2019年5月13日，網(wǎng)絡(luò)安全等級保護制度2.0國家標準（以下簡稱“等保2.0”）正式發(fā)布，將于2019年12月1日開始實施。至此，我國網(wǎng)絡(luò)安全等級保護進入了2.0時代。

開展網(wǎng)絡(luò)安全等級保護工作是保護信息化發(fā)展、維護網(wǎng)絡(luò)安全的根本保障，是網(wǎng)絡(luò)安全保障工作中國家意志的提現(xiàn)。作為國家信息安全的基本制度，貫徹落實等級保護2.0是企業(yè)義不容辭的信息安全義務(wù)，而未落實等保的企業(yè)將面臨被有關(guān)部門責(zé)令整改、行政處罰、暫停注冊、暫停運營等處罰。

小編對等保2.0的變化進行分析和解讀，并結(jié)合敏捷科技在數(shù)據(jù)安全領(lǐng)域的技術(shù)和實踐經(jīng)驗，為您解讀等保2.0時代下的數(shù)據(jù)安全防護要求，旨在助力企業(yè)網(wǎng)絡(luò)安全防護能力和信息安全管理能力的提升，合理規(guī)避風(fēng)險。

等保2.0的改變與升級

等保2.0標準與等保1.0標準相比，在保持等級保護“五個級別”不變、五個“規(guī)定動作”不變、等級保護工作相關(guān)參與主體“主體職責(zé)”不變的基礎(chǔ)上，在如下一些方面進行了改變和升級：

1.標準名稱的變化

等保2.0將《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》改為《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》，與《中華人民共和國網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致，意味著等級保護對象與網(wǎng)絡(luò)安全防護理念等的變化。

2.法律法規(guī)的變化

等保2.0法律地位明顯提升，從法規(guī)條例“國務(wù)院147號令”上升到《網(wǎng)絡(luò)安全法》的法律層面?！吨腥A人民共和國網(wǎng)絡(luò)安全法》第二十一條要求，國家實行網(wǎng)絡(luò)安全等級保護制度；第三十一條則要求，關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。

3.標準要求的變化

等保1.0標準只有安全通用要求，等保2.0標準在對等保1.0標準基本要求進行優(yōu)化（刪除了一些過時的要求項，對一些要求項進行精簡與合理性改寫，新增對新型網(wǎng)絡(luò)攻擊行為防范、垃圾郵件防范和個人信息保護等一些新的要求）的同時，針對云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)新技術(shù)提出了新的安全擴展要求。

內(nèi)容的變化

安全通用要求控制點變化

安全通用要求要求項變化

注：安全通用要求是不管等級保護對象的形態(tài)如何都必須滿足的要求；安全擴展要求則是針對特殊技術(shù)場景所提出的特殊保護要求，使用新技術(shù)的信息系統(tǒng)需要同時滿足安全通用要求和新技術(shù)的安全擴展要求。

4.等保定級的變化

（1）定級對象的改變：等保1.0定級的對象是信息系統(tǒng)，等保2.0標準的定級的對象擴展至：基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、使用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)以及大數(shù)據(jù)平臺等多個系統(tǒng)，覆蓋面更廣。

（2）在系統(tǒng)遭到破壞后，對公民、法人和其他組織的合法權(quán)益造成特別嚴重損害的由原來的最高定為二級改為現(xiàn)在的最高可以定為三級。

（3）定級對象的安全等級確定更加科學(xué)，系統(tǒng)定級必須經(jīng)過專家評審和主管部門審核，才能到公安機關(guān)備案，定級更加嚴格。

5.等保測評的變化

等保2.0標準的測評要求更加嚴格，第三級以上的系統(tǒng)每年要開展一次測評，測評達到75分以上才算基本符合要求，而且還在測評標準中增加了高風(fēng)險判例。

6.安全體系的變化

等保2.0標準依然沿用等保1.0標準的“一個中心、三重防護” 的理念，只是從等保1.0標準的被動防御的安全體系向事前預(yù)防、事中響應(yīng)、事后審計的動態(tài)保障體系轉(zhuǎn)變。

通過建立安全技術(shù)體系和安全管理體系，構(gòu)建具備相應(yīng)等級安全保護能力的網(wǎng)絡(luò)安全綜合防御體系，開展組織管理、機制建設(shè)、安全規(guī)劃、通報預(yù)警、應(yīng)急處置、態(tài)勢感知、能力建設(shè)、監(jiān)督檢查、技術(shù)檢測、隊伍建設(shè)、教育培訓(xùn)和經(jīng)費保障等工作。

