深入解讀等保2.0

1.為什麼要過等保？

1.1.網絡安全形勢嚴峻

根據

2020年中國網際網路網絡安全報告

，國家資訊安全漏洞共享平台全年新增收錄通用軟硬體漏洞數量創曆史新高，相關漏洞一旦被不法分子利用，可能構成嚴重的網絡安全威脅。雖然惡意程式治理成效明顯，但勒索病毒技術手段不斷更新，惡意程式傳播與治理對抗性加劇。在工業控制系統中，直接暴露在網際網路上的工控裝置和系統存在高危漏洞隐患占比仍然較高，網際網路側安全風險仍較為嚴峻。

總體而言，我國基礎網絡安全存在較多的漏洞威脅，随着企業上雲的程序加速，雲服務逐漸成為網絡安全的首要攻擊目标，針對重要網絡的惡意攻擊頻發，針對重要資訊系統、基礎應用和通用元件的攻擊更加活躍，網站資訊和個人資訊的洩露現象依然嚴峻，移動應用程式洩露逐漸成為資訊洩露的新主體，網絡安全治理仍然面臨許多嚴峻挑戰。

1.2.法律要求

《

資訊安全技術-網絡安全等級保護基本要求

》由國家市場監督管理總局于2019年5月10日釋出，于2019年12月1日正式實施，簡稱"等保2.0"。

2017年，《

網絡安全法

》的正式實施，标志着等級保護2.0的正式啟動。網絡安全法第21條明确“國家實行網絡安全等級保護制度” ，其第31條明确“國家對一旦遭到破壞、喪失功能或者資料洩露，可能嚴重危害國家安全、國計民生、公共利益的關鍵資訊基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護”。上述要求為網絡安全等級保護賦予了新的含義。相較于“等保1.0”，等保2.0已上升至法律層面，對于網絡經營者而言，不過等保就是違法的。

對于企業來說要過等保，除了要了解《資訊安全技術-網絡安全等級保護基本要求》以外，還應結合《

資訊安全技術 網絡安全等級保護測評要求

》、《

資訊安全技術網絡安全等級保護安全設計技術要求

》一起來看。

2.如何了解等保2.0

2.1 等保的對象

等級保護的對象是網絡基礎設施、資訊系統、大資料、物聯網、雲平台、工控系統、移動網際網路、智能裝置等。

等保的核心是等級保護、管理規範和技術标準。 等保要求組織企業和個人對資訊系統進行分等級的安全保護，對安全保護的實施進行監督和管理，進而保證安全資訊系統的基礎安全。

2.2 等保的曆史和演進

2.2.1 等保1.0和等保2.0的差別

“等保1.0”體系以資訊系統為對象，确立了五級安全保護等級，并從資訊系統安全的定級方法、基本要求、實施過程、測評工作等方面入手，形成了一套相對完整、标準明确、涵蓋技術和管理要求的等級保護規範，然而随着網絡安全形勢日益嚴峻，“等保1.0”已經難以持續應對更加複雜的網絡安全新時代，進而國家又推出了“等保2.0”。相較于“等保1.0”為等級保護提供指南和方針，“等保2.0”是其基礎之上的疊代和延伸。

“等保2.0”相較于“等保1.0”的變化如下：

• 等保2.0将“資訊系統安全”拓展到了“網絡安全”，其中所謂“網絡”是指由計算機或者其他資訊終端及相關裝置組成的按照一定的規則和程式對資訊進行收集、存儲、傳輸、交換、處理的系統。
• 等保2.0的法律意義更高，是國家的網絡安全領域的基本國策、基本制度和基本方法。
• 2.0定級劃分更加細緻，對于企業來說意味着更高的标準要求。

2.2.2 等保的演進

等保的演進伴随着以下幾個方面的不斷發展和完善，從基礎安全（安全加強+更新檔管理+應用防護）到被動防禦（基礎對抗+縮小攻擊面+消耗攻擊資源+延緩攻擊), 從被動防禦到積極防禦（全面檢測+快速響應+安全分析+追根溯源+響應處理）并通過威脅情報、動态感覺（資訊收集+情報驗證+資訊挖掘）進一步提高整個防護保證體系的安全可信度（靜态可信+動态可信+法律手段+技術反制+安全驗證）。

