等级保护2.0评测

等级保护制度是我国在网络安全领域的基本制度、基本国策，是国家网络安全意志的体现。《网络安全法》出台后，等级保护制度更是提升到了法律层面，等保2.0在1.0的基础上，更加注重全方位主动防御、动态防御、整体防控和精准防护，除了基本要求外，还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖。等保2.0标准的发布，对加强中国网络安全保障工作，提升网络安全保护能力具有重要意义。从等保基本要求的结构来看，从等保1.0到等保2.0试行稿，再到等保2.0最新稿，变化明显。等保2.0充分体现了“一个中心三重防御“的思想，一个中心指“安全管理中心”，三重防御指“安全计算环境、安全区域边界、安全网络通信”，同时等保2.0强化可信计算安全技术要求的使用。

一、等保2.0总体变化

首先，最大的变化，标准名称由原来的《信息安全技术 信息系统安全等级保护基本要求》变更为《信息安全技术 网络安全等级保护基本要求》，与《中华人民共和国网络安全法》的名称保持一致。

信息系统安全等级保护技术1.0版本主要强调物理主机、应用、数据、传输，等保2.0保护对象由原来的“信息系统”改为“等级保护对象（网络和信息系统）”。相比1.0版本，等保2.0对等保1.0旧标准的10个分类重新做了调整，分别为：

（1）技术部分4类：安全物理环境、安全通信网络（原等保1.0网络安全分类拆分）、安全区域边界（原等保1.0网络安全分类拆分）、安全计算环境（原等保1.0主机安全、应用安全、数据及备份恢复等三个分类合并）

（2）管理部分6类：安全管理中心（新增）、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

等保2.0在原有通用安全要求的基础上新增安全扩展要求，变为通用安全要求+扩展安全要求项。等级保护对象范围在传统系统的基础上扩大了云计算、移动互联、物联网、大数据等，共有10个章节8个附录。其中第6、7、8、9、10章为五个安全等级的安全要求章节，8个附录分别为：安全要求的选择和使用、关于等级保护对象整体安全保护能力的要求、等级保护安全框架和关键技术使用要求、云计算应用场景说明、移动互联应用场景说明、物联网应用场景说明、工业控制系统应用场景说明和大数据应用场景说明。

数据安全建设是等级保护2.0建设的核心内容之一，在原有等保1.0对数据安全的要求基本不变的情况下，根据新计算环境和业务场景对数据安全保护能力做出了更贴合实际情况的明确要求。数据安全的测评指标主要来自于通用要求的“安全计算环境”部分，其中对数据访问的审计、访问控制、加密都有了明确的要求，并且在附录部分大数据应用场景说明中对脱敏和溯源也进行了相关规定。

二、等级保护工作必要性

国家法律的要求。《中华人民共和国网络安全法》中第二十一条明确规定：国家实行网络安全等级保护制度。

国家机关执法力度加大。据统计，国内各地公安部门、网信部门依据《网络安全法》对相关企业单位进行处罚的案例数百起，其中针对未及时开展等级保护工作的处罚案例至少有数十起。

企业自身业务安全需求。按照国家等保标准建设，能够提高企业信息系统的信息安全防护能力，降低信息系统被攻击的风险，满足自身业务发展需求。