天極網親訪5位網路安全專家，為你全面專業解讀「等保2.0」

編者按：

5月13日，國家市場監督管理總局召開新聞發布會，正式發布《信息安全技術網路信息安全等級保護基本要求》，俗稱「等保2.0」。據悉，等保2.0將於2019年12月1日正式實施。等保2.0的發布，標誌著我國正式進入「等保2.0時代」。

天極網記者採訪五位網路安全專家，以「一線」視角為廣大用戶解讀等保2.0，並為企業用戶做到標準合規提出建議。

等保2.0的發布，這是一件好事。啟明星辰集團網御星雲技術總監馬閩認為，這標誌著我國網路安全等級保護工作正式進入「2.0時代」。等保2.0的發布充分貫徹《中華人民共和國網路安全法》，實現我國網路安全戰略目標，落實分等級保護、突出重點、積極防禦、綜合防護的總體要求，變被動防護為主動防護，變靜態防護為動態防護，變單點防護為整體防控，變粗放防護為精準防護，堅持同步規劃、同步建設、同步運行網路安全保護措施的「三同步」要求，提升我國的網路安全綜合防護能力。

當今，互聯網發展「一日千里」，無論是底層的IT基礎設施，還是普通消費者每天使用的互聯網應用，變化隨時發生，變革日新月異。互聯網，就像一匹脫韁的野馬，正「蒙眼狂奔」，而網路安全則是「這匹野馬的韁繩」。當互聯網這匹野馬跑得越來越快，老舊的「韁繩」卻遏制不住它的速度。

據工信部5月23日發布的《2019年第一季度信息通信行業網路安全監管情況通報》表明，公共互聯網安全保護形勢依舊嚴峻。

其中，一季度，惡意程序、各類釣魚和欺詐網站仍不斷出現，全行業共處置網路安全威脅約967萬餘個，包括惡意IP地址、惡意域名等惡意網路資源近170萬個，木馬、殭屍程序、病毒等惡意程序約698萬餘個，網路安全漏洞等安全隱患約4.8萬個，主機受控、數據泄露、網頁篡改等安全事件約93.5萬個。

這些網路安全問題不僅嚴重威脅了企業信息網路安全、資金賬戶安全，而且影響企業聲譽，造成嚴重的經濟損失。

因此，等保2.0的出台，有利於提高企事業單位的網路安全意識，在等保合規框架內做好網路安全工作。

等保2.0的誕生歷程

1994年，國務院發布《計算機信息系統安全保護條例》147號令。該條例首次提出「計算機信息系統實行安全等級保護」，安全等級保護理念由此誕生。伴隨國家信息化的高速發展，2007年，公安部發布《信息安全等級保護管理辦法》，俗稱等保1.0，這標誌著全國範圍的網路安全等級保護工作正式拉開序幕，並成為我國網路安全方面的主要依據。

但是，等保1.0不僅缺乏對一些新技術和新應用的等級保護規範，比如雲計算、物聯網和移動互聯網等，而且風險評估、安全監測和通報預警等工作以及政策、標準、測評和服務等體系不完善。

啟明星辰集團首席安全專家趙呈東

據啟明星辰集團首席安全專家趙呈東介紹，根據全國信息安全標準化技術委員會2013年下達的國家標準修訂計劃，國家標準《信息安全技術 信息系統安全等級保護基本要求》修訂任務由公安部第三研究所負責主辦，項目編號為2013bzxd-WG5-002。

2013年12月，公安部第三研究所、國家能源局信息中心以及啟明星辰信息技術集團股份有限公司成立了《信息安全技術 信息系統安全等級保護基本要求》標準編製組。

啟明星辰集團網御星雲技術總監馬閩向天極網記者全面介紹了等保2.0的起草過程：

2013年12月，標準編製組成立;

2014年1月-3月，標準編製組按照計劃調研國際、國內新技術和新應用的情況，完成研究報告;

