【51CTO.com原創稿件】近年來，移動互聯網、物聯網、云計算、大數據等新一代信息技術迅速發展和應用，新的網絡安全風險也隨之而來。面對挑戰，等級保護工作也應超越傳統的信息系統概念，與時俱進，進行升級和擴展，充分考慮新技術、新應用帶來的各種安全威脅。

2017年6月1日，《網絡安全法》的正式實施標志著等級保護已經進入2.0時代，等級保護對象范圍在傳統系統的基礎上擴大了云計算、移動互聯、物聯網、大數據等，對等級保護制度提出了新的要求。

2019年5月13日，國家市場監督管理總局、國家標準化管理委員會召開新聞發布會，正式發布了等保2.0相關的《信息安全技術網絡安全等級保護基本要求》、《信息安全技術網絡安全等級保護測評要求》、《信息安全技術網絡安全等級保護安全設計技術要求》等國家標準，并將于2019年12月1日開始實施。

2019年5月16日下午，由公安部網絡安全保衛局指導、公安部第三研究所、公安部研究所主辦，深信服承辦的“網絡安全等級保護制度2.0國家標準宣貫會”在北京隆重召開。公安部網絡安全保衛局、國家市場監管總局、重要行業部門、企事業單位的領導嘉賓，以及測評機構和安全建設整改機構的技術負責人、互聯網企業代表等近千人參加宣貫會。

本次宣貫會究竟傳達了哪些內容?今天筆者就為大家劃一下重點。

[[265769]]

領導、專家齊聚宣貫會，權威解讀網絡安全等保2.0

首先，我們來看看宣貫會上大會致辭環節，領導們都說了些什么。

[[265770]]

公安部網絡安全保衛局王瑛瑋書記

在大會致辭環節，公安部網絡安全保衛局王瑛瑋書記表示，等級保護制度2.0國家標準的發布，是具有里程碑意義的一件大事，標志著國家網絡安全等級保護工作步入新時代，對保障和促進國家信息化發展，提升國家網絡安全保護能力，維護國家保護空間安全具有重要的意義。

此外，他還提出以下四點意見：

一是要高度重視，深刻領會。各單位要認真學習領會標準各項要求，加快推動國家標準的貫徹和實施。

二是要加強宣傳，強化培訓。各地區各部門要加強對2.0標準的宣傳，加強對標準的解讀和培訓，形成廣泛共識，保證標準的整體落地。

三是要推動行標，指導實踐。重點行業部門要根據2.0國家標準，結合本行業實踐，加快修訂完善本行業等級保護行業標準。

四是加強督導，推動落實。各地公安機關各行業主管部門要加強對本地區本行業網絡安全等級保護工作的監督、檢查和指導，在做好當前網絡安全等級保護工作的基礎上，逐步向2.0國家標準有關要求過渡，不斷提升本地區本行業本部門網絡安全保護能力。

[[265771]]

公安部研究所于銳副所長

公安部研究所于銳副所長透露，自2016年開始，在公安部網絡安全保衛局支持和指導下，研究所針對信息安全服務企業，安全提供商開展了15期國家網絡安全等級保護安全建設專業技術人員培訓工作，共培訓了3000多名網絡安全等級保護安全建設專業技術人員。通過審核獲得網絡安全等級合格證書單位達到126家。

今年，在公安部網安局指導下，研究所正積極籌建中關村網絡安全等級保護安全建設創新聯盟，旨在強化整改環節規范化管理，整合網絡安全行業資源，共同推進網絡安全等級保護重大問題等進行聯合的技術攻關。

[[265772]]

國家市場監管總局標準技術管理司王莉處長

對于等保2.0國家標準后續的工作，國家市場監管總局標準技術管理司王莉處長給出了三點建議：一是要加強標準的推廣應用，提高標準實施的效率;二是支撐國家重大戰略，持續優化標準體系結構。三是重視開展國際交流與合作，推動標準與國際接軌。跟蹤研究本領域的標準國際技術和標準發展趨勢，組織有關單位和專家推動中國標準進入國際標準化舞臺。

[[265773]]

