等保2.0發(fā)布后，整個(gè)網(wǎng)絡(luò)安全行業(yè)積極學(xué)習(xí)并按照新規(guī)范進(jìn)行網(wǎng)絡(luò)系統(tǒng)的部署。然而許多人仍然對(duì)等保制度的來歷、發(fā)展、演變以及貫徹重點(diǎn)存在疑問。

一、等保的重要?dú)v史作用

2007年我國信息安全等級(jí)保護(hù)制度正式實(shí)施，通過十余年的時(shí)間的發(fā)展與實(shí)踐，成為了我國非涉密信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)的重要標(biāo)準(zhǔn)。

等保標(biāo)準(zhǔn)具有很強(qiáng)的實(shí)用性：它是監(jiān)管部門合規(guī)執(zhí)法檢查的依據(jù)，是我國諸多網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)制度的重要參考體系架構(gòu)，是行業(yè)主管部門對(duì)于下級(jí)部門網(wǎng)絡(luò)安全建設(shè)的指引標(biāo)準(zhǔn)的重要依據(jù)和參考體系，由此標(biāo)準(zhǔn)衍生了諸多行業(yè)標(biāo)準(zhǔn)：例如人社行業(yè)等保標(biāo)準(zhǔn)、金融行業(yè)等保標(biāo)準(zhǔn)、能源行業(yè)（電力）等保標(biāo)準(zhǔn)、教育行業(yè)等保標(biāo)準(zhǔn)等行業(yè)標(biāo)準(zhǔn)?？偟膩碚f，等保制度是網(wǎng)絡(luò)安全從業(yè)者開展網(wǎng)絡(luò)安全工作的重要指導(dǎo)體系和制度。

二、等保制度的發(fā)展歷程

等保制度從2007信息安全等級(jí)保護(hù)制度正式發(fā)布執(zhí)行。2014年全國安標(biāo)委秘書處下達(dá)對(duì)《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)基本要求》（ GB/T 22239—2008）進(jìn)行修訂的任務(wù)，修訂工作由公安部第三研究所（公安部信息安全等保護(hù)評(píng)估中心）主要承擔(dān)。

2016第五屆全國信息安全等級(jí)保護(hù)大會(huì)提出國家對(duì)等級(jí)保護(hù)制度提出了新的要求，等級(jí)保護(hù)制度將進(jìn)入2.0時(shí)代。2017年信安標(biāo)委開展網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)的制修訂工作，17年1月形成征求意見稿。2017年《網(wǎng)絡(luò)安全法》正式執(zhí)行明確了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度作為落實(shí)網(wǎng)絡(luò)安全法網(wǎng)絡(luò)安全建設(shè)的重要標(biāo)準(zhǔn)依據(jù)。2018年6月網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見稿）發(fā)布。2019年5月網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)正式發(fā)布。

三、等保2.0變化的幾個(gè)關(guān)鍵點(diǎn)

首先是意義的變化：由信息安全等級(jí)保護(hù)→網(wǎng)絡(luò)安全等級(jí)保護(hù)，強(qiáng)調(diào)網(wǎng)絡(luò)空間安全。網(wǎng)絡(luò)安全法第21條、第31條明確規(guī)定了網(wǎng)絡(luò)運(yùn)營者和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者，都應(yīng)該按網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求對(duì)系統(tǒng)進(jìn)行安全保護(hù)，以法律的形式確定等級(jí)保護(hù)工作為國家網(wǎng)絡(luò)安全的基本國策，并在法律層面確立了其在網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)、核心地位。

第二，是對(duì)象的變化。新等保實(shí)現(xiàn)了保護(hù)對(duì)象的全覆蓋，更具普適性與指導(dǎo)性，對(duì)象擴(kuò)大了（包括基礎(chǔ)網(wǎng)絡(luò)），通用要求加擴(kuò)展要求（工控、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)），更適應(yīng)當(dāng)前信息化高速發(fā)展所面臨的新問題新挑戰(zhàn)。

第三，定級(jí)上的變化，三級(jí)系統(tǒng)的定級(jí)新增了一類受侵害客體：對(duì)于公民、法人和其他組織的合法權(quán)益造成嚴(yán)重影響的應(yīng)定為三級(jí)。

