等级保护新标准(2.0)介绍

等级 保护新标准（ 2.0）介绍 1 2 等级保护发展历程与展望 等级保护 2.0标准体系 3 等级保护 2.0基本要求解析 4 等级保护 2.0扩展要求解析 等保 1.0时代 等保 2.0工作 展望 等级保护发展历程与展望 1994-2003 政策环境营造 2004-2006 工作开展准备 2007-2010 工作正式启动 2010-2016 工作规模推进 1994年，国务院颁布 中华人民共和国计算机信息系统安全保护条例 ，规定计算机信息系统实 行安全等级保护。 2003年，中央办公厅、国务院办公厅颁发 国家信息化领导小组关于加强信息安全保障工作的意 见 （中办发 200327号） 明确指出 “ 实行信息安全等级保护 ” 。 2004-2006年，公安部联合四部委开展涉及 65117家单位，共 115319个信息系统的等级保护基础 调查和等级保护试点工作，为全面开展等级保护工作奠定基础。 2007年 6月，四部门联合出台 信息安全等级保护管理办法 。 2007年 7月，四部门联合颁布 关于开展全国重要信息系统安全等级保护定级工作的通知 。 2007年 7月 20日，召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议，标志着信 息安全等级保护制度正式开始实施。 2010年 4月，公安部出台 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知 ，提出等级保护工作的阶段性目标。 2010年 12月，公安部和国务院国有资产监督管理委员会联合出台 关于进一步推进中央企业信息 安全等级保护工作的通知 ，要求中央企业贯彻执行等级保护工作。 等保 1.0时代 等保 2.0工作 展望 等级保护发展历程与展望 2016年 10月 10日，第五届全国信息安全等级保护技术大召开，公安部网络安全保卫局郭启全总工 指出 “ 国家对网络安全等级保护制度提出了新的要求，等级保护制度已进入 2.0时代 ” 。 2016年 11月 7日， 中华人民共和国网络安全法 正式颁布，第二十一条明确 “ 国家实行网络安全 等级保护制度 ” 以 GB17859 计算机信息系统安全保护等级划分准则 、 GB/T22239-2008 信息安全技术 信 息系统安全等级保护基本要求 为代表的等级保护系列配套标准，习惯称为 等保 1.0标准 。 2013年，全国信息安全标准化技术委员会授权 WG5-信息安全评估工作组 开始启动等级保护新标 准的研究。 2017年 1月至 2月， 全国信息安全标准化技术委员会 发布 网络安全等级保护基本要求 系列标准 、 网络安全等级保护测评要求 系列标准等 “ 征求意见稿 ” 。 2017年 5月， 国家公安部发布 GA/T 13892017 网络安全等级保护定级指南 、 GA/T 1390.22017 网络安全等级保护基本要求 第 2 部分：云计算安全扩展要求 等 4个公共安全行业 等级保护标准。 重要标志 2.0系列标 准编制工作 等保 1.0时代 等保 2.0工作 展望 等级保护发展历程与展望 等级保护 2.0时代，将根据信息技术发展应用和网络安全态势，不断丰富制度内涵、拓展保护范围、完善监 管措施，逐步健全网络安全等级保护制度政策、标准和支撑体系。 p 等级保护上升为法律 中华人民共和国网络安全法 第 21条规定 “ 国家实行 网络安全等级保护制度 ” ，要求 “ 网络运营者应当按照网络 安全等级保护制度要求，履行安全保护义务 ” ；第 31条规定 “ 对于国家关键信息基础设施，在网络安全等级保护制度的 基础上，实行重点保护 ” 。 p 等级保护对象将不断拓展 随着云计算、移动互联、大数据、物联网、人工智能 等新技术不断涌现，计算机信息系统的概念已经不能涵盖 全部，特别是互联网快速发展带来大数据价值的凸显，等 保保护对象的外延将不断拓展。 p 等级保护工作内容将持续扩展 在定级、备案、建设整改、等级测评和监督检查等规定 动作基础上， 2.0时代风险评估、安全监测、通报预警、案 事件调查、数据防护、灾难备份、应急处置、自主可控、 供应链安全、效果评价、综治考核等这些与网络安全密切 相关的措施都将全部纳入等级保护制度并加以实施。 p 等级保护体系将进行重大升级 2.0时代，主管部门将继续制定出台一系列政策法规和 技术标准，形成运转顺畅的工作机制，在现有体系基础上 ，建立完善等级保护政策体系、标准体系、测评体系、技 术体系、服务体系、关键技术研究体系、教育训练体系等 。 1 2 等级保护发展历程与展望 等级保护 2.0标准体系 3 等级保护 2.0基本要求解析 4 等级保护 2.0扩展要求解析 等保 1.0 等保 2.0 等级保护 2.0标准体系 GB 17859-1999 计算机信息系统安全保护等级划分准则 信息系统安全等级保护定级指南 信息系统安全等级保护基本要求 信息系统等级保护安全设计技术要求 信息系统安全等级保护实施指南 信息系统安全等级保护测评过程指南 信息系统安全等级保护测评要求 等保 1.0 等保 2.0 等级保护 2.0标准体系 p 正式更名为网 络安全等级保 护标准； p 横向扩展了对 云计算、移动 互联网、物联 网、工业控制 系统的安全要 求； p 纵向扩展了对 等保测评机构 的规范管理。 （注：基于 2017 年等级保护标准系 列征求意见稿） 未变化 修订内容 新增 主要标准 内容解析 等级保护 2.0标准体系 GB 17859-1999 计算机信息系统安全保护等级划分准则 信息系统安全等级保护定级指南 第 1部分：安全通用要求 网络安全等级保护实施指南 网络安全等级保护测评过程指南 网络安全等级保护基 本要求 第 2部分：云计算安全扩展要求 第 3部分：移动互联安全扩展要求 第 4部分：物联网安全扩展要求 第 5部分：工业控制系统安全扩展要求 网络安全等级保护安全 设计技术要求 第 1部分：安全通用要求 第 2部分：云计算安全扩展要求 第 3部分：移动互联安全扩展要求 第 4部分：物联网安全扩展要求 第 5部分：工业控制系统安全扩展要求 网络安全等级保护测 评要求 第 1部分：安全通用要求 第 2部分：云计算安全扩展要求 第 3部分：移动互联安全扩展要求 第 4部分：物联网安全扩展要求 第 5部分：工业控制系统安全扩展要求 网络安全等级保护安全管理中心技术要求 网络安全等级保护测试评估技术指南 网络安全等级测评机构能力要求和评估规范 等保 1.0 等保 2.0 等级保护 2.0标准体系 p GA/T 1390.52017 信息安全技术 网络安全等级保护基本要求 第 5 部分：工业控制系统安全扩展要求 p 公安部已于 2017年 5月率先发布 网络安全等级保护定级指南 、 网络安全等级保护基本要求 第 5部分：工业 控制系统安全扩展要求 等 4个行业标准。 p GA/T 13892017 信息安全技术 网络安全等级保护定级指南 p GA/T 1390.32017 信息安全技术 网络安全等级保护基本要求 第 3 部分：移动互联安全扩展要求 p GA/T 1390.22017 信息安全技术 网络安全等级保护基本要求 第 2 部分：云计算安全扩展要求 在国标 信息安全等级保护定级指南 的基础上细化优化了对客体侵害事项、侵害程度的定义，确定了对基础信息网络、工业控制 系统 、云计算平台 、物联网、采用移动互联技术的信息系统 、大数据等对象的定级原则，进一步明确了定级过程中专家审查、主管 部门审核、公安机关备案审查等节点的管理要求。 针对云计算架构的特点，对云计算环境下的物理位置、虚拟化网络、虚拟机、云服务方、云租户、虚拟镜像等技术保护要求，以及 云服务商选择、 SLA协议、云安全审计等安全管理要求进行了规定。 针对移动互联网系统中移动终端、移动 应用和无线网络等三个关键要素，明确了无线接入设备的安装选择、无线接入网关处理能 力、非授权移动终端接入等技术保护要求，以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进行了规定。 分析了工业控制系统的层次模型、区域模型，提出了工业控制系统安全域划分和保护的主要原则。并从物理提示标志、网络非必要 通信控制、系统时间戳等技术方面，以及工控系统管理员 /工控网络管理员 /工控安全管理员岗位设置、工控设备的版本号漏洞控制等 管理方面进行了规定。 定级要求 等级保护 2.0定级要求解析 注：基于 GA/T 13892017 网络安全等级保护定级指南 及 GB/T 222402008 信息系统安全等级保护定级指南 内容对比分析。 新增定级流程 定级对象 定级要求 p 重新对部分内容的顺序作了调整，从整体显得更加的合理。 p 增加了新的内容和流程，例如扩展了定级的对象，包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、 大数据等；新增加的流程为 “ 定级工作一般流程 ” ，并对旧版本 “ 定级一般流程 ” 更名为 “ 定级方法流程 ” 。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严 重损害，或者对国家安全造成损害。 第三级，等级保护对象受到破坏后，会对公民、法人和其他 组织的合法权益产生特别严重损害，或者对社会秩序和公共 利益造成严重损害，或者对国家安全造成损害； 定级一般流程；1.0 要 求 2.0 要 求 更名为 “ 定级方法流程 ” 。 新增 “ 定级工作一般流程 ” 。 定级要求 等级保护 2.0定级要求解析 注：基于 GA/T 13892017 网络安全等级保护定级指南 及 GB/T 222402008 信息系统安全等级保护定级指南 内容对比分析。 新增定级流程 定级对象 原标准 新 标准 定级要求 等级保护 2.0定级要求解析 注：基于 GA/T 13892017 网络安全等级保护定级指南 及 GB/T 222402008 信息系统安全等级保护定级指南 内容对比分析。 新增定级流程 定级对象 新增 “ 定级流程 ” 包括基 础 信息网 络 、工 业 控制系 统 、云 计 算平台、物 联 网、其他信息系 统 、大数据等。 包括确定受侵害的客体、侵害 对 客体的侵害程度以及 综 合判定侵害程度。 定 级对 象的运 营 、使用 单 位 应组织 信息安全 专 家和 业务专 家， 对 初步定 级结 果的合理性 进 行 评审 ，出具 专 家 评审 意 见 。 定 级对 象的运 营 、使用 单 位 应 将初步定 级结 果上 报 行 业 主管部 门 或上 级 主管部 门进 行 审 核。 定 级对 象的运 营 、使用 单 位 应 按照相关管理 规 定，将初步定 级结 果提交公 安机关 进 行 备 案 审查 ， 审查 不通 过 ，其运 营 使用 单 位 应组织 重新定 级 ； 审查 通 过 后最 终 确定定 级对 象的安全保 护 等 级 。 