眾所周知，等級(jí)保護(hù)1．0已實(shí)施有10余年的時(shí)間，但是伴隨云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)的發(fā)展，這些新技術(shù)平臺(tái)的等級(jí)保護(hù)規(guī)范明顯缺乏、等級(jí)保護(hù)內(nèi)容不夠完善和體系不夠健全等諸多問(wèn)題。因此，等級(jí)保護(hù)2．0（以下簡(jiǎn)稱：等保2．0）的落地實(shí)施已變得十分急迫。

今天，好消息終于傳來(lái)，我國(guó)將于今年5月13日正式發(fā)布等保2．0標(biāo)準(zhǔn)。那么，等保2．0究竟發(fā)生了什么變化？等保2．0時(shí)代，企業(yè)如何做好安全體系建設(shè)？

網(wǎng)絡(luò)運(yùn)營(yíng)者不履行落實(shí)等級(jí)保護(hù)的義務(wù)就是違法！

自2015年起，國(guó)家安標(biāo)委開(kāi)始啟動(dòng)等保2．0標(biāo)準(zhǔn)的制定。2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的正式實(shí)施，將網(wǎng)絡(luò)安全等級(jí)保護(hù)由基本制度、基本國(guó)策，上升為法律。

《網(wǎng)絡(luò)安全法》的第二十一條明確規(guī)定：國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行相應(yīng)安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

同時(shí)，第三十一條規(guī)定：國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。

此外，第五十九條指出，網(wǎng)絡(luò)安全運(yùn)營(yíng)者不履行第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，將給予警告或者罰款等處罰。

這也就意味著，網(wǎng)絡(luò)運(yùn)營(yíng)者不履行落實(shí)等級(jí)保護(hù)的義務(wù)就是違法！

等級(jí)保護(hù)的實(shí)施將幫助各行業(yè)企業(yè)滿足合法合規(guī)要求，清晰化責(zé)任和工作方法，讓安全貫穿全生命周期；明確組織整體目標(biāo)，改變以往單點(diǎn)防御方式，讓安全建設(shè)更加體系化；提高人員安全意識(shí)，樹(shù)立等級(jí)化防護(hù)思想，合理分配網(wǎng)絡(luò)安全投資。

等級(jí)保護(hù)的發(fā)展歷程

在談等保2．0的變化之前，我們先來(lái)看看等級(jí)保護(hù)的發(fā)展歷程以及等保2．0的修訂背景。

從1．0到2．0，等保主要經(jīng)歷了以下幾個(gè)階段：

也許有人會(huì)問(wèn)，為什么要對(duì)等保標(biāo)準(zhǔn)進(jìn)行修訂，推出等保2．0？對(duì)此，深信服安全專家向記者分析道，之所以進(jìn)行修訂，主要出于三點(diǎn)原因：

一是，傳統(tǒng)的安全思維需要拓展和轉(zhuǎn)變�！八怪Z登事件”等安全事件的發(fā)生表明網(wǎng)絡(luò)安全的威脅已經(jīng)上升到國(guó)家層面。在這樣的背景下，網(wǎng)絡(luò)安全的保護(hù)體系需要全面升級(jí)，傳統(tǒng)的安全思維已經(jīng)難以有效保護(hù)網(wǎng)絡(luò)空間安全，新技術(shù)不斷涌現(xiàn)的同時(shí)也帶來(lái)了新的挑戰(zhàn)，因此傳統(tǒng)信息安全的范疇需要進(jìn)一步拓展。

二是，適應(yīng)新型的系統(tǒng)形態(tài)和網(wǎng)絡(luò)架構(gòu)。新技術(shù)、新業(yè)務(wù)下的產(chǎn)品與服務(wù)不斷創(chuàng)新，物聯(lián)網(wǎng)、云計(jì)算、工業(yè)控制系統(tǒng)、移動(dòng)互聯(lián)網(wǎng)等新興網(wǎng)絡(luò)形態(tài)使得傳統(tǒng)信息安全的范疇需要進(jìn)一步拓展， 要求網(wǎng)絡(luò)安全的保護(hù)體系也隨之升級(jí)。

三是，現(xiàn)有等保體系需要完善升級(jí)。為了配合《網(wǎng)絡(luò)安全法》的實(shí)施，為了適應(yīng)云計(jì)算、移動(dòng)互聯(lián)、工業(yè)控制、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)、新應(yīng)用情況下等級(jí)保護(hù)工作的開(kāi)展。有必要對(duì)GB／T 22239－2008進(jìn)行修訂，在適用性、時(shí)效性、易用性、可操作性上進(jìn)一步完善。

等級(jí)保護(hù)2．0的主要變化

在此背景下，相較于1．0，等保2．0發(fā)生了五大主要變化：

第一，名稱變化。等保2．0將原來(lái)的標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，與《網(wǎng)絡(luò)安全法》保持一致。

第二，定級(jí)對(duì)象變化。等保1．0的定級(jí)對(duì)象是信息系統(tǒng)，現(xiàn)在2．0更為廣泛，包含：信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)等。

第三，安全要求變化。基本要求的內(nèi)容，由安全要求變革為安全通用要求與安全擴(kuò)展要求（含云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制）。

第四，控制措施分類結(jié)構(gòu)變化。等保2．0依舊保留技術(shù)和管理兩個(gè)維度。在技術(shù)上，由物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全，變更為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心；在管理上，結(jié)構(gòu)上沒(méi)有太大的變化，從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理，調(diào)整為安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理。