第四，是測(cè)評(píng)標(biāo)準(zhǔn)的變化。測(cè)評(píng)要求的【測(cè)評(píng)單元】中增加了【測(cè)評(píng)對(duì)象】項(xiàng)，進(jìn)一步明確了測(cè)評(píng)的對(duì)象。測(cè)評(píng)條件更具適應(yīng)性但是要求更嚴(yán)格（復(fù)測(cè)評(píng)周期、測(cè)評(píng)控制項(xiàng)的減少、合規(guī)基線上調(diào)測(cè)評(píng)75分以上合格，當(dāng)然這部分要求在部分地區(qū)部分行業(yè)主管單位現(xiàn)行等保標(biāo)準(zhǔn)也有基于現(xiàn)狀及預(yù)期效果有彈性要求、例如個(gè)別地區(qū)衛(wèi)健委要求醫(yī)院等保初次等保測(cè)評(píng)合格分?jǐn)?shù)基線為80分，復(fù)測(cè)評(píng)合格分?jǐn)?shù)基線為85分）、某省金融行業(yè)等保測(cè)評(píng)合格分?jǐn)?shù)基線為90分。四級(jí)及以上系統(tǒng)復(fù)測(cè)評(píng)周期延長，改為一年為復(fù)測(cè)評(píng)周期，兼顧考慮了實(shí)際等級(jí)保護(hù)工作的所面臨的復(fù)雜情況，更符合實(shí)際工作的場(chǎng)景。

等保2.0在定級(jí)備案實(shí)施也發(fā)生了變化，在備案環(huán)節(jié)原30天內(nèi)備案的時(shí)間縮短為10個(gè)工作日。等保2.0的定級(jí)，不是自主定級(jí)，到公安機(jī)關(guān)定級(jí)備案前要新增兩個(gè)關(guān)鍵環(huán)節(jié)，確保定級(jí)備案的嚴(yán)謹(jǐn)與準(zhǔn)確，第一對(duì)于定級(jí)對(duì)象的等級(jí)要經(jīng)過專家評(píng)審，第二要經(jīng)得主管部門審核通過，才能到公安機(jī)關(guān)備案確定最終等級(jí)保護(hù)對(duì)象的級(jí)別，整體定級(jí)更加嚴(yán)格。新建的第三級(jí)以上定級(jí)對(duì)象，通過等級(jí)測(cè)評(píng)后方可投入運(yùn)行，加強(qiáng)“同步性”原則。

從等級(jí)保護(hù)2.0框架中能夠體現(xiàn)“一個(gè)中心，三重防護(hù)”的思想得以升華，等保2.0標(biāo)準(zhǔn)體系相比現(xiàn)行等保標(biāo)準(zhǔn)的安全體系更注重動(dòng)態(tài)防御（變被動(dòng)防護(hù)為主動(dòng)防護(hù)，變靜態(tài)防護(hù)為動(dòng)態(tài)防護(hù)，變單點(diǎn)防護(hù)為整體防控，變粗放防護(hù)為精準(zhǔn)防護(hù)），強(qiáng)調(diào)事前預(yù)防、事中響應(yīng)、事后審計(jì)。等級(jí)保護(hù)2.0體系中要求應(yīng)依據(jù)國家網(wǎng)絡(luò)安全等級(jí)保護(hù)政策和標(biāo)準(zhǔn)，開展組織管理、機(jī)制建設(shè)、安全規(guī)劃、安全監(jiān)測(cè)、通報(bào)預(yù)警、應(yīng)急處置、態(tài)勢(shì)感知、能力建設(shè)、監(jiān)督檢查、技術(shù)檢測(cè)、安全可控、隊(duì)伍建設(shè)、教育培訓(xùn)和經(jīng)費(fèi)保障等工作。

等保2.0首次加入了可信計(jì)算的相關(guān)要求并分級(jí)逐級(jí)提出可采用可信驗(yàn)證的要求。注意是可采用不是應(yīng)采用。另外在惡意代碼防范方面三級(jí)系統(tǒng)要求或采用主動(dòng)免疫可信驗(yàn)證機(jī)制。四級(jí)以上惡意代碼防范方面要求應(yīng)采用主動(dòng)免疫可信驗(yàn)證機(jī)制。

等保2.0新增個(gè)人信息保護(hù)內(nèi)容，個(gè)人信息安全做為網(wǎng)絡(luò)安全法的內(nèi)容在等保要求控制項(xiàng)中也獨(dú)立出現(xiàn)，在當(dāng)前政務(wù)互通、人物互聯(lián)，個(gè)人信息被廣泛采集的商業(yè)、政務(wù)環(huán)境下，意指提升個(gè)人信息保護(hù)的重要性和必要性。

