確，第一對于定級對象的等級要經(jīng)過(guò)專(zhuān)家評審，第二要經(jīng)得主管部門(mén)審核通過(guò)，才能到公安機關(guān)備案確定最終等級保護對象的級別，整體定級更加嚴格。新建的第三級以上定級對象，通過(guò)等級測評后方可投入運行，加強“同步性”原則。

從等級保護2.0框架中能夠體現“一個(gè)中心，三重防護”的思想得以升華，等保2.0標準體系相比現行等保標準的安全體系更注重動(dòng)態(tài)防御（變被動(dòng)防護為主動(dòng)防護，變靜態(tài)防護為動(dòng)態(tài)防護，變單點(diǎn)防護為整體防控，變粗放防護為精準防護），強調事前預防、事中響應、事后審計。等級保護2.0體系中要求應依據國家網(wǎng)絡(luò )安全等級保護政策和標準，開(kāi)展組織管理、機制建設、安全規劃、安全監測、通報預警、應急處置、態(tài)勢感知、能力建設、監督檢查、技術(shù)檢測、安全可控、隊伍建設、教育培訓和經(jīng)費保障等工作。

等保2.0首次加入了可信計算的相關(guān)要求并分級逐級提出可采用可信驗證的要求。注意是可采用不是應采用。另外在惡意代碼防范方面三級系統要求或采用主動(dòng)免疫可信驗證機制。四級以上惡意代碼防范方面要求應采用主動(dòng)免疫可信驗證機制。

等保2.0新增個(gè)人信息保護內容，個(gè)人信息安全做為網(wǎng)絡(luò )安全法的內容在等保要求控制項中也獨立出現，在當前政務(wù)互通、人物互聯(lián)，個(gè)人信息被廣泛采集的商業(yè)、政務(wù)環(huán)境下，意指提升個(gè)人信息保護的重要性和必要性。

四、解讀等保2.0

在過(guò)去10余年的等級保護實(shí)施建設中，等級保護工作給社會(huì )各界帶來(lái)了示范性、標準化的指導和積極影響，等級保護制度是一套相對嚴謹有效的網(wǎng)絡(luò )安全標準制度。但是，對于等級保護標準制度的實(shí)施與建設仍然還有部分地區部分網(wǎng)絡(luò )安全從業(yè)者存在理解上的誤區和疑問(wèn)。

等保是否是免責的安全牌？

事實(shí)上從網(wǎng)絡(luò )安全法實(shí)施以來(lái)的各類(lèi)處罰案例來(lái)看，并不應該把獲得等保合規證書(shū)作為網(wǎng)絡(luò )信息安全工作免責的目標，而是應該理解、使用網(wǎng)絡(luò )安全等級保護制度標準，結合業(yè)務(wù)的特點(diǎn)開(kāi)展體系化的網(wǎng)絡(luò )安全管理工作。

是否購買(mǎi)了符合等保技術(shù)要求的網(wǎng)絡(luò )安全設備就能夠有效抵御網(wǎng)絡(luò )風(fēng)險？

網(wǎng)絡(luò )安全產(chǎn)品是最低成本、最高效率、解決最基本網(wǎng)絡(luò )安全問(wèn)題的手段和工具，但是工具購置齊全后如何利用工具開(kāi)展有效的網(wǎng)絡(luò )安全防護規劃與執行是至關(guān)重要的，所以只是從標定合規要求購置網(wǎng)絡(luò )安全產(chǎn)品的角度開(kāi)展等級保護工作是看似簡(jiǎn)單實(shí)際卻是錯誤的方法。

實(shí)際工作中是否為了保障業(yè)務(wù)的連續性要犧牲網(wǎng)絡(luò )安全建設的完整性？

從保密性、完整性和可用性三個(gè)屬性的角度看，其存在相互協(xié)同又相互制約的可能，實(shí)際工作中我們會(huì )面對的安全防護體系給業(yè)務(wù)帶來(lái)不便的情況，建議在此類(lèi)情況發(fā)生時(shí)切勿單獨從業(yè)務(wù)或者安全單一維度看待影響和解決方案，業(yè)務(wù)與安全的融合至關(guān)重要，單純IT資產(chǎn)角度看待網(wǎng)絡(luò )安全風(fēng)險的局限性已經(jīng)顯現，所以業(yè)務(wù)安全與網(wǎng)絡(luò )安全制度、標準的共同融合將有效解決安全與業(yè)務(wù)的制約與矛盾。

等保2.0什么時(shí)候算正式實(shí)施？安徽靈狐科技能提供哪些服務(wù)？

2019年12月1日正式實(shí)施，在此之前仍然有近半年的過(guò)渡期。等保2.0依然在整個(gè)實(shí)施流程上由五個(gè)標準環(huán)節構成：定級、備案、建設整改、等級測評、監督檢查五個(gè)方面。

安徽靈狐科技結合網(wǎng)絡(luò )安全產(chǎn)品、安全服務(wù)、咨詢(xún)規劃服務(wù)三大類(lèi)業(yè)務(wù)能力：

在定級、備案、建設整改前期、監督檢查環(huán)節以一體化咨詢(xún)服務(wù)結合十余年等保項目經(jīng)驗，安徽靈狐科技為客戶(hù)提供全面的咨詢(xún)規劃與現場(chǎng)服務(wù)；

在建設整改環(huán)節，安徽靈狐科技為客戶(hù)提供網(wǎng)絡(luò )安全產(chǎn)品、攻防滲透服務(wù)、咨詢(xún)規劃服務(wù)與集成交付實(shí)施服務(wù)等；

在等級測評前期，安徽靈狐科技為客戶(hù)提供合規預評估、輔助測評服務(wù)，保障高效、順利通過(guò)等級測評；

在監督檢查環(huán)節，安徽靈狐科技為客戶(hù)開(kāi)展巡檢、故障處置、應急處置等服務(wù)工作；

最后安徽靈狐科技針對已按照等保1.0建設的客戶(hù)提供復測評、1.0向2.0升級實(shí)施規劃、等保2.0復測評等內容提供專(zhuān)業(yè)的咨詢(xún)服務(wù)、產(chǎn)品及安全服務(wù)。