從發展的角度來說，網絡安全等級保護制度呈現以下幾個明顯的演進方向：

• 安全監管更嚴格

由亂到治，有法可依，安全監管更加嚴格，《中華人民共和國網絡安全法》第21條規定“國家實行網絡安全等級保護制度”，要求“網絡營運者應當按照網絡安全保護等級制度要求，履行安全保護義務”；第31條規定“對于國家關鍵資訊基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護”。

• 配套行業更廣泛

随着大資料、雲計算、移動網際網路、人工智能等新技術不斷湧現，計算機資訊系統的概念已經不能涵蓋全部，特别是網際網路開素發展帶來的大資料價值的凸顯，等保保護對象的外延将不斷拓展。

• 風險評估服務更完善

在定級、備案、建設整改、等級評測和監督檢查等規定動作基礎上，2.0時代風險評估，安全監測，通報預警、事件調查、資料防護、災難備份、應急處理、自主可控、供應鍊安全、效果評價、綜治考核等這些與網絡安全密切相關的措施都将全部納入等級保護制度并加以實施。

• 安全可信技術進一步發展

2.0時代，主管部門将繼續指定出台一系列政策法規和技術标準，形成運轉順暢的工作機制、在先有體系基礎上，建立完善等級保護政策體系、标準體系、評測體系、關鍵技術研究體系、教育教育訓練體系等。自主可信可控的安全系統年，可信環境成為主要的安全實作途徑。

3.過等保的流程

圖1 過等保的流程

3.1 定級

等級保護對象根據其在國家安全、經濟建設、社會生活中的重要程度，遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等，由低到高被劃分為五個安全保護等級 。具體的定級要求參見《

資訊安全技術 網絡安全等級保護定級指南

》。

不同級别的等級保護對象應具備的基本安全保護能力要求如下:

定級要求	防護水準	處理能力	恢複能力
一級	一旦受到破壞會對相關公民、法人和其他組織的合法權益造成損害，但不危害國家安全、社會秩序和公共利益的一般網絡；	防護免受來自個人的、擁有很少資源的威脅源發起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的關鍵資源損害	-	在自身遭到損害後，能夠恢複部分功能
二級	一旦受到破壞會對相關公民、法人和其他組織的合法權益造成嚴重損害，或者對社會秩序和公共利益造成危害，但不危害國家安全的一般網絡；	防護免受來自外部小型組織的、擁有少量資源的威脅源發起的惡意攻擊、 一般的自然災難、以及其他相當危害程度的威脅所造成的重要資源損害，	能夠發現重要的安全漏洞和處置安 全事件	自身遭到損害後，能夠在一段時間内恢複部分功能
三級	一旦受到破壞會對相關公民、法人和其他組織的合法權益造成特别嚴重損害，或者會對社會秩序和社會公共利益造成嚴重危害，或者對國家安全造成危害的重要網絡；	在統一安全政策下防護免受來自外部有組織的團體、擁有較為豐富資源的威脅源發起的惡意攻擊、較為嚴重的自然災難、以及其他相當危害程度的威脅所造成的主要資源損害	能夠及時發現、監測攻擊行為和處置安全事件	自身遭到損害後，能夠較快恢複絕大部分功能
四級	一旦受到破壞會對社會秩序和公共利益造成特别嚴重危害，或者對國家安全造成嚴重危害的特别重要網絡；	應能夠在統一安全政策下防護免受來自國家級别的、敵對組織的、擁有豐富資 源的威脅源發起的惡意攻擊、嚴重的自然災難	能夠及時發現、監測發現攻擊行為和安全事件	在自身遭到損害後，能夠迅速恢複所有功能
五級	一旦受到破壞後會對國家安全造成特别嚴重危害的極其重要網絡。	略

第五級等級保護對象是非常重要的監督管理對象，對其有特殊的管理模式和安全要求，是以不在本文中進行詳細闡述

簡單而言，定級主要參考行業要求和業務的發展體量，例如普通的門戶網站，定為二級已經足夠，而存儲較多敏感資訊的系統例如儲存使用者的身份資訊、通訊資訊、住址資訊等則需要定為三級。對拟定為第二級以上的網絡，其營運者應當組織專家評審；有行業主管部門的，應當在評審後報請主管部門核準。跨省或者全國統一聯網運作的網絡由行業主管部門統一拟定安全保護等級，統一組織定級評審。總體來說，定級滿足就高不就低的原則。

