眾所周知，等級保護1．0已實施有10余年的時間，但是伴隨云計算、大數(shù)據(jù)、物聯(lián)網、移動互聯(lián)網等新技術的發(fā)展，這些新技術平臺的等級保護規(guī)范明顯缺乏、等級保護內容不夠完善和體系不夠健全等諸多問題。因此，等級保護2．0（以下簡稱：等保2．0）的落地實施已變得十分急迫。

今天，好消息終于傳來，我國將于今年5月13日正式發(fā)布等保2．0標準。那么，等保2．0究竟發(fā)生了什么變化？等保2．0時代，企業(yè)如何做好安全體系建設？

網絡運營者不履行落實等級保護的義務就是違法！

自2015年起，國家安標委開始啟動等保2．0標準的制定。2017年6月1日，《中華人民共和國網絡安全法》的正式實施，將網絡安全等級保護由基本制度、基本國策，上升為法律。

《網絡安全法》的第二十一條明確規(guī)定：國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行相應安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數(shù)據(jù)泄露或者被竊取、篡改。

同時，第三十一條規(guī)定：國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

此外，第五十九條指出，網絡安全運營者不履行第二十一條、第二十五條規(guī)定的網絡安全保護義務的，將給予警告或者罰款等處罰。

這也就意味著，網絡運營者不履行落實等級保護的義務就是違法！

等級保護的實施將幫助各行業(yè)企業(yè)滿足合法合規(guī)要求，清晰化責任和工作方法，讓安全貫穿全生命周期；明確組織整體目標，改變以往單點防御方式，讓安全建設更加體系化；提高人員安全意識，樹立等級化防護思想，合理分配網絡安全投資。

等級保護的發(fā)展歷程

在談等保2．0的變化之前，我們先來看看等級保護的發(fā)展歷程以及等保2．0的修訂背景。

從1．0到2．0，等保主要經歷了以下幾個階段：

也許有人會問，為什么要對等保標準進行修訂，推出等保2．0？對此，深信服安全專家向記者分析道，之所以進行修訂，主要出于三點原因：

一是，傳統(tǒng)的安全思維需要拓展和轉變�！八怪Z登事件”等安全事件的發(fā)生表明網絡安全的威脅已經上升到國家層面。在這樣的背景下，網絡安全的保護體系需要全面升級，傳統(tǒng)的安全思維已經難以有效保護網絡空間安全，新技術不斷涌現(xiàn)的同時也帶來了新的挑戰(zhàn)，因此傳統(tǒng)信息安全的范疇需要進一步拓展。

二是，適應新型的系統(tǒng)形態(tài)和網絡架構。新技術、新業(yè)務下的產品與服務不斷創(chuàng)新，物聯(lián)網、云計算、工業(yè)控制系統(tǒng)、移動互聯(lián)網等新興網絡形態(tài)使得傳統(tǒng)信息安全的范疇需要進一步拓展， 要求網絡安全的保護體系也隨之升級。

三是，現(xiàn)有等保體系需要完善升級。為了配合《網絡安全法》的實施，為了適應云計算、移動互聯(lián)、工業(yè)控制、物聯(lián)網、大數(shù)據(jù)等新技術、新應用情況下等級保護工作的開展。有必要對GB／T 22239－2008進行修訂，在適用性、時效性、易用性、可操作性上進一步完善。

等級保護2．0的主要變化

在此背景下，相較于1．0，等保2．0發(fā)生了五大主要變化：

第一，名稱變化。等保2．0將原來的標準《信息安全技術 信息系統(tǒng)安全等級保護基本要求》改為《信息安全技術 網絡安全等級保護基本要求》，與《網絡安全法》保持一致。

第二，定級對象變化。等保1．0的定級對象是信息系統(tǒng)，現(xiàn)在2．0更為廣泛，包含：信息系統(tǒng)、基礎信息網絡、云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網系統(tǒng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術的網絡等。

第三，安全要求變化�；�本要求的內容，由安全要求變革為安全通用要求與安全擴展要求（含云計算、移動互聯(lián)、物聯(lián)網、工業(yè)控制）。

第四，控制措施分類結構變化。等保2．0依舊保留技術和管理兩個維度。在技術上，由物理安全、網絡安全、主機安全、應用安全、數(shù)據(jù)安全，變更為安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心；在管理上，結構上沒有太大的變化，從安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理，調整為安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

