“持续保护”，深信服等保2.0解决方案助力用户合规

【51CTO.com原创稿件】众所周知，等级保护1.0已实施有10余年的时间，但是伴随云计算、大数据、物联网、移动互联网等新技术的发展，这些新技术平台的等级保护规范明显缺乏、等级保护内容不够完善和体系不够健全等诸多问题。因此，等级保护2.0(以下简称：等保2.0)的落地实施已变得十分急迫。

今天，好消息终于传来，我国将于今年5月13日正式发布等保2.0标准。那么，等保2.0究竟发生了什么变化?等保2.0时代，企业如何做好安全体系建设?

网络运营者不履行落实等级保护的义务就是违法!

自2015年起，国家安标委开始启动等保2.0标准的制定。2017年6月1日，《中华人民共和国网络安全法》的正式实施，将网络安全等级保护由基本制度、基本国策，上升为法律。

《网络安全法》的第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行相应安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

同时，第三十一条规定：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

此外，第五十九条指出，网络安全运营者不履行第二十一条、第二十五条规定的网络安全保护义务的，将给予警告或者罚款等处罚。

这也就意味着，网络运营者不履行落实等级保护的义务就是违法!

等级保护的实施将帮助各行业企业满足合法合规要求，清晰化责任和工作方法，让安全贯穿全生命周期;明确组织整体目标，改变以往单点防御方式，让安全建设更加体系化;提高人员安全意识，树立等级化防护思想，合理分配网络安全投资。

等级保护的发展历程

在谈等保2.0的变化之前，我们先来看看等级保护的发展历程以及等保2.0的修订背景。

从1.0到2.0，等保主要经历了以下几个阶段：

也许有人会问，为什么要对等保标准进行修订，推出等保2.0?对此，深信服安全专家向记者分析道，之所以进行修订，主要出于三点原因：

• 一是，传统的安全思维需要拓展和转变。“斯诺登事件”等安全事件的发生表明网络安全的威胁已经上升到国家层面。在这样的背景下，网络安全的保护体系需要全面升级，传统的安全思维已经难以有效保护网络空间安全，新技术不断涌现的同时也带来了新的挑战，因此传统信息安全的范畴需要进一步拓展。
• 二是，适应新型的系统形态和网络架构。新技术、新业务下的产品与服务不断创新，物联网、云计算、工业控制系统、移动互联网等新兴网络形态使得传统信息安全的范畴需要进一步拓展, 要求网络安全的保护体系也随之升级。
• 三是，现有等保体系需要完善升级。为了配合《网络安全法》的实施，为了适应云计算、移动互联、工业控制、物联网、大数据等新技术、新应用情况下等级保护工作的开展。有必要对GB/T 22239-2008进行修订，在适用性、时效性、易用性、可操作性上进一步完善。

等级保护2.0的主要变化

在此背景下，相较于1.0，等保2.0发生了五大主要变化：

• 第一，名称变化。等保2.0将原来的标准《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《网络安全法》保持一致。
• 第二，定级对象变化。等保1.0的定级对象是信息系统，现在2.0更为广泛，包含：信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。
• 第三，安全要求变化。基本要求的内容，由安全要求变革为安全通用要求与安全扩展要求(含云计算、移动互联、物联网、工业控制)。
• 第四，控制措施分类结构变化。等保2.0依旧保留技术和管理两个维度。在技术上，由物理安全、网络安全、主机安全、应用安全、数据安全，变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;在管理上，结构上没有太大的变化，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理，调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
• 第五，内容变化。从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作，变更为五个规定动作+新的安全要求(风险评估、安全监测、通报预警、态势感知等)。

等保2.0时代，建设、运营单位如何做好安全体系建设?

等保2.0时代已经到来，建设、运营单位该如何做好安全体系建设呢?谈及此，深信服安全专家有如下建议：

• 首先，建立高效的安全管理机构。由信息安全领导小组进行决策、监督，信息安全主管部门实施管理，安全管理员、安全审计员、系统管理员、网络管理员、数据库管理员、机房管理员等负责执行。
• 其次，体系化的安全管理制度。第一步，方针策略。制定信息安全工作的纲领性文件。第二步，制度办法。在安全方针策略的指导下，制定的各项安全管理和技术制度、办法和准则，用来规范单位各部门处室安全管理工作。第三步，流程细则。细化的实施细则、管理技术标准等内容，用来支撑第二层对应的制度与管理办法的有效实施。第四步，记录表单。记录活动实行以符合等级一级、二级和三级相关文件要求的客观证据，阐明所取得的结果或提供完成活动的证据。

持续保护，深信服等保2.0解决方案助力用户合规

完成了安全体系建设就可以过等保了么?非也!我们知道，在等保建设过程中，建设、运营单位通常会遇到各种各样的问题，比如：等保建设流程应该怎么做?如何在通过等保合规要求的基础上，让安全运维更简单更高效?而此时，如果你不能凭借自己的能力满足等保2.0的要求，选择可靠的第三方服务商是十分重要的。

（编辑：青岛站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!