定级要求 等级保护 2.0定级要求解析 注：基于 GA/T 13892017 网络安全等级保护定级指南 及 GB/T 222402008 信息系统安全等级保护定级指南 内容对比分析。 新增定级流程 定级对象 定级对象 p 重新对定级对象进行调整，并进行相应的介绍。 2.0定级对象分为基础信息网络、信息系统和其他 信息系统，其中信息系统再细分为工业控制系统 、物联网、大数据、移动互联以及云计算平台。 信息系统 一个单位内运行的信息系统可能比 较庞大，为了体现重要部分重点保 护，有效控制信息安全建设成本， 优化信息安全资源配置的等级保护 原则，可将较大的信息系统划分为 若干个较小的、可能具有不同安全 保护等级的定级对象。 基础信息网络 对于电信网、广播电视传输网、互联网等基础信息 网络，应分别依据服务类型、服务地域和安全责任 主体等因素将其划分为不同的定级对象。 跨省全国性业务专网可作为一个整体对象定级，也 可以分区域划分为若干个定级对象。 1.0 要 求 2.0 要 求 工业控制系统 工业控制系统主要由生产管理层、现场设备 层、现场控制层和过程监控层构成，其中： 生产管理层的定级对象确定原则见 (其他信 息系统 )。设备层、现场控制层和过程监控 层应作为一个整体对象定级，各层次要素不 单独定级。 对于大型工业控制系统，可以根据系统功能 、控制对象和生产厂商等因素划分为多个定 级对象。 云计算平台 在云计算环境中，应将云服务方侧的云计算平台单 独作为定级对象定级， 云租户侧的等级保护对象也 应作为单独的定级对象定级。 对于大型云计算平台，应将云计算基础设施和有关 辅助服务系统划分为不同的定级对象。 物联网 物联网应作为一个整体对象定级，主要包括 感知层、网络传输层和处理应用层等要素。 采用移动互联技术的信息系统 采用移动互联技术的等级保护对象应作为一 个整体对象定级，主要包括移动终端、移动 应用、无线网络以及相关应用系统等。 大数据 应将具有统一安全责任单位的大数据作为一 个整体对象定级， 或将其与责任主体相同 的相关支撑平台统一定级。 其他信息系统 作为定级对象的其他信息系统应具有如下基本特征 ： a) 具有确定的主要安全责任单位 。作为定级对象的 信息系统应能够明确其主要安全责任单位； b) 承载相对独立的业务应用。 作为定级对象的信息 系统应承载相对独立的业务应用， 完成不同业务目 标或者支撑不同单位或不同部门职能的多个信息系 统应划分为不同的定级对象； c) 具有信息系统的基本要素。 作为定级对象的信息 系统应该是由相关的和配套的设备、 设施按照一定 的应用目标和规则组合而成的多资源集合，单一设 备（如服务器、终端、网络设备等）不单独定级。 1 2 等级保护发展历程与展望 等级保护 2.0标准体系 3 等级保护 2.0通用要求解析 4 等级保护 2.0扩展要求解析 整体变化 等级保护 2.0通用要求解析 注：基于 网络安全保护基本要求 第一部分：通用安全要求 征求意见稿及 GB/T 22239 信息安全等级保护基本要求 三级要求对比分析。 p 安全控制域划分上有较大变化，原有十个安全域整合为八个，定义上更精确，内涵更为丰富。 物理安全 网络安全 主机安全 应用安全 数据安全 安全制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 物理和环境安全 网络和通信安全 设备和计算安全 应用和数据安全 安全策略和管理制度 安全管理机构和人员 安全建设管理 安全系统运维 管 理 技 术 管 理 技 术 1.0 2.0 技术 管理 整体变化 技术 等级保护 2.0通用要求解析 注：基于 网络安全保护基本要求 第一部分：通用安全要求 征求意见稿及 GB/T 22239 信息安全等级保护基本要求 三级要求对比分析。 p 安全控制要求的部分条款被合并，部分条款被删除，同时也有部分新增要求，整体数量有较大降低。 总体安全要求数量对比 （以三级系统为例） 各控制域安全要求数量对比 （以三级系统为例） 管理 整体变化 等级保护 2.0通用要求解析 注：基于 网络安全保护基本要求 第一部分：通用安全要求 征求意见稿及 GB/T 22239 信息安全等级保护基本要求 三级要求对比分析。 p 整体内容上，对过于细节内容进行精炼或合并，对部分要求进行了删减，同时也新增了部分要求。 p 在操作落实方面更灵活，同时与 1.0相比整体安全要求有所降低。 例：整合的内容 网络安全 身份鉴别 a) 应提供专用的登录控制模块对登录用 户进行身份标识和鉴别； c) 应提供用户身份标识唯一和鉴别信息 复杂度检查功能，保证应用系统中不存 在重复用户身份标识，身份鉴别信息不 易被冒用； 网络与通信安全 身份鉴别 a) 应对登录的用户进行身份标识和鉴别 ， 身份标识具有唯一性， 鉴别信息具有 复杂度要求并定期更换； 例：删减的内容 安全管理机构 人员配备 c) 关键事务岗位应配备多人共同 管理。 例：增加的内容 网络和通信安全 边界完整性 检查 d) 应限制无线网络的使用，确保 无线网络通过受控的边界防护设 备接入内部网络。 设备和计算安全 安全审计 e) 审计记录产生时的时间应由系 统范围内唯一确定的时钟产生， 以确保审计分析的正确性 。 技术 管理 整体变化 等级保护 2.0通用要求解析 注：基于 网络安全保护基本要求 第一部分：通用安全要求 征求意见稿及 GB/T 22239 信息安全等级保护基本要求 三级要求对比分析。 