为实现我国网络建设强国的目标，网络等级安全保护制度进入2.0时代。在政府、企业、群众等多方力量的联合发动下，5月13日，等保2.0标准正式对外发布。

什么是等级保护2.0？其重大施行意义在哪？

简而言之，就是对关键基础设施的保卫、保护和保障。同时呼吁、监督安全企业深入了解业务需求、重要行业部门需求和国家需求，充分发挥企业技术优势、智慧优势，共同保护好我国的网络空间安全，把中国建设成网络强国。

等保2.0相较于等保1.0，其创新和发展体现在哪？

1、整体变化：控制项总体安全要求数量，从291（等保1.0）变为229（等保2.0）。网络安全拆分为安全通信网络和安全区域边界两个部分，主机安全、应用安全和数据及备份合并到安全计算环境中，新增安全管理中心控制项。

2、保护对象的变化：等级保护对象更加丰富，包括基础信息网络、信息系统、云计算平台、物联网、移动互联、工控系统（ICS）等。

3、安全要求的变化：安全通用要求是不管等级保护对象的形态如何必须满足的要求，针对云计算、移动互联、物联网和工业控制系统提出了特殊要求，成为扩展要求。

4、防护理念的变化：通用要求方面，等保2.0标准的核心是“优化”。删除了过时的测评项，对测评项进行合理性改写，新增对新型网络攻击行为防护和个人信息保护等新要求。等保2.0标准依然采用“一个中心、三重防护” 的理念，从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变，注重全方位主动防御、安全可信、动态感知和全面审计。

5、定级流程的变化：等保2.0标准不再自主定级，而是通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”这种线性的定级流程，系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，整体定级更加严格，将促进定级过程更加规范，系统定级更加合理。

6、测评周期的变化：相较于等保1.0，等保2.0标准测评周期、测评结果评定有所调整。等保2.0标准要求，第三级以上的系统每年开展一次测评，修改了原先1.0时期要求四级系统每半年进行一次等保测评的要求。

7、测评结果的变化：等保2.0里，测评达到75分以上才算基本符合。基本分高了，要求变得更高，过等保相对以往一是没那么容易了，另一点也需要投入更多。

8、集中管控的变化：特别增加了安全集中管控的要求，建设集中安全管理系统成为必要。集中管控具体要求如下：

a)  应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；

b)  应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理

c)   应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；

d)  应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求；

e)  应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；

f)   应能对网络中发生的各类安全事件进行识别、报警和分析；

9、技术要求的变化:特别增加了个人信息保护的要求。提出了采用可信计算技术防范恶意代码的控制要求。

爱加密，作为移动应用安全综合服务商，拥有安全防护、安全运营、安全监管、安全服务四大产品体系，是移动应用安全领域唯一获得信息安全等级保护安全建设的企业。其中网络安全等级保安全咨询服务包括：安全咨询服务、安全培训服务、渗透测试服务、合规测评服务、信息安全风险评估服务。

安全咨询服务

安全规划

针对政府、企业、重要行业系统做安全规划咨询，协助客户完成未来系统的安全设计方案，制定未来工作目标，包括实施框架、实施理念、实现方式等。

等保咨询

【定级备案】依据定级要求、结合行业特点对业务信息系统提供定级参考建议，并协助客户完成定级备案工作。

【等保评估】协助完成人工检查、风险评估、漏洞扫描、渗透测试等工作，为用户精准完成等保评估工作。

【差距分析】通过对照检查、人工分析等方法，分析目前已有安全保护措施与等级保护标准要求之间的差距。

【整改建设】从管理安全和技术安全两个方面，提高企业信息系统的安保能力。

【方案设计】业内资深专家针对不同企业特点设计整体解决方案。

【系统测评】协助企业配合测评中心完成系统测评工作，并顺利通过系统测评。

【安全培训】为企业提供等级保护和安全意识的培训服务。

【等保运维】定期为企业提供评估服务，接受主管单位的定期检查。

27001咨询服务

对于信息安全管理体系（ISMS）的建设和认证需求，参照国际标准ISO27001、ISO27002以及国内标准GB/T22080、GB/T22081，向客户提供专业咨询服务。

安全培训服务

安全意识培训

全体员工移动安全意识培训

开发人员安全开发意识培训

安全知识培训

移动应用常见漏洞培训

定制个性化安全知识培训

安全技能培训

安全风险渗透测试技能培训

安全防御加固方法培训

定制个性化安全技能培训

网络安全培训

信息安全意识培训

网络安全等级保护政策培训

网络安全技术培训

渗透测试服务

爱加密渗透测试服务包括：应用系统全量渗透测试服务、业务接口渗透测试服务。

应用系统全量渗透测试服务

根据GB/T20984标准，识别和评估信息资产的重要性、安全威胁的可能性、安全脆弱性的严重程度、以及安全控制措施的有效性等要素，对用户重要信息系统所面临的信息安全风险进行识别和定性评估，并对所有评估发现的不可接受风险给出对应的安全处置和加固建议，协助客户提升对重要信息系统的安全风险管理和安全保障能力。

Web应用渗透测试服务

10大模块提供了53个渗透测试项，可覆盖100+web应用安全渗透测试点。协助完成人工检查、风险评估、漏洞扫描、渗透测试等工作，为用户精准完成等保评估工作。

业务接口渗透测试服务

合规测评服务

自身安全监管合规

紧跟监管政策，不断推出与等级保护、CIS标准对应的基线。用户可使用该合规测评，定制检测标准，并提供可视化合规检查结果，根据检测提供的修复建议进行修复，以满足自身监管要求。《POS机终端应用安全》。

监管部门合规

对于上级或有关监管部门的检查，可以根据用户行业自定义测评服务，对于不同的检查基准，灵活制定不同检查强度的标准，提前自行制定策略自查，及时整改，以满足不同检查场景的需求。《关于开展App违法违规收集使用个人信息专项治理的公告》、《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》。

信息安全风险评估服务

评估依据

根据GB/T20984标准，识别和评估信息资产的重要性、安全威胁的可能性、安全脆弱性的严重程度、以及安全控制措施的有效性等要素，对用户重要信息系统所面临的信息安全风险进行识别和定性评估，并对所有评估发现的不可接受风险给出对应的安全处置和加固建议，协助客户提升对重要信息系统的安全风险管理和安全保障能力。