近來，網絡安全這個話題熾手可熱，身處互聯網行業的相關人士應該深有體會。其中，關于安全标準這方面，熱度最高的應該算是"等保"了。

"等保"，即網絡安全等級保護，是我國網絡安全領域的基本國策、基本制度。早在2017年8月，公安部評估中心就根據網信辦和信安标委的意見将等級保護在編的5個基本要求分冊标準進行了合并形成《信息安全技術 網絡安全等級保護基本要求》一個标準。（ GB/T 22239—2019代替 GB/T 22239-2008）該标準于2019年5月10日發布，于2019年12月1日開始實施。

這份标準呢，也就是近期為人所熟知的等保2.0，而等保1.0則為原标準《信息安全技術 信息系統安全等級保護基本要求》（ GB/T 22239-2008）。等保2.0在1.0時代标準的基礎上，更加注重主動防禦，從被動防禦到事前、事中、事後全流程的安全可信、動态感知和全面審計，實現了對傳統信息系統、基礎信息網絡、雲計算、大數據、物聯網、移動互聯網和工業控制信息系統等級保護對象的全覆蓋。

在1.0的初期，企業隻要有安全意識，能開始做等保，開始測評就已經很不錯了；到了中期，整體防護，滲透測試，合規開始等于安全。行業等級保護全面開展，等保開始逐漸的深入人心；再到1.0的後期，無論是企業層面還是國家層面，都更注重實質性的安全。主動防禦、态勢感知、攻防對抗等安全手段開始流行，雲安、大數據、工控安全和移動安全開始占領主要趨勢。

等保1.0普及了等保的概念，強化了安全意識，從單個系統到部門、到行業，再到上升到國家層面從合規到攻防對抗，整體提升了網絡安全保障能力技術并且不斷進行人才的積累，這些都對等保2.0提供了有力的支撐。

除演進過程之外，老生常談就是幾級幾級等保要求了。等保根據系統重要程度和被破壞後的危害程度，劃分為5個等級：一般稱為等保一級到五級，從第一級到第五級依次是：用戶自主保護級、系統審計保護級、安全标記保護級、結構化保護級、訪問驗證保護級。

等保一級，安全性太低，沒人做；等保五級安全性太高，一般涉密，執行分保。所以在做的等保項目都是二級、三級和四級。

等保二級：縣級單位，比如區縣醫院，學校等；

等保四級：金融、軍工、電力等高安全單位；

等保三級：除去二級和四級，三級最多。

《網絡安全等級保護基本要求》的附錄A為規範性附錄，就定級标準的選擇和使用做了組合說明。

簡單的對應關系如下：

通過等保驗收之後，國家公安部會發放《信息系統安全等級保護備案證明》。而相關的處罰措施在《網絡安全法》第五十九條中有相關規定:

網絡運營者不履行義務的：由有關主管部門責令改正，給予警告；拒不改正或者導緻危害網絡安全等後果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

關鍵信息基礎設施的運營者不履行義務的 ：由有關主管部門責令改正，給予警告； 拒不改正或者導緻危害網絡安全等後果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

劃重點：用戶單位不做等級保護測評，用戶單位需要被罰款1萬-100萬；主管人員需要被罰款5000-100000。

等保2.0的安全通用要求分類如下：

技術要求部分：安全物理環境、安全通信網絡、安全區域邊界、安全計算環境；

管理要求部分：安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

和等保1.0标準相比，總體變化不大，等保2.0對要求做了較大幅度的精簡。

等保2.0的最大變化是，除了安全通用要求外，還增加了擴展要求，涉及雲計算安全、移動互聯安全、物聯網、工控安全、大數據安全。

等保2.0的内容架構

　　等保官方規定了五個步驟：系統定級、備案、建設整改、等級評測、監督檢查。

　　❶ 系統定級： 确定建設幾級等保，常規三級；

　　❷ 備案：二級以上需要到公安機關備案(也就是到公安網安備案。等保2.0标準不再自主定級，二級及以上系統定級必須經過專家評審和主管部門審核，才能到公安機關備案，整體定級更加嚴格)；

　　❸ 建設整改：根據等保标準，進行安全建設改造(比如漏洞系統掃出哪些漏洞，需要打補丁或升級；邊界需要部署防火牆，IPS等，這些是發現問題，解決問題的過程。有錢的單位問題解決得徹底些，缺錢的解決部分也行，畢竟過等保滿不用拿滿分)；

　　❹ 等級評測：具備評測資格的等保評測機構進行評測，評測條目非常細，參考《等保三級基線要求判分标準》。（相較于等保1.0，等保2.0測評的标準發生了變化，2.0中測評結論分為：優（90分及以上）、良（80分及以上）、中（70分及以上）、差（低于70分），70分以上才算基本符合要求，基本分調高了，測評要求更加嚴格。不過得幾分還是評測機構說了算）；

　　❺ 監督檢查：公安網安部門可以定期抽查，這就是定期查水表，很好理解。

對于信息安全管理，一般建議單位制定一些相關文檔，下面簡單列區部分名稱，可以簡單參考：

網站管理辦法、

網絡信息安全應急管理标準、

計算機終端及外設運行維護管理辦法、

重要事件請示審批流程、

OA系統用戶帳号與郵件管理規定、

信息安全應急預案管理辦法、

辦公計算機操作及聯網管理規定、

安全檢查及審計制度、

操作系統及數據庫運行安全管理辦法、

數據庫運行管理規範、

軟件開發與維護管理标準、

信息安全策略綱要、

互聯網上網行為管理辦法、

信息安全管理制度制定與發布管理辦法、

信息系統補丁管理制度、

辦公自動化系統管理标準、

安全管理制度、

安全管理組織機構及崗位職責、

數據中心機房運行維護手冊、

計算機病毒防治管理辦法、

人員安全管理制度、

安全管理機構、

教育培訓制度

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!