5.1 如何理解网络安全等级保护2.0

如果从 1994 年国务院颁布《中华人民共和国计算机信息系统安全保护条例》标志国家实行网络安全等级保护，那么网络安全等级保护将近30个年头。一路走来，等级保护与国家信息化发展相生相伴，从探索到成熟、从各方质疑到达成共识。当前，网络安全等级保护制度已经成为国家网络安全领域影响最为深远的保障制度。

1.网络安全等级保护技术基础化

当前，我们国家正面临经济社会结构调整和转型，信息技术已经成为新的引擎，等级保护将继续扮演不可替代的重要角色。同时，网络空间已经成为与陆地、海洋、天空、太空同等重要的人类活动新领域，网络空间主权成为了国家主权的一个新维度。维护网络空间主权的重心在网络空间安全，作为等级保护的防护核心始终是围绕关键信息基础设施保护。国家网络空间安全战略中指出，“建立完善国家网络安全技术支撑体系。做好等级保护、风险评估、漏洞发现等基础性工作。”因此，网络安全等级保护将在国家网络空间战略发挥重要作用，已经成为国家网络安全基础技术。

2.等级保护制度法制化

《网络安全法》是我国网络安全方面的基本大法，是网络安全基础性法律。第二十一条明确规定了“国家实行网络安全等级保护制度”，第三十一条规定“对于国家关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。因此，等级保护制度自2017年6月1日起将上升为法律。网络安全等级保护制度法制化，在法律层面确立了其在网络安全领域的基础、核心地位。网络运营者履行网络安全等级保护将是违法行为。

3.等级保护保护对象丰富化具体化

2003年，中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》中指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统”，这个定义就是《网络安全法》中的“关键信息基础设施”，所以说，网络安全等级保护的核心从未改变。但是，随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现，计算机信息系统的概念已经不能涵盖全部，特别是互联网快速发展带来大数据价值的凸显，这些都要求等级保护外延的拓展。新的系统形态、新业态下的应用、新模式背后的服务以及重要数据和资源统统进入了网络安全等级保护视野，具体对象则囊括了大型专网、基础网络、重要信息系统、网站、大数据中心、云计算平台、物联网系统、新型互联网、智能制造系统、工业控制系统、公众服务平台、新兴通信设施等。

4.等级保护内涵精准化

在网络安全等级保护2.0之前，等级保护包括五个规定动作，即定级、备案、建设整改、等级测评和监督检查。那么在网络安全等级保护2.0时代，网络安全等级保护的内涵将更加精准化。风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等，这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。

5.等级保护制度体系化

这些年，网络安全等级保护工作一直是在顶层设计下，以体系化的思路逐层展开、分步实施。网络安全等级保护2.0时代，主管部门将继续制定出台一系列政策法规和技术标准，形成运转顺畅的工作机制，在现有体系基础上，建立完善等级保护政策体系、标准体系、测评体系、技术体系、服务体系、关键技术研究体系、教育训练体系等。等级保护也将作为核心，围绕它来构建起安全监测、通报预警、快速处置、态势感知、安全防范、精确打击等为一体的国家关键信息基础设施安全保卫体系，如图5-1所示。

图5-1 网络安全等级保护架构

网络安全等级保护2.0时代，等级保护将根据信息技术发展应用和网络安全态势，不断丰富制度内涵、拓展保护范围、完善监管措施，逐步健全网络安全等级保护制度政策、标准和支撑体系。在公安部印发《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》的函中，明确指出要“深入贯彻实施网络安全等级保护制度”，这里的深入特指“网络安全等级保护定级备案、等级测评、安全建设和检查等基础工作深入推进”。网络运营者要做好网络安全保护“实战化、体系化、常态化”工作，构建落实“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”措施，确保国家网络安全综合防护能力和水平显著提升。