等保的歷史

等保1.0

給出幾個等保重要時間節點：
1994年，國務院頒布國務院147號令《中華人民共和國計算機資訊系統安全保護條例》，規定計算機資訊系統實行安全等級保護，這是第一次提出等保的概念，
1999年，GB 17859-1999《計算機資訊系統安全保護等級劃分準則》國家強制標準發布，關于標準的知識可以看這里
2003年，中央辦公廳、國務院辦公廳頒發《國家資訊化領導小組關于加強資訊安全保障作業的意見》（中辦發[2003]27號）明確指出“實行資訊安全等級保護”，
2005年，公安部四大標準初稿出臺（正式稿后面才出來）：
GB/T 22239 基本要求
GB/T 22240 定級指南
GB/T 25058 實施指南
GB/T 28448 測評標準
2007年6月，公通字[2007]43號《資訊安全等級保護管理辦法》發布，
2007年7月，四部門聯合頒布《關于開展全國重要資訊系統安全等級保護定級作業的通知》，
2007年7月20日，召開全國重要資訊系統安全等級保護定級作業部署專題電視電話會議，標志著資訊安全等級保護制度正式開始實施，
2010年4月，公安部出臺《關于推動資訊安全等級保護測評體系建設和開展等級測評作業的通知》，提出等級保護作業的階段性目標，
2010年12月，公安部和國務院國有資產監督管理委員會聯合出臺《關于進一步推進中央企業資訊安全等級保護作業的通知》，拉開了央企等保作業的序幕，

以上是等保1.0的發展歷史，以下則是2.0的發展歷史，

等保2.0

2013年，全國資訊安全標準化技術委員會授權WG5-資訊安全評估作業組開始啟動等級保護新標準的研究，
2014年，習總書記出任中央網路安全和資訊化領導小組組長，網路安全上升到國家安全戰略，
2015年，中央網路安全和資訊化領導小組2015年作業要求、落實國家資訊安全等級保護制度
2016年11月7日，《中華人民共和國網路安全法》正式頒布（2017年6月1日正式實施），第二十一條明確：國家實行【網路安全等級保護制度】，網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路資料泄露或者被竊取、篡改，當然，相關條款還有31條和33條，
2017年1至2月，全國資訊安全標準化技術委員會發布《 網路安全等級保護基本要求》系列標準、《 網路安全等級保護測評要求 》系列標準等“征求意見稿”，
2017年5月，國家公安部發布《GA/T 1389—2017 網路安全等級保護定級指南》、《GA/T 1390.2—2017 網路安全等級保護基本要求 第 2 部分：云計算安全擴展要求》等4個公共安全行業等級保護標準，
2019年12月1日，等保2.0標準正式實施，發布會沈昌祥院士還做了演講，記得B站有視頻，
從以上歷史可以看到，國家對網路安全是越來越重視，等保已經是必然要做的作業（法律規定），但是也還有人想不通，做了等保就安全了嗎？當然不是，那不是白做了？其實這個問題很簡單，等保是為了加強資訊系統（現在不這么叫，要叫等保物件）的安全防護水平，通俗來說，如果資訊系統出了安全問題且沒有做等保，那么主體單位（使用者）就要承擔主要責任，要受到公安部門的網監的處罰，如果做了等保出問題也不是說免責，當然等保里面也相關規定要調查啥啥的流程，但是沒有處罰，提升安全防護水平比較主觀，于是就有了等保相關標準，來指導我們如何來做，對主體的網路安全會有整體的規劃或思路，
關于責任主體的補充：誰主管誰負責、誰運賞誰負責、誰使用誰負責的原則，

流程及參與角色和分工

這塊內容之前寫過，看這里：
詳細流程那個圖超大，不貼了，直接看大的步驟：
定級備案：梳理等保物件（資訊系統、云大物工移）情況，確定等級，提交定級報告和備案表到當地網監，（按慣例這塊作業測評機構代勞）
差距評估：聘請第三方測評機構，進行安全檢查和評估，找出現狀問題，提交問題報告和整改方案，（當做初評也行）
整改建設：根據差距評估結果，進行技術+產品+人工+管理制度等方面的整改建設作業，（安全廠商這個時候要出場）
等級測評：聘請第三方測評機構，進行等級保護測評作業，提交相應的等級保護測評報告到當地網監，（拿證，這個證不是安全證書，而是安全防護能力的證書）
后面的章節基本就按這幾個步驟來展開，
關于分工這塊補充一下：
等保一共五級，一到三級都是測評機構做，四五級都是公安部自己搞定，
測評機構和安全廠商雖然職能是分開，但都是“過等保”中不可分開的角色，二者經常狼狽為奸 全面合作，相互介紹客戶，