第五，內(nèi)容變化。從等保1．0的定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查五個(gè)規(guī)定動(dòng)作，變更為五個(gè)規(guī)定動(dòng)作＋新的安全要求（風(fēng)險(xiǎn)評(píng)估、安全監(jiān)測(cè)、通報(bào)預(yù)警、態(tài)勢(shì)感知等）。

等保2．0時(shí)代，建設(shè)、運(yùn)營(yíng)單位如何做好安全體系建設(shè)？

等保2．0時(shí)代已經(jīng)到來(lái)，建設(shè)、運(yùn)營(yíng)單位該如何做好安全體系建設(shè)呢？談及此，深信服安全專家有如下建議：

首先，建立高效的安全管理機(jī)構(gòu)。由信息安全領(lǐng)導(dǎo)小組進(jìn)行決策、監(jiān)督，信息安全主管部門實(shí)施管理，安全管理員、安全審計(jì)員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員、機(jī)房管理員等負(fù)責(zé)執(zhí)行。

其次，體系化的安全管理制度。第一步，方針策略。制定信息安全工作的綱領(lǐng)性文件。第二步，制度辦法。在安全方針策略的指導(dǎo)下，制定的各項(xiàng)安全管理和技術(shù)制度、辦法和準(zhǔn)則，用來(lái)規(guī)范單位各部門處室安全管理工作。第三步，流程細(xì)則。細(xì)化的實(shí)施細(xì)則、管理技術(shù)標(biāo)準(zhǔn)等內(nèi)容，用來(lái)支撐第二層對(duì)應(yīng)的制度與管理辦法的有效實(shí)施。第四步，記錄表單。記錄活動(dòng)實(shí)行以符合等級(jí)一級(jí)、二級(jí)和三級(jí)相關(guān)文件要求的客觀證據(jù)，闡明所取得的結(jié)果或提供完成活動(dòng)的證據(jù)。

持續(xù)保護(hù)，深信服等保2．0解決方案助力用戶合規(guī)

完成了安全體系建設(shè)就可以過(guò)等保了么？非也！我們知道，在等保建設(shè)過(guò)程中，建設(shè)、運(yùn)營(yíng)單位通常會(huì)遇到各種各樣的問(wèn)題，比如：等保建設(shè)流程應(yīng)該怎么做？如何在通過(guò)等保合規(guī)要求的基礎(chǔ)上，讓安全運(yùn)維更簡(jiǎn)單更高效？而此時(shí)，如果你不能憑借自己的能力滿足等保2．0的要求，選擇可靠的第三方服務(wù)商是十分重要的。

以老牌安全廠商深信服為例，基于運(yùn)營(yíng)、使用單位在等保建設(shè)中的實(shí)際需求，為了幫助更多的運(yùn)營(yíng)、使用單位盡快滿足等保2．0時(shí)代的合規(guī)要求，深信服推出了等級(jí)保護(hù)2．0解決方案。該方案是以國(guó)家等級(jí)保護(hù)安全框架為依據(jù)，通過(guò)提供專業(yè)的等保全流程服務(wù)，幫助用戶在充分滿足國(guó)家法律法規(guī)和標(biāo)準(zhǔn)體系的前提下，構(gòu)建主動(dòng)防御體系，為用戶業(yè)務(wù)系統(tǒng)帶來(lái)“持續(xù)保護(hù)”的價(jià)值。

此外，深信服為用戶提供了“安全資源池（等保場(chǎng)景）”創(chuàng)新方案。該方案在一臺(tái)硬件設(shè)備上即可提供下一代防火墻、SSL VPN、數(shù)據(jù)庫(kù)審計(jì)、堡壘機(jī)、日志審計(jì)等各類等級(jí)保護(hù)建設(shè)所需要的安全組件。在滿足合規(guī)要求的同時(shí)，讓用戶的等級(jí)保護(hù)建設(shè)更簡(jiǎn)單更有效。

目前，深信服的等保2．0解決方案已在政府、教育、醫(yī)療等多個(gè)行業(yè)落地使用。以政府行業(yè)為例，以前因?yàn)槿斯ぶ悄�、大�?shù)據(jù)等新技術(shù)的實(shí)施，用戶對(duì)無(wú)法快速實(shí)現(xiàn)新型攻擊、潛伏威脅的檢測(cè)與防御。通過(guò)深信服等保2．0解決方案，不但滿足了等保2．0中相關(guān)的合規(guī)要求，用戶還可通過(guò)從“被動(dòng)防御＋應(yīng)急響應(yīng)”向“主動(dòng)防御＋持續(xù)響應(yīng)”的切換，集“智能、防御、檢測(cè)、響應(yīng)、運(yùn)營(yíng)”于一體的APDRO安全閉環(huán)，實(shí)現(xiàn)安全威脅快速檢測(cè)與有效防御。

深信服認(rèn)為，等保的核心價(jià)值在于“持續(xù)保護(hù)”。以安全可視化的方式，提供多維度安全報(bào)表為安全決策提供數(shù)據(jù)支撐，提升組織安全管理效率；對(duì)組織的核心資產(chǎn)、各類威脅與違規(guī)行為，網(wǎng)絡(luò)東西向、南北向流量進(jìn)行持續(xù)檢測(cè)分析，提升網(wǎng)絡(luò)整體安全保護(hù)能力；參照智能／防御／檢測(cè)／響應(yīng)／運(yùn)營(yíng)的APDRO安全模型，加強(qiáng)云端防護(hù)、威脅情報(bào)的聯(lián)動(dòng)，構(gòu)建本地協(xié)同、云端聯(lián)動(dòng)的動(dòng)態(tài)保護(hù)體系。最終，讓用戶切實(shí)感受到等級(jí)保護(hù)帶來(lái)的價(jià)值。