首都網絡安全日在北京展覽館拉開帷幕 網絡安全同擔網絡生活共享

4月29日，這是“首都網絡安全日”。2019年4月28日，第六屆“首都網絡安全日”系列活動在北京展覽館拉開帷幕，本屆活動以“網絡安全同擔網絡生活共享”為宗旨。

根據CNNIC 2月底發(fā)布的第43次《中國互聯網絡發(fā)展狀況統(tǒng)計報告》顯示，截至2018年12月，我國網民規(guī)模達8.29億，普及率達59.6%，全年新增網民5653萬。我國手機網民規(guī)模達8.17億，網民通過手機接入互聯網的比例高達98.6%。從上述數據可以看到，互聯網越來越廣的滲入人們的日常生活，從辦公到生活，互聯網幾乎無處不在。

但是，與互聯網伴隨而至的還有各種各樣的網絡安全問題，比如病毒木馬、流氓軟件、網絡攻擊、信息泄露等等。

對于各種網絡安全問題，個人一般都是從自我做起，提高自身安全意識，合理使用APP。那么，從國家角度來看，就需要一整套規(guī)范來應對網絡安全——網絡安全等級保護2.0標準，全稱《信息安全技術網絡安全等級保護基本要求》，簡稱“等保2.0”。

等保1.0指的是2007年的《信息安全等級保護管理辦法》和2008年的《信息安全等級保護基本要求》。

根據公開信息，2018年6月發(fā)布“等保2.0標準”的征求意見稿;2019年3月底，公安部相關人士披露：等保2.0今年4月份有望出臺;4月20日，公安部網絡安全保衛(wèi)局稱，等保2.0已經完成安標委審批，并宣布具體落地時間。

根據《網絡安全法》的規(guī)定，等級保護是我國信息安全保障的基本制度。等保是對網絡安全法在產業(yè)層面、標準層面和執(zhí)行層面的具體落實。

《網絡安全法》第二十一條規(guī)定，國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列全保護義務：保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。

其中，等級保護的內容：關鍵信息基礎設施安全保護義務、敏感信息保護義務、每年風險監(jiān)測評估等。以關鍵信息基礎設施為例，它可以分為網站類、平臺類和業(yè)務生產類，詳情看下圖：

等級保護范圍內重要信息系列所涵蓋的行業(yè)有能源、金融、交通、水利、醫(yī)療衛(wèi)生、環(huán)境保護、工業(yè)制造、市政、電信與互聯網、廣播電視及政府部門。

據悉，等保2.0有5個運行步驟：定級、備案、建設和整改、等級測評、檢查。同時，也分5個等級，即信息系統(tǒng)按重要程度由低到高分為5個等級，并分別實施不同的保護策略。

一級系統(tǒng)簡單，不需要備案，影響程度很小，因此不作為重點監(jiān)管對象;二級系統(tǒng)大概50萬個左右;三級系統(tǒng)大概5萬個;四級系統(tǒng)量級較大，比如支付寶、銀行總行系統(tǒng)、國家電網系統(tǒng)，有1000個左右;五級系統(tǒng)屬國家級、國防類的系統(tǒng)，比如核電站、軍用通信系統(tǒng)。

等保2.0的變化

等保1.0是2007年和2008年出臺，但參考的信息都是以前甚至更老的，因此造成一些新技術和新應用的等級保護規(guī)范缺乏，比如云計算、物聯網等。其次，除傳統(tǒng)的5步驟外，風險評估、安全監(jiān)測和通報預警等工作不完善。最后是政策、標準、測評、技術和服務等體系不完善。

具體說來，新標準分成了5個部分：

《網絡安全等級保護基本要求第1部分安全通用要求》

《網絡安全等級保護基本要求第2部分云計算安全擴展要求》

《網絡安全等級保護基本要求第3部分移動互聯安全擴展要求》

《網絡安全等級保護基本要求第4部分物聯網安全擴展要求》

《網絡安全等級保護基本要求第5部分工業(yè)控制系統(tǒng)安全擴展要求》

可以說，等保2.0標準為適應新技術的發(fā)展，解決云計算、物聯網和工控領域信息系統(tǒng)的等級保護工作的需要。

簡單來看，評測要求從60提升到75分;安全防御在云計算、大數據、物聯網和移動互聯網以及人工智能等新興領域進行拓展;由被動防御為主變成全方面的主動防御，具體有感知預警、動態(tài)防護、安全檢測和應急響應等。

網民為lywhiz在發(fā)布的一篇名為《等保2.0將至，解讀新標準的變化》解釋的更詳細。比如，在物理與環(huán)境安全部分，云計算擴展要求中新增，物理機房必須要在境內;明確提出機房視頻監(jiān)控系統(tǒng)的要求，對機房橫向和縱向都要有視頻監(jiān)控整個機房不能存在監(jiān)控死角;防靜電要求明確舉例說明采用靜電消除器、防靜電手環(huán)等等。

而在應用和數據安全中，新增一些內容，強調對個人信息保護。一是新增，應強制用戶首次登錄時修改初始口令，二是新增，用戶身份鑒別信息丟失或失效時，應采用技術措施確保鑒別信息重置過程的安全。三是新增，在故障發(fā)生時，應自動保存易失性數據和所有狀態(tài)，保證系統(tǒng)能夠進行恢復。

更重要的是，新增個人信息保護模塊：應僅采集和保存業(yè)務必需的用戶個人信息;應禁止未授權訪問和非法使用用戶個人信息。

根據國君預測，等保2.0升級將帶來超250億元的新增市場。其中，產品市場增加193億元，服務市場新增59億元。

根據IDC的預測，2011-2015年，中國網絡安全市場規(guī)模從14.7億增長到27億美元，復合增長率達16.4%。但IDC最新的預測，預計2017-2021年CAGR為23.33%，2021年行業(yè)規(guī)模將達95.8億美元，即642億元人民幣。

隨著等保2.0的正式出臺和實施，有利于促進我國網絡安全產業(yè)的發(fā)展，提高我國應對網絡安全的水平和能力。