了解等保2.0

等保2.0针对共性安全保护需求提出安全通用要求，并针对移动互联、云计算、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求。

等保2.0标准体系

2017年，《中华人民共和国网络安全法》的正式实施，标志着等级保护2.0的正式启动。网络安全法明确“国家实行网络安全等级保护制度。”（第21条）、“国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”（第31条）。上述要求为网络安全等级保护赋予了新的含义，重新调整和修订等级保护1.0标准体系，配合网络安全法的实施和落地，指导用户按照网络安全等级保护制度的新要求，履行网络安全保护义务的意义重大。

随着信息技术的发展，等级保护对象已经从狭义的信息系统，扩展到网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等，基于新技术和新手段提出新的分等级的技术防护机制和完善的管理手段是等级保护2.0标准必须考虑的内容。关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护，基于等级保护提出的分等级的防护机制和管理手段提出关键信息基础设施的加强保护措施，确保等级保护标准和关键信息基础设施保护标准的顺利衔接也是等级保护2.0标准体系需要考虑的内容。

等保2.0标准在1.0标准的基础上，注重全方位主动防御、安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。

等保的五个监管等级

等保采用分系统定级的方法，当拥有多个信息系统时，需要分别进行定级，并分别进行保护。在五个监管等级中，三级与四级系统为监管的重点，也是建设的重点。

对象	等级	合法权益		社会秩序和公共利益			国家安全
		损害	严重 损害	损害	严重 损害	特别严重损害	损害	严重 损害	特别严 重损害
一般系统	一级	√
	二级		√	√
重要系统	三级				√		√
	四级					√		√
极端重要系统	五级								√

信息安全等级保护过程与内容

定级：确定系统或者子系统的安全等级

评估：依据等级要求，对现有技术和管理手段的进行评估，并给出改进建议

整改：针对评估过程中发现的不满足等保要求的地方进行整改

评测：评测机构依据等级要求，对系统是否满足要求进行评测，并给出结论

监管：对系统进行周期性的检查，以确定系统依然满足等级保护的要求

如何确定信息系统安全保护等级

对信息系统的安全等级划分通常有三种描述形式，一是重要程度等级，是根据主体遭受破坏后对客体的破坏程度划分安全等级的描述。二是安全保护能力等级，是根据安全保护能力划分安全等级的描述。三是监督管理等级，是信息系统运营、使用单位依据“管理办法”和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理程度的等级。

确定定级对象

等保2.0的定级对象包括传统信息系统、基础信息网络、工业控制系统、云计算平台、物联网、采用移动互联技术的网络和大数据平台。

1）传统信息系统定级对象

        定级对象的网络应具有如下基本特征：

        a) 具有确定的主要安全责任主体；

        b) 承载相对独立的业务应用；

        c) 包含相互关联的多个资源。

   2）扩展对象的定级对象

        基础信息网络：对于电信网、广播电视传输网、互联网等基础信息网络，应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象。跨省业务专网可作为一个整体对象定级，也可以分区域划分为若干个定级对象。

       工业控制系统：工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中，现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级，各要素不单独定级；生产管理要素可单独定级。对于大型工业控制系统，可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。

        云计算平台：在云计算环境中，应将云服务方侧的云计算平台单独作为定级对象定级，云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台，应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

        物联网：物联网主要包括感知、网络传输和处理应用等特征要素，应将以上要素作为一个整体对象定级，各要素不单独定级。

        采用移动互联技术的网络：采用移动互联技术的网络主要包括移动终端、移动应用、无线网络等特征要素，应与相关有线网络业务系统作为一个整体对象定级。

        大数据：大数据应作为单独定级对象进行定级；安全责任主体相同的大数据、大数据平台和应用可作为一个整体对象定级。

确定等级

等级保护对象的级别由两个定级要素决定：a) 受侵害的客体；b) 对客体的侵害程度。定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同，因此，安全保护等级也应由业务信息安全（S）和系统服务安全（A）两方面确定，根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级；根据系统服务的重要性和受到破坏后的危害性确定系统服务安全等级；由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。

文章参考以下

网络安全等级保护2.0标准解读

等保2.0之如何确定信息系统安全保护等级