技术 管理 物理和环境安全 实质性变更 p 降低物理位置选择要求，机房可设置在建筑楼顶或地下室，但需要加强相应防水防潮措施。 p 降低了物理访问控制要求，不再要求人员值守出入口，不再要求机房内部分区，不再对机房人员出入进行具体要求。 p 降低了电力供应的要求，不再要求必须配备后备发电机。 p 降低了电磁防护的要求，不再要求必须接地。 p 降低了防盗和防破坏要求，可部署防盗系统或视频监控系统 b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的 下层或隔壁。 b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强 防水和防潮措施。 a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员； b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其 活动范围； c) 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置 ，在重要区域前设置交付或安装等过渡区域； d) 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。 机房出入口应 配置电子门禁系统，控制、鉴别和记录进入 的人员。 d) 应建立备用供电系统。 1.0 要 求 2.0 要 求 a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰； f)应 利用光、 电 等技 术设 置机房防盗 报 警系 统 ； g) 应对 机房 设 置 监 控 报 警系 统 。 c) 应设置机房防盗报警系统或设置有专人值守的视频监控 系统 。 整体变化 等级保护 2.0通用要求解析 注：基于 网络安全保护基本要求 第一部分：通用安全要求 征求意见稿及 GB/T 22239 信息安全等级保护基本要求 三级要求对比分析。 技术 管理 网络和通讯安全 实质性变更 1 p 强化了对设备和通信链路的硬件冗余要求。 p 强化了网络访问策略的控制要求，包括默认拒绝策略、控制规则最小化策略和源目的检查要求。 p 降低了带宽控制的要求，不再要求必须进行 QOS控制。 p 降低了安全访问路径、网络会话控制、地址欺骗防范、拨号访问权限限制等比较 “ 古老 ” 的控制要求。 e) 应提供通信线路、关键网络设备的硬件冗余，保证 系统可用性 1.0 要 求 2.0 要 求 b) 应删除多余或无效的访问控制规则，优化访问控制列表，并保证 访问控制规则数量最小化； c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查， 以允许 /拒绝数据包进出； a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则， 默认情况下除允许通信外受控接口 拒绝所有通信 ；d) 应在会话处于非活跃一定时间或会话结束后终止网络连接； e) 应限制网络最大流量数及网络连接数； f) 重要网段应采取技术手段防止地址欺骗； g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受 控系统进行资源访问，控制粒度为单个用户； h) 应限制具有拨号访问权限的用户数量。 c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问 路径； g) 应按照对业务服务的重要次序来指定带宽分配优先级别，保证 在网络发生拥堵的时候优先保护重要主机。 整体变化 等级保护 2.0通用要求解析 注：基于 网络安全保护基本要求 第一部分：通用安全要求 征求意见稿及 GB/T 22239 信息安全等级保护基本要求 三级要求对比分析。 技术 管理 网络和通讯安全 实质性变更 2 p 强化了安全审计的统一时钟源要求。 p 强化了对网络行为审计的要求。 p 强化了网络边界的安全控制，特别是无线网络与有线网络的边界控制。 p 强化了对网络攻击特别是 “ 未知攻击 ” 的检测分析要求。 p 强化了对恶意代码和垃圾邮件的防范要求，强调在 “ 关键网络节点 ” 。 p 降低了对审计分析的要求，不再要求必须生成审计报表。 1.0 要 求 2.0 要 求 d) 审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计分析的 正确性 ； e) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据 分析。c) 应能够根据记录数据进行分析，并生成审计报表； a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信； d) 应限制无线网络的使用，确保无线网络通过受控的边界防护设备接入内部网络。 c) 应采取技术措施对网络行为进行分析，实现对网络攻击特别是 未知的新型网络攻 击 的检测和分析； b) 应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升 级和更新。 a) 应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升 级和更新； a) 应在网络边界处对恶意代码进行检测和清除； b) 应维护恶意代码库的升级和检测系统的更新。 