國信安標委秘書處楊建軍秘書長

國信安標委秘書處楊建軍秘書長在致辭中指出，等保系列標準是我國網絡安全國家體系的重要組成部分，目前全國信安標委會有268項，在其中有將近40項是等級保護相關的國家標準，其中涉及一些系統的定級、管理要求、技術要求、測試評估等等工作。

他還強調，網絡安全等級保護基本要求、設計要求是等保系列標準中的核心標準，作為指導網絡運營者履行網絡安全保護責任重要依據。廣泛應用于各個行業相關領域，但是這個標準隨著技術的發展，需要進行修訂和維護，所以及時修訂等保標準，保持這些標準科學性、合理性、有效性，是推動網絡安全工作的技術保障。

[[265774]]

公安部網絡安全保衛局郭啟全總工程師

公安部網絡安全保衛局郭啟全總工程師指出了網絡安全等級保護制度進入2.0時代的典型標志，強調了網絡安全等級保護制度的重大意義，總結了新時期國家網絡安全等級保護制度的鮮明特點。

談及等級保護和關鍵信息基礎設施保護的關系，他表示：

要依據法律規定。網絡安全法規定：國家實行網絡安全等級保護制度;關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。

第二，要保持一致性。關鍵信息基礎設施安全保護與網絡安全等級保護，在法律法規、政策、標準、措施等方面必須保持一致。

第三，要明確二者關系。等級保護是國家的基本制度，具有普適性，全覆蓋;關鍵信息基礎設施是等級保護制度保護的重點，加強保護、保衛和保障。

院士沈昌祥

在主題演講中，沈昌祥院士發表了《重啟可信革命，夯實網絡安全等級保護基礎》的主題演講。他指出沒有網絡安全，信息社會將會成為黑暗中的廢墟。強調要有科學的網絡安全觀，國家等級保護制度2.0標準要求全面使用安全可信的產品和服務來保障關鍵基礎設施安全，要用科學的網絡安全觀來理解法律安全可信。

他強調，等級保護2.0的時代特征是要確保關鍵信息基礎設施安全，主要分為三個層面：法律支撐，即我國的計算機系統等級保護條例提升為國家基礎性法律制度，即“網絡安全法”中的網絡安全等級保護制度；

第二個層面是科學技術層面，由分層被動防護發展到了科學安全框架下的主動免疫防護；

第三個層面為工程應用層面，由傳統的計算機系統防護轉向了新型計算環境下的網絡空間主動防護體系建設。

[[265775]]

公安部信息安全等級保護評估中心測評部主任馬力副研究員

緊接著，公安部信息安全等級保護評估中心測評部主任、等級保護國家標準的主要起草者，馬力副研究員介紹了網絡安全等級保護2.0標準體系及主要標準，講解了網絡安全等級保護2.0標準的特點和變化，以及框架和內容。

他表示，網絡安全等級保護2.0標準主要具有三大特點：

一是，對象范圍擴大。新標準將云計算、移動互聯、物聯網、工業控制系統等列入標準范圍，構成了“安全通用要求+新型應用安全擴展要求”的要求內容。

二是，分類結構統一。新標準“基本要求、設計要求和測評要求”分類框架統一，形成了“安全通信網絡”、“安全區域邊界”、“安全計算環境”和“安全管理中心”支持下的三重防護體系架構。

三是，強化可信計算。新標準強化了可信計算技術使用的要求，把可信驗證列入各個級別并逐級提出各個環節的主要可信驗證要求。

他強調，GB/T22239-2019《信息安全技術 網絡安全等級保護基本要求》將替代原來的GB/T2239-2008《信息安全技術 信息系統安全等級保護基本要求》，并呼吁大家認真學習新版等保要求。

踐行網絡安全等保2.0，聽聽安全廠商如何說

全面落實網絡安全等級保護制度，離不開監管機構、評測機構，以及用戶和網絡安全廠商建的全面協同。等保2.0的發布為企業合規提出了更高的要求，而作為提供安全能力的第三方，網絡安全廠商在等保2.0的推廣和落地當中應該承擔相應的責任。下面，我們看看來自深信服、亞信安全和奇安信的三位演講嘉賓對于踐行等保2.0的一些觀點。

