论网络安全等级保护的演变及主要变化

王国丽

（中铁通信信号勘测设计院有限公司，北京 100036）

0 引言

2021年5月26日，国家互联网应急中心发布《2020年我国互联网网络安全态势综述》[1]报告，报告预测APT攻击威胁、个人信息保护、供应链安全、关键信息基础设施安全、远程协作安全风险、大数据安全等将成为2021年我国网络安全领域值得关注的热点。

无论从网络安全理论还是实践看，攻击都是无法完全避免的，因此，只能通过安全保护能力的提升尽可能延长攻击成功的时间，同时通过协同机制尽可能加快风险检测和风险处置的时间。

1 网络安全等级保护的演变

1.1 等保1.0时代及其合规需求

等保1.0时代主要经历了政策环境的营造、前期工作准备、工作正式启动、工作有序推进等四个阶段。

图1 等保1.0时代的发展历程

1.2 等保2.0时代及其法律强制

为保障网络安全及促进我国信息化的健康发展，第十二届全国人民代表大会常务委员会第二十四次会议通过了《中华人民共和国网络安全法》（下文简称《网安法》），并于2017年6月1日起正式施行。《网安法》第二十一条、二十五条规定了国家实行网络安全等级保护制度及安全保护的义务。第五十九条规定了对不履行第二十一条、二十五条规定的，将对运营者及直接负责的主管人员处以责令整改、警告、罚款等行政处罚，情节严重的还将追究刑事责任。这是我国首次以法律的名义提出了要实行“网络安全等级保护制度”，明确要求“网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务”。《网安法》是网络安全的一项“基本法”，且具有强制性作用。

2019年5月，随着《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）[4]的公布，宣告等保2.0时代正式开启，故2019年也称为等保2.0元年。

2020年4月，国家标准化管理委员会、国家市场监督管理总局联合了发布《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240-2020）[5]，对网络安全等级保护的保护对象、定级对象、定级流程等分别做了详细规定。

2021年8月17日，中华人民共和国国务院令第745号《关键信息基础设施安全保护条例》发布并于2021年9月1日起施行。这是我国首部专门针对关键信息技术设施安全保护工作的行政法规，这也为下一步关键信息的安全保护工作提供了重要的法治保障。

2 等保2.0相对等保1.0的关键变化

2.1 标准名称的变化

为与《网安法》中相关的法律条文保持一致，等保2.0系列将原《信息安全技术信息系统安全等级保护基本要求》的名称改为了《信息安全技术网络安全等级保护基本要求》。

2.2 防御理念的变化

等保1.0系列标准主要强调物理主机、应用、数据、传输的防护，以防为主。

等保2.0增加了对当下新技术新应用的全覆盖，体现了主动防御、综合防御的思想，规定了1～4级等级保护对象的基本要求。5级系统属国家级、国防类的系统，比如核电站、军用通信系统等，故在此系列标准中未做详细说明。

等保2.0充分体现了国家网络安全工作规划“一个中心，三重防御”的重要思想。并叠加了安全可视、动态感知、协同防御能力，构建了主动防御体系。对应到等保2.0，一个中心指的是“安全管理中心”，三重防御指的是“安全计算环境、安全区域边界、安全网络通信”。通过实施三重防御主动防御框架，实现攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不了和攻击行为赖不掉的安全防护效果。

图2 等保2.0整体技术能力框架图

标准的东西不是硬性规定，应具备灵活性。同一条标准可以通过不同方式、结合企业自身环境特点来实现。本文建议的原则是在做好网络安全的过程中顺便将合规一起建设完成，而不是为了应付检查而被动地去对照标准做合规建设。网络安全建设也不能太局限于技术层面，管理其实更为重要，这就是为何等保中有技术条款也有管理条款的原因。

2.3 定级对象的变化

网络安全等级保护工作首先应该明确的就是等级保护对象。

2.3.1 等保1.0的定级对象

等保1.0的定级对象只是针对信息系统而言。并可将较大的信息系统划分为若干个较小的、具有不同安全保护等级的定级对象。随着云计算、物联网、大数据等保护对象不断涌现，原等保1.0定义内涵的局限性日益显现。

