2019年5月13日，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0國(guó)家標(biāo)準(zhǔn)（以下簡(jiǎn)稱“等保2.0”）正式發(fā)布，將于2019年12月1日開(kāi)始實(shí)施。至此，我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)入了2.0時(shí)代。

開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)網(wǎng)絡(luò)安全的根本保障，是網(wǎng)絡(luò)安全保障工作中國(guó)家意志的提現(xiàn)。作為國(guó)家信息安全的基本制度，貫徹落實(shí)等級(jí)保護(hù)2.0是企業(yè)義不容辭的信息安全義務(wù)，而未落實(shí)等保的企業(yè)將面臨被有關(guān)部門責(zé)令整改、行政處罰、暫停注冊(cè)、暫停運(yùn)營(yíng)等處罰。

小編對(duì)等保2.0的變化進(jìn)行分析和解讀，并結(jié)合敏捷科技在數(shù)據(jù)安全領(lǐng)域的技術(shù)和實(shí)踐經(jīng)驗(yàn)，為您解讀等保2.0時(shí)代下的數(shù)據(jù)安全防護(hù)要求，旨在助力企業(yè)網(wǎng)絡(luò)安全防護(hù)能力和信息安全管理能力的提升，合理規(guī)避風(fēng)險(xiǎn)。

等保2.0的改變與升級(jí)

等保2.0標(biāo)準(zhǔn)與等保1.0標(biāo)準(zhǔn)相比，在保持等級(jí)保護(hù)“五個(gè)級(jí)別”不變、五個(gè)“規(guī)定動(dòng)作”不變、等級(jí)保護(hù)工作相關(guān)參與主體“主體職責(zé)”不變的基礎(chǔ)上，在如下一些方面進(jìn)行了改變和升級(jí)：

1.標(biāo)準(zhǔn)名稱的變化

等保2.0將《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致，意味著等級(jí)保護(hù)對(duì)象與網(wǎng)絡(luò)安全防護(hù)理念等的變化。

2.法律法規(guī)的變化

等保2.0法律地位明顯提升，從法規(guī)條例“國(guó)務(wù)院147號(hào)令”上升到《網(wǎng)絡(luò)安全法》的法律層面。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條要求，國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度；第三十一條則要求，關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。

3.標(biāo)準(zhǔn)要求的變化

等保1.0標(biāo)準(zhǔn)只有安全通用要求，等保2.0標(biāo)準(zhǔn)在對(duì)等保1.0標(biāo)準(zhǔn)基本要求進(jìn)行優(yōu)化（刪除了一些過(guò)時(shí)的要求項(xiàng)，對(duì)一些要求項(xiàng)進(jìn)行精簡(jiǎn)與合理性改寫，新增對(duì)新型網(wǎng)絡(luò)攻擊行為防范、垃圾郵件防范和個(gè)人信息保護(hù)等一些新的要求）的同時(shí)，針對(duì)云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)新技術(shù)提出了新的安全擴(kuò)展要求。

內(nèi)容的變化

安全通用要求控制點(diǎn)變化

安全通用要求要求項(xiàng)變化

注：安全通用要求是不管等級(jí)保護(hù)對(duì)象的形態(tài)如何都必須滿足的要求；安全擴(kuò)展要求則是針對(duì)特殊技術(shù)場(chǎng)景所提出的特殊保護(hù)要求，使用新技術(shù)的信息系統(tǒng)需要同時(shí)滿足安全通用要求和新技術(shù)的安全擴(kuò)展要求。

4.等保定級(jí)的變化

（1）定級(jí)對(duì)象的改變：等保1.0定級(jí)的對(duì)象是信息系統(tǒng)，等保2.0標(biāo)準(zhǔn)的定級(jí)的對(duì)象擴(kuò)展至：基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、使用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)以及大數(shù)據(jù)平臺(tái)等多個(gè)系統(tǒng)，覆蓋面更廣。

（2）在系統(tǒng)遭到破壞后，對(duì)公民、法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害的由原來(lái)的最高定為二級(jí)改為現(xiàn)在的最高可以定為三級(jí)。

（3）定級(jí)對(duì)象的安全等級(jí)確定更加科學(xué)，系統(tǒng)定級(jí)必須經(jīng)過(guò)專家評(píng)審和主管部門審核，才能到公安機(jī)關(guān)備案，定級(jí)更加嚴(yán)格。

5.等保測(cè)評(píng)的變化

等保2.0標(biāo)準(zhǔn)的測(cè)評(píng)要求更加嚴(yán)格，第三級(jí)以上的系統(tǒng)每年要開(kāi)展一次測(cè)評(píng)，測(cè)評(píng)達(dá)到75分以上才算基本符合要求，而且還在測(cè)評(píng)標(biāo)準(zhǔn)中增加了高風(fēng)險(xiǎn)判例。

6.安全體系的變化

等保2.0標(biāo)準(zhǔn)依然沿用等保1.0標(biāo)準(zhǔn)的“一個(gè)中心、三重防護(hù)” 的理念，只是從等保1.0標(biāo)準(zhǔn)的被動(dòng)防御的安全體系向事前預(yù)防、事中響應(yīng)、事后審計(jì)的動(dòng)態(tài)保障體系轉(zhuǎn)變。

