一、网络安全法和网络安全等级保护制度

网络安全法中明确地提到，国家实行网络安全等级保护制度，信息安全的建设要遵照等级保护标准来做。

二、为什么要开展网络安全等级保护工作

（一）体现国家管理意志，构建国家信息安全保护体系

等级保护是我国关于信息安全的基本政策，国家法律法规、相关政策制度要求单位开展等级保护工作，如《中华人民共和国网络安全法》和《网络安全管理办法》。

（二）维护国家安全，保护公众利益，保障和促进信息化发展

落实个人及单位的网络安全保护义务，通过等级保护工作发现单位信息系统存在的安全隐患和不足，通过安全整改提高信息系统的信息安全防护能力，合理规避风险。

三、网络安全等级保护进入2.0时代

网络安全等级保护制度是国家网络安全领域的基本国策、基本制度和基本方法，《网络安全法》出台后，网络等级保护进入2.0时代。2019年5月13日，网络安全等级保护制度2.0标准（以下简称等保2.0标准）正式发布，将于2019年12月1日开始实施。

等保2.0标准在1.0标准的基础上，注重全方位主动防御、安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。

四、等级保护2.0的扩展要求

为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护，等保2.0要求分为安全通用要求和安全扩展要求。《网络安全等级保护基本要求》针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求。

扩展要求应用场景说明：

（一）云计算应用场景

云计算平台/系统由设施、硬件、 资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。软件即服务(SaaS)、平台即服务(PaaS)、 基础设施即服务(IaaS)是三种基本的云计算服务模式。如图所示，在不同的服务模式中，云服务商和云服务客户对计算资源拥有不同的控制范围，控制范围则决定了安全责任的边界。

（二）移动互联应用场景

采用移动互联技术的等级保护对象其移动互联部分由移动终端、移动应用和无线网络三部分组成，移动终端通过无线通道连接无线接入设备接入，无线接入网关通过访问控制策略限制移动终端的访问行为。等保2.0移动互联安全扩展要求主要针对移动终端、移动应用和无线网络部分提出特殊安全要求，与安全通用要求一起构成对采用移动互联技术的等级保护对象的完整安全要求。

（三）物联网应用场景

对物联网的安全防护包括感知层、网络传输层和处理应用层，由于网络传输层和处理应用层通常是由计算机设备构成，因此这两部分按照安全通用要求提出的要求进行保护。物联网安全扩展要求针对感知层提出特殊安全要求，与安全通用要求一起构成对物联网的完整安全要求。