一.網(wǎng)絡(luò )安全法和網(wǎng)絡(luò )安全等級保護制度

網(wǎng)絡(luò )安全法中明確地提到，國家實(shí)行網(wǎng)絡(luò )安全等級保護制度，信息安全的建設要遵照等級保護標準來(lái)做。

（一）體現國家管理意志，構建國家信息安全保護體系

等級保護是我國關(guān)于信息安全的基本政策，國家法律法規、相關(guān)政策制度要求單位開(kāi)展等級保護工作，如《中華人民共和國網(wǎng)絡(luò )安全法》和《網(wǎng)絡(luò )安全管理辦法》。

（二）維護國家安全，保護公眾利益，保障和促進(jìn)信息化發(fā)展

落實(shí)個(gè)人及單位的網(wǎng)絡(luò )安全保護義務(wù)，通過(guò)等級保護工作發(fā)現單位信息系統存在的安全隱患和不足，通過(guò)安全整改提高信息系統的信息安全防護能力，合理規避風(fēng)險。

網(wǎng)絡(luò )安全等級保護制度是國家網(wǎng)絡(luò )安全領(lǐng)域的基本國策、基本制度和基本方法，《網(wǎng)絡(luò )安全法》出臺后，網(wǎng)絡(luò )等級保護進(jìn)入2.0時(shí)代。2019年5月13日，網(wǎng)絡(luò )安全等級保護制度2.0標準（以下簡(jiǎn)稱(chēng)等保2.0標準）正式發(fā)布，將于2019年12月1日開(kāi)始實(shí)施。

等保2.0標準在1.0標準的基礎上，注重全方位主動(dòng)防御、安全可信、動(dòng)態(tài)感知和全面審計，實(shí)現了對傳統信息系統、基礎信息網(wǎng)絡(luò )、云計算、大數據、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制信息系統等保護對象的全覆蓋。

為了便于實(shí)現對不同級別的和不同形態(tài)的等級保護對象的共性化和個(gè)性化保護，等保2.0要求分為安全通用要求和安全擴展要求?！毒W(wǎng)絡(luò )安全等級保護基本要求》針對云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統提出了安全擴展要求。

擴展要求應用場(chǎng)景說(shuō)明：

（一）云計算應用場(chǎng)景

云計算平臺/系統由設施、硬件、 資源抽象控制層、虛擬化計算資源、軟件平臺和應用軟件等組成。軟件即服務(wù)(SaaS)、平臺即服務(wù)(PaaS)、 基礎設施即服務(wù)(IaaS)是三種基本的云計算服務(wù)模式。如圖所示，在不同的服務(wù)模式中，云服務(wù)商和云服務(wù)客戶(hù)對計算資源擁有不同的控制范圍，控制范圍則決定了安全責任的邊界。

（二）移動(dòng)互聯(lián)應用場(chǎng)景

采用移動(dòng)互聯(lián)技術(shù)的等級保護對象其移動(dòng)互聯(lián)部分由移動(dòng)終端、移動(dòng)應用和無(wú)線(xiàn)網(wǎng)絡(luò )三部分組成，移動(dòng)終端通過(guò)無(wú)線(xiàn)通道連接無(wú)線(xiàn)接入設備接入，無(wú)線(xiàn)接入網(wǎng)關(guān)通過(guò)訪(fǎng)問(wèn)控制策略限制移動(dòng)終端的訪(fǎng)問(wèn)行為。等保2.0移動(dòng)互聯(lián)安全擴展要求主要針對移動(dòng)終端、移動(dòng)應用和無(wú)線(xiàn)網(wǎng)絡(luò )部分提出特殊安全要求，與安全通用要求一起構成對采用移動(dòng)互聯(lián)技術(shù)的等級保護對象的完整安全要求。

（三）物聯(lián)網(wǎng)應用場(chǎng)景

對物聯(lián)網(wǎng)的安全防護包括感知層、網(wǎng)絡(luò )傳輸層和處理應用層，由于網(wǎng)絡(luò )傳輸層和處理應用層通常是由計算機設備構成，因此這兩部分按照安全通用要求提出的要求進(jìn)行保護。物聯(lián)網(wǎng)安全擴展要求針對感知層提出特殊安全要求，與安全通用要求一起構成對物聯(lián)網(wǎng)的完整安全要求。

（四）工業(yè)控制系統應用場(chǎng)景

等保2.0參考IE C 62264-1的層次結構模型劃分，同時(shí)將SC ADA 系統、DCS系統和 PLC 系統等模 荊的共性進(jìn)行抽象，對工業(yè)控制系統采用層次模型進(jìn)行說(shuō)明。層次模型從上到下共分為5個(gè)層級，依次為企業(yè)資源層、生產(chǎn)管理 層、過(guò)程監控層、現場(chǎng)控制層和現場(chǎng)設備層，不同層級的實(shí)時(shí)性要求不同。

等級保護五個(gè)規定動(dòng)作是指：定級、備案、建設整改、等級測評、監督檢查。等保2.0標準仍然將圍繞這5個(gè)規定動(dòng)作開(kāi)展工作。

● 《實(shí)施指南》的主要內容是描述等級保護工作整個(gè)過(guò)程。

● 《定級指南》主要內容是有關(guān)等保對象定級，基本要求是最為核心一個(gè)標準，主要內容是對等保對象提出安全保護能力。

● 《安全設計技術(shù)要求》是實(shí)現基本要求的最佳實(shí)踐。

● 《測評要求》是對等級保護對象的安全狀況進(jìn)行安全測評并提供指南，也適用于網(wǎng)絡(luò )安全職能部門(mén)依法進(jìn)行的網(wǎng)絡(luò )安全等級保護監督檢查參考使用。

● 《測評規程指南》是對測評機構的工作過(guò)程進(jìn)行規范化管理。

等保2.0標準依然采用“一個(gè)中心、三重防護”的理念，通過(guò)實(shí)施三重防護主動(dòng)防御框架，能夠實(shí)現攻擊者進(jìn)不去、非授權者重要信息拿不到、竊取保密信息看不懂、系統和信息改不了、系統工作癱不了和攻擊行為賴(lài)不掉的安全防護效果。

（一）明確等級保護對象，開(kāi)展定級備案工作

等保2.0標準不再自主定級，而是通過(guò)“確定定級對象——>初步確定等級——>專(zhuān)家評審——>主管部門(mén)審核——>公安機關(guān)備案審查——>最終確定等級”這種線(xiàn)性的定級流程，系統定級必須經(jīng)過(guò)專(zhuān)家評審和主管部門(mén)審核，才能到公安機關(guān)備案，整體定級更加嚴格。

（二）安全建設及整改工作

確定等級保護對象的安全保護等級后，根據不同對象的安全保護等級完成安全建設或安全整改工作。構建具備相應等級安全保護能力的網(wǎng)絡(luò )安全綜合防御體系。