等保2.0标准介绍（解读）

等保2.0介绍目录概述1安全通用要求2云计算安全扩展要求3物联网安全扩展要求5工业控制安全要求6移动互联安全扩展要求4网络安全法十二届全国人大常委会第二十四次会议11月7日上午经表决，通过了《中华人民共和国网络安全法》。这是我国网络领域的基础性法律。该法自2017年6月1日起施行。第二十一条

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。第三十一条

国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。第三十三条

建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。新增领域标准云计算安全大数据安全工业控制安全物联网安全移动互联安全等保2.0标准更新GB/T28448-2008 GB/T28448.1-XXXX安全通用要求 GB/T28448.2-XXXX云计算安全扩展要求 GB/T28448.3-XXXX移动互联安全扩展要求 GB/T28448.4-XXXX物联网安全扩展要求 GB/T28448.5-XXXX工业控制安全扩展要求等保2.0由一个单一标准演变为一个系列标准GB/T22239-2008 GB/T22239.1-XXXX安全通用要求 GB/T22239.2-XXXX云计算安全扩展要求 GB/T22239.3-XXXX移动互联安全扩展要求 GB/T22239.4-XXXX物联网安全扩展要求 GB/T22239.5-XXXX工业控制安全扩展要求基本要求修订测评要求修订GB/T25070-2010 GB/T25070.1-XXXX安全通用要求 GB/T25070.2-XXXX云计算安全要求 GB/T25070.3-XXXX移动互联安全要求 GB/T25070.4-XXXX物联网安全要求 GB/T25070.5-XXXX工业控制安全要求设计要求修订等级保护安全框架目录概述1安全通用要求2云计算安全扩展要求3物联网安全扩展要求5工业控制安全要求6移动互联安全扩展要求4GB/T22239.1等级保护安全通用要求技术要求安全物理环境安全通信网络安全区域边界安全计算环境边界防护访问控制入侵防范恶意代码和垃圾邮件防范安全审计可信验证物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护网络架构通信传输可信验证身份鉴别访问控制安全审计入侵防范恶意代码防范可信验证数据完整性数据保密性数据备份恢复剩余信息保护个人信息保护GB/T22239.1等级保护安全通用要求安全管理制度管理要求系统管理审计管理安全管理集中管控安全策略管理制度制定和发布评审和修订岗位设置人员配备授权和审批沟通和合作审核和检查安全管理机构安全管理中心人员录用人员离岗安全意识教育和培训外部人员访问管理定级和备案安全方案设计产品采购和使用自行软件开发安全管理人员安全建设管理安全运维管理外包软件开发工程实施测试验收系统交付等级评测服务供应商选择环境管理资产管理介质管理设备维护管理漏洞和风险管理网络和系统安全管理恶意代码防范管理配置管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理外包运维管理目录概述1安全通用要求2云计算安全扩展要求3物联网安全扩展要求5工业控制安全要求6移动互联安全扩展要求4大数据安全扩展要求7GB/T22239.2云计算安全扩展要求细则技术要求安全物理环境安全通信网络安全区域边界安全计算环境访问控制入侵防范安全审计基础设施位置网络架构身份鉴别访问控制入侵防范镜像和快照保护数据完整性和保密性数据备份恢复剩余信息保护GB/T22239.2云计算安全扩展要求细则安全建设管理管理要求集中管控云服务商选择供应链管理云计算环境管理安全运维管理安全管理中心等保定级对象（以云计算中心为例）平台定级对象系统定级对象云平台安全由云服务商负责云上系统安全由客户负责云服务方和云租户对计算资源拥有不同的控制范围，控制范围则决定了安全责任的边界。云计算系统与传统信息系统保护对象差异层面云计算系统保护对象传统信息系统保护对象物理和环境安全机房及基础设施机房及基础设施网络和通信安全网络结构、网络设备、安全设备、虚拟化网络结构、虚拟网络设备、虚拟安全设备传统的网络设备、传统的安全设备、传统的网络结构设备和计算安全网络设备、安全设备、虚拟网络设备、虚拟安全设备、物理机、宿主机、虚拟机、虚拟机监视器、云管理平台、数据库管理系统、终端传统主机、数据库管理系统、终端应用和数据安全应用系统、云应用开发平台、中间件、云业务管理系统、配置文件、镜像文件、快照、业务数据、用户隐私、鉴别信息等应用系统、中间件、配置文件、业务数据、用户隐私、鉴别信息等系统安全建设管理云计算平台接口、云服务商选择过程、SLA、供应链管理过程等N/A目录概述1安全通用要求2云计算安全扩展要求3物联网安全扩展要求5工业控制安全要求6移动互联安全扩展要求4GB/T22239.3移动互联安全扩展要求技术要求安全物理环境安全区域边界安全计算环境边界防护访问控制入侵防范无线接入点的物理位置移动终端管理移动应用管控GB/T22239.3移动互联安全扩展要求安全运维管理管理要求移动应用软件采购移动应用软件开发安全管理集中管控配置管理安全建设管理移动互联应用场景采用移动互联技术的等级保护对象其移动互联部分由移动终端、移动应用和无线网络三部分组成，移动终端通过无线通道连接无线接入设备接入，无线接入网关通过访问控制策略限制移动终端的访问行为，后台的移动终端管理系统负责对移动终端的管理，包括向客户端软件发送移动设备管理、移动应用管理和移动内容管理策略等。目录概述1安全通用要求2云计算安全扩展要求3物联网安全扩展要求5工业控制安全要求6移动互联安全扩展要求4GB/T22239.4物联网安全扩展要求技术要求安全物理环境安全区域边界安全计算环境接入控制入侵防范感知节点设备物理防护感知节点设备安全网关节点设备安全抗数据重放数据融合处理GB/T22239.4物联网安全扩展要求管理要求感知节点管理安全运维管理物联网应用场景对物联网的安全防护应包括感知层、网络传输层和处理应用层，由于网络传输层和处理应用层通常是由计算机设备构成，因此这两部分按照安全通用要求提出的要求进行保护，本标准的物联网安全扩展要求针对感知层提出特殊安全要求，与安全通用要求一起构成对物联网的完整安全要求。目录概述1安全通用要求2云计算安全扩展要求3物联网安全扩展要求5工业控制安全要求6移动互联安全扩展要求4GB/T22239.5工业控制安全扩展要求技术要求安全物理环境安全通信网络安全区域边界安全计算环境访问控制拨号使用控制无线使用控制室外控制设备物理防护网络架构通信传输控制设备安全GB/T22239.5工业控制安全扩展要求管理要