刘惠颖，李井泉

(1.国网河北省电力有限公司电力科学研究院，石家庄 050021;2.国网河北省电力有限公司，石家庄 050021)

2019年5月13日网络安全等级保护2.0国家标准正式发布，信息安全技术与网络安全保护迈入2.0时代。2019年9月16日，中共中央总书记、国家主席、中央军委主席习近平对国家网络安全宣传周作出重要指示，强调举办网络安全宣传周、提升全民网络安全意识和技能，这是国家网络安全工作的重要内容。要坚持促进发展和依法管理相统一，既大力培育人工智能、物联网、下一代通信网络等新技术新应用，又积极利用法律法规和标准规范引导新技术应用。

以下针对我国网络安全等级保护发展现状，阐述网络等级保护2.0标准的特点和变化以及框架及内容，综述网络安全等级在网络系统的应用。

1 网络等级保护2.0标准概况

网络安全等级保护制度是中国网络安全的基石，《网络安全法》明确规定我国实行网络安全等级保护制度。标志着国家网络安全等级保护制度进入2.0时代。国家网络安全等级保护制度2.0国家新标准包括GB/T 22239-2019《网络安全等级保护基本要求》、GB/T 25070-2019《网络安全等级保护安全设计技术要求》、GB/T 28448-2019《网络安全等级保护测评要求》，进一步明确网络安全定级及评审、备案及审核、等级测评、安全建设整改、自查等工作要求。增加了测评活动安全管理、网络服务管理、产品服务采购使用管理、技术维护管理、监测预警和信息通报管理、数据和信息安全保护要求、应急处置要求等内容。该标准是指导用户开展网络安全等级保护建设整改、等级测评等工作的核心标准，是开展新时代网络安全等级保护工作的前提。

2 网络等级保护2.0标准框架及内容

2.1 安全通用要求框架结构

《网络安全等级保护基本要求》、《网络安全等级保护测评要求》和《网络安全等级保护安全设计技术要求》3个标准，基本要求文档框架见图1。

图1 安全通用要求框架结构

2.2 安全技术内容

2.2.1 安全物理环境

该部分是针对物理机房提出的安全控制要求。安全物理环境包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。在安全物理环境的对比方面，网络等级保护2.0控制点比网络等级保护1.0控制点在物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护上更加具有优越性。

2.2.2 安全通信网络

该部分是针对通信网络提出的安全控制要求。安全通信网络的安全控制点包括网络架构、通信传输和可信验证。在安全通讯网络的对比方面，网络等级保护2.0控制点比网络等级保护1.0控制点在网络安全中的结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护上更加优越。

2.2.3 安全区域边界

该部分是针对网络边界提出的安全控制要求。安全区域边界的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。增加了可行验证使性能得以提升。

2.2.4 安全计算环境

该部分是针对边界内部提出的安全控制要求。安全计算环境的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。网络等级保护2.0在主机安全和安全计算环境上进行了优化，保障了数据完整，数据保密，数据备份恢复，剩余信息保护和个人信息保护。

2.2.5 安全管理中心

安全通用要求中的安全管理中心部分新增了系统管理、审计管理、安全管理和集中管控，性能得以提升，安全保障力度更大。

2.2.6 安全管理要求

网络等级保护2.0中安全管理要求相比网络等级保护1.0变化不大，适当调整和增加了漏洞和风险管理、配置管理、外包运维管理等内容。

3 网络等级保护2.0标准的特点和变化

3.1 网络安全等级保护2.0标准体系组成

网络安全等级保护2.0标准体系有下列标准组成：网络安全等级保护条例(总要求/上位文件)、计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准)、网络安全等级保护实施指南(GB/T 25058)(正在修订)、网络安全等级保护定级指南(GB/T 22240)(正在修订)、网络安全等级保护测评要求(GB/T 28448-2019)、网络安全等级保护设计技术要求(GB/T 25070-2019)、网络安全等级保护测评过程指南(GB/T 28449-2018)、网络安全等级保护基本要求(GB/T 22239-2019)。

3.2 网络安全等级保护2.0标准特点

作为支撑网络安全等级保护2.0的新标准《网络安全等级保护基本要求》、《网络安全等级保护测评要求》和《网络安全等级保护安全设计技术要求》具有如下3个特点。

3.2.1 对象范围扩大

网络安全等级保护2.0标准将云计算、移动互联、物联网、工控系统等列入标准范围，构成了“安全通用要求+新型应用安全扩展要求”的要求内容，在网络安全等级保护1.0标准的基础上提出了新要求。

