等保2.0（网络安全等级保护2.0）

概述

网络安全等级保护制度（简称等保）是我国网络安全领域的基本国策，最早依据1994年《计算机信息系统安全保护条例》建立。等保2.0是对该制度的全面升级，以2017年实施的《中华人民共和国网络安全法》为法律依据，以2019年发布的GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》为核心标准。

等保2.0的核心变化在于实现了从”等级保护1.0”到”等级保护2.0”的跨越。1.0时代主要针对传统信息系统，而2.0时代将云计算、物联网、移动互联、工业控制系统、大数据等新技术新应用全面纳入保护范围，形成了”一个中心、三重防护”的技术框架，即以安全管理中心为核心，构建安全通信网络、安全区域边界和安全计算环境的纵深防御体系。

五个保护级别

等保2.0延续了五个保护级别的划分：第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。不同级别对应不同的安全要求强度和监管力度。

在实际应用中，大多数企业信息系统为第二级或第三级。电力行业的调度系统、轨道交通的信号系统等关键信息基础设施通常定级为第三级或第四级。定级工作需要依据GB/T 22240-2020《网络安全等级保护定级指南》，综合考虑业务信息安全和系统服务安全两个维度的影响程度。

与等保1.0的主要区别

等保2.0相比1.0在多个维度实现了重大升级。在保护对象上，从传统信息系统扩展到云计算、物联网、工业控制系统、移动互联和大数据平台。在技术要求上，从被动防护转向主动防御，新增了入侵防范、恶意代码防范、可信验证等要求。在管理要求上，强化了安全管理制度、安全管理人员、安全建设管理和安全运维管理四个层面的要求。

在工控安全领域，等保2.0的变化尤为显著。1.0时期对工控系统的关注较少，而2.0专门制定了工业控制系统安全扩展要求，填补了工控领域等级保护标准的空白。

工控安全扩展要求

等保2.0的工业控制系统安全扩展要求充分吸收了电力、轨道交通等行业的工控安全实践经验，提出了”安全分区、网络专用、横向隔离、纵向认证、综合防护”的总体策略。

安全分区要求将工控系统按照业务重要性和安全需求划分不同的安全区域，如电力行业的安全I区（实时控制）、安全II区（非实时控制）、安全III区（生产管理）和安全IV区（管理信息）。网络专用要求工控系统使用专用网络或VPN通道，与办公网络和管理网络实现物理或逻辑隔离。横向隔离要求在不同安全区域之间部署工控防火墙等访问控制设备，严格限制跨区通信。纵向认证要求上下级调度机构之间的通信经过认证网关，确保通信双方身份可信。综合防护要求在以上基础之上，部署入侵检测、安全审计、终端防护等手段形成纵深防御。

GB/T 22239-2019 核心内容

GB/T 22239-2019是等保2.0的核心标准，将安全要求分为技术要求和管理要求两大部分。技术要求涵盖安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面。管理要求涵盖安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面。

每个方面的要求按照保护级别逐级增强。以第三级为例，在安全区域边界方面，要求部署访问控制设备、入侵检测系统，对远程访问进行身份认证和加密传输。在安全计算环境方面，要求对操作系统和数据库进行身份鉴别、访问控制和安全审计。

合规实施流程

等保2.0的实施流程包括五个关键步骤：系统定级、备案、建设整改、等级测评和监督检查。定级是首要环节，需要运营单位根据系统的重要性自主确定保护级别并组织专家评审。备案是将定级结果报公安机关网安部门。建设整改是对照标准要求进行安全建设。等级测评由具备资质的测评机构开展，第三级及以上系统每年至少进行一次测评。监督检查由公安机关和行业主管部门定期开展。

对于工控系统而言，等保合规建设需要特别注意不影响生产系统的实时性和可用性。安全设备的部署应遵循旁路为主、串联为辅的原则，安全策略的配置应经过充分测试验证，避免因安全措施导致生产中断。

常见问题