整体变化 等级保护 2.0通用要求解析 注：基于 网络安全保护基本要求 第一部分：通用安全要求 征求意见稿及 GB/T 22239 信息安全等级保护基本要求 三级要求对比分析。 技术 管理 网络和通讯安全 实质性变更 3 p特别增加了安全集中管控的要求，建设集中安全管理系统成为必要。 p 将原有属于网络设备防护的内容移到了 “ 设备和计算安全 ” 部分。 1.0 要 求 2.0 要 求 a) 应划分出特定的管理区域，对分布在网络中的安全设备或安全 组件进行管控； b) 应能够建立一条安全的信息传输路径，对网络中的安全设备或 安全组件进行管理； c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进 行集中监测； d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析； e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中 管理； f) 应能对网络中发生的各类安全事件进行识别、报警和分析。 a) 应对登录网络设备的用户进行身份鉴别； b) 应对网络设备的管理员登录地址进行限制； c) 网络设备用户的标识应唯一； d) 主要网络设备应对同一用户选择两种或两种以上组合 的鉴别技术来进行身份鉴别； e) 身份鉴别信息应具有不易被冒用的特点，口令应有复 杂度要求并定期更换； f) 应具有登录失败处理功能，可采取结束会话、限制非 法登录次数和当网络登录连接超时自动退出等措施； g) 当对网络设备进行远程管理时，应采取必要措施防止 鉴别信息在网络传输过程中被窃听； h)应实现设备特权用户的权限分离。 整体变化 等级保护 2.0通用要求解析 注：基于 网络安全保护基本要求 第一部分：通用安全要求 征求意见稿及 GB/T 22239 信息安全等级保护基本要求 三级要求对比分析。 技术 管理 设备和计算安全 实质性变更 1 p 强化了访问控制的要求，细化了主体和客体的访问控制粒度要求。 p 强化了安全审计的统一时钟源要求。 p 强化了入侵防范的控制要求，包括终端的准入要求、漏洞测试与修复。 p 降低了对审计分析的要求，不再要求必须生成审计报表。 p 降低了对恶意代码防范的统一管理要求和强制性的代码库异构要求。 p 提出了采用 可信计算技术 防范恶意代码的控制要求。 f) 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级 ； 1.0 要 求 2.0 要 求 c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端 进行限制； d) 应能发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞； e) 审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计 分析的正确性 。 c) 应支持防恶意代码的统一管理。 d) 应能够根据记录数据进行分析，并生成审计报表； b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶 意代码库； a)应采用免受恶意代码攻击的技术措施或采用可信计算技术建立从系统到应 用的信任链，实现系统运行过程中重要程序或文件完整性检测，并在检测到 破坏后进行恢复。 整体变化 等级保护 2.0通用要求解析 注：基于 网络安全保护基本要求 第一部分：通用安全要求 征求意见稿及 GB/T 22239 信息安全等级保护基本要求 三级要求对比分析。 技术 管理 设备和计算安全 实质性变更 2 p 强化了将网络设备本身安全看作整体设备和计算安全的一部分，突出了 “ 重要节点 ” 的概念 。 b) 应提供重要节点设备的硬件冗余，保证系统的可用性； 1.0 要 求 2.0 要 求 d) 应能够对重要节点的服务水平降低到预先规定的最小值进行检 测和报警。 c) 应对重要节点进行监视，包括监视 CPU 、硬盘、内存等资源 的使用情况； c) 应对重要服务器进行监视，包括监视服务器的 CPU、硬盘、 内存、网络等资源的使用情况； e) 应能够对系统的服务水平降低到预先规定的最小值进行检测 和报警。 整体变化 等级保护 2.0通用要求解析 注：基于 网络安全保护基本要求 第一部分：通用安全要求 征求意见稿及 GB/T 22239 信息安全等级保护基本要求 三级要求对比分析。 技术 管理 应用和数据安全 实质性变更 p特别增加了 个人信息保护 的要求。 p 强化了对软件容错的要求，保障故障发生时的可用性。 p 强化了对账号和口令的安全要求，包括更改初始口令、账号口令重命名、对多余 /过期 /共享账号的控制。 p 强化了安全审计的统一时钟源要求。 p 降低了对资源控制的要求，包括会话连接数限制、资源监测、资源分配控制。 p 降低了对审计分析的要求，不再要求必须生成审计报表。 c) 应强制用户首次登录时修改初始口令； 1.0 要 求 2.0 要 求 c) 应及时删除或停用多余的、过期的账号，避免共享账号的存在； b) 应重命名默认账号或修改这些账号的默认口令； d) 应提供对审计记录数据进行统计、查询、分析及生成审计报 表的功能。 e) 审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计 分析的正确性 。 