【51CTO.com原創(chuàng)稿件】近年來，移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新一代信息技術(shù)迅速發(fā)展和應(yīng)用，新的網(wǎng)絡(luò)安全風(fēng)險也隨之而來。面對挑戰(zhàn)，等級保護(hù)工作也應(yīng)超越傳統(tǒng)的信息系統(tǒng)概念，與時俱進(jìn)，進(jìn)行升級和擴(kuò)展，充分考慮新技術(shù)、新應(yīng)用帶來的各種安全威脅。

2017年6月1日，《網(wǎng)絡(luò)安全法》的正式實施標(biāo)志著等級保護(hù)已經(jīng)進(jìn)入2.0時代，等級保護(hù)對象范圍在傳統(tǒng)系統(tǒng)的基礎(chǔ)上擴(kuò)大了云計算、移動互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)等，對等級保護(hù)制度提出了新的要求。

2019年5月13日，國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會召開新聞發(fā)布會，正式發(fā)布了等保2.0相關(guān)的《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》等國家標(biāo)準(zhǔn)，并將于2019年12月1日開始實施。

2019年5月16日下午，由公安部網(wǎng)絡(luò)安全保衛(wèi)局指導(dǎo)、公安部第三研究所、公安部研究所主辦，深信服承辦的“網(wǎng)絡(luò)安全等級保護(hù)制度2.0國家標(biāo)準(zhǔn)宣貫會”在北京隆重召開。公安部網(wǎng)絡(luò)安全保衛(wèi)局、國家市場監(jiān)管總局、重要行業(yè)部門、企事業(yè)單位的領(lǐng)導(dǎo)嘉賓，以及測評機構(gòu)和安全建設(shè)整改機構(gòu)的技術(shù)負(fù)責(zé)人、互聯(lián)網(wǎng)企業(yè)代表等近千人參加宣貫會。

本次宣貫會究竟傳達(dá)了哪些內(nèi)容?今天筆者就為大家劃一下重點。

[[265769]]

領(lǐng)導(dǎo)、專家齊聚宣貫會，權(quán)威解讀網(wǎng)絡(luò)安全等保2.0

首先，我們來看看宣貫會上大會致辭環(huán)節(jié)，領(lǐng)導(dǎo)們都說了些什么。

[[265770]]

公安部網(wǎng)絡(luò)安全保衛(wèi)局王瑛瑋書記

在大會致辭環(huán)節(jié)，公安部網(wǎng)絡(luò)安全保衛(wèi)局王瑛瑋書記表示，等級保護(hù)制度2.0國家標(biāo)準(zhǔn)的發(fā)布，是具有里程碑意義的一件大事，標(biāo)志著國家網(wǎng)絡(luò)安全等級保護(hù)工作步入新時代，對保障和促進(jìn)國家信息化發(fā)展，提升國家網(wǎng)絡(luò)安全保護(hù)能力，維護(hù)國家保護(hù)空間安全具有重要的意義。

此外，他還提出以下四點意見：

一是要高度重視，深刻領(lǐng)會。各單位要認(rèn)真學(xué)習(xí)領(lǐng)會標(biāo)準(zhǔn)各項要求，加快推動國家標(biāo)準(zhǔn)的貫徹和實施。

二是要加強宣傳，強化培訓(xùn)。各地區(qū)各部門要加強對2.0標(biāo)準(zhǔn)的宣傳，加強對標(biāo)準(zhǔn)的解讀和培訓(xùn)，形成廣泛共識，保證標(biāo)準(zhǔn)的整體落地。

三是要推動行標(biāo)，指導(dǎo)實踐。重點行業(yè)部門要根據(jù)2.0國家標(biāo)準(zhǔn)，結(jié)合本行業(yè)實踐，加快修訂完善本行業(yè)等級保護(hù)行業(yè)標(biāo)準(zhǔn)。

四是加強督導(dǎo)，推動落實。各地公安機關(guān)各行業(yè)主管部門要加強對本地區(qū)本行業(yè)網(wǎng)絡(luò)安全等級保護(hù)工作的監(jiān)督、檢查和指導(dǎo)，在做好當(dāng)前網(wǎng)絡(luò)安全等級保護(hù)工作的基礎(chǔ)上，逐步向2.0國家標(biāo)準(zhǔn)有關(guān)要求過渡，不斷提升本地區(qū)本行業(yè)本部門網(wǎng)絡(luò)安全保護(hù)能力。

[[265771]]

