等保2.0落地！十张图带你看国家网络安全基本国策

网络安全等级保护是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。

我国的等保工作最早是从1994年提出的，但直至2007年才发布《信息安全等级保护管理办法》及后续的系列政策，等保工作才正式开始。2008年，《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）的公布标志着等级保护制度的标准化，等保1.0时代正式到来。

随着新技术的不断精进，网络安全威胁也不断升级，等保1.0已经逐渐不能适应网络环境的变化。2019年5月13日下午，《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）正式发布，替代了原先的《信息安全技术 信息系统安全等级保护基本要求》（GB/T22239-2008），并在标准名称、保护对象、章节结构、控制措施等部分进行了修改和更新，实施时间为2019年12月1日，标志着我国网络安全等级保护工作正式进入“2.0时代”。

依据系统受破坏后危害的范围和严重程度，等保等级由低到高分为五级。其中1级系统影响小，无需备案；5级系统属于理想状态，目前尚未存在。从实践层面看，4级是等保等级中最难的级别了。值得一提的是，2018年6月，华为云高分通过等保2.0评测4级，为用户提供更加安全可靠的云服务。

体系框架和保障思路的变化

相比等保1.0，等保2.0更加契合当今的网络安全形势，将“云计算、物联网、移动互联网、大数据和工业控制系统”纳入等保监管，互联网企业也将纳入等级保护管理。等保1.0保护的对象是计算机信息系统，而等保2.0上升为网络空间安全，除了计算机信息系统，还包含网络安全基础设施、“云、物、移、大、工控”等对象。等保由原来的规定上升到了法律,执行力度加大，等级保护2.0是一次网络安全的重大升级。

等保2.0由旧标准的10个分类调整为8个分类。管理要求方面，调整为安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理；技术要求方面，调整为物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。

等级保护工作的基本流程落实到系统建设全生命周期的每个环节，每一环都需要系统运营、使用单位重点留意。等保工作包括系统定级、系统备案、整改实施、系统测评和运维检查五大步骤，其中最重要的环节是信息系统安全等级测评，它用来验证信息系统能不能满足相应安全保护等级，包含安全控制测评和系统整体测评两个层次。

测评的变化

从前等保1.0第四级系统每半年测评一次，现在第三级以上系统每年一次，测评周期有所放长；等保1.0里60分以上即符合测评结果，现在要求75分以上才能通过测评，测评门槛有所提高。

标准控制点与要求项数量的变化

等保2.0的标准控制点数量与等保1.0基本持平，汇总来看相对于旧标准有所精简，三级与四级的控制点数量均削减至71个。

要求项方面的精简程度更加明显，大量删减了冗杂条项。等保2.0的二级、三级、四级的要求项从旧标准的175个、290个、318个分别削减至148个、231个、246个。

除删减冗杂项外，等保2.0通用要求中还根据互联网业态发展新增了重要要求项，主要集中在入侵防范、恶意代码防范、集中管控、安全审计和集中管控方面，与新增要求项一一对应的信息安全新增产品也将随之迎来巨大的发展空间。

等保2.0与1.0最大的区别在于系统防护由被动防御变为主动防御，从前被动防御要求防火墙、杀病毒、IDS，现在上升到主动防御，除了传统的安全设备防火墙、网络版杀毒软件以及网关层的防毒墙外，还需要部署安全准入系统、堡垒机、双因素认证设备、漏洞扫描器、数据库防火墙；另外还需要定期的安全服务，包括渗透测试服务、系统上线前安全测试服务与安全运维服务；最后，还需部署SOC平台、安全态势感知平台，从全局性角度去检测、感知、发现整体的安全趋势及可能存在的安全问题，部署防APT（高级持续性威胁）攻击的设备发现一些潜在的不定期的隐蔽的各类攻击。

我国信息安全行业具备强政策周期性，同时具备与宏观经济相关性较弱属性。未来两年，等保2.0落地效果逐步显现，随着监管范围与监管内容的拓宽叠加信息安全行业属性将加速信息安全行业投资。

更多数据参考前瞻产业研究院发布的《中国信息安全行业发展前景预测与投资战略规划分析报告》

更多深度行业分析尽在【前瞻经济学人APP】，还可以与500+经济学家/资深行业研究员交流互动