等保2.0全稱網(wǎng)絡(luò)安全等級保護2.0制度，是我國網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度。《網(wǎng)絡(luò)安全法》出臺后，網(wǎng)絡(luò)安全等級保護制度上升到了法律層面，不做等保就“等于”違法早已深入人心。等保2.0標準從2019年12月1日正式實施，并且已出現(xiàn)違法等保導(dǎo)致的被處罰的案例。

網(wǎng)絡(luò)安全法規(guī)定“誰運營誰負責，誰使用誰負責，誰主管誰負責”的原則及其他相關(guān)規(guī)定，前提是云平臺通過等保級別不低于用戶系統(tǒng)級別，否則影響云上用戶的信息系統(tǒng)等級保護定級備案。因此只要云平臺通過等保測評，傳統(tǒng)環(huán)境中的物理安全、網(wǎng)絡(luò)安全、虛擬層安全等基礎(chǔ)安全防護要求，云上用戶投入可以因為云平臺的能力而大幅下降，關(guān)注點可以更加聚焦在業(yè)務(wù)和系統(tǒng)的防護要求。

■ 不同服務(wù)模式下等保技術(shù)測評要求

企業(yè)使用的云服務(wù)類別（IaaS、PaaS和SaaS服務(wù)模式）不同，等保2.0所要求的技術(shù)測評項目也有所不同。用戶自建云平臺或IDC環(huán)境中，基礎(chǔ)安全防護需由用戶自身承擔相應(yīng)的安全能力建設(shè)。在云計算環(huán)境中，用戶無需關(guān)注物理、網(wǎng)絡(luò)、通信等基礎(chǔ)安全防護，只需要關(guān)注云服務(wù)類別下的安全防護能力。

如果是IaaS用戶，只需關(guān)注涉及自身虛擬基礎(chǔ)環(huán)境和業(yè)務(wù)應(yīng)用系統(tǒng)安全的83項技術(shù)指標，不需關(guān)注物理機房環(huán)境和云平臺網(wǎng)絡(luò)等內(nèi)容，測評條款數(shù)約是自建云平臺的62.4%。

如果是PaaS用戶則需要測評內(nèi)容更少，只需要關(guān)注涉及產(chǎn)品配置以及自身業(yè)務(wù)應(yīng)用系統(tǒng)安全的49項技術(shù)指標，測評范圍是自建云平臺的36.8%。

對于SaaS用戶來說，只需要關(guān)注涉及應(yīng)用安全配置以及業(yè)務(wù)數(shù)據(jù)保護的45項技術(shù)指標，需要投入的人力和經(jīng)費成本也最少。

從上可以看出，在云平臺通過等保2.0測評的前提下，企業(yè)上云的程度越深，自身所需要進行測評項數(shù)量就越少，當然所需要投入的成本就會更低，讓企業(yè)擁有高等級安全能力同時，可以有更多精力聚焦在自身業(yè)務(wù)發(fā)展上。

■ 如何滿足等保2.0中物聯(lián)網(wǎng)安全的擴展要求

等保2.0物聯(lián)網(wǎng)部分主要擴展了感知層的安全要求，在物理和環(huán)境安全、網(wǎng)絡(luò)和通訊安全、設(shè)備和計算安全，以及應(yīng)用和數(shù)據(jù)安全做了擴展要求。用戶需要建設(shè)并滿足相應(yīng)的安全防護能力后，才能通過等保2.0物聯(lián)網(wǎng)擴展要求。如果用戶物聯(lián)網(wǎng)平臺在云計算環(huán)境中，云平臺物聯(lián)網(wǎng)擴展支持能力不同，用戶所承擔的安全建設(shè)能力要求不同。例如對于阿里云用戶來說，只需要通過涉及設(shè)備物理防護及感知節(jié)點管理相關(guān)的19項技術(shù)指標中的7條技術(shù)指標測評即可。

黑龍江等保測評