等保2.0落地！十張圖帶你看國(guó)家網(wǎng)絡(luò)安全基本國(guó)策

網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人或其他組織及公民專有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)進(jìn)行響應(yīng)、處置。

我國(guó)的等保工作最早是從1994年提出的，但直至2007年才發(fā)布《信息安全等級(jí)保護(hù)管理辦法》及后續(xù)的系列政策，等保工作才正式開(kāi)始。2008年，《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）的公布標(biāo)志著等級(jí)保護(hù)制度的標(biāo)準(zhǔn)化，等保1.0時(shí)代正式到來(lái)。

隨著新技術(shù)的不斷精進(jìn)，網(wǎng)絡(luò)安全威脅也不斷升級(jí)，等保1.0已經(jīng)逐漸不能適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。2019年5月13日下午，《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）正式發(fā)布，替代了原先的《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008），并在標(biāo)準(zhǔn)名稱、保護(hù)對(duì)象、章節(jié)結(jié)構(gòu)、控制措施等部分進(jìn)行了修改和更新，實(shí)施時(shí)間為2019年12月1日，標(biāo)志著我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作正式進(jìn)入“2.0時(shí)代”。

依據(jù)系統(tǒng)受破壞后危害的范圍和嚴(yán)重程度，等保等級(jí)由低到高分為五級(jí)。其中1級(jí)系統(tǒng)影響小，無(wú)需備案；5級(jí)系統(tǒng)屬于理想狀態(tài)，目前尚未存在。從實(shí)踐層面看，4級(jí)是等保等級(jí)中最難的級(jí)別了。值得一提的是，2018年6月，華為云高分通過(guò)等保2.0評(píng)測(cè)4級(jí)，為用戶提供更加安全可靠的云服務(wù)。

體系框架和保障思路的變化

相比等保1.0，等保2.0更加契合當(dāng)今的網(wǎng)絡(luò)安全形勢(shì)，將“云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)和工業(yè)控制系統(tǒng)”納入等保監(jiān)管，互聯(lián)網(wǎng)企業(yè)也將納入等級(jí)保護(hù)管理。等保1.0保護(hù)的對(duì)象是計(jì)算機(jī)信息系統(tǒng)，而等保2.0上升為網(wǎng)絡(luò)空間安全，除了計(jì)算機(jī)信息系統(tǒng)，還包含網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施、“云、物、移、大、工控”等對(duì)象。等保由原來(lái)的規(guī)定上升到了法律,執(zhí)行力度加大，等級(jí)保護(hù)2.0是一次網(wǎng)絡(luò)安全的重大升級(jí)。

等保2.0由舊標(biāo)準(zhǔn)的10個(gè)分類調(diào)整為8個(gè)分類。管理要求方面，調(diào)整為安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運(yùn)維管理；技術(shù)要求方面，調(diào)整為物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全。

等級(jí)保護(hù)工作的基本流程落實(shí)到系統(tǒng)建設(shè)全生命周期的每個(gè)環(huán)節(jié)，每一環(huán)都需要系統(tǒng)運(yùn)營(yíng)、使用單位重點(diǎn)留意。等保工作包括系統(tǒng)定級(jí)、系統(tǒng)備案、整改實(shí)施、系統(tǒng)測(cè)評(píng)和運(yùn)維檢查五大步驟，其中最重要的環(huán)節(jié)是信息系統(tǒng)安全等級(jí)測(cè)評(píng)，它用來(lái)驗(yàn)證信息系統(tǒng)能不能滿足相應(yīng)安全保護(hù)等級(jí)，包含安全控制測(cè)評(píng)和系統(tǒng)整體測(cè)評(píng)兩個(gè)層次。

測(cè)評(píng)的變化

從前等保1.0第四級(jí)系統(tǒng)每半年測(cè)評(píng)一次，現(xiàn)在第三級(jí)以上系統(tǒng)每年一次，測(cè)評(píng)周期有所放長(zhǎng)；等保1.0里60分以上即符合測(cè)評(píng)結(jié)果，現(xiàn)在要求75分以上才能通過(guò)測(cè)評(píng)，測(cè)評(píng)門檻有所提高。

標(biāo)準(zhǔn)控制點(diǎn)與要求項(xiàng)數(shù)量的變化

等保2.0的標(biāo)準(zhǔn)控制點(diǎn)數(shù)量與等保1.0基本持平，匯總來(lái)看相對(duì)于舊標(biāo)準(zhǔn)有所精簡(jiǎn)，三級(jí)與四級(jí)的控制點(diǎn)數(shù)量均削減至71個(gè)。

要求項(xiàng)方面的精簡(jiǎn)程度更加明顯，大量刪減了冗雜條項(xiàng)。等保2.0的二級(jí)、三級(jí)、四級(jí)的要求項(xiàng)從舊標(biāo)準(zhǔn)的175個(gè)、290個(gè)、318個(gè)分別削減至148個(gè)、231個(gè)、246個(gè)。

除刪減冗雜項(xiàng)外，等保2.0通用要求中還根據(jù)互聯(lián)網(wǎng)業(yè)態(tài)發(fā)展新增了重要要求項(xiàng)，主要集中在入侵防范、惡意代碼防范、集中管控、安全審計(jì)和集中管控方面，與新增要求項(xiàng)一一對(duì)應(yīng)的信息安全新增產(chǎn)品也將隨之迎來(lái)巨大的發(fā)展空間。

等保2.0與1.0最大的區(qū)別在于系統(tǒng)防護(hù)由被動(dòng)防御變?yōu)橹鲃?dòng)防御，從前被動(dòng)防御要求防火墻、殺病毒、IDS，現(xiàn)在上升到主動(dòng)防御，除了傳統(tǒng)的安全設(shè)備防火墻、網(wǎng)絡(luò)版殺毒軟件以及網(wǎng)關(guān)層的防毒墻外，還需要部署安全準(zhǔn)入系統(tǒng)、堡壘機(jī)、雙因素認(rèn)證設(shè)備、漏洞掃描器、數(shù)據(jù)庫(kù)防火墻；另外還需要定期的安全服務(wù)，包括滲透測(cè)試服務(wù)、系統(tǒng)上線前安全測(cè)試服務(wù)與安全運(yùn)維服務(wù)；最后，還需部署SOC平臺(tái)、安全態(tài)勢(shì)感知平臺(tái)，從全局性角度去檢測(cè)、感知、發(fā)現(xiàn)整體的安全趨勢(shì)及可能存在的安全問(wèn)題，部署防APT（高級(jí)持續(xù)性威脅）攻擊的設(shè)備發(fā)現(xiàn)一些潛在的不定期的隱蔽的各類攻擊。

我國(guó)信息安全行業(yè)具備強(qiáng)政策周期性，同時(shí)具備與宏觀經(jīng)濟(jì)相關(guān)性較弱屬性。未來(lái)兩年，等保2.0落地效果逐步顯現(xiàn)，隨著監(jiān)管范圍與監(jiān)管內(nèi)容的拓寬疊加信息安全行業(yè)屬性將加速信息安全行業(yè)投資。

更多數(shù)據(jù)參考前瞻產(chǎn)業(yè)研究院發(fā)布的《中國(guó)信息安全行業(yè)發(fā)展前景預(yù)測(cè)與投資戰(zhàn)略規(guī)劃分析報(bào)告》

更多深度行業(yè)分析盡在【前瞻經(jīng)濟(jì)學(xué)人APP】，還可以與500+經(jīng)濟(jì)學(xué)家/資深行業(yè)研究員交流互動(dòng)