d) 应能够对一个时间段内可能的并发会话连接数进行限制； f) 应能够对系统服务水平降低到预先规定的最小值进行检测和报 警； g) 应提供服务优先级设定功能，并在安装后根据安全策略设定 访问帐户或请求进程的优先级，根据优先级分配系统资源。 b) 在故障发生时，应能够继续提供一部分功能，确保能够实施必要的措施； a) 应仅采集和保存业务必需的用户个人信息； b) 应禁止未授权访问和使用用户个人信息。 整体变化 等级保护 2.0通用要求解析 注：基于 网络安全保护基本要求 第一部分：通用安全要求 征求意见稿及 GB/T 22239 信息安全等级保护基本要求 三级要求对比分析。 技术 管理 安全策略和管理制度 实质性变更 p 降低了对安全管理制度的管理要求，包括版本控制、收发文管理等，其中不再要求必须由信息安全领导小组组织制度的审定。 1.0 要 求 2.0 要 求 b) 安全管理制度应具有统一的格式，并进行版本控制； c) 应组织相关人员对制定的安全管理制度进行论证和审定； e) 安全管理制度应注明发布范围，并对收发文进行登记。 a) 信息安全领导小组应负责定期组织相关部门和相关人员对安 全管理制度体系的合理性和适用性进行审定； 无 整体变化 等级保护 2.0通用要求解析 注：基于 网络安全保护基本要求 第一部分：通用安全要求 征求意见稿及 GB/T 22239 信息安全等级保护基本要求 三级要求对比分析。 技术 管理 安全管理机构和人员 实质性变更 p 对安全管理和机构人员的要求整体有所降低，一方面对过细的操作层面要求进行删减，例如记录和文档的操作要求、制度的制 定要求等，另一方面对岗位配备、人员技能考核等要求也有实质性的删减。 p 强化了对 外部人员 的管理要求，包括外部人员的访问权限、保密协议的管理要求。 1.0 要 求 2.0 要 求 d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工 和技能要求。 c) 关键事务岗位应配备多人共同管理。 d) 应记录审批过程并保存审批文档。 e) 应聘请信息安全专家作为常年的安全顾问，指导信息安全建 设，参与安全规划和安全评审等。 d) 应制定安全审核和安全检查制度规范安全审核和安全检查工 作，定期按照程序进行安全审核和安全检查活动。 b) 应确保在外部人员接入网络访问系统前先提出书面申请，批准后由专人开 设账号、分配权限，并登记备案； d) 获得系统访问授权的外部人员应签署保密协议，不得进行非授权操作，不 得复制和泄露任何敏感信息。 c) 外部人员离场后应及时清除其所有的访问权限； a) 应定期对各个岗位的人员进行安全技能及安全认知的考核； b) 应对关键岗位的人员进行全面、严格的安全审查和技能考核 ；应对考核结果进行记录并保存； b) 应对安全责任和惩戒措施进行书面规定并告知相关人员，对 违反违背安全策略和规定的人员进行惩戒； c) 应对定期安全教育和培训进行书面规定； d)应对安全教育和培训的情况和结果进行记录并归档保存。 整体变化 等级保护 2.0通用要求解析 注：基于 网络安全保护基本要求 第一部分：通用安全要求 征求意见稿及 GB/T 22239 信息安全等级保护基本要求 三级要求对比分析。 技术 管理 安全建设管理 实质性变更 1 p 对安全建设管理的要求整体有所降低，一方面对过细的操作层面要求进行删减，例如不再要求由专门部门或人员实施某些管理 活动、不再对某些管理制度的制定作细化要求；另一方面对安全规划管理、测试验收管理也有实质性的删减。 1.0 要 求 a) 应指定专门的部门或人员负责管理系统定级的相关材料，并控 制这些材料的使用； b) 应指定和授权专门的部门对信息系统的安全建设进行总体规 划，制定近期和远期的安全建设工作计划； e) 应根据等级测评、安全评估的结果定期调整和修订总体安全 策略、安全技术框架、安全管理策略、总体建设规划、详细设计 方案等相关配套文件。 c) 应指定或授权专门的部门负责产品的采购； d) 应指定或授权专门的部门或人员负责等级测评的管理。 c) 应确保选定的安全服务商提供技术培训和服务承诺，必要的 与其签订服务合同。 c) 应制定工程实施方面的管理制度，明确说明实施过程的控制 方法和人员行为准则。 a) 应委托公正的第三方测试单位对系统进行安全性测试，并出 具安全性测试报告； c) 应对系统测试验收的控制方法和人员行为准则进行书面规定 ； d) 应指定或授权专门的部门负责系统测试验收的管理，并按照 管理规定的要求完成系统测试验收工作； e) 应组织相关部门和相关人员对系统测试验收报告进行审定， 并签字确认。 d) 应对系统交付的控制方法和人员行为准则进行书面规定； e) 应指定或授权专门的部门负责系统交付的管理工作，并按照 管理规定的要求完成系统交付工作。 整体变化 等级保护 2.0通用要求解析 注：基于 网络安全保护基本要求 第一部分：通用安全要求 征求意见稿及 GB/T 22239 信息安全等级保护基本要求 三级要求对比分析。 技术 管理 安全建设管理 实质性变更 2 p 强化了对 服务供应商 管理、系统上线安全测试、工程监理控制的管理要求。 p 强化了对 自行软件开发 的要求，包括安全性测试、恶意代码检测、软件开发活动的管理要求。 c) 应通过第三方工程监理控制项目的实施过程。 1.0 要 求 2.0 要 求 b) 应进行上线前的安全性测试，并出具安全测试报告。 