2019年5月13日，由國家市場監(jiān)督管理總局、國家標準化管理委員會共同發(fā)布等保2.0標準并于同年12月1日正式實施，伴隨著等保2.0標準的發(fā)布，也標志著我國網絡安全等級保護已進入全新時代。

等保2.0標準中的技術要求分類體現(xiàn)了從外部到內部的縱深防御思想，對等保對象的安全防護應考慮從通信網絡、區(qū)域邊界到計算環(huán)境的從外到內的整體防護。本次論壇邀請等保建設行業(yè)專家，將從政策解讀及熱點問題等方面做獨道見解分享。

2020年8月13日，ISC2020“致知力行、繼往開來——邁向等級保護2.0新階段”分論壇順利在線上召開，來自國內網絡安全專家、學者圍繞“等級保護與數(shù)據(jù)安全”“在等保中引入密碼測評” “加快貫徹落實網絡安全等級保護制度”“按等保2.0可信計算3.0筑牢新基建網絡安全防線”等議題展開觀點碰撞，思維對話。

本次論壇由中國計算機學會計算機安全專業(yè)委員會承辦，由該委員會主任、公安部第一研究所副所長于銳發(fā)布論壇致辭。于銳表示，網絡安全等級保護制度2.0國家標準的發(fā)布，是具有里程碑意義的一件大事，標志著國家網絡安全等級保護工作步入新時代。等級保護2.0是網絡安全的一次重大升級，其保護對象范圍在傳統(tǒng)系統(tǒng)的基礎上擴大到了云計算、移動互聯(lián)、物聯(lián)網、大數(shù)據(jù)等，對等級保護制度也提出了新的要求。

本論壇的重磅嘉賓還有中國工程院院士、國家集成電路產業(yè)發(fā)展咨詢委員會委員、國家三網融合專家組成員沈昌祥;公安部網絡安全保衛(wèi)局一級巡視員、副局長兼總工程師郭啟全;中國計算機學會計算機安全專業(yè)委員會副主任、中國科學院大學教授荊繼武;公安部第三研究所所長助理、中國計算機學會計算機安全專委會副主任金波。公安部第一、第三研究所原所長、中國計算機學會計算機安全專業(yè)委員會榮譽主任嚴明擔任本次對話論壇主持人。

可信計算普及 構建網絡安全主動免疫新體系

沒有網絡安全就沒有國家安全，當前，網絡空間已經成為繼陸、海、空、天之后的第五大主權領域空間。按照國家網絡安全法律、戰(zhàn)略和等級保護制度要求，推廣安全可信產品和服務，守住網絡安全底線是歷史的使命。

基于此，中國工程院院士、國家集成電路產業(yè)發(fā)展咨詢委員會委員、國家三網融合專家組成員沈昌祥在演講中指出，新型基礎設施是以數(shù)據(jù)和網絡為核心，其發(fā)展前提是用主動免疫的可信計算筑牢安全防線。

沈昌祥表示，從認知科學上看，設計IT系統(tǒng)不能窮盡所有邏輯組合，必定存在邏輯不全的缺陷。利用缺陷挖掘漏洞進行攻擊是網絡安全永遠的命題。安全可信是指邏輯缺陷不被威脅者所利用，實行免疫機制。

而主動免疫可信計算是一種運算同時進行安全防護的新計算模式，以密碼為基因抗體實施身份識別、狀態(tài)度量、保密存儲等功能，及時識別“自己”和“非己”成分，從而破壞與排斥進入機體的有害物質，相當于為網絡信息系統(tǒng)培育了免疫能力。

網絡安全始終有新任務與新要求。據(jù)公安部網絡安全保衛(wèi)局一級巡視員、副局長兼總工程師郭啟全透露，近期，公安部印發(fā)了有關貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見。

郭啟全表示，組織認定應將基礎網絡、大型專網、核心業(yè)務系統(tǒng)、云平臺、大數(shù)據(jù)平臺、物聯(lián)網、工業(yè)控制系統(tǒng)、智能制造系統(tǒng)、新型互聯(lián)網、新興通訊設施等重點保護對象納入關鍵信息基礎設施。

夯實數(shù)據(jù)安全強化等級保護2.0制度“落地”

在可信計算普及的時代，密碼是否正確使用對網絡安全至關重要。中國計算機學會計算機安全專業(yè)委員會副主任、中國科學院大學教授荊繼武介紹了在等保中引入密碼測評的意義，荊繼武表示，網絡空間安全保護數(shù)字經濟發(fā)展，密碼技術是基礎支撐。

“數(shù)字財富的保護，不僅僅是數(shù)據(jù)的保護，是一種所有關系的保護，是數(shù)字經濟時代生產關系的安全。” 荊繼武稱，等級保護制度的目標，是要保護我國數(shù)字經濟的發(fā)展，引入密碼測評符合未來數(shù)字經濟發(fā)展的趨勢。

