1.為什么要過等保？

1.1.網絡安全形勢嚴峻

根據2020年中國互聯網網絡安全報告，國家信息安全漏洞共享平臺全年新增收錄通用軟硬件漏洞數量創歷史新高，相關漏洞一旦被不法分子利用，可能構成嚴重的網絡安全威脅。雖然惡意程序治理成效明顯，但勒索病毒技術手段不斷升級，惡意程序傳播與治理對抗性加劇。在工業控制系統中，直接暴露在互聯網上的工控設備和系統存在高危漏洞隱患占比仍然較高，互聯網側安全風險仍較為嚴峻。

總體而言，我國基礎網絡安全存在較多的漏洞威脅，隨著企業上云的進程加速，云服務逐漸成為網絡安全的首要攻擊目標，針對重要網絡的惡意攻擊頻發，針對重要信息系統、基礎應用和通用組件的攻擊更加活躍，網站信息和個人信息的泄露現象依然嚴峻，移動應用程序泄露逐漸成為信息泄露的新主體，網絡安全治理仍然面臨許多嚴峻挑戰。

1.2.法律要求

《

2017年，《網絡安全法》的正式實施，標志著等級保護2.0的正式啟動。網絡安全法第21條明確“國家實行網絡安全等級保護制度” ，其第31條明確“國家對一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護”。上述要求為網絡安全等級保護賦予了新的含義。相較于“等保1.0”，等保2.0已上升至法律層面，對于網絡經營者而言，不過等保就是違法的。

對于企業來說要過等保，除了要了解《信息安全技術-網絡安全等級保護基本要求》以外，還應結合《信息安全技術 網絡安全等級保護測評要求》、《信息安全技術網絡安全等級保護安全設計技術要求》一起來看。

2.如何理解等保2.0

2.1 等保的對象

等級保護的對象是網絡基礎設施、信息系統、大數據、物聯網、云平臺、工控系統、移動互聯網、智能設備等。

等保的核心是等級保護、管理規范和技術標準。 等保要求組織企業和個人對信息系統進行分等級的安全保護，對安全保護的實施進行監督和管理，從而保證安全信息系統的基礎安全。

2.2 等保的歷史和演進

2.2.1 等保1.0和等保2.0的區別

“等保1.0”體系以信息系統為對象，確立了五級安全保護等級，并從信息系統安全的定級方法、基本要求、實施過程、測評工作等方面入手，形成了一套相對完整、標準明確、涵蓋技術和管理要求的等級保護規范，然而隨著網絡安全形勢日益嚴峻，“等保1.0”已經難以持續應對更加復雜的網絡安全新時代，從而國家又推出了“等保2.0”。相較于“等保1.0”為等級保護提供指南和方針，“等保2.0”是其基礎之上的迭代和延伸。

“等保2.0”相較于“等保1.0”的變化如下：

• 等保2.0將“信息系統安全”拓展到了“網絡安全”，其中所謂“網絡”是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。

• 等保2.0的法律意義更高，是國家的網絡安全領域的基本國策、基本制度和基本方法。

• 2.0定級劃分更加細致，對于企業來說意味著更高的標準要求。

2.2.2 等保的演進

等保的演進伴隨著以下幾個方面的不斷發展和完善，從基礎安全（安全加固+補丁管理+應用防護）到被動防御（基礎對抗+縮小攻擊面+消耗攻擊資源+延緩攻擊), 從被動防御到積極防御（全面檢測+快速響應+安全分析+追根溯源+響應處理）并通過威脅情報、動態感知（信息收集+情報驗證+信息挖掘）進一步提高整個防護保證體系的安全可信度（靜態可信+動態可信+法律手段+技術反制+安全驗證）。

從發展的角度來說，網絡安全等級保護制度呈現以下幾個明顯的演進方向：

• 安全監管更嚴格

由亂到治，有法可依，安全監管更加嚴格，《中華人民共和國網絡安全法》第21條規定“國家實行網絡安全等級保護制度”，要求“網絡運營者應當按照網絡安全保護等級制度要求，履行安全保護義務”；第31條規定“對于國家關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護”。

• 配套行業更廣泛

隨著大數據、云計算、移動互聯網、人工智能等新技術不斷涌現，計算機信息系統的概念已經不能涵蓋全部，特別是互聯網開素發展帶來的大數據價值的凸顯，等保保護對象的外延將不斷拓展。

• 風險評估服務更完善

在定級、備案、建設整改、等級評測和監督檢查等規定動作基礎上，2.0時代風險評估，安全監測，通報預警、事件調查、數據防護、災難備份、應急處理、自主可控、供應鏈安全、效果評價、綜治考核等這些與網絡安全密切相關的措施都將全部納入等級保護制度并加以實施。