e) 应确保在软件开发过程中对安全性进行测试，在软件安装前对可能存在的 恶意代码进行检测； g) 应确保开发人员为专职人员，开发人员的开发活动受到控制、监视和审查 c) 应定期监视、评审和审核服务供应商提供的服务，并对其变更服务内容加 以控制。 无 整体变化 等级保护 2.0通用要求解析 注：基于 网络安全保护基本要求 第一部分：通用安全要求 征求意见稿及 GB/T 22239 信息安全等级保护基本要求 三级要求对比分析。 技术 管理 安全运维管理 实质性变更 1 p 对安全运维管理的要求整体有所降低，一方面对过细的操作层面要求进行删减，例如不再要求由专门部门或人员实施某些管理 活动、不再对某些管理制度的制定作细化要求；另一方面对介质管理、设备管理也有实质性的删减。 1.0 要 求 b) 应建立基于申报、审批和专人负责的设备安全管理制度，对 信息系统的各种软硬件设备的选型、采购、发放和领用等过程进 行规范化管理； d) 应对终端计算机、工作站、便携机、系统和网络等设备的操 作和使用进行规范化管理，按操作规程实现主要设备（包括备份 和冗余设备）的启动 /停止、加电 /断电等操作； b) 应指定专人对网络和主机进行恶意代码检测并保存检测记录 ； 应建立密码使用管理制度，使用符合国家密码管理规定的密码技 术和产品。 b) 应建立备份与恢复管理相关的安全管理制度； e)应定期执行恢复程序，检查和测试备份介质的有效性，确保可 以在恢复程序规定的时间内完成备份的恢复。 b) 应建立资产安全管理制度，规定信息系统资产管理的责任人 员或责任部门，并规范资产管理和使用的行为； a) 应建立介质安全管理制度，对介质的存放环境、使用、维护 和销毁等方面作出规定； e) 应根据数据备份的需要对某些介质实行异地存储，存储地的 环境要求和管理方法应与本地相同； f) 应对重要介质中的数据和软件采取加密存储，并根据所承载 数据和软件的重要程度对介质进行分类和标识管理。 d) 应对存储介质的使用过程、送出维修以及销毁等进行严格的 管理，对带出工作环境的存储介质进行内容加密和监控管理，对 送出维修或销毁的介质应首先清除介质中的敏感数据，对保密性 较高的存储介质未经批准不得自行销毁； b) 应建立资产安全管理制度，规定信息系统资产管理的责任人 员或责任部门，并规范资产管理和使用的行为； 整体变化 等级保护 2.0通用要求解析 注：基于 网络安全保护基本要求 第一部分：通用安全要求 征求意见稿及 GB/T 22239 信息安全等级保护基本要求 三级要求对比分析。 技术 管理 安全运维管理 实质性变更 2 p 将原有属于监控管理和安全管理中心的内容移到了 “ 网络和通信安全 ” 部分。 p 将原有属于网络安全设备的部分内容移到了 “ 漏洞和风险管理 ” 部分。 p 降低了对网络和系统管理的要求，包括安全事件处置管理、实施某些网络管理活动、网络接入策略控制。 1.0 要 求 a) 应指定专人对网络进行管理，负责运行日志、网络监控记录 的日常维护和报警信息分析和处理工作 c) 应根据厂家提供的软件升级版本对网络设备进行更新，并在 更新前对现有的重要文件进行备份； e) 应实现设备的最小服务配置，并对配置文件进行定期离线备 份； g) 应依据安全策略允许或者拒绝便携式和移动式设备的网络接 入； a) 应根据业务需求和系统安全分析确定系统的访问控制策略； a) 应对通信线路、主机、网络设备和应用软件的运行状况、网 络流量、用户行为等进行监测和报警，形成记录并妥善保存； b) 应组织相关人员定期对监测和报警记录进行分析、评审，发 现可疑行为，形成分析报告，并采取必要的应对措施； c) 应建立安全管理中心，对设备状态、恶意代码、补丁升级、 安全审计等安全相关事项进行集中管理。 c) 应根据国家相关管理部门对计算机安全事件等级划分方法和 安全事件对本系统产生的影响，对本系统计算机安全事件进行等 级划分； d) 应制定安全事件报告和响应处理程序，确定事件的报告流程 ，响应和处置的范围、程度，以及处理方法等； e) 制定防止再次发生的补救措施，过程形成的所有文件和记录 均应妥善保存； d) 应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏 洞进行及时的修补； 整体变化 等级保护 2.0通用要求解析 注：基于 网络安全保护基本要求 第一部分：通用安全要求 征求意见稿及 GB/T 22239 信息安全等级保护基本要求 三级要求对比分析。 技术 管理 安全运维管理 实质性变更 3 p特别增加了 漏洞和风险管理 、配置管理、外包运维管理的管理要求。 p 强化了对 账号管理 、运维管理、设备报废或重用的管理要求。 a) 应采取必要的措施识别安全漏洞和隐患， 对发现的安全漏洞和隐患及时进 行修补或评估可能的影响后进行修补； b) 应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题 2.0 要 求 a) 应记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组 件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等； b) 应将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及 时更新基本配置信息库 a) 应确保外包运维服务商的选择符合国家的有关规定； b) 应与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、 工作内容； c) 应确保选择的外包运维服务商在技术和管理方面均具有按照等级保护要求 开展安全运维工作的能力，并将能力要求在签订的协议中明确； d) 应在与外包运维服务商签订的协议中明确所有相关的安全要求。