“數(shù)據(jù)安全”相關(guān)的變化

等保1.0時代，數(shù)據(jù)安全主要劃歸在“技術(shù)要求-數(shù)據(jù)安全及備份恢復(fù)”條款、“技術(shù)要求-應(yīng)用安全”和“技術(shù)要求-主機安全”的要求中。

等保2.0時代，數(shù)據(jù)安全上升為網(wǎng)絡(luò)安全空間，數(shù)據(jù)安全完全屬于“安全通用要求-安全計算環(huán)境”。

等保2.0中數(shù)據(jù)安全的要點及技術(shù)實現(xiàn)

（以第三級安全要求為例）

安全計算環(huán)境是針對邊界內(nèi)部提出的安全控制要求，主要對象為邊界內(nèi)部的所有對象，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備、終端設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)對象和其他設(shè)備等。其中數(shù)據(jù)對象的安全保護屬于安全計算環(huán)境中一個重要的環(huán)節(jié)。

數(shù)據(jù)的保護主要包括數(shù)據(jù)的安全防護和數(shù)據(jù)的備份恢復(fù)，其中數(shù)據(jù)保密性、數(shù)據(jù)完整性、數(shù)據(jù)備份恢復(fù)均屬于數(shù)據(jù)的安全防護要點。

對于數(shù)據(jù)保密性，可利用數(shù)據(jù)加密技術(shù)，對敏感數(shù)據(jù)做加密處理，保證重要數(shù)據(jù)在存儲過程中的保密性。企業(yè)需要通過購買加密軟件對重要業(yè)務(wù)數(shù)據(jù)進行加密。敏捷數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS采用的是一種主動的智能安全加密策略，在從文件創(chuàng)建到刪除的整個生命周期都對其進行智能化的安全保護，且不會改變員工的正常操作模式，在安全性和方便性之間找到了一個非常好的平衡點。

對于數(shù)據(jù)完整性，可通過加密傳輸機制等，對數(shù)據(jù)進行全面的完整性保障。企業(yè)對系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲過程中能夠檢測出完整性是否受到破壞，并有必要的恢復(fù)措施。敏捷數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS采取全方位、全內(nèi)容、全過程的數(shù)據(jù)管理與安全保護手段，為企業(yè)的各類電子文件提供全生命期的安全保護和有效管理。

對于數(shù)據(jù)備份恢復(fù)，可通過數(shù)據(jù)備份機制，實現(xiàn)數(shù)據(jù)的自動備份。企業(yè)的本地數(shù)據(jù)具有備份和恢復(fù)功能，每天完全數(shù)據(jù)至少備份一次，同時將關(guān)鍵數(shù)據(jù)定時做異地備份。敏捷數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS可實時抓取系統(tǒng)數(shù)據(jù)，文件主動備份功能可以自動增量備份核心數(shù)據(jù)資料。

敏捷科技數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS全面符合企業(yè)等保三級的數(shù)據(jù)完整性、保密性、備份和恢復(fù)等安全技術(shù)和安全管理要求，從事前預(yù)防、事中控制和事后審計對數(shù)據(jù)進行全生命周期的智能化安全防護，終端數(shù)據(jù)安全防護、移動端安全防護、數(shù)據(jù)溯源水印、打印安全控制、內(nèi)容外發(fā)管理、文檔安全管理等功能可確保企業(yè)信息安全達到全局應(yīng)用效果。

網(wǎng)絡(luò)安全等級保護制度2.0的正式發(fā)布是中國網(wǎng)絡(luò)安全保障工作的偉大創(chuàng)舉。敏捷科技以《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》為基礎(chǔ)，以數(shù)據(jù)安全為核心，自主可控的加密防護技術(shù)為支撐，建立基于等保2.0標準的網(wǎng)絡(luò)安全防護體系，為企業(yè)用戶提供一站式等保整改與建設(shè)方案及風(fēng)險評估服務(wù)，更高效、更合理地協(xié)助各行各業(yè)用戶的等級保護建設(shè)工作，為我國網(wǎng)絡(luò)安全建設(shè)工作做出更大貢獻。