等保2.0正式公開發布 5個問題詳細解答

搜狐網

05-14 13:51

??5月13日，國家市場監督管理總局、國家標準化管理委員會召開新聞發布會，通報國家標準制定流程改革的有關情況，同時發布了一批重要國家標準。

在網絡安全領域，等保2.0相關的《信息安全技術 網絡安全等級保護基本要求》、《信息安全技術 網絡安全等級保護測評要求》、《信息安全技術 網絡安全等級保護安全設計技術要求》等國家標準昨日正式發布，2019年12月1日開始實施。此系列標準可有效指導網絡運營者、網絡安全企業、網絡安全服務機構開展網絡安全等級保護安全技術方案的設計和實施，指導測評機構更加規范化和標準化地開展等級測評工作，進而全面提升網絡運營者的網絡安全防護能力，保障網絡的穩定運行。

下面小編就帶您了解一下何為等保2.0。

一、等級保護是什么

網絡安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。網絡安全等級保護工作是對信息和信息載體按照重要性等級分級別進行保護的一種工作。信息系統運營、使用單位應當選擇符合國家要求的測評機構，依據《信息安全技術網絡安全等級保護基本要求》等技術標準，定期對信息系統開展測評工作。

二、為什么要做等級保護

（一）法律規章要求

《網絡安全法》明確規定信息系統運營、使用單位應當按照網絡安全等級保護制度要求，履行安全保護義務，如果拒不履行，將會受到相應處罰。

第二十一條規定：

第三十八條規定：

第五十九條規定：

（二）行業要求

在金融、電力、廣電、醫療、教育等行業，主管單位明確要求從業機構的信息系統要開展等級保護工作。

（三）企業系統安全的需求

信息系統運營、使用單位通過開展等級保護工作可以發現系統內部的安全隱患與不足之處，可通過安全整改提升系統的安全防護能力，降低被攻擊的風險。

三、等級保護涉及范圍

（一）省轄市以上黨政機關的重要網站和辦公信息系統；

（二）電信、廣電行業的公用通信網、廣播電規傳輸網等基礎信息網絡，經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統；

（三）鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業、部門的生產、調度、管理、辦公等重要信息系統。

四、等級保護發展歷程

1994年，《中華人民共和國計算機信息系統安全保護條例》（國務院147號令）規定，“計算機信息系統實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定”，等級保護制度正式被提出。

2016年10月，公安部網絡安全保衛局對原有國家標準《信息安全技術信息系統安全等級保護基本要求（GB/T 22239-2008）》等系列標準進行修訂。2017年6月，《網絡安全法》正式出臺，信息安全等級保護過渡到網絡安全等級保護，法規明確要求國家實施等保制度。2019年5月，隨著《信息安全技術網絡安全等級保護基本要求（GB/T 22239-2019）》《信息安全技術網絡安全等級保護測評要求（GB/T 28448-2019）》等標準的正式發布，標志著等保2.0全面啟動。

五、關于等保2.0的部分新變化

（一）結構的變化

將安全管理中心從管理層面提升至技術層面。

（二）要求項數量的變化

等保2.0第三級安全要求結構：

（三）覆蓋范圍的變化

等保2.0標準在1.0標準的基礎上，實現了對傳統信息系統、基礎信息網絡、云計算、大數據、物聯網、移動互聯和工業控制信息系統等保護對象的全覆蓋。

對于使用新技術的信息系統需要同時滿足“通用要求+安全擴展”的要求。

（四）防護理念的變化

通用要求方面，等保2.0標準的核心是“優化”。刪除了過時的測評項，對測評項進行合理性改寫，新增對新型網絡攻擊行為防護和個人信息保護等新要求。等保2.0標準依然采用“一個中心、三重防護” 的理念，從等保1.0標準被動防御的安全體系向事前預防、事中響應、事后審計的動態保障體系轉變，注重全方位主動防御、安全可信、動態感知和全面審計。

（五）定級流程的變化

等保2.0標準不再自主定級，而是通過“確定定級對象——>初步確定等級——>專家評審——>主管部門審核——>公安機關備案審查——>最終確定等級”這種線性的定級流程，系統定級必須經過專家評審和主管部門審核，才能到公安機關備案，整體定級更加嚴格，將促進定級過程更加規范，系統定級更加合理。

（六）測評周期的變化

相較于等保1.0，等保2.0標準測評周期、測評結果評定有所調整。等保2.0標準要求，第三級以上的系統每年開展一次測評，修改了原先1.0時期要求四級系統每半年進行一次等保測評的要求。

（七）測評結果的變化

等保2.0里，測評達到75分以上才算基本符合。基本分高了，要求變得更高，過等保相對以往一是沒那么容易了，另一點也需要投入更多。

（八）集中管控的變化

安全管理中心中對集中管控做出了明確要求，未來統一的集中管理平臺將成為剛需。集中管控具體要求如下：

1、 應劃分出特定的管理區域，對分布在網絡中的安全設備或安全組件進行管控；

2、 應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理

3、 應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測；

4、應對分散在各個設備上的審計數據進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規要求；

5、 應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理；

6、 應能對網絡中發生的各類安全事件進行識別、報警和分析；

（九）新技術要求的變化

對于等保2.0中可信計算及密碼技術的應用提出了明確要求，這將很大促進可信計算及密碼技術的推廣及應用。

【版權提示】葫蘆娃安全尊重與保護知識產權。若發現平臺文章存在版權問題，請及時與我們聯系并處理。