公安部研究所于銳副所長

公安部研究所于銳副所長透露，自2016年開始，在公安部網(wǎng)絡(luò)安全保衛(wèi)局支持和指導(dǎo)下，研究所針對信息安全服務(wù)企業(yè)，安全提供商開展了15期國家網(wǎng)絡(luò)安全等級保護(hù)安全建設(shè)專業(yè)技術(shù)人員培訓(xùn)工作，共培訓(xùn)了3000多名網(wǎng)絡(luò)安全等級保護(hù)安全建設(shè)專業(yè)技術(shù)人員。通過審核獲得網(wǎng)絡(luò)安全等級合格證書單位達(dá)到126家。

今年，在公安部網(wǎng)安局指導(dǎo)下，研究所正積極籌建中關(guān)村網(wǎng)絡(luò)安全等級保護(hù)安全建設(shè)創(chuàng)新聯(lián)盟，旨在強化整改環(huán)節(jié)規(guī)范化管理，整合網(wǎng)絡(luò)安全行業(yè)資源，共同推進(jìn)網(wǎng)絡(luò)安全等級保護(hù)重大問題等進(jìn)行聯(lián)合的技術(shù)攻關(guān)。

[[265772]]

國家市場監(jiān)管總局標(biāo)準(zhǔn)技術(shù)管理司王莉處長

對于等保2.0國家標(biāo)準(zhǔn)后續(xù)的工作，國家市場監(jiān)管總局標(biāo)準(zhǔn)技術(shù)管理司王莉處長給出了三點建議：一是要加強標(biāo)準(zhǔn)的推廣應(yīng)用，提高標(biāo)準(zhǔn)實施的效率;二是支撐國家重大戰(zhàn)略，持續(xù)優(yōu)化標(biāo)準(zhǔn)體系結(jié)構(gòu)。三是重視開展國際交流與合作，推動標(biāo)準(zhǔn)與國際接軌。跟蹤研究本領(lǐng)域的標(biāo)準(zhǔn)國際技術(shù)和標(biāo)準(zhǔn)發(fā)展趨勢，組織有關(guān)單位和專家推動中國標(biāo)準(zhǔn)進(jìn)入國際標(biāo)準(zhǔn)化舞臺。

[[265773]]

國信安標(biāo)委秘書處楊建軍秘書長

國信安標(biāo)委秘書處楊建軍秘書長在致辭中指出，等保系列標(biāo)準(zhǔn)是我國網(wǎng)絡(luò)安全國家體系的重要組成部分，目前全國信安標(biāo)委會有268項，在其中有將近40項是等級保護(hù)相關(guān)的國家標(biāo)準(zhǔn)，其中涉及一些系統(tǒng)的定級、管理要求、技術(shù)要求、測試評估等等工作。

他還強調(diào)，網(wǎng)絡(luò)安全等級保護(hù)基本要求、設(shè)計要求是等保系列標(biāo)準(zhǔn)中的核心標(biāo)準(zhǔn)，作為指導(dǎo)網(wǎng)絡(luò)運營者履行網(wǎng)絡(luò)安全保護(hù)責(zé)任重要依據(jù)。廣泛應(yīng)用于各個行業(yè)相關(guān)領(lǐng)域，但是這個標(biāo)準(zhǔn)隨著技術(shù)的發(fā)展，需要進(jìn)行修訂和維護(hù)，所以及時修訂等保標(biāo)準(zhǔn)，保持這些標(biāo)準(zhǔn)科學(xué)性、合理性、有效性，是推動網(wǎng)絡(luò)安全工作的技術(shù)保障。

[[265774]]

公安部網(wǎng)絡(luò)安全保衛(wèi)局郭啟全總工程師

公安部網(wǎng)絡(luò)安全保衛(wèi)局郭啟全總工程師指出了網(wǎng)絡(luò)安全等級保護(hù)制度進(jìn)入2.0時代的典型標(biāo)志，強調(diào)了網(wǎng)絡(luò)安全等級保護(hù)制度的重大意義，總結(jié)了新時期國家網(wǎng)絡(luò)安全等級保護(hù)制度的鮮明特點。

談及等級保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的關(guān)系，他表示：

要依據(jù)法律規(guī)定。網(wǎng)絡(luò)安全法規(guī)定：國家實行網(wǎng)絡(luò)安全等級保護(hù)制度;關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實行重點保護(hù)。

第二，要保持一致性。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)與網(wǎng)絡(luò)安全等級保護(hù)，在法律法規(guī)、政策、標(biāo)準(zhǔn)、措施等方面必須保持一致。

第三，要明確二者關(guān)系。等級保護(hù)是國家的基本制度，具有普適性，全覆蓋;關(guān)鍵信息基礎(chǔ)設(shè)施是等級保護(hù)制度保護(hù)的重點，加強保護(hù)、保衛(wèi)和保障。