第五，內容變化。從等保1．0的定級、備案、建設整改、等級測評和監(jiān)督檢查五個規(guī)定動作，變更為五個規(guī)定動作＋新的安全要求（風險評估、安全監(jiān)測、通報預警、態(tài)勢感知等）。

等保2．0時代，建設、運營單位如何做好安全體系建設？

等保2．0時代已經到來，建設、運營單位該如何做好安全體系建設呢？談及此，深信服安全專家有如下建議：

首先，建立高效的安全管理機構。由信息安全領導小組進行決策、監(jiān)督，信息安全主管部門實施管理，安全管理員、安全審計員、系統(tǒng)管理員、網絡管理員、數(shù)據(jù)庫管理員、機房管理員等負責執(zhí)行。

其次，體系化的安全管理制度。第一步，方針策略。制定信息安全工作的綱領性文件。第二步，制度辦法。在安全方針策略的指導下，制定的各項安全管理和技術制度、辦法和準則，用來規(guī)范單位各部門處室安全管理工作。第三步，流程細則。細化的實施細則、管理技術標準等內容，用來支撐第二層對應的制度與管理辦法的有效實施。第四步，記錄表單。記錄活動實行以符合等級一級、二級和三級相關文件要求的客觀證據(jù)，闡明所取得的結果或提供完成活動的證據(jù)。

持續(xù)保護，深信服等保2．0解決方案助力用戶合規(guī)

完成了安全體系建設就可以過等保了么？非也！我們知道，在等保建設過程中，建設、運營單位通常會遇到各種各樣的問題，比如：等保建設流程應該怎么做？如何在通過等保合規(guī)要求的基礎上，讓安全運維更簡單更高效？而此時，如果你不能憑借自己的能力滿足等保2．0的要求，選擇可靠的第三方服務商是十分重要的。

以老牌安全廠商深信服為例，基于運營、使用單位在等保建設中的實際需求，為了幫助更多的運營、使用單位盡快滿足等保2．0時代的合規(guī)要求，深信服推出了等級保護2．0解決方案。該方案是以國家等級保護安全框架為依據(jù)，通過提供專業(yè)的等保全流程服務，幫助用戶在充分滿足國家法律法規(guī)和標準體系的前提下，構建主動防御體系，為用戶業(yè)務系統(tǒng)帶來“持續(xù)保護”的價值。

此外，深信服為用戶提供了“安全資源池（等保場景）”創(chuàng)新方案。該方案在一臺硬件設備上即可提供下一代防火墻、SSL VPN、數(shù)據(jù)庫審計、堡壘機、日志審計等各類等級保護建設所需要的安全組件。在滿足合規(guī)要求的同時，讓用戶的等級保護建設更簡單更有效。

目前，深信服的等保2．0解決方案已在政府、教育、醫(yī)療等多個行業(yè)落地使用。以政府行業(yè)為例，以前因為人工智能、大數(shù)據(jù)等新技術的實施，用戶對無法快速實現(xiàn)新型攻擊、潛伏威脅的檢測與防御。通過深信服等保2．0解決方案，不但滿足了等保2．0中相關的合規(guī)要求，用戶還可通過從“被動防御＋應急響應”向“主動防御＋持續(xù)響應”的切換，集“智能、防御、檢測、響應、運營”于一體的APDRO安全閉環(huán)，實現(xiàn)安全威脅快速檢測與有效防御。

深信服認為，等保的核心價值在于“持續(xù)保護”。以安全可視化的方式，提供多維度安全報表為安全決策提供數(shù)據(jù)支撐，提升組織安全管理效率；對組織的核心資產、各類威脅與違規(guī)行為，網絡東西向、南北向流量進行持續(xù)檢測分析，提升網絡整體安全保護能力；參照智能／防御／檢測／響應／運營的APDRO安全模型，加強云端防護、威脅情報的聯(lián)動，構建本地協(xié)同、云端聯(lián)動的動態(tài)保護體系。最終，讓用戶切實感受到等級保護帶來的價值。