丽江市网络安全等级保护技术大会

1. 什么是等保2.0

等保2.0全称网络安全等级保护2.0制度，是我国网络安全领域的基本国策、基本制度。

等级保护标准在1.0时代标准的基础上，注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

网络安全等级保护条例相关延伸：

2019年04月，“2019西湖论剑·网络安全大会”在浙江杭州举行。会场上，有关网络安全的一系列讨论已在进行中。公安部网络安全保卫局总工程师郭启全在大会现场透露，《网络安全等级保护条例》有望4月底出台。

《等保条例》在国家支持、定级备案、密码管理等多个方面进行了更新与完善，适应了现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求，标志着等级保护正式迈入2.0时代。

2. 网络安全等级保护2.0国家标准

等级保护2.0标准体系主要标准如下：1.网络安全等级保护条例2.计算机信息系统安全保护等级划分准则3.网络安全等级保护实施指南4.网络安全等级保护定级指南5.网络安全等级保护基本要求6.网络安全等级保护设计技术要求7.网络安全等级保护测评要求8.网络安全等级保护测评过程指南。
第一级（自主保护级），等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；
第二级（指导保护级），等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；
第三级（监督保护级），等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；
第四级（强制保护级），等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；
第五级（专控保护级），等级保护对象受到破坏后，会对国家安全造成特别严重损害
相较于1.0版本，2.0在内容上到底有哪些变化呢？
1.0定级的对象是信息系统，2.0标准的定级的对象扩展至：基础信息网络、云计算平台、物联网、工业控制系统、使用移动互联技术的网络以及大数据平台等多个系统，覆盖面更广。
再者，在系统遭到破坏后，对公民、法人和其他组织的合法权益造成特别严重损害的由原来的最高定为二级改为现在的最高可以定为三级。
最后，等保2.0标准不再强调自主定级，而是强调合理定级，系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，定级更加严格。
总结通过建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。 法律依据：《中华人民共和国网络安全法》
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
（四）采取数据分类、重要数据备份和加密等措施；
（五）法律、行政法规规定的其他义务。
第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

3. 2021年网络安全优秀企业及产品评选哪里组织的

是由网络安全等级保护技术咨询机构 —— 等级保护测评主办的2021年网络安全优秀企业及产品评选活动。
扩展：信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。
在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

4. 网络安全等级保护制度中等级检验定价决定权在谁手里

等保制度是网络安全从业者开展网络安全工作的重要指导体系和制度。网络安全等级保护制度2.0（以下简称“等保2.0”）配合着多项已经生效和/或正在制定的法律法规及国家标准实施，智慧安全港建议各企业重视相关内容的学习，加强信息保护合规系统建设，以便为即将可能开展的执法工作做好准备，本文对等保2.0的重要内容作出了梳理。

为适应新技术的发展，由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，等级保护正式进入2.0时代。

一、发布主体

国家市场监督管理总局、国家标准化管理委员会

二、相关标准

《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》

三、重要日期

等保2.0相关国家标准于2019年5月10日正式发布。2019年12月1日开始实施。

四、历史沿革

2017年，《网络安全法》首次提出“网络安全等级保护制度”的概念，并明确相关具体要求。2018年，《网络安全等级保护条例（征求意见稿）》（以下简称“《等级保护条例》”）提出“国家实行网络安全等级保护制度，对网络实施分等级保护、分等级监管”。

五、重点内容

1

《等级保护条例》

关键内容：条例适用范围

在中华人民共和国境内建设、运营、维护、使用网络，开展网络安全等级保护工作以及监督管理，适用《等级保护条例》，个人及家庭自建自用的网络除外。

关键内容：网络安全等级保护制度由哪个部门负责/领导？

关键内容：网络安全等级分为哪几级？

关键内容：作为网络运营者，（程序上）企业应该怎么做？

S1【网络定级】：在规划设计阶段确定网络的安全保护等级。当网络功能、服务范围、服务对象和处理的数据等发生重大变化时，应当依法变更网络的安全保护等级。

S2【定级评审】：对拟定为第二级以上的网络，其运营者应当组织专家评审；有行业主管部门的，应当在评审后报请主管部门核准。跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级，统一组织定级评审。行业主管部门可以依据国家标准规范，结合本行业网络特点制定行业网络安全等级保护定级指导意见。

S3【定级备案】：第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内，到县级以上公安机关备案。因网络撤销或变更调整安全保护等级的，应当在10个工作日内向原受理备案公安机关办理备案撤销或变更手续。

S4【备案审核】：公安机关应当对网络运营者提交的备案材料进行审核。对定级准确、备案材料符合要求的，应在10个工作日内出具网络安全等级保护备案证明。

S5【上线检测】：新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范，对网络的安全性进行测试。新建的第三级以上网络上线运行前应当委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评，通过等级测评后方可投入运行。