院士沈昌祥

在主題演講中，沈昌祥院士發(fā)表了《重啟可信革命，夯實網(wǎng)絡(luò)安全等級保護(hù)基礎(chǔ)》的主題演講。他指出沒有網(wǎng)絡(luò)安全，信息社會將會成為黑暗中的廢墟。強調(diào)要有科學(xué)的網(wǎng)絡(luò)安全觀，國家等級保護(hù)制度2.0標(biāo)準(zhǔn)要求全面使用安全可信的產(chǎn)品和服務(wù)來保障關(guān)鍵基礎(chǔ)設(shè)施安全，要用科學(xué)的網(wǎng)絡(luò)安全觀來理解法律安全可信。

他強調(diào)，等級保護(hù)2.0的時代特征是要確保關(guān)鍵信息基礎(chǔ)設(shè)施安全，主要分為三個層面：法律支撐，即我國的計算機系統(tǒng)等級保護(hù)條例提升為國家基礎(chǔ)性法律制度，即“網(wǎng)絡(luò)安全法”中的網(wǎng)絡(luò)安全等級保護(hù)制度；

第二個層面是科學(xué)技術(shù)層面，由分層被動防護(hù)發(fā)展到了科學(xué)安全框架下的主動免疫防護(hù)；

第三個層面為工程應(yīng)用層面，由傳統(tǒng)的計算機系統(tǒng)防護(hù)轉(zhuǎn)向了新型計算環(huán)境下的網(wǎng)絡(luò)空間主動防護(hù)體系建設(shè)。

[[265775]]

公安部信息安全等級保護(hù)評估中心測評部主任馬力副研究員

緊接著，公安部信息安全等級保護(hù)評估中心測評部主任、等級保護(hù)國家標(biāo)準(zhǔn)的主要起草者，馬力副研究員介紹了網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)體系及主要標(biāo)準(zhǔn)，講解了網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)的特點和變化，以及框架和內(nèi)容。

他表示，網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)主要具有三大特點：

一是，對象范圍擴(kuò)大。新標(biāo)準(zhǔn)將云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等列入標(biāo)準(zhǔn)范圍，構(gòu)成了“安全通用要求+新型應(yīng)用安全擴(kuò)展要求”的要求內(nèi)容。

二是，分類結(jié)構(gòu)統(tǒng)一。新標(biāo)準(zhǔn)“基本要求、設(shè)計要求和測評要求”分類框架統(tǒng)一，形成了“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”、“安全計算環(huán)境”和“安全管理中心”支持下的三重防護(hù)體系架構(gòu)。

三是，強化可信計算。新標(biāo)準(zhǔn)強化了可信計算技術(shù)使用的要求，把可信驗證列入各個級別并逐級提出各個環(huán)節(jié)的主要可信驗證要求。

他強調(diào)，GB/T22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》將替代原來的GB/T2239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》，并呼吁大家認(rèn)真學(xué)習(xí)新版等保要求。

踐行網(wǎng)絡(luò)安全等保2.0，聽聽安全廠商如何說

全面落實網(wǎng)絡(luò)安全等級保護(hù)制度，離不開監(jiān)管機構(gòu)、評測機構(gòu)，以及用戶和網(wǎng)絡(luò)安全廠商建的全面協(xié)同。等保2.0的發(fā)布為企業(yè)合規(guī)提出了更高的要求，而作為提供安全能力的第三方，網(wǎng)絡(luò)安全廠商在等保2.0的推廣和落地當(dāng)中應(yīng)該承擔(dān)相應(yīng)的責(zé)任。下面，我們看看來自深信服、亞信安全和奇安信的三位演講嘉賓對于踐行等保2.0的一些觀點。

深信服科技有限公司CEO何朝曦

對此，深信服科技有限公司CEO何朝曦認(rèn)為，所有的網(wǎng)絡(luò)安全廠商其實都是等級保護(hù)制度推行的受益者，網(wǎng)絡(luò)安全廠商也有責(zé)任和義務(wù)投入到等級保護(hù)制度的落地當(dāng)中去，落實網(wǎng)絡(luò)安全等級保護(hù)制度需要監(jiān)管部門、評測機構(gòu)、廣大用戶還有廠商各司其職，共同努力。

而網(wǎng)絡(luò)安全廠商主要的責(zé)任就是：根據(jù)網(wǎng)絡(luò)安全等級保護(hù)2.0的標(biāo)準(zhǔn)發(fā)展安全技術(shù)，開發(fā)匹配的安全產(chǎn)品，全力做好網(wǎng)絡(luò)安全服務(wù)，幫助用戶建設(shè)不僅僅是合規(guī)，而且真正有效的網(wǎng)絡(luò)安全體系。

