北京网站系统等保测评2.0体系介绍

2019年12月24日，在2019龙芯新产品发布暨用户大会上，公安部信息安全等级保护评估中心 马力副研究员为现场参会者进行了《网络安全等级保护2.0标准体系介绍》的演讲。演讲内容主要包括：一、等级保护的历程；二等保标准的新变化。快来一起看看吧！

等级保护很早就已经出现，国家相关机构也一直在推广网络等级保护。2007年，公安部会同相关部门发布了一个非常重要的红头文件——《信息安全等级保护管理办法》，俗称“43号文件”。在这个文件中，明确了等级保护要做的事，包括定级备案、建设整改、等级测评。用户必须完成这三件事，并接受安全检查。这就是2007年提出的“规定动作”。为了支持这些规定动作，公安部会同相关部门起草了相关的标准，我们称之为“标准体系”。其中，“建设整改”最为重要。保护是核心，定级备案和等级测评只是辅助动作。

此外，等级保护一共有五个级别，但每个级别要达到什么样的标准，需要按照国家标准《信息系统安全等级保护基本要求》，如果单位达不到规定的要求，会被公安部门强制要求整改。总的来说，等级保护1.0标准体系构成了基本要求体系。

2007年到2017年期间，国家使用等保1.0标准体系。2017年6月1号，《中华人民共和国网络安全法》出台，国家实行等级安全保护制度，不做等保就是违法，进入等保2.0阶段。此外，《网络安全法》的第31条还提到，如果单位系统非常非常重要，称之为“关键信息基础设施”，那么这个系统做等保还不够，还要在等保的基础上做重点保护。

进入等保2.0之后，相应的法规也要跟着变化。在《网络安全法》的基础上，《网络安全等级保护条例》和《关键信息基础设施保护条例》已经在起草中。

在等级保护2.0时期，所有保护对象，比如云平台、大数据、物联网、工控系统等，都要做等保，落实国家安全等级保护制度。不做等保就是违法。那么单位的等保工作一般包括：定级备案、安全建设、等级测评，如果等级测评出现问题还需要接受安全整改，接受监督检查。再次强调，如果是关键基础设施，除了等级保护，还需要完成关键信息基础设施保护。

那么，和等级保护1.0相比，等级保护2.0的标准又有了哪些变化呢？

①对象范围扩大。新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围，构成了“安全通用要求+新型应用安全扩展要求”的要求内容。也就是说，云计算、物联网等所有这些系统都使用同一个等级保护标准；

②分类结构统一。新标准“基本要求、设计要求和测评要求”分类框架统一，形成了“安全通信网络”、“安全区域边界"安全计算环境”和“安全管理中心”支持下的三重防护体系架构；

③强化可信计算。新标准强化了可信计算技术使用的要求，把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。新的等级保护2.0标准强调可信计算新技术的使用，而等级保护1.0标准则是强调密码技术使用。

除以上三点，还有三个内容值得我们注意：

①和等级保护1.0相比，等级保护2.0的名称有了变化，从《信息安全等级保护要求》更名为《网络安全等级保护基本要求》，从而与《网络安全法》保持一致；

②等级测评结论发生了变化，等级测评结论现分为：优、良、中、差几个级别，70分以上才算及格，90分以上算优秀。

③等保 2.0 标准的一个重要变化，即从口头警告到真金白银的常态化执法。《网络安全法》第五十九条明确规定，网络运营者不履行相关网络安全保护义务规定的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

总而言之就是，国家对于网络安全建设的要求更严格了，不做等保是违法行为。如您有任何关于等保的问题想要咨询，又或是需要等保服务，也请留言告诉我们的技术小哥哦~直接call也未尝不可！