2017年5月12日勒索病毒“WannaCry”肆虐全球，我們在斷網、打補丁、關端口、殺病毒的同時(shí)，有(yǒu)沒有(yǒu)想到些(xiē)什麽？《網絡安全法》施行(xíng)在際，這樣一個(gè)事件一下子挑動起大(dà)家(jiā)的神經，讓我們突然意識到，那(nà)個(gè)沒有(yǒu)硝煙的戰場(chǎng)一直在我們身邊，從未遠去。

在一個(gè)翅膀抖動都可(kě)能帶來(lái)龍卷風的世界，我們需要不斷提高(gāo)風暴來(lái)臨前的洞察和(hé)感知能力，我們的專家(jiā)、研究機構、安全企業以及整個(gè)産業界一直在這條道(dào)路上(shàng)努力，但(dàn)同時(shí)，我們是否也應意識到，對于網絡安全這件事兒，我們比任何時(shí)候都需要來(lái)自國家(jiā)的力量。

1994年，國務院頒布《中華人(rén)民共和(hé)國計(jì)算(suàn)機信息系統安全保護條例》，在第九條規定，計(jì)算(suàn)機信息系統實行(xíng)安全等級保護。至今算(suàn)起來(lái)已有(yǒu)23個(gè)年頭，一路走來(lái)，等級保護與國家(jiā)信息化發展相生(shēng)相伴，從探索到成熟、從各方質疑到達成廣泛共識，今天，它已經成為(wèi)我們國家(jiā)信息安全領域影(yǐng)響最為(wèi)深遠的保障制(zhì)度。

這些(xiē)年來(lái)，等級保護也在不斷完善，但(dàn)為(wèi)什麽我們今天才說，等級保護進入了2.0時(shí)代，原因何在？

1)  2.0時(shí)代，等級保護空(kōng)前重要

首先看國內(nèi)，當前我們國家(jiā)正面臨經濟社會(huì)結構調整和(hé)轉型，信息技(jì)術(shù)已經成為(wèi)新的引擎，可(kě)以預見，網絡和(hé)信息系統作(zuò)為(wèi)新興動力的承載者，必将構建起整個(gè)經濟社會(huì)的神經中樞。重要性帶來(lái)的必然是安全保障的緊迫性，因此，等級保護将繼續扮演不可(kě)替代的重要角色。

再換一個(gè)全球視(shì)角，網絡空(kōng)間(jiān)已經成為(wèi)與陸地、海洋、天空(kōng)、太空(kōng)同等重要的人(rén)類活動新領域，随着我國全球地位不斷提升，網絡空(kōng)間(jiān)主權成為(wèi)了國家(jiā)主權的一個(gè)新維度。維護網絡空(kōng)間(jiān)主權的重心在網絡空(kōng)間(jiān)安全，什麽是網絡空(kōng)間(jiān)安全？這一次的勒索病毒事件讓我們看得(de)更加清晰，就是要讓這一新興空(kōng)間(jiān)裏的關鍵信息基礎設施不受攻擊破壞。多(duō)年來(lái)，等保的核心始終是圍繞關鍵信息基礎設施保護，所以，它已經成為(wèi)了國家(jiā)網絡空(kōng)間(jiān)戰略的重要組成部分。 

2)  2.0時(shí)代，等級保護制(zhì)度上(shàng)升為(wèi)法律

《中華人(rén)民共和(hé)國網絡安全法》即将在6月1日施行(xíng)，作(zuò)為(wèi)網絡安全基礎性法律，在第21條明(míng)确規定了“國家(jiā)實行(xíng)網絡安全等級保護制(zhì)度，要求網絡運營者應當按照網絡安全等級保護制(zhì)度要求，履行(xíng)安全保護義務”；第31條規定“對于國家(jiā)關鍵信息基礎設施，在網絡安全等級保護制(zhì)度的基礎上(shàng)，實行(xíng)重點保護”。等級保護制(zhì)度在今天已上(shàng)升為(wèi)法律，并在法律層面确立了其在網絡安全領域的基礎、核心地位，正如業內(nèi)所言，不做(zuò)等保就是違法了。