通過(guò)建立安全技術(shù)體系和安全管理體系，構(gòu)建具備相應(yīng)等級(jí)安全保護(hù)能力的網(wǎng)絡(luò)安全綜合防御體系，開(kāi)展組織管理、機(jī)制建設(shè)、安全規(guī)劃、通報(bào)預(yù)警、應(yīng)急處置、態(tài)勢(shì)感知、能力建設(shè)、監(jiān)督檢查、技術(shù)檢測(cè)、隊(duì)伍建設(shè)、教育培訓(xùn)和經(jīng)費(fèi)保障等工作。

“數(shù)據(jù)安全”相關(guān)的變化

等保1.0時(shí)代，數(shù)據(jù)安全主要?jiǎng)潥w在“技術(shù)要求-數(shù)據(jù)安全及備份恢復(fù)”條款、“技術(shù)要求-應(yīng)用安全”和“技術(shù)要求-主機(jī)安全”的要求中。

等保2.0時(shí)代，數(shù)據(jù)安全上升為網(wǎng)絡(luò)安全空間，數(shù)據(jù)安全完全屬于“安全通用要求-安全計(jì)算環(huán)境”。

等保2.0中數(shù)據(jù)安全的要點(diǎn)及技術(shù)實(shí)現(xiàn)

（以第三級(jí)安全要求為例）

安全計(jì)算環(huán)境是針對(duì)邊界內(nèi)部提出的安全控制要求，主要對(duì)象為邊界內(nèi)部的所有對(duì)象，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備、終端設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)對(duì)象和其他設(shè)備等。其中數(shù)據(jù)對(duì)象的安全保護(hù)屬于安全計(jì)算環(huán)境中一個(gè)重要的環(huán)節(jié)。

數(shù)據(jù)的保護(hù)主要包括數(shù)據(jù)的安全防護(hù)和數(shù)據(jù)的備份恢復(fù)，其中數(shù)據(jù)保密性、數(shù)據(jù)完整性、數(shù)據(jù)備份恢復(fù)均屬于數(shù)據(jù)的安全防護(hù)要點(diǎn)。

對(duì)于數(shù)據(jù)保密性，可利用數(shù)據(jù)加密技術(shù)，對(duì)敏感數(shù)據(jù)做加密處理，保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的保密性。企業(yè)需要通過(guò)購(gòu)買加密軟件對(duì)重要業(yè)務(wù)數(shù)據(jù)進(jìn)行加密。敏捷數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS采用的是一種主動(dòng)的智能安全加密策略，在從文件創(chuàng)建到刪除的整個(gè)生命周期都對(duì)其進(jìn)行智能化的安全保護(hù)，且不會(huì)改變員工的正常操作模式，在安全性和方便性之間找到了一個(gè)非常好的平衡點(diǎn)。

對(duì)于數(shù)據(jù)完整性，可通過(guò)加密傳輸機(jī)制等，對(duì)數(shù)據(jù)進(jìn)行全面的完整性保障。企業(yè)對(duì)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中能夠檢測(cè)出完整性是否受到破壞，并有必要的恢復(fù)措施。敏捷數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS采取全方位、全內(nèi)容、全過(guò)程的數(shù)據(jù)管理與安全保護(hù)手段，為企業(yè)的各類電子文件提供全生命期的安全保護(hù)和有效管理。

對(duì)于數(shù)據(jù)備份恢復(fù)，可通過(guò)數(shù)據(jù)備份機(jī)制，實(shí)現(xiàn)數(shù)據(jù)的自動(dòng)備份。企業(yè)的本地?cái)?shù)據(jù)具有備份和恢復(fù)功能，每天完全數(shù)據(jù)至少備份一次，同時(shí)將關(guān)鍵數(shù)據(jù)定時(shí)做異地備份。敏捷數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS可實(shí)時(shí)抓取系統(tǒng)數(shù)據(jù)，文件主動(dòng)備份功能可以自動(dòng)增量備份核心數(shù)據(jù)資料。

敏捷科技數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS全面符合企業(yè)等保三級(jí)的數(shù)據(jù)完整性、保密性、備份和恢復(fù)等安全技術(shù)和安全管理要求，從事前預(yù)防、事中控制和事后審計(jì)對(duì)數(shù)據(jù)進(jìn)行全生命周期的智能化安全防護(hù)，終端數(shù)據(jù)安全防護(hù)、移動(dòng)端安全防護(hù)、數(shù)據(jù)溯源水印、打印安全控制、內(nèi)容外發(fā)管理、文檔安全管理等功能可確保企業(yè)信息安全達(dá)到全局應(yīng)用效果。

網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0的正式發(fā)布是中國(guó)網(wǎng)絡(luò)安全保障工作的偉大創(chuàng)舉。敏捷科技以《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》為基礎(chǔ)，以數(shù)據(jù)安全為核心，自主可控的加密防護(hù)技術(shù)為支撐，建立基于等保2.0標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全防護(hù)體系，為企業(yè)用戶提供一站式等保整改與建設(shè)方案及風(fēng)險(xiǎn)評(píng)估服務(wù)，更高效、更合理地協(xié)助各行各業(yè)用戶的等級(jí)保護(hù)建設(shè)工作，為我國(guó)網(wǎng)絡(luò)安全建設(shè)工作做出更大貢獻(xiàn)。