2014年4月-2016年11月，標準編製組修訂出標準草案的第一稿至第七稿，組織多次專家評審會，形成標準徵求意見稿;

2017年2月，公安部根據徵求意見稿收集建議並修改，形成標準送審稿;

2019年5月13日正式發布，12月1日正式實施。

經過6年時間，「等保2.0」正式完成並發布。深圳市網安計算機安全檢測技術有限公司(簡稱「深圳網安公司」)副總工程師黃偉傑認為，隨著雲計算、移動互聯、大數據和工業互聯網以及物聯網等一系列新技術、新產業的蓬勃發展，信息技術形態發生重大變化。與此同時，也帶來新的安全威脅和挑戰，網路空間的安全治理將進一步走向細分。

深圳市網安計算機安全檢測技術有限公司副總工程師黃偉傑

他說，「深圳市網安計算機安全檢測技術有限公司認為，在這種形勢下，國家及時推出等級保護2.0，解決新階段的網路安全問題，為我國的數字化快速發展保駕護航，是一種必然的趨勢和時代的需要。」

在筆者看來，等保1.0解決的是PC互聯網時代的問題。但經過十年發展，中國互聯網已經發展深入，進入移動互聯網時代。我們看到，基於雲計算、大數據和人工智慧，移動互聯網的底層IT基礎設施正在加速迭代，企業上雲，數據遷移和微服務以及容器化等，讓一些網路安全問題變得更複雜，涉及面更廣。另一方面，移動互聯網的成熟，讓各種互聯網應用「蓬勃發展」，新應用不斷產生，網路安全問題也隨之而來。

因此，等保2.0是要解決移動互聯網時代新形勢下產生的網路安全問題。

網路安全大咖為你解讀等保2.0

等保2.0體系複雜，涉及面廣。雖然筆者大致瀏覽完這份文件，但是仍然無法把握其精髓。對更多人來說，或許正面臨同樣的問題。因此，筆者關心的問題是：等保2.0的關鍵信息是什麼？它想要向外界傳達哪些信息？

黃偉傑稱「等保2.0的關鍵信息是『定位』，中華人民共和國《網路安全法》第二十一條明確提出『國家實行網路安全等級保護制度』，確立了等級保護的地位。」

「這向外界清晰地傳遞了一個重要信息，即等保2.0已經上升到法律層面，是網路空間安全的基礎，關乎國家安全，它所體現出來的基礎性、包容性、適應性和擴展性等新特性，能夠適應現階段網路安全的新形勢、新變化和新技術以及新應用發展的要求。」他說。

愛加密等保專家韓雲則認為，等級保護2.0的關鍵信息是在原來1.0基礎上增加的部分，例如雲計算安全、移動互聯安全、物聯網安全、工業控制系統安全及應用場景。

愛加密等保專家韓雲

從這點來看，等級保護2.0向外界傳達的網路安全等級保護的標準不再是單一的，網路安全需要全面的、多方位的、多角度的共同發展，是全網路、全產業和全社會的責任及義務。

此外，我們注意到等保2.0從正式發布到實施，中間留出近6個月時間。

談到這個做法時，「等保2.0是個新興事物，從發布到實施這個區間是為等保2.0的普及和傳播留下時間，為企業網路信息系統的轉變升級提供過渡。這6個月是學習、學會、學懂網路安全等級保護、領悟其精髓的6個月，是從單一信息安全到網路安全思想轉變的6個月，意義深遠。」韓雲說。

黃偉傑則簡明扼要地指出，中間留出近6個月時間，有利於加強等保2.0理念的宣傳貫徹、解讀推廣;對網路運營者能及時根據新的要求對貫徹落實工作預留充分時間。

啟明星辰集團網御星雲技術總監馬閩

親自參與等保2.0標準的起草人馬閩更具體的解釋道，已經發布的等保2.0設計要求、基本要求、測評要求和測評指南系列標準，信息量之多、跨度之大、覆蓋之廣，即覆蓋所有對象，包括網路、信息系統、信息，以及雲平台、物聯網、工控系統、大數據和移動互聯等各種新技術應用，且覆蓋社會的各地區、各單位、各部門、各企業和各機構。

