“天府杯”2020绿盟科技与您共话等保2.0时代的“三化六防”

当今中国的网络安全从业者，相信不会对等级保护这个词感到陌生。2016年11月正式通过的《中华人民共和国网络安全法》，从法律角度明确了这一基本要求和义务。2019年5月《网络安全等级保护基本要求GB/T22239-2019》的正式发布，更是宣告等级保护制度正式进入2.0时代。

　　2020年7月公安部发函，要求重点行业、部门全面落实网络安全等级保护制度和关键信息基础设施安全保护制度，健全完善国家网络安全综合防控体系。全面落实等级保护2.0“新目标、新理念、新举措、新高度”的“四新”要求，需要有效落实网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施。

　　基于此，绿盟科技集团将于11月7日至8日的“天府杯”2020 国际网络安全大赛暨2020天府国际网络安全高峰论坛（以下简称：“天府杯”）期间，承办“贯彻落实四新要求 全面推进等级保护制度2.0”主题论坛，围绕等保2.0深入探讨相关政策，分享绿盟科技体系化的能力建设思路和实战化、常态化的运营实践，以及等保2.0背景下关于数据安全与网络安全保险的思考。

　　为了能让大家在11月8日的等级保护主题论坛上更深入的理解嘉宾的演讲内容，绿盟君特别准备了“等保预习笔记”，将绿盟科技对等级保护的定义、大致发展历程和等保2.0新变化的认知与理解，分享给大家。

　　什么是等级保护？

　　网络安全等级保护制度是国家在国民经济和社会信息化发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项法律要求与基本制度。通俗的讲，等级保护即将信息系统划分为不同的安全保护等级（从第一级到第五级），并对其实施不同的保护和监管。

　　可以说，等级保护制度是建设单位、承建单位、安全服务机构、监管部门开展合规工作的重要依据，是我国诸多网络信息安全标准制度的重要参考体系架构，也是行业主管部门对于下级部门网络安全建设指引标准的重要依据和参考体系。

　　等级保护的发展历程

　　1994年，政府颁布了《中华人民共和国计算机信息系统安全保护条例》，规定计算机信息系统实行安全等级保护，是我国最早提出开展等级保护的法律文件。此时可以说是等级保护1.0时代的开端。

　　等保1.0普及了等保概念，强化了各单位、机构的网络安全意识，整体提升了网络安全保障能力，并不断进行相关人才的积累。经过多年发展，等级保护制度在各个行业中不断完善、发展，并得到切实的实践执行。

　　2016年10月10日，公安部网络安全保卫局一级巡视员、副局长郭启全在第五届全国信息安全等级保护技术大会上指出，“国家对网络安全等级保护制度提出了新的要求。”同年11月7日，《中华人民共和国网络安全法》正式通过，其第二十一条明确规定，“网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务。”

　　2019年5月13日下午，国家市场监督管理总局召开新闻发布会，正式发布《信息安全技术网络安全等级保护基本要求》2.0版本，并于同年12月1日起实施。至此，等级保护2.0已彻底拉开帷幕。

　　等保2.0新变化

　　相较于等级保护的1.0时代，等保2.0有四个显著变化：

　　01定级对象扩展

　　等保1.0的定级对象以信息系统为基础。等保2.0则以覆盖全社会（除个人和家庭自用网络外）所有对象为目标，包括业务处理类对象、基础服务类对象和数据资源类对象，云和大数据平台、工业控制系统、物联网系统等都涵盖在内。

　　02等级保护内容扩展

　　等保2.0除了5个规定动作之外，新增了风险评估、通报预警、安全检测、案事件调查等要求，进一步突显了联防联控的内涵。

　　03标准体系丰富

　　为适应新应用、新技术发展，等保2.0时代，对标准进行修订、升级，覆盖了云大物移工等新应用、新形势系统的要求，更好适应当前信息技术与应用发展，并且标准结构采取了分层解耦方式，对未来标准修订、升级提供很好的结构支撑。

　　04重点突出