網(wǎng)絡(luò)安全等級保護(hù)是指對國家秘密信息、法人或其他組織及公民專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)，對信息系統(tǒng)中使用的安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級進(jìn)行響應(yīng)、處置。

我國的等保工作最早是從1994年提出的，但直至2007年才發(fā)布《信息安全等級保護(hù)管理辦法》及后續(xù)的系列政策，等保工作才正式開始。2008年，《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T 22239-2008）的公布標(biāo)志著等級保護(hù)制度的標(biāo)準(zhǔn)化，等保1.0時代正式到來。

隨著新技術(shù)的不斷精進(jìn)，網(wǎng)絡(luò)安全威脅也不斷升級，等保1.0已經(jīng)逐漸不能適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。2019年5月13日下午，《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T 22239-2019）正式發(fā)布，替代了原先的《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T22239-2008），并在標(biāo)準(zhǔn)名稱、保護(hù)對象、章節(jié)結(jié)構(gòu)、控制措施等部分進(jìn)行了修改和更新，實施時間為2019年12月1日，標(biāo)志著我國網(wǎng)絡(luò)安全等級保護(hù)工作正式進(jìn)入“2.0時代”。

依據(jù)系統(tǒng)受破壞后危害的范圍和嚴(yán)重程度，等保等級由低到高分為五級。其中1級系統(tǒng)影響小，無需備案；5級系統(tǒng)屬于理想狀態(tài)，目前尚未存在。從實踐層面看，4級是等保等級中最難的級別了。值得一提的是，2018年6月，華為云高分通過等保2.0評測4級，為用戶提供更加安全可靠的云服務(wù)。

體系框架和保障思路的變化

相比等保1.0，等保2.0更加契合當(dāng)今的網(wǎng)絡(luò)安全形勢，將“云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、大數(shù)據(jù)和工業(yè)控制系統(tǒng)”納入等保監(jiān)管，互聯(lián)網(wǎng)企業(yè)也將納入等級保護(hù)管理。等保1.0保護(hù)的對象是計算機(jī)信息系統(tǒng)，而等保2.0上升為網(wǎng)絡(luò)空間安全，除了計算機(jī)信息系統(tǒng)，還包含網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施、“云、物、移、大、工控”等對象。等保由原來的規(guī)定上升到了法律,執(zhí)行力度加大，等級保護(hù)2.0是一次網(wǎng)絡(luò)安全的重大升級。

等保2.0由舊標(biāo)準(zhǔn)的10個分類調(diào)整為8個分類。管理要求方面，調(diào)整為安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運(yùn)維管理；技術(shù)要求方面，調(diào)整為物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全。

等級保護(hù)工作的基本流程落實到系統(tǒng)建設(shè)全生命周期的每個環(huán)節(jié)，每一環(huán)都需要系統(tǒng)運(yùn)營、使用單位重點留意。等保工作包括系統(tǒng)定級、系統(tǒng)備案、整改實施、系統(tǒng)測評和運(yùn)維檢查五大步驟，其中最重要的環(huán)節(jié)是信息系統(tǒng)安全等級測評，它用來驗證信息系統(tǒng)能不能滿足相應(yīng)安全保護(hù)等級，包含安全控制測評和系統(tǒng)整體測評兩個層次。

測評的變化

從前等保1.0第四級系統(tǒng)每半年測評一次，現(xiàn)在第三級以上系統(tǒng)每年一次，測評周期有所放長；等保1.0里60分以上即符合測評結(jié)果，現(xiàn)在要求75分以上才能通過測評，測評門檻有所提高。

標(biāo)準(zhǔn)控制點與要求項數(shù)量的變化

等保2.0的標(biāo)準(zhǔn)控制點數(shù)量與等保1.0基本持平，匯總來看相對于舊標(biāo)準(zhǔn)有所精簡，三級與四級的控制點數(shù)量均削減至71個。

要求項方面的精簡程度更加明顯，大量刪減了冗雜條項。等保2.0的二級、三級、四級的要求項從舊標(biāo)準(zhǔn)的175個、290個、318個分別削減至148個、231個、246個。

除刪減冗雜項外，等保2.0通用要求中還根據(jù)互聯(lián)網(wǎng)業(yè)態(tài)發(fā)展新增了重要要求項，主要集中在入侵防范、惡意代碼防范、集中管控、安全審計和集中管控方面，與新增要求項一一對應(yīng)的信息安全新增產(chǎn)品也將隨之迎來巨大的發(fā)展空間。

等保2.0與1.0最大的區(qū)別在于系統(tǒng)防護(hù)由被動防御變?yōu)橹鲃臃烙瑥那氨粍臃烙蠓阑饓Α⒉《尽DS，現(xiàn)在上升到主動防御，除了傳統(tǒng)的安全設(shè)備防火墻、網(wǎng)絡(luò)版殺毒軟件以及網(wǎng)關(guān)層的防毒墻外，還需要部署安全準(zhǔn)入系統(tǒng)、堡壘機(jī)、雙因素認(rèn)證設(shè)備、漏洞掃描器、數(shù)據(jù)庫防火墻；另外還需要定期的安全服務(wù)，包括滲透測試服務(wù)、系統(tǒng)上線前安全測試服務(wù)與安全運(yùn)維服務(wù)；最后，還需部署SOC平臺、安全態(tài)勢感知平臺，從全局性角度去檢測、感知、發(fā)現(xiàn)整體的安全趨勢及可能存在的安全問題，部署防APT（高級持續(xù)性威脅）攻擊的設(shè)備發(fā)現(xiàn)一些潛在的不定期的隱蔽的各類攻擊。

我國信息安全行業(yè)具備強(qiáng)政策周期性，同時具備與宏觀經(jīng)濟(jì)相關(guān)性較弱屬性。未來兩年，等保2.0落地效果逐步顯現(xiàn)，隨著監(jiān)管范圍與監(jiān)管內(nèi)容的拓寬疊加信息安全行業(yè)屬性將加速信息安全行業(yè)投資。

更多數(shù)據(jù)參考前瞻產(chǎn)業(yè)研究院發(fā)布的《中國信息安全行業(yè)發(fā)展前景預(yù)測與投資戰(zhàn)略規(guī)劃分析報告》

更多深度行業(yè)分析盡在【前瞻經(jīng)濟(jì)學(xué)人APP】，還可以與500+經(jīng)濟(jì)學(xué)家/資深行業(yè)研究員交流互動