等保2.0建設整改過程包括定級、規劃設計、建設整改、風險評估和等級測評，而測評周期變為三級以上每年測評，且測評結果變為75分以上才算基本符合要求，基本上實施過程需要6個月。

等保2.0與等保1.0的大不同

與等保1.0相比，等保2.0在等保1.0的基礎上做出全面的升級調整，這體現在網路安全防護思維的變化，從被動防禦到主動防禦、從一套標準走天下到細分領域定要求，更加強調整體管控能力，既能解決基礎問題又可應對新的安全風險。

「以期通過打造包含感知預警、安全分析、動態防護、全面檢測和應急處置並重於一體的主動安全保障體系，在最大程度上全面提升網路安全防護能力。」 黃偉傑說。

啟明星辰集團首席安全專家趙呈東則認為，最大的變化是網路安全等級保護制度2.0國家標準在1.0的基礎上，實現對新技術、新應用安全保護對象和安全保護領域的全覆蓋，將雲計算、物聯網、移動互聯、工業控制系統和大數據等相關新技術應用全部納入保護範疇。

銳捷網路安全產品事業部總經理項小升則指出，與等保1.0相比，等保2.0首先是標準順應時代發展變化，精簡刪去部分已經過時的條款;其次，名稱從「信息安全」變為「網路安全」，這意味著保護對象主體外延擴大到整個網路構成，不再僅僅是面向信息系統本身，同時也代表著物聯網、移動互聯網、工控網、雲數據中心等新擴展標準的引入。

銳捷網路安全產品事業部總經理項小升

最後，「等保2.0跳出1.0時代『被動防禦』的體系思路，重點強調了對未知威脅進行『主動防禦』，並積極採用新型技術的開放觀點，這是指導思想的一個重大革新。」他說。

等保2.0全面襲來 企業如何面對？

對企業來說，如何更好地理解並在企業中實踐等保2.0的要求？

啟明星辰集團首席安全專家趙呈東表示，企業可以從五個方面來做：

第一，加強等級保護2.0的培訓宣傳;

第二，與高校等機構合作，發揮企業網路安全優勢，產教結合;

第三，服務引導用戶向等保2.0規劃建設，將等級保護2.0的思想融入企業提供的網路安全解決方案和安全服務中;

第四，配合公安部等國家監管部門網路安全等級保護2.0的落地實施;

第五，加大與行業客戶的溝通，助推國家標準在行業的落地，推動行業等級保護標準的編寫和發布。

深圳網安副總工程師黃偉傑則稱，結合行業客戶的實際需求，提出三個方面的建議：

首先，企業需建立等保2.0為核心的網路安全管理體系。等保2.0是從當前信息化的安全保護需求出發，經過十幾年的實踐基礎而建立的一套新的安全體系，適合用戶現階段的風險管理需要，而且現在很多的企業信息技術形態包含了雲計算、移動互聯、大數據等多種新應用共存的情況，等保2.0管理體系有利於用戶全局統籌。

其次，將等級保護合規融入日常安全運營流程中。等保2.0並非一次性的合規工作，許多控制項需要結合到日常網路安全管理流程中才能體現出效用，通過持續應用和優化，才能提高合規成熟度，獲得真正的安全防護能力。

最後，定期開展等保2.0合規自查和專項檢查。等保2.0的合規工作不能只依賴一年一次的測評機構檢查，企業用戶應結合自身安全保障需求，定期根據新的標準開展自查工作，在重要事情或發生了重大的網路安全事件後，開展專項性的檢查。

寫在最後：

等保2.0雖然不是十全十美，比如更多的考慮落地和可實施性、缺乏針對區塊鏈和人工智慧的要求等，但是它是一個很重要的進步。不僅在於等保2.0的思想「前進」，注重「主動安全」，而且它的發布和實施，有利於推動我國網路安全產業的發展。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！