四、解讀等保2.0

在過去10余年的等級(jí)保護(hù)實(shí)施建設(shè)中，等級(jí)保護(hù)工作給社會(huì)各界帶來了示范性、標(biāo)準(zhǔn)化的指導(dǎo)和積極影響，等級(jí)保護(hù)制度是一套相對(duì)嚴(yán)謹(jǐn)有效的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制度。但是，對(duì)于等級(jí)保護(hù)標(biāo)準(zhǔn)制度的實(shí)施與建設(shè)仍然還有部分地區(qū)部分網(wǎng)絡(luò)安全從業(yè)者存在理解上的誤區(qū)和疑問。

等保是否是免責(zé)的安全牌？

事實(shí)上從網(wǎng)絡(luò)安全法實(shí)施以來的各類處罰案例來看，并不應(yīng)該把獲得等保合規(guī)證書作為網(wǎng)絡(luò)信息安全工作免責(zé)的目標(biāo)，而是應(yīng)該理解、使用網(wǎng)絡(luò)安全等級(jí)保護(hù)制度標(biāo)準(zhǔn)，結(jié)合業(yè)務(wù)的特點(diǎn)開展體系化的網(wǎng)絡(luò)安全管理工作。

是否購買了符合等保技術(shù)要求的網(wǎng)絡(luò)安全設(shè)備就能夠有效抵御網(wǎng)絡(luò)風(fēng)險(xiǎn)？

網(wǎng)絡(luò)安全產(chǎn)品是最低成本、最高效率、解決最基本網(wǎng)絡(luò)安全問題的手段和工具，但是工具購置齊全后如何利用工具開展有效的網(wǎng)絡(luò)安全防護(hù)規(guī)劃與執(zhí)行是至關(guān)重要的，所以只是從標(biāo)定合規(guī)要求購置網(wǎng)絡(luò)安全產(chǎn)品的角度開展等級(jí)保護(hù)工作是看似簡(jiǎn)單實(shí)際卻是錯(cuò)誤的方法。

實(shí)際工作中是否為了保障業(yè)務(wù)的連續(xù)性要犧牲網(wǎng)絡(luò)安全建設(shè)的完整性？

從保密性、完整性和可用性三個(gè)屬性的角度看，其存在相互協(xié)同又相互制約的可能，實(shí)際工作中我們會(huì)面對(duì)的安全防護(hù)體系給業(yè)務(wù)帶來不便的情況，建議在此類情況發(fā)生時(shí)切勿單獨(dú)從業(yè)務(wù)或者安全單一維度看待影響和解決方案，業(yè)務(wù)與安全的融合至關(guān)重要，單純IT資產(chǎn)角度看待網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的局限性已經(jīng)顯現(xiàn)，所以業(yè)務(wù)安全與網(wǎng)絡(luò)安全制度、標(biāo)準(zhǔn)的共同融合將有效解決安全與業(yè)務(wù)的制約與矛盾。

等保2.0什么時(shí)候算正式實(shí)施？安徽靈狐科技能提供哪些服務(wù)？

2019年12月1日正式實(shí)施，在此之前仍然有近半年的過渡期。等保2.0依然在整個(gè)實(shí)施流程上由五個(gè)標(biāo)準(zhǔn)環(huán)節(jié)構(gòu)成：定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查五個(gè)方面。

安徽靈狐科技結(jié)合網(wǎng)絡(luò)安全產(chǎn)品、安全服務(wù)、咨詢規(guī)劃服務(wù)三大類業(yè)務(wù)能力：

在定級(jí)、備案、建設(shè)整改前期、監(jiān)督檢查環(huán)節(jié)以一體化咨詢服務(wù)結(jié)合十余年等保項(xiàng)目經(jīng)驗(yàn)，安徽靈狐科技為客戶提供全面的咨詢規(guī)劃與現(xiàn)場(chǎng)服務(wù)；

在建設(shè)整改環(huán)節(jié)，安徽靈狐科技為客戶提供網(wǎng)絡(luò)安全產(chǎn)品、攻防滲透服務(wù)、咨詢規(guī)劃服務(wù)與集成交付實(shí)施服務(wù)等；

在等級(jí)測(cè)評(píng)前期，安徽靈狐科技為客戶提供合規(guī)預(yù)評(píng)估、輔助測(cè)評(píng)服務(wù)，保障高效、順利通過等級(jí)測(cè)評(píng)；

在監(jiān)督檢查環(huán)節(jié)，安徽靈狐科技為客戶開展巡檢、故障處置、應(yīng)急處置等服務(wù)工作；

最后安徽靈狐科技針對(duì)已按照等保1.0建設(shè)的客戶提供復(fù)測(cè)評(píng)、1.0向2.0升級(jí)實(shí)施規(guī)劃、等保2.0復(fù)測(cè)評(píng)等內(nèi)容提供專業(yè)的咨詢服務(wù)、產(chǎn)品及安全服務(wù)。