3.2.2 分类结构统一

网络安全等级保护2.0标准“基本要求、设计要求和测评要求”分类框架统一，形成了“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”支持下的三重防护体系结构，强化了建立纵深防御和精细防御体系的思想。

3.2.3 强化可信计算

网络安全等级保护2.0标准强化了可信计算技术使用的要求，把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求 ，强调通过密码技术、可信验证、安全审计和态势感知等建立主动防御体系的期望。

3.3 网络安全等级保护2.0标准变化

《网络安全等级保护基本要求》、《网络安全等级保护测评要求》和《网络安全等级保护安全设计技术要求》3个核心标准比较于旧标准，无论是在总体结构方面还是在细节内容方面均发生了变化。总体结构方面主要变化为以下6个方面[1]。

a.名称变化 。在网络安全等级保护1.0中名称为《信息系统安全等级保护基本要求》，后更改为《信息安全等级保护基本要求》，最后为了与《网络安全法》保持一致，网络安全等级保护2.0中更改标准名称为《网络安全等级保护基本要求》。

b.对象变化。在网络安全等级保护1.0中对象为信息系统，网络安全等级保护2.0中改为等级保护对象(网络和信息系统)，其中包括网络基础设施(广电网、电信网、专用通信网组等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统，移动互联技术系统等。

c.安全要求变化。在网络安全等级保护1.0中为安全要求，网络安全等级保护2.0中改为安全通用要求和安全扩展要求 ，主要是对云计算、移动互联、物联网和工控系统提出了特殊要求。其中安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。安全通用要求是不管等级保护对象形态如何必须满足的要求[2]。

d.章节结构变化。章节结构中增加了第8部分第三级安全要求 ，其中8.1、8.2、8.3、8.4、8.5为增加内容。

e.分类结构变化。分类结构中技术部分，网络安全等级保护1.0中的“物理安全”、“网络安全”、“主机安全”、“应用安全”和“数据安全和备份与恢复”，网络安全等级保护2.0中修订为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。管理部分，网络安全等级保护1.0中的“安全管理制度”、“安全管理机构”、“人员安全管理”、“系统建设管理”和“系统运维管理”修订为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

f.增加了应用场景的说明。应用场景的说明包括了附录C、附录D、附录E、附录F、附录G、附录H。增加附录C描述等级保护安全框架和关键技术、增加附录D描述云计算应用场景、附录E描述移动互联应用场景、附录F描述物联网应用场景、附录G描述工业控制系统应用场景、附录H描述大数据应用场景[3- 4]。

4 基于网络安全等级保护2.0标准的企业网络安全体系构建

构建网络安全防护体系，能提高企业网络安全防护能力，节约运行成本，促进企业网络稳定运行。因此，企业应合理规划网络安全防护体系，在设计过程中，应严格遵守网络安全等级保护2.0标准体系的原则，体系化设计原则、技术管理并重原则、安全区域划分原则等几项原则。

首先，等级保护原则。在设计网络安全防护体系时，要严格遵守教育部门及公安部门信息系统安全等级确定方法，严格按照和应用系统对应的防护能力进行构建，使网络安全防护体系更科学、更规范。其次，体系化设计原则。根据安全集成形式，不断完善技术体系和管理体系。再次，安全区域划分原则。在保障网络安全前提下，根据现有网络安全管理模式，合理划分网络安全区域，完善网络安全管理体系。最后，技术管理并重原则将技术体系和管理体系相结合，形成双重安全防护措施，增强网络安全防护能力，同时还需要结合运行管理机制、专业技术培训、网络安全制度以及安全观念的引导，不断完善网络安全防护体系，提高网络安全防护能力。

5 结束语

国家电网有限公司作为国有特大型企业和关键信息基础设施运营单位，网络安全工作任重而道远。加强基于网络安全等级保护2.0网络安全体系建设，严格遵守等级保护2.0原则，完善网络安全技术，依法依规开展网络安全防护工作，才能应对网络安全形势之万变，在瞬息万变的网络安全复杂环境下占据主动，保障企业网络稳定运行，推动企业可持续发展。