深信服科技有限公司CEO何朝曦

對此，深信服科技有限公司CEO何朝曦認為，所有的網絡安全廠商其實都是等級保護制度推行的受益者，網絡安全廠商也有責任和義務投入到等級保護制度的落地當中去，落實網絡安全等級保護制度需要監管部門、評測機構、廣大用戶還有廠商各司其職，共同努力。

而網絡安全廠商主要的責任就是：根據網絡安全等級保護2.0的標準發展安全技術，開發匹配的安全產品，全力做好網絡安全服務，幫助用戶建設不僅僅是合規，而且真正有效的網絡安全體系。

何朝曦表示，想要履行好這份責任，需要做好三方面工作：通過宣貫、培訓幫助用戶理解和應用等保方面的知識。

第二，通過產品的創新，場景的適配，向用戶交付真正有效果的等保2.0方案。

第三，廠商要和監管部門、評測機構和其他廠商通力協作，推進等保2.0工作不斷發展。

其實，為了保障網絡安全等級保護2.0的建設工作順利落地，深信服做了充分的準備工作。比如：針對新增的云計算安全場景，深信服專門研發了XSec安全資源池產品，通過將用戶需要的各種安全功能池化，做到適應云計算環境下彈性擴展的要求;為了幫助用戶對抗勒索軟件，深信服按照等級保護2.0的技術要求開發了一整套防范勒索軟件的方案。

[[265776]]

亞信科技安全運營官陸光明

對于如何踐行網絡安全等保2.0，亞信科技安全運營官陸光明也表達了幾大觀點：

觀點一：以身份為基礎，構建網絡空間信任體系;

觀點二：以攻防為視角，提升全方位主動防御能力;

觀點三：以聯動為策略，提升網絡安全事件智能響應能力;

觀點四：以運維為關鍵，加強統一集中管控平臺建設;

觀點五：從實戰出發，建設自適應安全體系。

[[265777]]

奇安信集團副總裁韓永剛

奇安信集團副總裁韓永剛表示，等級保護不能只是為了應對合規，等保2.0時代，安全建設必須和新一代的信息化系統實現深度融合，全面覆蓋，從而構建創新的安全體系。奇安信結合等保2.0關口前移，與信息化基礎設施深度融合，提出了“44333”的安全新思路，即是：

四個假設：系統移動有沒被發現的漏洞、一定有已發現漏洞沒打補丁、系統已經被黑、一定有內鬼。

四新戰略：新戰具(第三代網絡安全技術)、新戰力(數據驅動安全)、新戰術(動態授權與訪問控制)、新戰法(人+機器安全運營)。

三位一體：高位能力、中位能力、低位能力。

三同步：同步規劃、同步建設、同步運營。

三方制衡：用戶、云服務商、安全公司。

[[265778]]

自然資源部信息中心顧炳中總工程師

自然資源部信息中心顧炳中總工程師，作為重要行業代表分享了自然資源行業開展等級保護工作的寶貴經驗和做法，發表主題演講《網絡安全等級保護制度2.0的行業實踐》。

他表示，等保2.0時代，國產的操作系統廠商、路由與交換廠商、邊界安全設備廠商等，應該真的從國家安全利益出發，從產業發展出發，投入到可信計算，投入到2.0標準上面。比如：國產的操作系統能提供可信的操作系統，而不是去買一個加固軟件，去打補丁。如果從操作系統，可信相對容易實現，而不是靠可信廠商提供可信的包解決。 

等級保護制度2.0國家標準的發布，是具有里程碑意義的一件大事，標志著國家網絡安全等級保護工作步入新時代。對于保障和促進國家信息化發展，提升國家網絡安全保護能力，維護國家網絡空間安全具有重要的意義。

放眼未來，我們相信，通過多方的共同努力，在公安部領導的大力推動下，網絡安全等級保護2.0標準一定能夠開創網絡安全保護的新局面，為網絡安全強國建設做出更大的貢獻。

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】