• 安全可信技術進一步發展

2.0時代，主管部門將繼續指定出臺一系列政策法規和技術標準，形成運轉順暢的工作機制、在先有體系基礎上，建立完善等級保護政策體系、標準體系、評測體系、關鍵技術研究體系、教育培訓體系等。自主可信可控的安全系統年，可信環境成為主要的安全實現途徑。

3.過等保的流程

圖1 過等保的流程

3.1 定級

等級保護對象根據其在國家安全、經濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等，由低到高被劃分為五個安全保護等級 。具體的定級要求參見《信息安全技術 網絡安全等級保護定級指南》。

不同級別的等級保護對象應具備的基本安全保護能力要求如下:

簡單而言，定級主要參考行業要求和業務的發展體量，例如普通的門戶網站，定為二級已經足夠，而存儲較多敏感信息的系統例如保存用戶的身份信息、通訊信息、住址信息等則需要定為三級。對擬定為第二級以上的網絡，其運營者應當組織專家評審；有行業主管部門的，應當在評審后報請主管部門核準。跨省或者全國統一聯網運行的網絡由行業主管部門統一擬定安全保護等級，統一組織定級評審。總體來說，定級滿足就高不就低的原則。

3.2 備案

對擬定為第二級及以上的網絡，應當在網絡的安全保護等級確定后10個工作日內，到縣級以上公安機關備案。二級及以上需要提交的備案材料例如定級報告、備案表，三級及以上需要提供組織架構圖、拓撲圖、系統安全方案、系統設備列表及銷售許可證等等。因網絡撤銷或變更調整安全保護等級的，應當在10個工作日內向原受理備案公安機關辦理備案撤銷或變更手續。

3.3 建設整改

在確定了等級保護對象的安全保護等級后，應根據不同對象的安全保護等級完成安全建設或安全整改工作 。就建設整改而言，網絡安全防護技術是其基礎，提高管理水平、規范網絡安全防護行為是其關鍵，良好的運維與監控也為其提供最有力的支持保障。就第二等級及以上級別要求而言，應定期進行等級測評，發現不符合相應等級保護標準要求的需要及時整改。

3.4 等級測評

等級測評主要是兩個方面的評估，一個方面是技術上的評估，例如安全能力是否達標、網絡架構是否合規，另一個方面是管理上的評估，例如管理制度和人員的培訓是否到位等等。“等保2.0”要求二級及以上級別的企業應在發生重大變更或級別發生變化時進行等級測評，應確保測評機構的選擇符合國家有關規定。

3.5 監督檢查

監督檢查貫穿等級保護的全部方面，從定級到備案，從備案到整改，從整改到測評，都離不開監督檢查的貫徹與實施。對于二級及以上等級而言，應定期進行常規安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況 。

4.等保與日志審計

4.1 等保的基本要求

“等保2.0”將安全要求分為10個子項，從技術角度來說，包括安全物理環節、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心；從管理角度來說，包括安全管理制度，安全管理機構、安全管理人員、安全建設管理和安全運維管理。此外，基本要求又對每個子項做出安全通用要求和個性化的安全拓展要求。

4.2 阿里云的資質和生態

阿里云可靠的安全資質和完善的安全生態產品可以幫助網絡運營者達到等保2.0的基本技術要求，很多阿里云產品均為等保測評的首個落地試點，云防火墻、WAF、DDoS防護等安全產品為等保創造了一個安全的計算環境，VPC、SLB等網絡資源又為等保2.0劃出了安全的區域邊界，堡壘機、統一身份認證、RAM等在訪問控制方面為等保2.0牢牢把關，RDS、Polardb等數據庫的安全審計又提升了等保2.0的數據安全，云安全管理中心從整體上也幫助企業全面了解、有效處理服務器的安全隱患，實現對云上資產的集中安全管理。

4.3 日志審計服務

在阿里云全面豐富的安全產品生態基礎上，基于根據《網絡安全法》第二十一條第三小節中明確規定了“采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月"的要求，日志審計APP應運而生。

日志審計服務為存儲和查詢網絡安全生態云產品日志提供一個簡單完備的有效手段。日志審計APP可以自動化、中心化地采集云產品日志并進行審計，其服務覆蓋基礎（操作審計、k8s)、存儲（OSS、NAS)、網絡（SLB、API網關、VPC）、數據庫（RDS、PolarDB-X1.0，PolarDB）、安全（WAF、DDOS、SAS、CPS）等產品，還支持審計所需的存儲、查詢及信息匯總等功能。日志審計同時結合威脅情報和SLS告警功能，幫助完善企業用戶的風險監控與事件響應，具體細節可以參考《從日志審計角度解讀網絡數據時代新安全》一文。

圖2 開啟日志審計