网络渗透测试作业1-对等保2.0的理解

等保2.0的基本标准

等保2.0（等级保护2.0）是中国国家信息安全标准化技术委员会提出的一项信息安全评估认证标准，旨在加强网络安全保护，保护国家的核心信息基础设施和关键信息系统的安全。等保2.0的基本标准涵盖了网络安全的方方面面，包括管理控制、技术标准和安全防护等方面。本文将介绍等保2.0的基本标准。

国家等保2.0标准是什么

等保2.0是等保1.0的升级，也就是网络安全等级保护。目前我国将全国的信息系统（包括网络）按照信息系统的业务信息和系统服务被破坏后，对受侵害客体的侵害程度分成五个安全保护等级。

等保2.0政策中将等保1.0基本要求中各级技术要求的“物理安全”、“网络安全”、“主机安全”、“应用安全”和“数据安全和备份与恢复”修订为“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”；各级管理要求的“安全管理制度”、“安全管理机构”、“人员安全管理”、“系统建设管理”和“系统运维管理”修订为“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。其具体变化如下：

1、名称由原来的《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》。等级保护对象由原来的信息系统调整为基础信息网络、信息系统（含采用移动互联技术的系统）、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。

2、将原来各个级别的安全要求分为安全通用要求和安全扩展要求，其中安全扩展要求包括安全扩展要求云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求。安全通用要求是不管等级保护对象形态如何必须满足的要求。

3、基本要求中各级技术要求修订为“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”；各级管理要求修订为“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。

4、取消了原来安全控制点的S、A、G标注，增加一个附录A“关于安全通用要求和安全扩展要求的选择和使用”，描述等级保护对象的定级结果和安全要求之间的关系，说明如何根据定级的S、A结果选择安全要求的相关条款，简化了标准正文部分的内容。增加附录C描述等级保护安全框架和关键技术、增加附录D描述云计算应用场景、附录E描述移动互联应用场景、附录F描述物联网应用场景、附录G描述工业控制系统应用场景、附录H描述大数据应用场景。

等保2.0的基本标准

1.管理控制

在等保2.0的基本标准中，管理控制是至关重要的一项。它包括以下几个方面：

建立信息安全管理目标和策略，确保信息安全目标与组织的整体战略目标相一致。

建立信息安全管理体系，包括制定信息安全政策、项目管理和人力资源管理等。

建立风险管理体系，包括风险评估、风险处理和风险监控等。

2.技术标准

等保2.0的技术标准是达到网络安全的必要条件，包括以下几个方面：

身份认证与访问控制，对用户身份进行验证，并根据权限控制其访问资源。

网络安全防护，包括防火墙、入侵检测系统、安全审计等技术措施。

安全运维管理，包括安全事件管理、漏洞管理和应急响应等。

3.安全防护

安全防护是等保2.0的核心要求，涉及到信息系统的安全性、可用性和完整性：

信息系统安全性，包括数据加密、身份认证、访问控制等措施，以确保信息的保密性。

信息系统可用性，包括配置管理、容灾备份、故障恢复等措施，以确保系统正常运行。

信息系统完整性，包括安全审计、日志记录、数据完整性检查等措施，以确保数据的完整性。

总之，等保2.0的基本标准在管理控制、技术标准和安全防护等方面都有明确的要求，通过遵循这些标准，组织和个人能够更好地保护信息安全，提高网络安全防护能力。

等保2.0与等保1.0的区别主要体现在以下几个方面：

1.名称上的变化 ：

等保1.0的名称为《信息安全技术信息系统安全等级保护基本要求》。

等保2.0的名称为《信息安全技术网络安全等级保护基本要求》。

2.法律效力的提升 ：

等保1.0主要是行政法规，即《信息安全等级保护管理办法》。

等保2.0的法律依据为《中华人民共和国网络安全法》，法律地位更高，执行力度更强。

3.保护对象的扩展 ：

等保1.0的保护对象主要是信息系统。

等保2.0将保护对象扩展至网络基础设施（如广电网、电信网、专用通信网络等）、云计算平台/系统、采用移动互联技术的系统、物联网、工业控制系统等。

3.控制措施分类的变化 ：

等保1.0按照技术和管理各5个方面的要求进行分类，技术要求包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复，管理要求包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。

等保2.0的技术要求分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心，管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。

4.内容扩充 ：

等保1.0有五个规定性动作，包括定级、备案、建设整改、等级测评和监督检查。

等保2.0在原有基础上增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等内容。

5.安全要求的提升 ：

等保2.0在密码要求、风险评估方法等方面提出了更高的要求，例如密码长度从不少于6位提升至不少于8位，并引入了风险评估模型（RAM）。

6.评估要求的变化 ：

等保2.0的评估要求更为严格，评估难度和工作量增加，评估标准更高。

7.核心标准结构的统一 ：

等保2.0统一了《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》等核心标准结构，形成了“一个中心，三重防护”的防御体系。

综上所述，等保2.0相较于等保1.0在标准名称、法律效力、保护对象、控制措施分类、内容扩充、安全要求、评估要求及核心标准结构等方面均进行了重要的改进和升级，以适应当前日益复杂的网络安全威胁和不断进步的技术环境。