等保2.0

       不讨论网络安全对于本人学科的重要性，单从目前社会的发展来说，等级保护都是目前无论对国家还是对社会与个人来说必不可缺的一部分。信息社会的快速发展带来的是从个人到集体对信息安全的深度思考与变革，等级保护便是这场变革中的一部分。

1. 等级保护大致介绍

1.1 什么是等级保护

        网络安全等级保护是对国家重要信息、法人和其他组织和公民的专有信息、信息和存储、传输、处理这些信息的信息系统进行分级保护，对信息系统中所用的信息安全产品进行分级管理，对信息系统中出现的信息安全事件进行分级处理。

1.2 等级保护的大致发展

第一阶段（1994-2007 网络安全等级保护起步与探索）：

第二阶段（2007-2016 网络安全等级保护标准化与发展）

第三阶段（2016-2019 网络安全等级保护行业深耕落地）

第四阶段（2019——进入网络安全等级保护2.0时代）

1.3 等保2.0

        由文生义，等保2.0是由原等保1.0的基础上进行的全面升级

（上图为等保1.0的基本要求）

    等保2.0相对于1.0来说，不仅拓展了保护范围，更细化了保护标准，提高了防护水准

（上图为等保2.0的基本要求）

2. 等保2.0的变化

2.1 法律承认度的变化

       相对于基于1994年发布的“147号令”的等保1.0，等保2.0有着更加全面而细致的法律基础。《中华人民共和国网络安全法》第二十一条规定：“国家对网络安全实施分级保护制度”，并提出了“互联网经营者应当依照网络安全等级保护体系的要求，对其进行安全防护；《条例》第31条指出：“对国家重要的信息基础设施，应当以网络安全分级体系为基础，对其实施优先保护。

2.2 保护范围的扩大

       随着计算机行业的急速发展，原先所要求的保护范围必然不可能满足当今社会下的安全需求，云服务、物联网、大数据、人工智能等等计算机的新兴产业，都是原先难以预见的，在等保2.0之下，这些新兴产业都会被“收入囊中”。

2.3 扩展要求的变化

        2.0级别保护被拆分为1个一般需求和4个扩展需求。针对云计算、大数据、工控系统、移动互联等多个应用场景下的安全防护需求，提出了相应的安全保障需求。“等保2.0”仍然保持了两个层面，一个是技术层面，一个是管理层面。

        二级要求项由175项变更为135项，三级要求项由290项变为211项。在技术上，由物理安全、网络安全、主机安全、应用安全、数据安全， 变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；在管理上，结构上没有太大的变化，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理，调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理

（1）云计算平台安全扩展要求

应将责任主体划分为两个部分，并增设评价目标。

同位匹配

需要对云计算平台进行独立的等级注册

云计算平台的级别安全评估

同一个云平台可以在不同层次上提供支持

在平台层之上，云计算平台无法提供支持

（2）大数据安全扩展要求

应将具有统一安全责任单位的大数据作为一个整体对象定级。

（3）物联网安全扩展要求

物联网应作为一个整体对象定级，主要包括感知层、网络传输层和处理应用层要素。

（4）移动互联网的安全扩展要求

将移动互联技术视为一个整体进行分级，将移动终端、移动应用、无线网络等因素纳入分级体系，并将其纳入移动互联技术的分级保护目标中。

（5）工业控制系统扩展要求

工控系统由生产管理层、现场设备层、现场控制层以及流程监测层组成。设备级、现场控制级、工艺监测级是一个统一的目标，各个层级的元素不能分别进行等级划分。在大规模的工控系统中，根据系统的功能、被控制的对象以及制造商的不同，可以将其分为不同的等级。

2.4测评合格要求提高

       与等保1.0相比，等保2.0的评价标准变了，在2.0中，评价结果被划分为：优（90分及以上）、良（80分及以上）、中等（70分及以上）、差（70分）,70分以上为基本合格，基础分调高了，测评要求更加严格。

2.5等保2.0的三个不变

        从1.0开始，等保2.0同样保持了三个不变，即五级不变，规定动作不变，主体责任不变。五层：第1层（使用者自治保护层），第2层（系统稽核保护层），第3层（安全标志保护层），第4层（结构化防护层），第5层（存取确认保护层）；规定动作：分级，备案，建设整改，等级评定，督导检查；主要责任：网络安全管理部门对定级目标进行备案受理和监督检查；第三方测评机构负责定级目标安全评价；上级主管部门负责下级单位安全管理；运营使用单位负责定级目标等级保护。