听信创讲解员聊聊 “等保2.0” 与企业的关系

等保2.0

等保2.0作为国家网络安全基本制度，信创产品必须符合其要求才能合法投入使用，它能有效识别和防范网络安全威胁，确保信创系统稳定运行，避免因安全漏洞导致业务中断或数据泄露。等保2.0要求使用国产密码等技术，促使信创产品加速国产化改造，降低对国外产品依赖，实现信息技术自主可控。

等保2.0覆盖哪些领域？

“等保”即网络安全等级保护标准，是监管部门合规执法检查以及行业主管部门对下级部门网络安全建设的重要依据。等保2.0涵盖了信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统以及采用移动互联技术的网络等多个领域，不仅涉及安全通用要求，还包含云计算、移动互联、物联网、工业控制等安全扩展要求。

且由此标准衍生了诸多行业标准：例如人社行业等保标准、金融行业等保标准、能源行业（电力）等保标准、教育行业等保标准等行业标准。

等保2.0的等级划分与常见等级对应场景

等保2.0有5个运行步骤：定级、备案、建设和整改、等级测评、检查。和新的安全要求(风险评估、安全监测、通报预警、态势感知等)。同时，等保2.0也分5个等级，即信息系统按重要程度由低到高分为5个等级，并分别实施不同的保护策略。 

• 等保2.0一级：本地备份及恢复→（私有云+备份）第一级系统一般不需要到公安机关备案，但需要向属地公安机关提交定级报告进行备案，由于影响程度很小，因此不作为重点监管对象，属于自主保护级。

• 等保2.0二级：本地及异地定时备份与恢复→（私有云+行业云+备份）如普通的门户网站，属于指导保护级。

• 等保2.0三级：本地及异地实时备份与恢复+业务接管（私有云+行业云+备份+容灾）如存储公民个人信息等敏感信息的系统。当等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，国家信息安全监管部门对系统进行监督和检查。属于监督保护级。

• 等保2.0四级：本地及异地实时备份与恢复+业务接管+异地灾备业务中心（私有云+行业云+备份+容灾）（支付宝、银行总行系统、国家电网系统）属于强制保护级。

• 等保2.0五级：属国家级、国防类的系统，比如核电站、军用通信系统。（五级为预留级别，市面上已定级的系统最高为四级）属于专控保护级。

等保2.0二级信息系统适用于地市级以上国家机关、企业、事业单位内部一般的信息系统，小的局域网，非涉及秘密、敏感信息的办公系统等。能够防护系统免受外来小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般自然灾难及其他的相应程度的威胁造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在遭受攻击损害后，具备在一段时间内恢复部分功能。

等保2.0三级信息系统适用于地级市以上的国家机关、企业、事业单位的内部重要信息系统，重要领域、重要部门跨省、跨市或全国（省）联网运营的信息系统，各部委官网等。 在统一安全策略下防护系统免受外来有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难和其他相应程度的威胁所造成的主要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭受攻击损害后，能较快恢复绝大部分功能。

等保2.0对企业的影响及注意事项

公安部在等保2.0宣贯会上提出了等级保护的工作范围：

1. 覆盖各地区、各单位、各部门、各企业、各机构，即覆盖全社会。覆盖所有保护对象，信息，
   

2. 云平台、物联网、工控系包括网络、信息系统、统、大数据、移动互联等各类新技术应用。

也就是说，只要企业涉及到网络、信息系统等相关的事宜，都需要进行安全等保测试。尤其是涉及到众多用户信息安全相关的企业，更是是公安网安部门检查的重点。

根据《信息安全等级保护管理办法》国家信息安全等级保护坚持自主定级、自主保护的原则。根据“谁主管谁负责、谁运营谁负责、谁使用谁负责”，网络运营者成为等级保护的责任主体，信息系统运营使用单位需依照《信息安全技术网络安全等级保护定级指南》、《信息系统安全等级保护实施指南》确定信息系统安全等级。需要注意的是，等级测评是由公安部授权委托的测评机构对信息系统进行安全测评，测评通过后才会出具《等级保护测评报告》。

安全保护等级初步确定为第二级以上的等级保护对象，其运营使用单位应当依据标准进行初步定级、专家评审、主管部门审批、公安机关备案审查，最终确定其安全保护等级。确定为一级则不需要。

安全保护等级初步确定为第四级的等级保护对象，在开展专家评审工作时，其运营使用单位应当请国家信息安全等级保护专家评审委员会进行评审

此外，不管是内网系统还是部署在云平台、IDC机房的系统，都属于等级保护范畴，需要进行等级测评。在定级方面，系统级别的确定需要根据系统的重要性进行决定，应谨慎决定系统级别。系统备案场所也有明确规定，一般在系统的运维人员实际所在地进行定级备案，特殊行业如金融安全行业则需在注册地办理定级备案手续。

信创替代过程中的等保2.0实践案例

以某省级政务云平台信创安全升级项目为例，原平台基于国外服务器、操作系统和数据库构建，为响应国家信创战略要求，提升系统安全可控能力，需进行国产化改造并构建符合等保2.0三级要求的安全防护体系。

该项目在基础设施国产化替换、安全架构设计、数据安全加固以及安全运维体系建设等方面都充分考虑了等保2.0的要求，最终实现了服务器、操作系统、数据库国产化率超过95%，并通过了等保2.0三级测评，抵御了多次勒索软件和APT攻击，数据泄露风险降低90%，同时采用灰度发布和双轨运行机制，保障了迁移期间业务的不间断运行。