何朝曦表示，想要履行好這份責(zé)任，需要做好三方面工作：通過宣貫、培訓(xùn)幫助用戶理解和應(yīng)用等保方面的知識。

第二，通過產(chǎn)品的創(chuàng)新，場景的適配，向用戶交付真正有效果的等保2.0方案。

第三，廠商要和監(jiān)管部門、評測機構(gòu)和其他廠商通力協(xié)作，推進(jìn)等保2.0工作不斷發(fā)展。

其實，為了保障網(wǎng)絡(luò)安全等級保護(hù)2.0的建設(shè)工作順利落地，深信服做了充分的準(zhǔn)備工作。比如：針對新增的云計算安全場景，深信服專門研發(fā)了XSec安全資源池產(chǎn)品，通過將用戶需要的各種安全功能池化，做到適應(yīng)云計算環(huán)境下彈性擴(kuò)展的要求;為了幫助用戶對抗勒索軟件，深信服按照等級保護(hù)2.0的技術(shù)要求開發(fā)了一整套防范勒索軟件的方案。

[[265776]]

亞信科技安全運營官陸光明

對于如何踐行網(wǎng)絡(luò)安全等保2.0，亞信科技安全運營官陸光明也表達(dá)了幾大觀點：

觀點一：以身份為基礎(chǔ)，構(gòu)建網(wǎng)絡(luò)空間信任體系;

觀點二：以攻防為視角，提升全方位主動防御能力;

觀點三：以聯(lián)動為策略，提升網(wǎng)絡(luò)安全事件智能響應(yīng)能力;

觀點四：以運維為關(guān)鍵，加強統(tǒng)一集中管控平臺建設(shè);

觀點五：從實戰(zhàn)出發(fā)，建設(shè)自適應(yīng)安全體系。

[[265777]]

奇安信集團(tuán)副總裁韓永剛

奇安信集團(tuán)副總裁韓永剛表示，等級保護(hù)不能只是為了應(yīng)對合規(guī)，等保2.0時代，安全建設(shè)必須和新一代的信息化系統(tǒng)實現(xiàn)深度融合，全面覆蓋，從而構(gòu)建創(chuàng)新的安全體系。奇安信結(jié)合等保2.0關(guān)口前移，與信息化基礎(chǔ)設(shè)施深度融合，提出了“44333”的安全新思路，即是：

四個假設(shè)：系統(tǒng)移動有沒被發(fā)現(xiàn)的漏洞、一定有已發(fā)現(xiàn)漏洞沒打補丁、系統(tǒng)已經(jīng)被黑、一定有內(nèi)鬼。

四新戰(zhàn)略：新戰(zhàn)具(第三代網(wǎng)絡(luò)安全技術(shù))、新戰(zhàn)力(數(shù)據(jù)驅(qū)動安全)、新戰(zhàn)術(shù)(動態(tài)授權(quán)與訪問控制)、新戰(zhàn)法(人+機器安全運營)。

三位一體：高位能力、中位能力、低位能力。

三同步：同步規(guī)劃、同步建設(shè)、同步運營。

三方制衡：用戶、云服務(wù)商、安全公司。

[[265778]]

自然資源部信息中心顧炳中總工程師

自然資源部信息中心顧炳中總工程師，作為重要行業(yè)代表分享了自然資源行業(yè)開展等級保護(hù)工作的寶貴經(jīng)驗和做法，發(fā)表主題演講《網(wǎng)絡(luò)安全等級保護(hù)制度2.0的行業(yè)實踐》。

他表示，等保2.0時代，國產(chǎn)的操作系統(tǒng)廠商、路由與交換廠商、邊界安全設(shè)備廠商等，應(yīng)該真的從國家安全利益出發(fā)，從產(chǎn)業(yè)發(fā)展出發(fā)，投入到可信計算，投入到2.0標(biāo)準(zhǔn)上面。比如：國產(chǎn)的操作系統(tǒng)能提供可信的操作系統(tǒng)，而不是去買一個加固軟件，去打補丁。如果從操作系統(tǒng)，可信相對容易實現(xiàn)，而不是靠可信廠商提供可信的包解決。 

等級保護(hù)制度2.0國家標(biāo)準(zhǔn)的發(fā)布，是具有里程碑意義的一件大事，標(biāo)志著國家網(wǎng)絡(luò)安全等級保護(hù)工作步入新時代。對于保障和促進(jìn)國家信息化發(fā)展，提升國家網(wǎng)絡(luò)安全保護(hù)能力，維護(hù)國家網(wǎng)絡(luò)空間安全具有重要的意義。

放眼未來，我們相信，通過多方的共同努力，在公安部領(lǐng)導(dǎo)的大力推動下，網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)一定能夠開創(chuàng)網(wǎng)絡(luò)安全保護(hù)的新局面，為網(wǎng)絡(luò)安全強國建設(shè)做出更大的貢獻(xiàn)。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】