等級(jí)保護(hù)2.0評(píng)測(cè)

等級(jí)保護(hù)制度是我國(guó)在網(wǎng)絡(luò)安全領(lǐng)域的基本制度、基本國(guó)策，是國(guó)家網(wǎng)絡(luò)安全意志的體現(xiàn)?！毒W(wǎng)絡(luò)安全法》出臺(tái)后，等級(jí)保護(hù)制度更是提升到了法律層面，等保2.0在1.0的基礎(chǔ)上，更加注重全方位主動(dòng)防御、動(dòng)態(tài)防御、整體防控和精準(zhǔn)防護(hù)，除了基本要求外，還增加了對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等對(duì)象全覆蓋。等保2.0標(biāo)準(zhǔn)的發(fā)布，對(duì)加強(qiáng)中國(guó)網(wǎng)絡(luò)安全保障工作，提升網(wǎng)絡(luò)安全保護(hù)能力具有重要意義。從等?；疽蟮慕Y(jié)構(gòu)來(lái)看，從等保1.0到等保2.0試行稿，再到等保2.0最新稿，變化明顯。等保2.0充分體現(xiàn)了“一個(gè)中心三重防御“的思想，一個(gè)中心指“安全管理中心”，三重防御指“安全計(jì)算環(huán)境、安全區(qū)域邊界、安全網(wǎng)絡(luò)通信”，同時(shí)等保2.0強(qiáng)化可信計(jì)算安全技術(shù)要求的使用。

一、等保2.0總體變化

首先，最大的變化，標(biāo)準(zhǔn)名稱由原來(lái)的《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》變更為《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的名稱保持一致。

信息系統(tǒng)安全等級(jí)保護(hù)技術(shù)1.0版本主要強(qiáng)調(diào)物理主機(jī)、應(yīng)用、數(shù)據(jù)、傳輸，等保2.0保護(hù)對(duì)象由原來(lái)的“信息系統(tǒng)”改為“等級(jí)保護(hù)對(duì)象（網(wǎng)絡(luò)和信息系統(tǒng)）”。相比1.0版本，等保2.0對(duì)等保1.0舊標(biāo)準(zhǔn)的10個(gè)分類(lèi)重新做了調(diào)整，分別為：

（1）技術(shù)部分4類(lèi)：安全物理環(huán)境、安全通信網(wǎng)絡(luò)（原等保1.0網(wǎng)絡(luò)安全分類(lèi)拆分）、安全區(qū)域邊界（原等保1.0網(wǎng)絡(luò)安全分類(lèi)拆分）、安全計(jì)算環(huán)境（原等保1.0主機(jī)安全、應(yīng)用安全、數(shù)據(jù)及備份恢復(fù)等三個(gè)分類(lèi)合并）

（2）管理部分6類(lèi)：安全管理中心（新增）、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理。

等保2.0在原有通用安全要求的基礎(chǔ)上新增安全擴(kuò)展要求，變?yōu)橥ㄓ冒踩?擴(kuò)展安全要求項(xiàng)。等級(jí)保護(hù)對(duì)象范圍在傳統(tǒng)系統(tǒng)的基礎(chǔ)上擴(kuò)大了云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)等，共有10個(gè)章節(jié)8個(gè)附錄。其中第6、7、8、9、10章為五個(gè)安全等級(jí)的安全要求章節(jié)，8個(gè)附錄分別為：安全要求的選擇和使用、關(guān)于等級(jí)保護(hù)對(duì)象整體安全保護(hù)能力的要求、等級(jí)保護(hù)安全框架和關(guān)鍵技術(shù)使用要求、云計(jì)算應(yīng)用場(chǎng)景說(shuō)明、移動(dòng)互聯(lián)應(yīng)用場(chǎng)景說(shuō)明、物聯(lián)網(wǎng)應(yīng)用場(chǎng)景說(shuō)明、工業(yè)控制系統(tǒng)應(yīng)用場(chǎng)景說(shuō)明和大數(shù)據(jù)應(yīng)用場(chǎng)景說(shuō)明。

數(shù)據(jù)安全建設(shè)是等級(jí)保護(hù)2.0建設(shè)的核心內(nèi)容之一，在原有等保1.0對(duì)數(shù)據(jù)安全的要求基本不變的情況下，根據(jù)新計(jì)算環(huán)境和業(yè)務(wù)場(chǎng)景對(duì)數(shù)據(jù)安全保護(hù)能力做出了更貼合實(shí)際情況的明確要求。數(shù)據(jù)安全的測(cè)評(píng)指標(biāo)主要來(lái)自于通用要求的“安全計(jì)算環(huán)境”部分，其中對(duì)數(shù)據(jù)訪問(wèn)的審計(jì)、訪問(wèn)控制、加密都有了明確的要求，并且在附錄部分大數(shù)據(jù)應(yīng)用場(chǎng)景說(shuō)明中對(duì)脫敏和溯源也進(jìn)行了相關(guān)規(guī)定。

二、等級(jí)保護(hù)工作必要性

國(guó)家法律的要求?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》中第二十一條明確規(guī)定：國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。

國(guó)家機(jī)關(guān)執(zhí)法力度加大。據(jù)統(tǒng)計(jì)，國(guó)內(nèi)各地公安部門(mén)、網(wǎng)信部門(mén)依據(jù)《網(wǎng)絡(luò)安全法》對(duì)相關(guān)企業(yè)單位進(jìn)行處罰的案例數(shù)百起，其中針對(duì)未及時(shí)開(kāi)展等級(jí)保護(hù)工作的處罰案例至少有數(shù)十起。

企業(yè)自身業(yè)務(wù)安全需求。按照國(guó)家等保標(biāo)準(zhǔn)建設(shè)，能夠提高企業(yè)信息系統(tǒng)的信息安全防護(hù)能力，降低信息系統(tǒng)被攻擊的風(fēng)險(xiǎn)，滿足自身業(yè)務(wù)發(fā)展需求。