等保1.0和等保2.0

等保2.0在2019年12月1日正式实施。等级保护制度2.0在1.0的基础上，注重全方位主动防御、动态防御、整体防控和精准防护，实现对云计算、移动互联网、物联网、工业控制信息系统等保护对象全覆盖。

等保2.0的特点

1、 对象范围扩大：

“等保2.0”在技术标准上，云计算、移动互联网、物联网、工业控制系统等技术列入新标准中，构成了“安全通用要求+新型应用安全扩展要求”要求内容，在聚焦于等级保护的基本要求时，更多用技术思维解读标准。

2、 分类结构统一：

新标准“基本要求、设计要求和测评要求”分类框架统一，形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。

3、 强化可信计算：

新标准强化了可信计算技术使用的要求，把可信验证列入各个级别并逐级提出各个环节 的主要可信验证要求。

等保2.0的变化

名称上的变化：原来：《信息系统安全等级保护基本要求》 改为：《信息安全等级保护基本要求》 再改为：（与《网络安全法》保持一致）《网络安全等级保护基本要求》对象的变化：原来：信息系统 改为：等级保护对象（网络和信息系统）。安全等级保护的对象包拪网络基础设施（广电网、电信 网、丏用通信网络等）、于计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。安全要求的变化：原来：安全要求 改为：安全通用要求和安全扩展要求。安全通用要求是不管等级保护对象形态如何必须满足的要求，针对于计算、移动互联、物联网和工业控制系统提出了特殊要求，称为安全扩展要求。

5.增加了云计算安全扩展要求：

于计算安全扩展要求章节针对于计算的特点提出特殊保护要求 对于计算环境主要增加的内容包括“基础设施的位置”、“ 虚拟化安全保护”、“镜像和快照保护”、“云服务商选择” 和“云计算环境管理”等方面。

6. 增加了移动互联安全扩展要求

移动互联安全扩展要求章节针对移动互联的特点提出特殊保要求。对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应 用软件采购”和“移动应用软件开发”等方面。

7.增加了物联网安全扩展要求

物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。

8. 增加了工业控制系统安全扩展要求

工业控制系统安全扩展要求章节针对工业控制系统的特点提出 特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使控制”、“无线使用控制”和“控制设备安全”等方面。

9.增加了应用场景的说明

增加附录 C 描述等级保护安全框架和关键技术，增加附录 D 描述云计算应用场景，附录E描述移动互联应用场景，附录 F 描述物联网应用场景，附录 G 描述工业控制系统应用场景。附录 H 描述大数据应用场景（安全扩展要求）。

10、 控制措施分类不同

等保1.0按照技术和管理各5个方面的要求进行分类，技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复，管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。

等保2.0则有很大的变化。技术要求分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心，管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。此外，等保2.0基本要求、测评要求、安全设计技术要求框架保持了一致性，即“一个中心，三重防护”。

11、内容进行了扩充

等保1.0有五个规定性动作，包括定级、备案、建设整改、等级测评和监督检查。而等保2.0除了定级、备案、建设整改、等级测评和监督检查之外，增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等。