网络安全等级保护2.0标准解读（一）

一、等级保护制度发展历程

• 1994年——国务院147号令 《中华人民共和国计算机信息系统安全保护条例》（以下简称《计算机信息系统安全保护条例》）首次提出等级保护的概念

• 2003年——中办发【2003】27号《国家信息化领导小组关于加强信息安全保障工作的意见》，等级保护开始实行

• 2007年——公通字【2007】43号《信息安全等级保护管理办法》发布，意味着等级保护制度正式走上正轨

• 2014年3月，公安部牵头组织开展了等级保护重点标准申报国家标准的工作，并从2015年开始陆续对外发布草稿、征集意见稿，网络上开始有了等保2.0的叫法

• 2017年6月1日实施的《中华人民共和国网络安全法》第二十一条指出：“国家实行网络安全等级保护制度”，从法律层面明确其地位

• 2019年5月13日，国家市场监督管理总局正式发布《信息安全技术 网络安全等级保护基本要求》等网络安全等级保护2.0标准系列文件（以下简称“等保2.0标准”），并将于2019年12月1日开始实施

二、等保2.0标准体系

三、等保2.0特点解析

    1.名称和地位的变化

• 等保2.0标准名称中的“信息系统安全等级保护”一律更名为“网络安全等级保护”。

• 2017年6月1日正式实施的《中华人民共和国网络安全法》第二十一条指出“国家实行网络安全等级保护制度”，正式将等保2.0相关要求上升到法律层面。

    2.监管对象的变化

• 监管对象扩充：等保1.0主要面向传统的信息系统，等保2.0在此基础上扩展到了云计算、移动互联、物联网、工业控制系统、大数据等新型业务应用的安全。

• 安全要求扩展：安全要求扩展为安全通用要求和安全扩展要求两部分，其中扩展要求包括云计算、移动互联、物联网、工业控制系统以及大数据方向。

• 等级保护对象安全侧重点：

  （1）基础信息网络/平台类：关注其系统服务安全，并依据系统服务安全等级确定定级对象的等级。

  （2）信息系统：既关注业务信息安全也关注系统服务安全，并依据就高不就低原则确定二者的共同等级。

  （3）大数据：关注业务信息安全，依据业务信息重要性确定最终等级。

    3.定级原则的变化

• 由等保1.0时代的“自主定级、自主保护”变更为等保2.0时代的“专家评审，主管部门审核”，二级以上系统定级均需要专家评审，定级流程更为严格。

• 关键信息基础设施定级为第三级（含）以上。

    4.提出综合防御思想

• 提出了“一个中心 三重防御“的思想，一个中心指“安全管理中心”，三重防御指“安全计算环境、安全区域边界、安全网络通信”。

• 变被动防护为主动防护，变静态防护为动态防护，变单点防护为整体防控，变粗放防护为精准防护。

    5.强化“可信计算技术”的使用

    等保2.0标准强化可信计算技术使用要求，把可信验证功能要求列入各个级别并逐级提出各个环节的具体要求。

• 一级：可基于可信根对设备的系统引导程序、系统程序进行可信验证，并在检测到其可信性受到破坏后进行报警；

• 二级：在一级基础上增加了对重要配置参数和应用程序的可信验证，并要求将验证结果形成审计记录送至安全管理中心；

• 三级：在二级基础上增加了在应用程序的关键执行环节进行动态可信验证；

• 四级：在三级基础上扩展到对应用程序的所有执行环节进行动态可信验证，并要求进行动态关联感知。

    6.强化“密码技术”的使用和国密要求

 7.管理制度的调整

• 打破省市界限：跨省业务专网可作为一个整体对象定级，也可以分区域划分为若干个定级对象。

• 定级备案调整至县级公安机关：相较等保1.0需要到地市级公安机关进行定级备案的要求，等保2.0定级备案调整至县级公安机关，并且备案时间也由30天缩短到10个工作日。

• 颁布了配套管理法规：《网络安全等级保护测评机构管理办法》、《公安机关信息安全等级保护检查工作规范》等。

四、等保2.0与关键信息基础设施保护的关系

• 网络安全法规定，国家实行网络安全等级保护制度，关键信息基础设施是在网络安全等级保护制度的基础上，实行重点保护。

• 关键信息基础设施安全保护与网络安全等级保护，在法律法规、政策、标准、措施等方面保持一致。

• 等级保护是国家的基本制度，具有普适性，全覆盖；关键信息基础设施是等级保护制度保护的重点，需要加强保护、保卫和保障。