天极网亲访5位网络安全专家，为你全面专业解读“等保2.0”

　　【天极网网络频道】编者按：

　　5月13日，国家市场监督管理总局召开新闻发布会，正式发布《信息安全技术网络信息安全等级保护基本要求》，俗称“等保2.0”。据悉，等保2.0将于2019年12月1日正式实施。等保2.0的发布，标志着我国正式进入“等保2.0时代”。

　　天极网记者采访五位网络安全专家，以“一线”视角为广大用户解读等保2.0，并为企业用户做到标准合规提出建议。

　　等保2.0的发布，这是一件好事。启明星辰集团网御星云技术总监马闽认为，这标志着我国网络安全等级保护工作正式进入“2.0时代”。等保2.0的发布充分贯彻《中华人民共和国网络安全法》，实现我国网络安全战略目标，落实分等级保护、突出重点、积极防御、综合防护的总体要求，变被动防护为主动防护，变静态防护为动态防护，变单点防护为整体防控，变粗放防护为精准防护，坚持同步规划、同步建设、同步运行网络安全保护措施的“三同步”要求，提升我国的网络安全综合防护能力。

　　当今，互联网发展“一日千里”，无论是底层的IT基础设施，还是普通消费者每天使用的互联网应用，变化随时发生，变革日新月异。互联网，就像一匹脱缰的野马，正“蒙眼狂奔”，而网络安全则是“这匹野马的缰绳”。当互联网这匹野马跑得越来越快，老旧的“缰绳”却遏制不住它的速度。

　　据工信部5月23日发布的《2019年第一季度信息通信行业网络安全监管情况通报》表明，公共互联网安全保护形势依旧严峻。

　　其中，一季度，恶意程序、各类钓鱼和欺诈网站仍不断出现，全行业共处置网络安全威胁约967万余个，包括恶意IP地址、恶意域名等恶意网络资源近170万个，木马、僵尸程序、病毒等恶意程序约698万余个，网络安全漏洞等安全隐患约4.8万个，主机受控、数据泄露、网页篡改等安全事件约93.5万个。

　　这些网络安全问题不仅严重威胁了企业信息网络安全、资金账户安全，而且影响企业声誉，造成严重的经济损失。

　　因此，等保2.0的出台，有利于提高企事业单位的网络安全意识，在等保合规框架内做好网络安全工作。

　　等保2.0的诞生历程

　　1994年，国务院发布《计算机信息系统安全保护条例》147号令。该条例首次提出“计算机信息系统实行安全等级保护”，安全等级保护理念由此诞生。伴随国家信息化的高速发展，2007年，公安部发布《信息安全等级保护管理办法》，俗称等保1.0，这标志着全国范围的网络安全等级保护工作正式拉开序幕，并成为我国网络安全方面的主要依据。

　　但是，等保1.0不仅缺乏对一些新技术和新应用的等级保护规范，比如云计算、物联网和移动互联网等，而且风险评估、安全监测和通报预警等工作以及政策、标准、测评和服务等体系不完善。

　　据启明星辰集团首席安全专家赵呈东介绍，根据全国信息安全标准化技术委员会2013年下达的国家标准修订计划，国家标准《信息安全技术 信息系统安全等级保护基本要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-002。

　　2013年12月，公安部第三研究所、国家能源局信息中心以及启明星辰信息技术集团股份有限公司成立了《信息安全技术 信息系统安全等级保护基本要求》标准编制组。

　　启明星辰集团网御星云技术总监马闽向天极网记者全面介绍了等保2.0的起草过程：

　　2013年12月，标准编制组成立;

　　2014年1月-3月，标准编制组按照计划调研国际、国内新技术和新应用的情况，完成研究报告;

　　2014年4月-2016年11月，标准编制组修订出标准草案的第一稿至第七稿，组织多次专家评审会，形成标准征求意见稿;

　　2017年2月，公安部根据征求意见稿收集建议并修改，形成标准送审稿;

　　2019年5月13日正式发布，12月1日正式实施。

　　经过6年时间，“等保2.0”正式完成并发布。深圳市网安计算机安全检测技术有限公司(简称“深圳网安公司”)副总工程师黄伟杰认为，随着云计算、移动互联、大数据和工业互联网以及物联网等一系列新技术、新产业的蓬勃发展，信息技术形态发生重大变化。与此同时，也带来新的安全威胁和挑战，网络空间的安全治理将进一步走向细分。

　　他说，“深圳市网安计算机安全检测技术有限公司认为，在这种形势下，国家及时推出等级保护2.0，解决新阶段的网络安全问题，为我国的数字化快速发展保驾护航，是一种必然的趋势和时代的需要。”

　　在笔者看来，等保1.0解决的是PC互联网时代的问题。但经过十年发展，中国互联网已经发展深入，进入移动互联网时代。我们看到，基于云计算、大数据和人工智能，移动互联网的底层IT基础设施正在加速迭代，企业上云，数据迁移和微服务以及容器化等，让一些网络安全问题变得更复杂，涉及面更广。另一方面，移动互联网的成熟，让各种互联网应用“蓬勃发展”，新应用不断产生，网络安全问题也随之而来。

　　因此，等保2.0是要解决移动互联网时代新形势下产生的网络安全问题。

　　网络安全大咖为你解读等保2.0

　　等保2.0体系复杂，涉及面广。虽然笔者大致浏览完这份文件，但是仍然无法把握其精髓。对更多人来说，或许正面临同样的问题。因此，笔者关心的问题是：等保2.0的关键信息是什么？它想要向外界传达哪些信息？

　　黄伟杰称“等保2.0的关键信息是‘定位’，中华人民共和国《网络安全法》第二十一条明确提出‘国家实行网络安全等级保护制度’，确立了等级保护的地位。”