S6【等级测评】：第三级以上网络的运营者应当每年开展一次网络安全等级测评，发现并整改安全风险隐患，并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。

S7【安全整改】：网络运营者应当对等级测评中发现的安全风险隐患，制定整改方案，落实整改措施，消除风险隐患。

S8【自查工作】：网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查，发现安全风险隐患及时整改，并向备案的公安机关报告。

2

《信息安全技术 网络安全等级保护基本要求》

关键内容：不同安全保护等级的等级保护对象应具备的基本安全保护能力

关键内容：安全要求的分类

3

《信息安全技术 网络安全等级保护测评要求》

关键内容：测评方法

4

《信息安全技术网络安全等级保护安全设计技术要求》

关键内容：不同等级的系统安全保护环境设计目标

六、等保2.0的实施对企业有哪些影响？

根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则，网络运营者成为等级保护的责任主体，如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。

一级系统简单，不需要备案，影响程度很小，因此不作为重点监管对象;二级系统大概50万个左右;三级系统大概5万个;四级系统量级较大，比如支付宝、银行总行系统、国家电网系统，有1000个左右;五级系统属国家级、国防类的系统，比如核电站、军用通信系统。

七、网络安全等级保护常见注意事项

1、等级测评并非安全认证

很多人容易把等保测评等同于安全认证。等保测评并非相当于ISO20000系列的信息技术服务管理认证，也并非于ISO27000系列的信息安全管理体系认证。等级保护制度是国家信息安全管理的制度，是国家意志的体现。落实等级保护制度为了国家法律法规的合规需求。

等级保护测评没有相应的证书，如何才能证明信息系统已经符合等级保护安全要求了呢？目前这主要是由公安部授权委托的全国一百多家测评机构，对信息系统进行安全测评，测评通过后出具《等级保护测评报告》，拿到了符合等保安全要求的测评报告就证明该信息系统符合了等级保护的安全要求。

2、等保制度只是基本要求

等保制度只是基线的要求，通过测评、整改，落实等级保护制度，确实可以规避大部分的安全风险。但就目前的测评结果来看，几乎没有任何一个被测系统能全部满足等保要求。一般情况下，目前等级保护测评过程中，只要没发现高危安全风险，都可以通过测评。但是，安全是一个动态而非静止的过程，而不是通过一次测评，就可以一劳永逸的。 企业通过落实等保安全要求，并严格执行各项安全管理的规章制度，基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。

3、内网系统也需要做等级测评

首先，所有非涉密系统都属于等级保护范畴，和系统在外网还是内网没有关系；《网络安全法》规定，等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此，不管是内网还是外网系统，都需要符合等级保护安全的要求。

其次，在内网的系统往往其网络安全技术措施做的并不好，甚至不少系统已经中毒不浅。2017年肆虐全球的永恒之蓝勒索病毒攻击，导致了大量内网系统瘫痪，这提醒我们内网系统的安全防护同样不能马虎。所以不论系统在内网还是外网都得及时开展等保工作。

4、系统上云或者托管在其他地方就也需做等级测评

目前，比较多的小型企业客户偏向于把系统部署在云平台与IDC机房。这些云平台、IDC机房一般都通过了等级测评。不过，根据“谁运营谁负责，谁使用谁负责，谁主管谁负责”的原则，系统责任主体仍然还是属于网络运营者自己，所以，还是得承担相应的网络安全责任，该进行系统定级的还是得定级，该做等保的还是得做等保。

部署在云平台的系统还需要购买云平台的安全服务或者第三方安全服务，部署在IDC机房的系统还需要购买相应的安全设备以满足等保安全要求。

5、不可根据自己的主观意愿来定级

目前的等级保护对象（信息系统）的安全级别分为五个等级，如果定了1级，不需要做等级测评，自主进行保护即可。定2级以上就需要进行等级测评。系统级别的确定需要根据系统的重要性进行决定。如果定高了，有可能造成投资的浪费；定低了则有可能造成重要信息系统得不到应有的保护，应该谨慎定级。

等保1.0的要求是自主定级，有主管部门的需要主管部门审核，最终报送公安机关进行审核。等保2.0之后定级流程新增了“专家评审”和“主管部门审核”两个环节，这样定级过程将会变得更加规范，定级也会更加准确。

6、系统备案场所

《信息安全等级保护管理办法》规定，等级保护的主体单位为信息系统的运营、使用单位。备案主体一般不会是开发商、系统集成商，而是最终的用户方。

目前有些单位的注册地跟运营地不一致，正常情况下需要去运营地区的网安部门办理备案手续。比如客户注册地在北京海淀区，运营部门在北京朝阳区，需要到北京朝阳区办理定级备案手续，当然，前提是北京朝阳区必须有正规办公地址。