等保1.0 vs 2.0

這塊內容在中級測評師教材里面有，里面是按每個標準進行描述的，這里還是稍微整理一下，整合到一起：

1. 名稱發生變化：這里的名稱主要是指標準的名稱，為了與《網路安全法》中第21條（看上面）提出的“網路安全等級保護制度”保持一致，例如：

這里要點就是資訊系統換成了網路安全，從整體范圍來看，資訊系統安全∈網路安全∈資訊安全，

2. 定級物件的變化：名稱的變化導致定級物件的變化，原來只考慮資訊系統安全，現在要考慮網路安全，即：
   網 絡 = 信 息 系 統 + 關 基 + 云 大 物 工 移 網路=資訊系統+關基+云大物工移 網絡=信息系統+關基+云大物工移
3. 等保安全要求的變化：由于物件變多了，所以等保安全要求也就發生了變化，我們把資訊系統對應的安全要求稱為安全通用要求，把其他系統或網路對應的安全要求稱為安全擴展要求，（關鍵資訊基礎設施沒有單獨列擴展要求，應根據其具體形態或者說型別選擇相應要求）
4. 控制點和要求項的變化：都是分為技術和管理兩個大類，在對應關系和名稱上有變化，不用解釋，2.0更加好背（都是安全兩個字打頭，然后加居然要求），里面的具體控制點還有變化，有減少也有增加，這里面可以看到比較明顯的就是多了一個安全管理中心，也就說等保2.0對于網路安全的集中管控也有新的要求，具體可以參考安全廠商推出的各種相關管控軟硬體介紹，當然還增加一些類似可信計算之類的控制點，
   
5. 流程的變化（增加）：等保1.0中對于整套流程的規定為：定級備案、差距評估、安全整改、等級測評、監督檢查，五個，等保2.0中在以上五個步驟上，還增加了風險評估、安全監測、通報預警、安全事件調查、資料防護、災備、應急處置等安全要求，這點其實還可以和第四點結合起來理解
6. 效力變化：從原來的強制標準變成法律法規，因此最近出現了一些不做等保被處罰的一些案例，
7. 其他變化：例如理念的變化，正如沈院士所說，從原來的被動的防御變成主動防御；測評細節如測評結果的公式和分數要求有變化，加入了權重，不再眉毛胡子一把抓，

等保常見誤區

1.等保的級別僅能代表等保物件的重要程度；過等保，僅能代表等保物件無高危漏洞，（基本）符合安全防護等級的大部分要求，并不能反映等保物件主體的具體情況，從最近幾年的等保測評來看一些單位為了省錢都想方設法把等保級別定低一些，但是一些民間金融機構上來就是三級系統，雖然涉及到金融方面定三級無可厚非，但是這些機構確將過等保三級作為一種實力的象征（也代表一丟丟實力，畢竟這玩意每年都要燒一筆錢）但不代表這個機構不會倒倍訓者跑路，
2.過等保僅能代表等保物件當前一段時間內容的安全狀態，對于安全風險而言，它是一個動態的一個程序，例如某系統突然爆發出一個高危漏洞，而你未及時關注并修復，那么等保物件就處于一種危險狀態，這也是為什么二級以上系統每一年都要整一次（原來1.0里面四級系統是半年整一波），因此，等保也是一個動態的程序，在等保的測評報告中還專門有對上一次等保遺留問題的如何解決描述，
3.物理隔離的系統也需要做等保，有研究表明，70%-80%網路攻擊都是從網路內部發起的，因此等保等級的劃分標準并不是按照網路的隔離效果來區分，只要屬于等保物件，就要納入等保的范疇，
4.部署在云上的系統，尤其是網站，也要做等保，很多單位的主管，認為網站或系統放在別人的云上，出了安全事故就和自己沒有關系，這個想法是錯誤的（通常云平臺只負責物理環境安全），具體看上面對安全主體的定義，這里要注意兩點：第一，部署在云上的系統/網站的等保級別≤云的等保級別；第二，將已經通過等保的系統/網站，遷移到未定級的云平臺的，應該先將云平臺定級做等保，然后通過等保的系統/網站要重新做等保（定級標準里面有說明，這屬于重大變更），
5.不能自己定等保級別，新定級標準還未實施，新標準加入了專家評審機制，但是仍然不能自己定級別，定低了沒有起到保護等保物件的作用，定高了白白燒錢，一般有行業標準按行業標準，沒有行業標準看上級部門，沒有上級部分看兄弟單位的類似系統，再就是根據基本，例如市級系統定三級，縣級就可以考慮降一級，不過一般這個事都是測評機構代勞，