前言

網絡安全等級保護是(yes)國家網絡安全工作(do)的(of)基本制度、基本國策，是(yes)維護國家關鍵信息基礎設施安全的(of)重要(want)手段。從1994年至今，網絡安全等級保護制度工作(do)經過實踐及改進，不(No)斷豐富制度内涵、拓展保護範圍、完善監管措施，逐步健全網絡安全等級保護制度政策、标準和(and)支撐體系，對我(I)國的(of)網絡信息安全建設具有重要(want)的(of)指導作(do)用(use)。

等級保護發展史

等級保護工作(do)經過近二十年的(of)發展已經從1.0階段發展到(arrive)2.0階段，從制度上升到(arrive)法律：

等級保護1.0：1994年，國務院頒布《中華人(people)民共和(and)國計算機信息系統安全保護條例》，規定計算機信息系統實行安全等級保護。

圖1 等保1.0階段大(big)事件回顧

等級保護2.0：2016年10月10日，第五屆全國信息安全等級保護技術大(big)會召開，公安部網絡安全保衛局郭啓全總工指出(out)“國家對網絡安全等級保護制度提出(out)了(Got it)新的(of)要(want)求，等級保護制度已進入2.0時(hour)代”。

2017年6月1日，《中華人(people)民共和(and)國網絡安全法》正式頒布，第二十一(one)條明确“國家實行網絡安全等級保護制度……”，等級保護制度正式進入有法可依階段。

圖2 等保2.0階段大(big)事件回顧

等保基礎之十問十答

Q1：等保2.0、等保3.0是(yes)什麽？

A1：等保中提到(arrive)的(of)“二級”、“三級”，意指信息系統運營者根據信息系統在(exist)國家安全、經濟建設、社會生(born)活中的(of)重要(want)程度及遭到(arrive)破壞後對國家安全、社會秩序、公共利益以(by)及公民、法人(people)和(and)其他(he)組織的(of)合法權益的(of)危害程度，将信息系統劃分爲(for)不(No)同的(of)安全保護等級并對其實施不(No)同的(of)保護和(and)監管。

等保二級指對信息系統進行第二級安全保護，等保三級指對信息系統進行第三級安全保護，并非是(yes)“等保2.0”及“等保3.0”。

等級保護根據《GB 17859-1999 計算機信息系統安全保護等級劃分準則》（網絡安全領域唯一(one)一(one)個(indivual)強制标準）規定共分五級，分别是(yes)：

表1 等保定級分類

Q2：等級保護的(of)工作(do)流程是(yes)什麽？

A2：等級保護主要(want)工作(do)流程爲(for)定級、備案、建設整改、等級測評、監督檢查五個(indivual)環節。

圖3 等保工作(do)流程圖

等保工作(do)重點注意事項：

定級環節：二級及以(by)上的(of)系統必須經過專家評審、主管部門審核（此要(want)求爲(for)等保2.0新增）；

備案環節：網安備案的(of)審批處理時(hour)間爲(for)10個(indivual)工作(do)日；

建設整改環節：需參照最新的(of)等保2.0國标進行規劃設計；

測評環節：找具有測評資質的(of)測評機構進行測評。

Q3：不(No)同等級多少分可以(by)通過等保測評？

A3：2021年6月18日執行的(of)新測評标準（等保測評報告模闆（2021 版）），計分方式由得分制調整爲(for)缺陷扣分制，由“符合”、“不(No)符合”調整爲(for)“優、良、中、差”四個(indivual)等級測評結論。

表2 新版測評結論

表3 老版測評結論（廢棄）

Q4：等保測評通過後，多久需要(want)複測？

A4：二級信息系統每兩年測評一(one)次，三級信息系統明确規定每年測評一(one)次，四級信息系統每半年測評一(one)次。

Q5：有包過的(of)技術解決方案嗎？

A5：不(No)存在(exist)包過的(of)技術方案。等級保護測評包含技術部分和(and)管理部分，單純的(of)技術解決方案默認分數占比隻有50%，管理部分的(of)建設也至關重要(want)，可以(by)選取專業的(of)安全廠商及專業的(of)測評機構來(Come)開展等保建設及測評工作(do)，更加容易通過。

Q6：業務系統在(exist)雲上，如何進行等保建設工作(do)？

A6：根據《信息安全技術網絡安全等級保護基本要(want)求》（GB/T 22239-2019）附錄D，雲服務商根據提供的(of)IaaS、PaaS、SaaS模式承擔不(No)同的(of)平台安全責任。業務系統上雲後，雲租戶與雲平台服務商之間應遵循責任分擔矩陣共同承擔相應的(of)安全責任，根據“誰運營誰負責、誰使用(use)誰負責、誰主管誰負責”的(of)原則，雲平台與雲租戶應根據平台建設模式承擔相應的(of)網絡安全責任。

Q7：什麽是(yes)“一(one)個(indivual)中心，三重防護”？

A7：”一(one)個(indivual)中心、三重防護“是(yes)等級保護安全設計技術框架，”一(one)個(indivual)中心“指安全管理中心， ”三重防護“指安全通信網絡、安全區域邊界、安全計算環境。此框架是(yes)網絡安全整體架構設計、方案編制的(of)基本參考原則。

圖4 等級保護安全設計技術框架

Q8：什麽是(yes)網絡安全建設“三同步”？

A8：“三同步”指網絡運營者應在(exist)網絡建設和(and)運營過程中，同步規劃、同步建設、同步使用(use)有關網絡安全保護措施。

Q9：“三化六防”是(yes)什麽？

A9：“三化六防”是(yes)公網安〔2020〕1960号《貫徹落實網絡安全等保制度和(and)關保制度的(of)指導意見》中要(want)求深入貫徹實施網絡安全等級保護制度，落實“三化六防”的(of)措施，即實戰化、體系化、常态化的(of)思路，以(by)及動态防禦、主動防禦、縱深防禦、精準防護、整體防控、聯防聯控的(of)措施。

Q10：等保1.0到(arrive)2.0有什麽變化？

A10：等保1.0到(arrive)2.0從名稱、定級對象、安全要(want)求、控制措施分類結構、規定動作(do)等多個(indivual)方面都有明顯的(of)變化。

​表4 等保1.0與2.0變化對比

總結

信息化的(of)建設和(and)實施是(yes)一(one)個(indivual)系統且複雜的(of)工程，積極落實關鍵信息系統的(of)等級保護建設不(No)僅可以(by)幫助企業快速提高信息系統的(of)安全水平，同時(hour)可以(by)避免因信息系統安全漏洞帶來(Come)的(of)經濟風險，從而有利的(of)降低信息化投入，同時(hour)滿足國家相關法律法規的(of)要(want)求，進一(one)步提升國家整體的(of)信息化安全水平。因此，堅持落地(land)實踐網絡安全等級保護建設工作(do)是(yes)我(I)們(them)需要(want)長期堅守的(of)方向。

來(Come)源：等級保護測評