5月13日，備受矚目的網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn)（以下簡稱“等保2.0”）正式發(fā)布，實施時間為2019年12月1日，我國網(wǎng)絡(luò)安全等級保護(hù)制度正式由1.0邁入2.0時代。

互聯(lián)網(wǎng)發(fā)展瞬息萬變，網(wǎng)絡(luò)威脅也在不斷升級。如今，日趨復(fù)雜的網(wǎng)絡(luò)安全問題嚴(yán)重威脅個人、企業(yè)機(jī)構(gòu)乃至國家安全，沒有網(wǎng)絡(luò)安全就沒有國家安全，網(wǎng)絡(luò)安全已上升到國家戰(zhàn)略。

維護(hù)網(wǎng)絡(luò)安全離不開制度、技術(shù)、人才等的全面發(fā)展和保障，而網(wǎng)絡(luò)安全法中明確規(guī)定國家實行網(wǎng)絡(luò)安全等級保護(hù)制度，表明了等級保護(hù)制度的法律地位，對我國網(wǎng)絡(luò)安全保障工作具有重要意義。

標(biāo)準(zhǔn)宣貫

標(biāo)準(zhǔn)建立起來了，但距離真正落地還有很長的路要走，這其間需要對標(biāo)準(zhǔn)進(jìn)行宣貫推廣，讓更多的人和企業(yè)機(jī)構(gòu)認(rèn)識和踐行等保2.0標(biāo)準(zhǔn)。

在5月16日舉辦的網(wǎng)絡(luò)安全等級保護(hù)制度2.0國家標(biāo)準(zhǔn)宣貫會上，公安部網(wǎng)絡(luò)安全保衛(wèi)局書記王瑛瑋表示，等級保護(hù)制度2.0國家標(biāo)準(zhǔn)的發(fā)布，是具有里程碑意義的一件大事，標(biāo)志著國家網(wǎng)絡(luò)安全等級保護(hù)工作步入新時代，對保障和促進(jìn)國家信息化發(fā)展，提升國家網(wǎng)絡(luò)安全保護(hù)能力，維護(hù)國家保護(hù)空間安全具有重要的意義。

王瑛瑋提出四點意見。一是要高度重視，深刻領(lǐng)會。各單位要認(rèn)真學(xué)習(xí)領(lǐng)會標(biāo)準(zhǔn)各項要求，加快推動國家標(biāo)準(zhǔn)的貫徹和實施。二是要加強(qiáng)宣傳，強(qiáng)化培訓(xùn)。各地區(qū)各部門要加強(qiáng)對2.0標(biāo)準(zhǔn)的宣傳，加強(qiáng)對標(biāo)準(zhǔn)的解讀和培訓(xùn)，形成廣泛共識，保證標(biāo)準(zhǔn)的整體落地。三是要推動行標(biāo)，指導(dǎo)實踐。重點行業(yè)部門要根據(jù)2.0國家標(biāo)準(zhǔn)，結(jié)合本行業(yè)實踐，加快修訂完善本行業(yè)等級保護(hù)行業(yè)標(biāo)準(zhǔn)。四是加強(qiáng)督導(dǎo)，推動落實。各地公安機(jī)關(guān)各行業(yè)主管部門要加強(qiáng)對本地區(qū)本行業(yè)網(wǎng)絡(luò)安全等級保護(hù)工作的監(jiān)督、檢查和指導(dǎo)，在做好當(dāng)前網(wǎng)絡(luò)安全等級保護(hù)工作的基礎(chǔ)上，逐步向2.0國家標(biāo)準(zhǔn)有關(guān)要求過渡，不斷提升本地區(qū)本行業(yè)本部門網(wǎng)絡(luò)安全保護(hù)能力。

公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全表示，等級保護(hù)制度是中國網(wǎng)絡(luò)安全保障工作的偉大創(chuàng)舉，是網(wǎng)絡(luò)安全的基石，要深入推進(jìn)等級保護(hù)制度，落實網(wǎng)絡(luò)安全法，帶動中國的網(wǎng)絡(luò)安全企業(yè)向世界一流企業(yè)發(fā)展。他要求全國公安機(jī)關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門要對各行各業(yè)落實國家等級保護(hù)制度給予大力支持，真正做到牽頭指導(dǎo)監(jiān)督，借助這次大會的契機(jī)，把我國等級保護(hù)制度推進(jìn)到一個新的高度，推動國家網(wǎng)絡(luò)安全工作進(jìn)入一個新時代。

新標(biāo)準(zhǔn)探究

等保2.0是在1.0的基礎(chǔ)上，聚焦新問題、新威脅和新技術(shù)，與時俱進(jìn)，總結(jié)吸取網(wǎng)絡(luò)安全保護(hù)成功經(jīng)驗，并借鑒國際先進(jìn)安全保護(hù)技術(shù)，創(chuàng)新性地提出安全保護(hù)通用要求，以此實現(xiàn)對新技術(shù)、新應(yīng)用安全保護(hù)對象的全覆蓋和安全保護(hù)領(lǐng)域的全覆蓋。

