前言

      2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》及其配套政策文件和标准统称为等保1.0。

      等保1.0在经历了多年的试点、推广、行业标准制定、落实工作后，由于新技术、新应用、新业务形态的大量出现，尤其是人工智能、大数据、物联网、云计算、移动应用、工业控制系统等的快速发展，安全趋势和形势的急速变化，原来发布的标准已经不再适用于当前安全要求。

      从2015年开始，等级保护的安全要求逐步开始制定2.0标准，包括5个部分：安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求，丰富了防护内容和要求。

等保2.0的蜕变

1、师出有名

       2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，并于2017年6月1日正式实施。等保2.0将原来的标准《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本要求》，与《中华人民共和国网络安全法》中的相关法律条文保持一致。

第二十一条   国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

2、全面覆盖

     2008年开始实施的等保1.0《信息安全技术 信息系统安全等级保护基本要求》，在近几年信息技术飞速发展，各种新应用推陈出新的时代已经明显力不从心。因此，需要新的等保标准来实现在领域、对象和内容上的全面覆盖。

      等保2.0在制定之初就充分考虑移动互联、云计算、物联网和工业控制等新技术和新应用，从应用领域到保护对象等各方面都进行了扩展。同时为了配合《中华人民共和国网络安全法》的实施，等保2.0针对共性安全保护需求提出安全通用要求；针对移动互联、云计算、物联网和工业控制系统等新技术、新应用领域的个性安全保护需求提出安全扩展要求，以此形成新的网络安全等级保护基本要求标准。

      等保2.0细化了等级保护阶段，更加注重对于每个阶段的细粒度保护。等级保护2.0沿用了等保1.0的五个规定动作：定级、备案、建设整改、等级测评和监督检查，并扩展到风险评估、安全检测、通报预警、安全事件处置、漏洞风险管理等方面，将其纳入到等级保护的范围之内。

3、体系完善

     等保1.0的系列标准重点包括基本要求、测评要求、设计要求，在等保2.0中，系列标准在各领域进行了扩展，除了能应对传统系统的相应标准以外，还满足像云计算、物联网、移动互联、工业控制等新领域的安全要求。另外，相比等保1.0在监管和合规测评、合规建设等方面也进行了体系的完善。

     等保2.0时代，监管对象从传统信息系统变成了网络安全等级保护对象，一个业务系统一个平台都会纳入等级保护范围之内，未来监管机构在检查的时候对于具体的技术措施、安全措施做一些相应的检查，同时还会升级现有的技术手段，应对分领域的技术检查。

      等保2.0时代，合规测评在测评的对象，测评依据、等级保护报告模版以及等保的测评结论上都进行了相应的完善；比如在云计算环境下，测评对象需要考虑虚拟化技术的应用导致很多虚拟计算对象；测评依据能否满足虚拟化技术的要求；等保报告上需要考虑引入云平台与云租户后，在等保报告上得分的依赖关系；最后是对于承载了多业务系统的平台，其平台的测评报告是多业务系统可以共用的。

      等保2.0时代，在合规性建设方面，更加强调云平台整体；特别是基于4A的统一身份认证、统一用户授权，统一账户管理，统一安全审计，同时要强调平台内部通讯的加密以及相互之间的认证和动态预警还有快速响应能力建设安全服务产品的合规。

等保2.0安全通用要求主要变化点分析

1、技术要求变化点

a.安全物理与环境VS原来物理安全

→ 物理位置选择要求，机房可设置在建筑楼顶或地下室，但需要加强相应防水防潮措施。

→ 物理访问控制要求，不再要求人员值守出入口，不再要求机房内部分区，不再对机房人员出入进行具体要求。

→ 防盗和防破坏要求，可部署防盗系统或视频监控系统。

b.安全通信网络、安全区域边界VS原来网络安全

→ 新标准将网络安全分成了安全通信网络和安全区域边界两个层面。

→ 强化了对设备和通信链路的硬件冗余要求。

→ 强化了网络访问策略的控制要求，包括默认拒绝策略、控制规则最小化策略和源目的检查要求。

→ 降低了安全访问路径、网络会话控制、地址欺骗防范、拨号访问权限限制等比较“古老”的控制要求。

→ 强化了对网络行为审计的要求。

→ 强化了对网络攻击特别是“新型网络攻击”的检测分析要求。

→ 强调在“关键网络节点”对恶意代码和垃圾邮件的防范要求。

→ 增加了可信验证的控制要求，对通信和边界设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证。

c.安全计算环境VS原来主机安全+应用安全+数据安全及备份恢复

→ 新标准将主机安全、应用安全、数据安全及备份恢复三个层面合并成了安全计算环境一个层面。

→ 强化了访问控制的要求，细化了主体和客体的访问控制粒度要求。

→ 强化了对账户和口令的安全要求，包括更改初始口令、账户口令重命名、对多余/过期/共享账户的控制。

→ 强化了入侵防范的控制要求，包括终端的准入要求、漏洞测试与修复。

→ 强化了将网络设备本身安全看作整体设备和计算安全的一部分，突出了“重要节点”的概念 。

→ 增加了可信验证的控制要求，对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证。

→ 特别增加了个人信息保护的要求。

d.安全管理中心

特别增加了安全管理中心要求，具体控制点包括：

→ 系统管理，对系统管理员的身份鉴别、系统的资源和运行进行配置、控制和管理进行了要求。

→ 安全管理,对安全管理员的身份鉴别、安全策略的配置进行了要求。

→  集中管控, 包括划分特定的安全管理区域；对各类设备（包括网络链路、安全设备、网络设备和服务器等）运行状况进行集中监测；对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；对网络中发生的各类安全事件进行识别、报警和分析。

2.管理要求变化点

a.安全管理制度VS原来安全管理制度

→  新增控制点安全策略，说明新版要求信息安全管理工作应上升到管理战略的高度。

→  对于版本控制、收发文管理不再要求必须由信息安全领导小组组织制度的审定。

b.安全管理机构VS原来安全管理机构

→  强化了安全管理机构的要求，应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权。

→  强化了审核和检查的要求，应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。

c.安全管理人员VS原来人员安全管理

→  强化了对外部人员的管理要求，包括外部人员的访问权限、开设账户、保密协议的管理要求。

d.安全建设管理VS系统建设管理

→  强化了对服务供应商管理、系统上线安全测试、工程监理控制的管理要求。

→  强化了对自行软件开发的要求，包括安全性测试、恶意代码检测、软件开发活动的管理要求。

e.安全运维管理VS系统运维管理

→  特别增加了漏洞和风险管理、配置管理、外包运维管理的管理要求。

→  强化了对运维管理、设备报废或重用的管理要求。