2.3.2 等保2.0的定级对象

等保2.0的定级对象分为信息系统、通信网络设施和数据资源。其中，信息系统又再细分为云计算平台/系统、物联网、工业控制系统、采用移动互联技术的系统。

由此可见，等保2.0定级对象不再局限于信息系统，而是针对当下网络信息技术的应用环境和场所，对等级对象进行了拓展。尤其是把一些新技术纳入了测评范围，如最近很热的云计算平台、大数据等。

2.4 定级标准的变化

等保2.0参照定级指南进行定级，是一种强制定级。管理策略也由之前等保1.0的“自主定级、自主保护、监督指导”，转向为等保2.0的“明确等级、增强保护、常态监督”。

2.5 通用要求结构的变化

等保1.0和等保2.0系列标准均从技术部分和管理部分进行了详细规定，但在技术要求方面二者有着明显的区分。

由图3可以看出，在等保1.0的技术要求部分中没有单独设立章节对安全管理中心进行要求，只在“管理要求→系统运维管理→监控管理和安全管理中心”一节中提到“应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理”。而在等保2.0中，单独设立了“安全管理中心”章节，强化了安全管理中心的概念，突出了安全管理中心在信息安全等级保护建设中的重要性。

图3 等保1.0与等保2.0通用技术要求结构差异

2.5.1 技术部分

（1）安全物理环境的变化。等保2.0将等保1.0中的物理和环境安全变更为安全物理环境，要求项与等保1.0无变化。

（2）安全通信网络的变化。等保2.0将等保1.0中的网络和通信安全这2项变为了安全通信网络和安全区域边界，要求项由33项变为了28项。将等保1.0的网络架构和通信传输整合为安全通信网络的要求子项，并新增了可信验证的要求项。

（3）安全区域边界的变化。等保2.0将等保1.0中的边界防护、访问控制、入侵防范、恶意代码防护和安全审计这5项全部整合为安全区域边界的要求子类，并新增了可信验证的要求项。

（4）安全计算环境的变化。等保2.0将等保1.0中的设备和计算安全、应用和数据安全合并到了一起并更名为 “安全计算环境”。控制项也由60项变更为34项。其中恶意代码防范也要求采用免受恶意代码攻击的技术措施或主动免疫可信机制，将恶意入侵行为和病毒行为进行阻断。

2.5.2 管理部分的变化

（1）安全管理中心的变化。安全管理中心属于新增的控制项，主要包括系统管理、审计管理、安全管理和集中管控四部分共计12项要求。系统管理主要是对传统的“安全3员”进行身份鉴别并对其操作行为进行审计，同时对系统资源和运行进行配置和管理。集中管控则强调的是对组成网络空间的链路和设备的运行情况进行在线监测。主要是对分散的相关数据进行汇总分析、安全策略更新、恶意代码防范、补丁升级等事项进行集中管控，然后对相关的网络安全事件进行识别、预警和响应。

（2）其他变化。其余管理部分（安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理），等保2.0与等保1.0的相关要求项基本没有变化，仅仅是把安全管理制度中的安全策略和管理制度改为了安全管理制度，这里不再做详细赘述。

2.6 测评周期和分数的变化

等保2.0标准要求，定级在第三级及以上的系统每年开展一次等保测评，修改了原先1.0时期要求定级为四级的系统每半年进行一次等保测评的要求。

等保2.0系列标准正式实施后，等级测评结论的判定较等保1.0时代的判定方法有重大调整。等保测评结论将由等保1.0时代的符合（100分）、基本符合（60分以上且无高风险）、不符合（60分以下或存在高风险）改为2.0时代的优、良、中、差四个等级。如表1所示。

表1 2.0时代等级测评表

简单点说，等保2.0标准的测评标准就是不能存在高风险项，以及分数要达到要求的阈值。由此也可以看出等保对安全的最低要求已经在显著提高了。

3 结束语

网络安全等级保护是我国信息网络安全保障的一项基本制度性工作。等保2.0体系标准在应对新威胁方面更加强调并增强了未知威胁检测能力、安全检测能力和安全响应能力的建设，在应对新风险方面更加体现了动态的、积极防御的安全理念，在应对新技术方面针对云计算、大数据、物联网等新技术不断扩大等级保护外延。总体来说，等保2.0体系相对等保1.0体系地位变高了、标准变广了、体系变大了、过程变难了。