等保2.0由包括網(wǎng)絡(luò)安全等級保護(hù)基本要求、網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求和網(wǎng)絡(luò)安全等級保護(hù)測評要求3個核心標(biāo)準(zhǔn)在內(nèi)的多項標(biāo)準(zhǔn)構(gòu)成，如圖1所示。公安部信息安全等級保護(hù)評估中心副研究員馬力表示，相較于1.0時期的標(biāo)準(zhǔn)結(jié)構(gòu)不一致問題，等保2.0以3個核心標(biāo)準(zhǔn)的統(tǒng)一分類框架，形成了“安全通信網(wǎng)絡(luò)”“安全區(qū)域邊界”“安全計算環(huán)境”和“安全管理中心”支持下的“一個中心，三重防護(hù)”體系架構(gòu)。

同時，馬力表示，等保2.0更加突出技術(shù)思維和立體防范，注重全方位主動防御、動態(tài)防御、整體防控和精準(zhǔn)防護(hù)，進(jìn)一步強(qiáng)化“一個中心，三重防護(hù)”的安全保護(hù)體系，將進(jìn)一步指導(dǎo)各單位、各部門整體提升網(wǎng)絡(luò)安全保護(hù)能力，發(fā)揮維護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施，重要信息系統(tǒng)和大數(shù)據(jù)安全的關(guān)鍵基礎(chǔ)性作用。

在覆蓋范圍上，等保2.0實現(xiàn)兩個“全覆蓋”：不僅覆蓋全社會的各地區(qū)、各單位、各企業(yè)、各部門、各機(jī)構(gòu)等，而且通過“通用要求+擴(kuò)展要求”，覆蓋包括網(wǎng)絡(luò)、信息系統(tǒng)、信息，以及云平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等各類新技術(shù)應(yīng)用。

圖1 等級保護(hù)系列標(biāo)準(zhǔn)

此外，等保2.0還將基于可信根的可信驗證列入各級別和各環(huán)節(jié)的主要功能要求，確立可信計算技術(shù)的重要地位，結(jié)合人工智能、密碼保護(hù)、生物識別、大數(shù)據(jù)分析等高端技術(shù)，落實網(wǎng)絡(luò)安全管理要求、技術(shù)要求、測評要求和設(shè)計要求等。

多方聯(lián)動，推動落地

據(jù)王瑛瑋介紹，自2014年起，為進(jìn)一步健全完善等級保護(hù)制度，公安部組織國內(nèi)科研院所、網(wǎng)絡(luò)安全檢測機(jī)構(gòu)、安全廠商、物聯(lián)網(wǎng)企業(yè)等30余家單位，在等級保護(hù)專家隊伍的全力支持下，全面總結(jié)1.0標(biāo)準(zhǔn)實施情況，深入研究云計算、移動互聯(lián)、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)、新應(yīng)用的安全問題，廣泛進(jìn)行研究論證、修改完善和試點試用，到現(xiàn)在完成了2.0標(biāo)準(zhǔn)的制修訂工作，是網(wǎng)絡(luò)安全領(lǐng)域?qū)＜液蛯W(xué)者集體智慧的結(jié)晶。

實施網(wǎng)絡(luò)安全等級保護(hù)制度的目標(biāo)是要實現(xiàn)變被動防護(hù)為主動防護(hù)，變靜態(tài)防護(hù)為動態(tài)防護(hù)，變單點防護(hù)為整體防控，變粗放防護(hù)為精準(zhǔn)防護(hù)，建立“打防管控”一體化的網(wǎng)絡(luò)安全綜合防御體系，提升國家網(wǎng)絡(luò)安全整體防御能力。

落實等保2.0離不開各相關(guān)部門、廣大用戶以及安全廠商等的共同努力，特別是在開展等保工作的系統(tǒng)定級、系統(tǒng)備案、建設(shè)整改、系統(tǒng)測評、監(jiān)督管理五個階段過程中，需要監(jiān)管部門、評測機(jī)構(gòu)、運營使用單位等的多方合作。

而對于安全廠商來說，也有責(zé)任和義務(wù)投入到等級保護(hù)工作中去，根據(jù)等保2.0標(biāo)準(zhǔn)發(fā)展新安全技術(shù)，開發(fā)匹配的安全產(chǎn)品，全力做好網(wǎng)絡(luò)安全服務(wù)，幫助用戶建設(shè)合規(guī)、有效的網(wǎng)絡(luò)安全體系。

深信服科技股份有限公司CEO何朝曦表示，深信服在踐行等保2.0標(biāo)準(zhǔn)中要做好三方面工作：一是通過宣貫、培訓(xùn)幫助用戶理解和應(yīng)用等保方面的知識；二是通過產(chǎn)品的創(chuàng)新，場景的適配，向用戶交付真正有效的等保2.0方案；三是安全廠商要和監(jiān)管部門、評測機(jī)構(gòu)和其他廠商通力協(xié)作，推進(jìn)等保2.0工作不斷發(fā)展。