3.2 備案

對拟定為第二級及以上的網絡，應當在網絡的安全保護等級确定後10個工作日内，到縣級以上公安機關備案。二級及以上需要送出的備案材料例如定級報告、備案表，三級及以上需要提供組織架構圖、拓撲圖、系統安全方案、系統裝置清單及銷售許可證等等。因網絡撤銷或變更調整安全保護等級的，應當在10個工作日内向原受理備案公安機關辦理備案撤銷或變更手續。

第一級别	第二級别	第三級别	第四級别
應以書面的形式說明保護對象的安全保護等級及确定等級的方法和理由。	✅
應組織相關部門和有關安全技術專家對定級結果的合理性和正确性進行論證和審定；
應保證定級結果經過相關部門的準許；
應将備案材料報主管部門和相應公安機關備案。

3.3 建設整改

在确定了等級保護對象的安全保護等級後，應根據不同對象的安全保護等級完成安全建設或安全整改工作 。就建設整改而言，網絡安全防護技術是其基礎，提高管理水準、規範網絡安全防護行為是其關鍵，良好的運維與監控也為其提供最有力的支援保障。就第二等級及以上級别要求而言，應定期進行等級測評，發現不符合相應等級保護标準要求的需要及時整改。

3.4 等級測評

等級測評主要是兩個方面的評估，一個方面是技術上的評估，例如安全能力是否達标、網絡架構是否合規，另一個方面是管理上的評估，例如管理制度和人員的教育訓練是否到位等等。“等保2.0”要求二級及以上級别的企業應在發生重大變更或級别發生變化時進行等級測評，應確定測評機構的選擇符合國家有關規定。

3.5 監督檢查

監督檢查貫穿等級保護的全部方面，從定級到備案，從備案到整改，從整改到測評，都離不開監督檢查的貫徹與實施。對于二級及以上等級而言，應定期進行正常安全檢查，檢查内容包括系統日常運作、系統漏洞和資料備份等情況 。

應定期進行正常安全檢查，檢查内容包括系統日常運作、系統漏洞和資料備份等情況
應定期進行全面安全檢查，檢查内容包括現有安全技術措施的有效性、安全配置 與安全政策的一緻性、安全管理制度的執行情況等
應制定安全檢查表格實施安全檢查，彙總安全檢查資料，形成安全檢查報告，并 對安全檢查結果進行通報

4.等保與日志審計

4.1 等保的基本要求

“等保2.0”将安全要求分為10個子項，從技術角度來說，包括安全實體環節、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心；從管理角度來說，包括安全管理制度，安全管理機構、安全管理人員、安全建設管理和安全運維管理。此外，基本要求又對每個子項做出安全通用要求和個性化的安全拓展要求。

4.2 阿裡雲的資質和生态

阿裡雲可靠的安全資質和完善的安全生态産品可以幫助網絡營運者達到等保2.0的基本技術要求，很多阿裡雲産品均為等保測評的首個落地試點，雲防火牆、WAF、DDoS防護等安全産品為等保創造了一個安全的計算環境，VPC、SLB等網絡資源又為等保2.0劃出了安全的區域邊界，堡壘機、統一身份認證、RAM等在通路控制方面為等保2.0牢牢把關，RDS、Polardb等資料庫的安全審計又提升了等保2.0的資料安全，雲安全管理中心從整體上也幫助企業全面了解、有效處理伺服器的安全隐患，實作對雲上資産的集中安全管理。

4.3 日志審計服務

在阿裡雲全面豐富的安全産品生态基礎上，基于根據《網絡安全法》第二十一條第三小節中明确規定了“采取監測、記錄網絡運作狀态、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月"的要求，

日志審計APP

應運而生。

日志審計服務為存儲和查詢網絡安全生态雲産品日志提供一個簡單完備的有效手段。日志審計APP可以自動化、中心化地采集雲産品日志并進行審計，其服務覆寫基礎（操作審計、k8s)、存儲（OSS、NAS)、網絡（SLB、API網關、VPC）、資料庫（RDS、PolarDB-X1.0，PolarDB）、安全（WAF、DDOS、SAS、CPS）等産品，還支援審計所需的存儲、查詢及資訊彙總等功能。日志審計同時結合威脅情報和SLS告警功能，幫助完善企業使用者的風險監控與事件響應，具體細節可以參考《

從日志審計角度解讀網絡資料時代新安全

》一文。

圖2 開啟日志審計

5.參考連結