如可能涉 及对敏感信息的访问、处理、存储要求 ，对 IT 基础设施中断服务的应急保 障要求等。 b) 应指定专门的部门或人员进行账号管理，对申请账号、建立账号、删除账 号等进行控制； f) 应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整 配置参数，操作过程中应保留不可更改的审计日志，操作结束后应同步更新 配置信息库； g) 应严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中 应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据； h) 应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道， 操作过程中应保留不可更 改的审计日志，操作结束后立即关闭接口或通道 ； d) 含有存储介质的设备在报废或重用前，应进行完全清除或被安全覆盖，确 保该设备上的敏感数据和授权软件无法被恢复重用。 1 2 等级保护发展历程与展望 等级保护 2.0标准体系 3 等级保护 2.0通用要求解析 4 等级保护 2.0扩展要求解析 定级 等级保护 2.0云计算扩展要求解析 责任划分 IaaS Paas Saas 云计算平台由设施、硬件、资源抽象控制层、虚 拟化计算资源、软件平台和应用软件等组成。 软件即服务（ SaaS） 在平台即服务模式下，云计算平台包括设施、硬 件、资源抽象控制层、虚拟化计算资源和软件平 台； 平台即服务（ PaaS） 在平台即服务模式下，云计算平台包括设施、硬 件、资源抽象控制层、虚拟化计算资源和软件平 台； 基础设施即服务（ IaaS） 在基础设施即服务模式下，云计算平台由设施、 硬件、资源抽象控制层组成； 云计算平台架构 定级 等级保护 2.0云计算扩展要求解析 责任划分 IaaS 在云计算环境中，应将云服务方侧的云 计算平台单独作为定级对象定级 。 Paas Saas 云租户侧的等级保护对象也应作为单独 的定级对象定级。 云服务方 云租户 云计算环境 大型云计算 平台 应将云计算基础设施和有关辅助服务系 统划分为不同的定级对象。 定级 等级保护 2.0云计算扩展要求解析 责任划分 IaaS Paas Saas 云计算系统与传统信息系统保护对象差异 定级 等级保护 2.0云计算扩展要求解析 责任划分 Iaas Paas Saas 应用软件 软件平台 虚拟化计算资源 范围和控制 资源抽象控制 硬件 设施云服务方 I a a S P a a S S a a S 云租户 I a a S P a a S S a a S 包 括 虚 拟 机 监 视 器 和 硬 件 包 括 硬 件 、 虚 拟 机 监 视 器 、 操 作 系 统 和 中 间 件 包 括 硬 件 、 虚 拟 机 监 视 器 、 操 作 系 统 、 中 间 件 和 应 用 包 括 操 作 系 统 、 中 间 件 和 应 用 等 应 用 包 括 部 分 应 用 职 责 及 用 户 使 用 职 责 定级 等级保护 2.0云计算扩展要求解析 责任划分 IaaS Paas Saas 设施 控制要求 p 提出物理位置的选择的要求，例如云计算的所有物理设备和数 据均存放在国内。 p 提出服务供应商选择和供应链管理的要求，例如选择云服务商 和供应商的过程须符合国家的要求。 应用软件 软件平台 虚拟化计算资源 资源抽象控制 硬件 设施 定级 等级保护 2.0云计算扩展要求解析 责任划分 IaaS Paas Saas 硬件 控制要求 p 提出身份鉴别的要求，例如设备之间建立双向身份验证机制。 p 提出访问控制的要求，例如在远程管理设备时不能直接连接其 他网络。 p 提出数据保密性的要求，例如保证设备之间网络通信的保密性 。 应用软件 软件平台 虚拟化计算资源 资源抽象控制 硬件 设施 定级 等级保护 2.0云计算扩展要求解析 责任划分 IaaS Paas Saas IaaS控制要求 2 p特别增加了 镜像和快照保护 的控制要求。 p 提出了对身份验证机制的控制要求。 p 提出了对职责与权限划分、数据安全审计、恶意代码检测、虚拟机迁移、资源控制的要求。 应在网络策略控制器和网络设备（或设备代理）之间建立 双向身份验证机 制 。 a) 当进行远程管理时，防止远程管理设备同时直接连接其他网络； b) 确保 只有在云租户授权下， 云服务方或第三方 才具有 云租户数据 的管 理权限； c) 提供云计算平台管理用户权限分离机制，为网络管理员、系统管理员建立 不同 账户并分配相应的权限。 a) 屏蔽虚拟资源故障，某个虚拟机崩溃后不影响虚拟机监视器及其他虚拟机 ； b) 对物理资源和虚拟资源按照策略做统一管理调度与分配； c) 保证虚拟机仅能使用为其分配的计算资源； d) 保证虚拟机仅能迁移至相同安全等级的资源池； e) 保证分配给虚拟机的内存空间仅供其独占访问； f) 对虚拟机的网络接口的带宽进行设置，并进行监控； g) 为监控信息的汇集