等保升级行业用户如何选择？

等级保护制度在1994年被首次提出。2007年发布等保1.0，2017年发表了《网络安全法》。2019年实施了等保2.0的新标准。从这个过程来看，我们可以判断不等保一定程度上是违反了国家法律。

用户在等保的过程中涉及一些参与工作内容的角色。首先是运营使用单位决定了等保的市场有多大，因为几乎所有的能够对外提供服务的网站、系统国家都规定要过等保，所以还是有大部分用户会选择等保；其次是GongAn机关，做监督检查的角色；除此之外，建设过程中还有两个角色，大型数据中心机房是建设方，提供安全设备和能力和稳定网络环境，以及相关等保测评机构，承接定级咨询服务，以及做测评，这四个角色构成了等级保护的整体流程。

技术体系要求和管理体系要求构成了等级保护制度。技术体系要求有五个技术组成部分。管理体系又包括相关的管理制度，安全管理机构，明确安全管理人员，安全建设未来怎么管理，包括出现问题以后怎么运维。

等级保护相关内容在此次修改上，技术及评价文件格式均发生变化，其次是数据资产也必须列入等级保护的评价对象。

技术范围的修订完全改变了评价得分的逻辑，公式复杂。这是代表性的，以前是加分制，现在是减分制。以前60个点，70个点就够了，现在是扣分。据说只是算法的变化，这次的减分有很大的变化，减分力变大，定义了一般、重要、重要的评价指标，如果不满足重要的评价指标，一次减少3倍，重要的指标一次减少2倍，如果不满足2倍3倍的减分，以前最多不能减少2倍。

包括重要数据、大数据等，对不同类型的数据进行总结和评价，需要相应的数据保护，保证数据的完整性和保密性。我认为这与以前的数据安全法有关。这次标志着数据安全迎来了很大的风口，具体多长时间，我认为一两年左右数据安全市场会有很大的发展。

等待2.0评价要求提高，各部门对安全投资的力量增加。如果说以前得分的设备不能等待的话，现在一定要买设备，预算会增加，这个影响是产业水平的增加。

其次是数据安全层面验证未来会成为很大的热点。但是这次没有明确说出怎么来保证，但是我自己推测，数据最根本承载的介质就是数据库，现在没有把数据库作为独立的测评对象来测评，未来是不是一个数据库或者一个数据库集来测评，是否要加数据库审计、防火墙以及加密等产品。

国家建立数据安全分类分级保护制度。未来是否会出现数据安全的等级保护制度，这个出来可能也有很大的市场。总之，安全市场变大，数据安全成为行业的风口。

安全等级保护已于6月18日强制执行新标准，建设中评价项目应按新标准要求。许多评价机构过去在等待保证会上推荐要塞机、日志审计、VPN、数据库审计等基础产品，这次变化后，根据等待保证的新标准来判断，无法达到的要点是APP检查、高级威胁检查、未来等待保证，相信情况感知也会再来一套。数据资产也成为单独的评价对象，数据库的产品也成为等级保护的增加量。根据我的经验，等待保险三级可能会花费50万美元，加上形势感知，业内销售额在30万美元左右，保守估计也是这个幅度。

等级保护制度条例明确规定，等保三级系统每年至少重新测定一次，二级系统每两年至少重新测定一次，四级系统每半年重新测定一次。再测量过程中必须按照新标准进行。头部企业也在增加业务系统，有这个需求。国内所有评价机构都要实施新方案。

数据库审计、数据库加密、数据库脱敏、数据库防火墙是最基本的4个产品，与上市公司有关的是深刻的接受、奇安信、安恒、绿联盟等。一些头部银行和金融机构请了IBM做，花了很多钱，用人工方法打标签，匹配到相应的人员和权限，但是使用效果不是特别好。就引入了一个问题，谁的产品能够更加高效的帮助大家做分类分级的工作了，未来的数据流转，交易可能都需要这样的产品。