3)  2.0時(shí)代，等級保護對象大(dà)擴展

早在2003年，中辦、國辦轉發的《國家(jiā)信息化領導小(xiǎo)組關于加強信息安全保障工作(zuò)的意見》中指出，“要重點保護基礎信息網絡和(hé)關系國家(jiā)安全、經濟命脈、社會(huì)穩定等方面的重要信息系統”，這個(gè)定義就是網絡安全法中的“關鍵信息基礎設施”，所以說，等保的核心從未改變。

但(dàn)是，随着雲計(jì)算(suàn)、移動互聯、大(dà)數(shù)據、物聯網、人(rén)工智能等新技(jì)術(shù)不斷湧現，計(jì)算(suàn)機信息系統的概念已經不能涵蓋全部，特别是互聯網快速發展帶來(lái)大(dà)數(shù)據價值的凸顯，這些(xiē)都要求等保外延的拓展。新的系統形态、新業态下的應用、新模式背後的服務、以及重要數(shù)據和(hé)資源統統進入了等保視(shì)野。具體(tǐ)對象則囊括了大(dà)型互聯網企業、基礎網絡、重要信息系統、網站(zhàn)、大(dà)數(shù)據中心、雲計(jì)算(suàn)平台、物聯網系統、移動互聯網、工業控制(zhì)系統、公衆服務平台等等。

4)  2.0時(shí)代，等級保護內(nèi)容大(dà)不同

我們總說等級保護有(yǒu)五個(gè)規定動作(zuò)，即定級、備案、建設整改、等級測評和(hé)監督檢查，2.0時(shí)代，等保的內(nèi)涵已大(dà)為(wèi)豐富和(hé)完善。風險評估、安全監測、通(tōng)報預警、案事件調查、數(shù)據防護、災難備份、應急處置、自主可(kě)控、供應鏈安全、效果評價、綜治考核等這些(xiē)與網絡安全密切相關的措施都将全部納入等級保護制(zhì)度并加以實施。

5)  2.0時(shí)代，等級保護體(tǐ)系大(dà)升級

這些(xiē)年來(lái)，等級保護工作(zuò)一直是在頂層設計(jì)下，以體(tǐ)系化的思路逐層展開(kāi)、分步實施。 2.0時(shí)代，主管部門(mén)将繼續制(zhì)定出台一系列政策法規和(hé)技(jì)術(shù)标準，形成運轉順暢的工作(zuò)機制(zhì)，在現有(yǒu)體(tǐ)系基礎上(shàng)，建立完善等級保護政策體(tǐ)系、标準體(tǐ)系、測評體(tǐ)系、技(jì)術(shù)體(tǐ)系、服務體(tǐ)系、關鍵技(jì)術(shù)研究體(tǐ)系、教育訓練體(tǐ)系等。等級保護也将作(zuò)為(wèi)核心，圍繞它來(lái)構建起安全監測、通(tōng)報預警、快速處置、态勢感知、安全防範、精确打擊等為(wèi)一體(tǐ)的國家(jiā)關鍵信息基礎設施安全保衛體(tǐ)系。

可(kě)見，等級保護是最能發揮我們國家(jiā)制(zhì)度優勢，集中各方力量應對各種挑戰的網絡安全保障制(zhì)度。接下來(lái)的2.0時(shí)代，等保将根據信息技(jì)術(shù)發展應用和(hé)網絡安全态勢，不斷豐富制(zhì)度內(nèi)涵、拓展保護範圍、完善監管措施，逐步健全網絡安全等級保護制(zhì)度政策、标準和(hé)支撐體(tǐ)系。

文章摘自：信息安全測評聯盟