2019年12月，网络安全等级保护标准2.0正式开始实施，网络等保建设进入主动防御时代。

什么是等保2.0

等保全称网络安全等级保护标准，是指导网络安全建设的主要制度， 依据系统受破坏后危害的范围和严重程度，等级保护分为五级。2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》被称为等保1.0。与之对应，今年5月13日，国家市场监督管理总局、国家标准化管理委员会召开新闻发布会，发布了网络安全领域等级保护2.0相关国家标准，包括《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》。等级保护的主要对象包括基础信息网络、信息系统、云计算平台/系统、大数据应用/平台、物联网、工业控制系统等。

等保2.0与1.0相比的变化

等保2.0的基本框架包括技术和管理两个核心维度，具体包括技术和管理要求，具体分为八大类，分别是物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、全策略和管理制度、全管理机构和人、安全建设管理、安全运维管理。

随着信息技术的发展和网络安全形势的快速变化，等保2.0在1.0的基础上，更加注重全方位主动防御、动态防御、整体防控和精准防护，除了安全通用要求外，增加了扩展要求， 保护对象从传统的网络和信息系统， 到实现了对云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象全覆盖，以及除个人及家庭自建网络之外的领域全覆盖。除此之外，除了满足等保1.0时代定级、备案、安全建设、等级测评和监督检查五个规定动作以外，等保2.0增加了新的安全要求，把安全检测、通报预警、数据防护、风险评估等措施全部纳入等级保护制度并加以实施。

《信息安全技术网络安全等级保护基本要求》：等级保护标准体系的核心， 在2008版通用安全要求的基础上新增了安全扩展要求，实现了在基础信息网络、信息系统、云计算平台、大数据平台、物联网、工业控制等新技术和新应用领域的全覆盖。

《信息安全技术网络安全等级保护安全设计技术要求》：适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施，也可以作为网络安全职能部门进行监督、检查和指导的依据。与1.0相比，将各个级别的安全计算环境、安全区域边界、安全通信网络技术设计要求调整为不仅对共性安全保护目标提出通用安全设计技术要求，对云计算、大数据、移动互联、物联网和工业控制等新技术、新应用领域也提出针对性的安全设计技术要求。

《信息安全技术网络安全等级保护测评要求》：适用于安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象的安全状况进行安全测评。与等级保护基本要求保持一致，该标准主要明确了测评对象、测评判定规则等内容。与1.0相比，该标准同样增加了对云计算、大数据、移动互联、物联网和工业控制等新技术、新应用领域的扩展要求。

等保2.0实施的重大意义

在当前信息化快速发展的大环境下，信息安全和网络安全已深度融入国家战略目标。等保2.0是网络安全的一次重大升级，是维护国家网络安全的基石，从宏观角度对网络安全提出更高的要求，是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充。它的发布不仅对加强网络安全保障工作、提升网络安全保护能力有重大意义，也将催生国内整个信息安全行业释放新的市场需求。一方面，为满足等保2.0标准的新要求，政府机关、重点行业企业都将会加大网络安全产品和服务的投入；另一方面， 等保2.0增加了新的内容和维度，包括了传统网络安全以及云计算、物联网、移动互联、工业控制、大数据等在内所有新技术和应用场景，随着等保2.0标准的逐步落实，国内网络安全市场有望迎来更大的发展。