浅谈我对等级保护2.0的理解

cyclequan

已于 2024-10-02 10:58:10 修改

阅读量794

点赞数 8

文章标签：网络安全

于 2024-10-02 10:54:25 首次发布

本文链接：https://blog.csdn.net/2303_80820019/article/details/142679001

版权

1.等级保护进入2.0时代

等级保护在网络安全保障、网络强国建设方面起着至关重要的作用。随着信息技术的不断发展，特别是云计算、物联网等新技术的不断涌现和应用，开展等级保护工作面临着越来越多的新情况、新问题，基础信息网络与重要信息系统面临着日益严峻的威胁与挑战。为了适应新技术的发展，解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要，从2014年3月开始，由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，等级保护正式进入了2.0时代。

2.网络安全的现状

互联网飞速发展，中国进入信息化社会，从老百姓的衣食住行到国家重要基础设施，互联网无处不在，网络安全已经成为与国家、社会、个人息息相关的问题。对于国家而言，互联网安全已经成为国防安全、金融安全之上的第一安全；对于社会而言，没有互联网安全，社会的健康运作和有尊严的人格体系就无法建立；对于个人而言，失去互联网安全，人们将失去社会对于个人隐私的必要遮蔽，而处在一种时时处处被窥视和被算计的危险之中。

我国的网络安全问题突出。如安全意识的缺乏，网络对抗能力较弱，法律、经费和人才等网络安全方面的基础不牢，关键信息基础设施安全防护能力较差等。据2014年中国互联网网络安全报告称：我国基础网络仍存在较多漏洞风险，云服务日益成为网络攻击的重点目标；域名系统面临严峻的拒绝服务攻击，针对重要网站的域名解析篡改攻击频发；网络攻击威胁日益向工业互联网领域渗透，已发现我国部分地址感染专门针对工业控制系统的恶意程序事件；分布式反射型的拒绝服务攻击日趋频繁，大量伪造攻击数据包来自境外网络；针对重要信息系统、基础应用和通用软硬件漏洞的攻击利用活跃，漏洞风险向传统领域、智能终端领域泛化演进；网站数据和个人信息泄露现象依然严重，移动应用程序成为数据泄露的新主体移动恶；意程序不断发展演化，环境治理仍然面临挑战。

3.如何理解等级保护2.0

1994年，国务院颁布《中华人民共和国计算机信息系统安全保护条例》，在第九条规定，计算机信息系统实行安全等级保护。至今算起来已有20多个年头，一路走来，等级保护与国家信息化发展相生相伴，从探索到成熟、从各方质疑到达成广泛共识，已经成为我们国家信息安全领域影响最为深远的保障制度。

3.1 2.0时代，网络安全等级保护在国家网络空间战略发挥重要作用

当前我们国家正面临经济社会结构调整和转型，信息技术已经成为新的引擎，等级保护格继续扮演不可替代的重要角色。同时，网络空间已经成为与陆地、海洋、天空、太空同等重要的人类活动新领域，网络空间主权成为了国家主权的一个新维度。维护网络空间主权的重心在网络空间安全，等级保护的防护核心始终是关键信息基础设施保护。因此，网络安全等级保护将在国家网络空间战略发挥重要作用。

3.2 2.0时代，等级保护制度法制化

《中华人民共和国网络安全法》是我国网络安全方面的基本大法，是网络安全基础性法律。在第二十一条明确规定了“国家实行网络安全等级保护制度”，第三十一条规定“对于国家关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。因此，等级保护制度自2017年6月1日起上升为法律。网络安全等级保护制度法制化，在法律层面确立了其在网络安全领域的基础、核心地位。网络运营者履行网络安全等级保护将是违法行为。

3.3 2.0时代，等级保护保护对象丰富化、具体化

早在2003年，中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》中指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统”，这个定义就是网络安全法中的“关键信息基础设施”。所以说，等级保护的核心从未改变。但是，随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现，计算机信息系统的概念已经不能涵盖全部，特别是互联网快速发展带来大数据价值的凸显，这些都要求等级保护外延的拓展。新的系统形态、新业态下的应用、新模式背后的服务、重要数据和资源统统进入了等级保护的视野。具体对象囊括了大型互联网企业、基础网络、重要信息系统、网站、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等。

3.4 2.0时代，等级保护内涵精准化

在2.0时代之前，等级保护包括5个规定动作，即定级、备案、建设整改、等级测评和监督检查。那么在 2.0时代，等保的内涵将更加精准化。风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。

3.5 2.0时代，等级保护制度体系更完善，机制更灵活

这些年来，等级保护工作一直是在顶层设计下，以体系化的思路逐层展开、分步实施。2.0时代，主管部门将继续制定出台一系列政策法规和技术标准，形成运转顺畅的工作机制，在现有体系基础上，建立完善等级保护政策体系、标准体系、测评体系、技术体系、服务体系、关键技术研究体系、教育训练体系等。等级保护也将作为核心，围绕它来构建起安全监测、通报预警、快速处置、态势感知、安全防范、精确打击等为一体的国家关键信息基础设施安全保卫体系。等级保护将根据信息技术发展应用和网络安全态势，不断丰富制度内涵、拓展保护范围、完善监管措施，逐步健全网络安全等级保护制度政策、标准和支撑体系。

4.等级保护2.0的意义

随着信息技术的高速发展和网络应用的迅速普及，我国国民经济和社会信息化进程全面加快，信息系统的基础性、全局性作用日益增强，信息资源已经成为国家经济建设和社会发展的重要战略资源之一。保障信息安全，维护国家安全、公共利益和社会稳定，是当前信息化发展中迫切需要解决的重大问题。

实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本；有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全：有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理；有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。

信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。

注：《网络安全法和网络安全等级保护2.0》