數(shù)字化時代，數(shù)據(jù)已成為國家基礎性戰(zhàn)略資源。

等?；疽笾械臄?shù)據(jù)安全問題同樣不容小覷。公安部第三研究所所長助理、中國計算機學會計算機安全專委會副主任金波著重介紹了數(shù)據(jù)安全的頂層設計要求。

金波建議，可通過等保合規(guī)落實數(shù)據(jù)安全，加強管理體系建設，包括覆蓋數(shù)據(jù)活動全流程的數(shù)據(jù)安全管理制度，人員數(shù)據(jù)安全法律法規(guī)、標準、知識和技能培訓，采用密碼技術保護數(shù)據(jù)保密性和完整性，采用備份措施保護數(shù)據(jù)可用性，數(shù)據(jù)安全管理責任和崗位設置等幾個方面來推進。同時，加強安全風險管控、加強數(shù)據(jù)活動管控。

在防護過程中，將構建以密碼技術、可信計算、人工智能、大數(shù)據(jù)分析等為核心的網絡安全保護體系，提升關鍵信息基礎設施內生安全、主動免疫和主動防御能力。

值得一提的是，在本場論壇中還特別設置了十人熱點對話環(huán)節(jié)，公安部第一、第三研究所原所長、中國計算機學會計算機安全專業(yè)委員會榮譽主任嚴明擔任論壇主持人，來自不同背景、不同企業(yè)的行業(yè)專家繼續(xù)圍繞等保2.0的貫徹落實展開深入探討。

在該環(huán)節(jié)中，公安部網絡安全保衛(wèi)局十八處處長祝國邦指出，等級保護制度是我國網絡安全領域的基本制度，以此為標準推動行業(yè)部門來落實相應的政策要求，有效提高了我國網絡安全保護能力。

公安部信息安全等級保護評估中心測評部主任、研究員馬力表示，從等保1.0到等保2.0有幾項重要的演變，等級保護進入一個全新的階段。等級保護的四項主要工作包括定級備案、建設整改、登記測評和監(jiān)督檢查配套標準，并且都已經陸續(xù)和大家見面了。

杭州安恒信息技術股份有限公司首席安全官、高級副總裁劉志樂認為，在等保2.0制度的引領下，圍繞一個中心三個防護進行了很多實踐，包括為客戶提供保姆供應式服務、升級產品防護和運營體系等等。

亞信安全科技有限公司亞信安全首席研發(fā)官吳湘寧表示，在本質上看，網絡安全是一個動態(tài)的過程，伴隨信息技術架構的變化而演進。并且，網絡安全最終的問題都是人的問題，所以每個網絡安全學家也都是“心理學家”，網絡安全應以人為本。

北京國舜科技股份有限公司副總裁湯志剛表示，等保2.0在應用中有很多具體的實踐，在以為金融業(yè)做安全規(guī)劃時，就以此為參考和標準，等保2.0不是一個測評的事情，而是有關框架建設的事情。

啟明星辰信息技術集團股份有限公司副總裁文坊指出，我國安全行業(yè)的高速長期穩(wěn)定的發(fā)展依賴于國家對網絡安全的重視，等級保護制度改變了用戶需求市場和企業(yè)的發(fā)展模式，并且為安全產業(yè)的發(fā)展起到了保駕護航的作用。

遠江盛邦(北京)網絡安全科技股份有限公司副總裁王潤合認為，摸清關鍵基礎設施的資產才能更好的為企業(yè)服務，在等保2.0的指導下，安全運營會提供立體化的防御、等保合規(guī)、監(jiān)測預警、應急處置等工作。

北京數(shù)字觀星科技有限公司運營中心負責人張錚表示，自身主要通過聚焦資產的威脅監(jiān)測管理參與廣大用戶的等級保護建設，幫助客戶識別到互聯(lián)網側和內網側分別面臨什么樣的威脅，并為其描述威脅畫像。

360企業(yè)安全戰(zhàn)略創(chuàng)新研究院副院長吳露渟表示，基于等保2.0制度，360構建了安全能力框架，包括一個安全大腦，一套互聯(lián)互通的標準，一套整體的安全基礎設施體系，靈活運營的戰(zhàn)法，頂級安全專家隊伍以及實戰(zhàn)演練的經驗。

最后，公安部第一、第三研究所原所長、中國計算機學會計算機安全專業(yè)委員會榮譽主任嚴明總結到，等保2.0的標準指導了網絡安全和信息安全的建設與保護工作，在這個過程中也會面臨很多問題，譬如等級保護和關鍵基礎設施保護之間的關系，對于幾大新應用的擴充要求是否需要再提高，等等，而我們正以創(chuàng)新的思路來解決層出不窮的遇到的挑戰(zhàn)。

未來，將有更多的部門聯(lián)合合作，從政務服務、公共服務、社會治理、基礎設施等多領域統(tǒng)籌推進，共享“可信+”紅利，相關領域和網絡安全企業(yè)的群策群力下，共同推動政府服務和群眾生活全面邁入“可信+”的新時代，同時推動等保2.0制度的持續(xù)深化。