4月29日，這是“首都網(wǎng)絡(luò)安全日”。2019年4月28日，第六屆“首都網(wǎng)絡(luò)安全日”系列活動在北京展覽館拉開帷幕，本屆活動以“網(wǎng)絡(luò)安全同擔(dān)網(wǎng)絡(luò)生活共享”為宗旨。

根據(jù)CNNIC 2月底發(fā)布的第43次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》顯示，截至2018年12月，我國網(wǎng)民規(guī)模達8.29億，普及率達59.6%，全年新增網(wǎng)民5653萬。我國手機網(wǎng)民規(guī)模達8.17億，網(wǎng)民通過手機接入互聯(lián)網(wǎng)的比例高達98.6%。從上述數(shù)據(jù)可以看到，互聯(lián)網(wǎng)越來越廣的滲入人們的日常生活，從辦公到生活，互聯(lián)網(wǎng)幾乎無處不在。

但是，與互聯(lián)網(wǎng)伴隨而至的還有各種各樣的網(wǎng)絡(luò)安全問題，比如病毒木馬、流氓軟件、網(wǎng)絡(luò)攻擊、信息泄露等等。

對于各種網(wǎng)絡(luò)安全問題，個人一般都是從自我做起，提高自身安全意識，合理使用APP。那么，從國家角度來看，就需要一整套規(guī)范來應(yīng)對網(wǎng)絡(luò)安全——網(wǎng)絡(luò)安全等級保護2.0標準，全稱《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》，簡稱“等保2.0”。

等保1.0指的是2007年的《信息安全等級保護管理辦法》和2008年的《信息安全等級保護基本要求》。

根據(jù)公開信息，2018年6月發(fā)布“等保2.0標準”的征求意見稿;2019年3月底，公安部相關(guān)人士披露：等保2.0今年4月份有望出臺;4月20日，公安部網(wǎng)絡(luò)安全保衛(wèi)局稱，等保2.0已經(jīng)完成安標委審批，并宣布具體落地時間。

根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，等級保護是我國信息安全保障的基本制度。等保是對網(wǎng)絡(luò)安全法在產(chǎn)業(yè)層面、標準層面和執(zhí)行層面的具體落實。

《網(wǎng)絡(luò)安全法》第二十一條規(guī)定，國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列全保護義務(wù)：保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

其中，等級保護的內(nèi)容：關(guān)鍵信息基礎(chǔ)設(shè)施安全保護義務(wù)、敏感信息保護義務(wù)、每年風(fēng)險監(jiān)測評估等。以關(guān)鍵信息基礎(chǔ)設(shè)施為例，它可以分為網(wǎng)站類、平臺類和業(yè)務(wù)生產(chǎn)類，詳情看下圖：

等級保護范圍內(nèi)重要信息系列所涵蓋的行業(yè)有能源、金融、交通、水利、醫(yī)療衛(wèi)生、環(huán)境保護、工業(yè)制造、市政、電信與互聯(lián)網(wǎng)、廣播電視及政府部門。

據(jù)悉，等保2.0有5個運行步驟：定級、備案、建設(shè)和整改、等級測評、檢查。同時，也分5個等級，即信息系統(tǒng)按重要程度由低到高分為5個等級，并分別實施不同的保護策略。

一級系統(tǒng)簡單，不需要備案，影響程度很小，因此不作為重點監(jiān)管對象;二級系統(tǒng)大概50萬個左右;三級系統(tǒng)大概5萬個;四級系統(tǒng)量級較大，比如支付寶、銀行總行系統(tǒng)、國家電網(wǎng)系統(tǒng)，有1000個左右;五級系統(tǒng)屬國家級、國防類的系統(tǒng)，比如核電站、軍用通信系統(tǒng)。

等保2.0的變化

等保1.0是2007年和2008年出臺，但參考的信息都是以前甚至更老的，因此造成一些新技術(shù)和新應(yīng)用的等級保護規(guī)范缺乏，比如云計算、物聯(lián)網(wǎng)等。其次，除傳統(tǒng)的5步驟外，風(fēng)險評估、安全監(jiān)測和通報預(yù)警等工作不完善。最后是政策、標準、測評、技術(shù)和服務(wù)等體系不完善。

具體說來，新標準分成了5個部分：

《網(wǎng)絡(luò)安全等級保護基本要求第1部分安全通用要求》

《網(wǎng)絡(luò)安全等級保護基本要求第2部分云計算安全擴展要求》

《網(wǎng)絡(luò)安全等級保護基本要求第3部分移動互聯(lián)安全擴展要求》

《網(wǎng)絡(luò)安全等級保護基本要求第4部分物聯(lián)網(wǎng)安全擴展要求》

《網(wǎng)絡(luò)安全等級保護基本要求第5部分工業(yè)控制系統(tǒng)安全擴展要求》

可以說，等保2.0標準為適應(yīng)新技術(shù)的發(fā)展，解決云計算、物聯(lián)網(wǎng)和工控領(lǐng)域信息系統(tǒng)的等級保護工作的需要。

簡單來看，評測要求從60提升到75分;安全防御在云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)以及人工智能等新興領(lǐng)域進行拓展;由被動防御為主變成全方面的主動防御，具體有感知預(yù)警、動態(tài)防護、安全檢測和應(yīng)急響應(yīng)等。

網(wǎng)民為lywhiz在發(fā)布的一篇名為《等保2.0將至，解讀新標準的變化》解釋的更詳細。比如，在物理與環(huán)境安全部分，云計算擴展要求中新增，物理機房必須要在境內(nèi);明確提出機房視頻監(jiān)控系統(tǒng)的要求，對機房橫向和縱向都要有視頻監(jiān)控整個機房不能存在監(jiān)控死角;防靜電要求明確舉例說明采用靜電消除器、防靜電手環(huán)等等。

而在應(yīng)用和數(shù)據(jù)安全中，新增一些內(nèi)容，強調(diào)對個人信息保護。一是新增，應(yīng)強制用戶首次登錄時修改初始口令，二是新增，用戶身份鑒別信息丟失或失效時，應(yīng)采用技術(shù)措施確保鑒別信息重置過程的安全。三是新增，在故障發(fā)生時，應(yīng)自動保存易失性數(shù)據(jù)和所有狀態(tài)，保證系統(tǒng)能夠進行恢復(fù)。

更重要的是，新增個人信息保護模塊：應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個人信息;應(yīng)禁止未授權(quán)訪問和非法使用用戶個人信息。

根據(jù)國君預(yù)測，等保2.0升級將帶來超250億元的新增市場。其中，產(chǎn)品市場增加193億元，服務(wù)市場新增59億元。

根據(jù)IDC的預(yù)測，2011-2015年，中國網(wǎng)絡(luò)安全市場規(guī)模從14.7億增長到27億美元，復(fù)合增長率達16.4%。但IDC最新的預(yù)測，預(yù)計2017-2021年CAGR為23.33%，2021年行業(yè)規(guī)模將達95.8億美元，即642億元人民幣。

隨著等保2.0的正式出臺和實施，有利于促進我國網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展，提高我國應(yīng)對網(wǎng)絡(luò)安全的水平和能力。