有些单位的系统部署在云平台，云平台的实际物理地址往往和云系统网络运营者不在同一地址。而且，有些单位的运维团队和注册经营地址也不一致。这种情况下，云系统应当在系统实际运维团队所在地市网安部门进行系统备案，因为这样会方便属地公安对系统进行监管。

所以，大部分情况下，还是需要到系统的运维人员实际所在地进行定级备案

5. 中华人民共和国网络安全法中明确提出了等级保护的相关建设要求包括

2015年6月，第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法（草案）》。网络安全法草案于2015年7月6日至2015年8月5日在中国人大网上全文公布，并向社会公开征求意见。2016年11月7日，十二届全国人大常委会第二十四次会议经表决，通过了《中华人民共和国网络安全法》。2017年6月1日起正式施行。其中对网络安全等级保护制度作了明确规定。

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

条文解读：

一、网络安全等级保护制度

网络安全等级保护制度是我国现行的网络安全领域的一项重要制度。1994年国务院制定的《计算机信息系统安全保护条例》规定:计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法由公安部会同有关部门制定。2007年公安部等部门制定的《信息安全等级保护管理办法》规定,信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级,从第一级至第五级的保护要求渐次提高,并规定了每个等级的范围、信息系统运营者的义务及应对措施等。公安部和标准化主管部门制定了相关标准,明确了网络安全等级定级标准、程序以及各个方面的具体要求。网络安全法总结实践经验,对该制度的名称作了调整,改为网络安全等级保护制度,对其主要内容作了规定。国务院有关部门将逐步完善相关配套规定,确保网络安全等级保护制度落到实处。

二、网络安全等级保护制度的主要内容

网络安全等级保护制度的主要内容可以分为技术类安全要求和管理类安全要求两大类。技术类安全要求主要从物理安全、网络安全、主机安全、应用安全和数据安全几层面提出,通过在信息系统中部署软硬件并正确配置其安全功能来实现;管理类安全要求主要从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面作出规定来实现。本条根据网络安全等级保护制度,对网络运营者的安全保护义务作了基本规定,主要包括以下几个方面:

1.制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。内部安全管理制度是网络运营者制定的有关网络安全管理组织架构、人员配备、行为规范、管理责任的规则；操作规程是网络运营者制定的有关人员在操作设备或办理业务时应当遵守的程序或者步骤。网络运营者应当依照法律、行政法规及网络安全等级保护制度的规定,制定内部安全管理制度和操作规程,细化并落实安全管理义务,根据不同保护等级设置安全管理机构、安全管理人员、安全主管、安全管理负责人等,并明确相关机构和人员的职责。安全管理制度和操作规程规定的每一项具体制度、每一个操作步骤都应当有具体的责任人,哪个环节出了责任事故都要有相应的人员负责。

2.采取防范危害网络安全行为的技术措施。网络运营者应当依照法律、行政法规及网络安全等级保护制度的规定,切实采取技术防范措施,从技术上防范计算病和网络攻击、网络侵入等网络安全风险。例如,安装防病毒软件,防范计算机病毒;安装网络身份认证系统、网络入侵检测系统、网络风险审计系统等,防范网络攻击、侵入；安装自动报警系统,当检测到安全风险时自动报警等。

3.配备相应的硬件和软件监测、记录网络运行状态、网络安全事件,按照规定留存相关网络日志。网络日志是对网络信息系统的用户访问、运行状态、系统维护等情况的记录,对于追溯非法操作、未经授权的访问,并维护网络安全以及调查网络违法犯罪活动具有重要作用。我国相关行政法规和标准对网络日志的留存及其期限作了规定，一些国家的法律也对留存网络日志作了规定。网络安全法根据维护网络安全的需要,借鉴有关国家的做法,对网络日志留存及留存的期限作了规定。同时,考虑到网络日志的种类较多,哪些需要按照本条规定留存不少于六个月,需要根据维护网络安全的实际来确定,因此,本条规定,网络运营者应当按照规定留存相关的网络日志不少于六个月。

4.采取数据分类、重要数据备份和加密等措施。数据分类就是按照某种标准,例如重要程度,对数据进行区分、归类。数据备份就是为防止系统故障或者其他安全事件导致数据丢失,而将数据从应用主机的硬盘或阵列复制、存储到其他存储介质。数据加密就是通过加密算法和密钥将明文数据转变为密文数据,从而实现数据的保密性。网络运营者应当依照本法和有关法律、行政法规以及网络安全等级保护制度的规定，采取数据分类、重要数据备份和加密措施，保护网络数据安全。

5.网络运营者的其他义务。除了本法规定的义务外，网络运营者还应当履行其他有关法律、行政法规规定的网络安全保护义务。

6. 规定网络安全等级保护指导思想原则和要求