等保2.0政策规范解读

资料解读：等保2.0政策规范解读

详细资料请看本解读文章的最后内容。

等级保护2.0（简称等保2.0）是中国网络安全领域的一项重要政策，其目的是对国家重

要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息

的信息系统实行分等级的安全保护。本文将对等保2.0政策规范进行详细解读，以帮助

相关组织和个人更好地理解和应用这一政策。

等级保护的基本概念

等级保护制度要求信息系统根据其重要性被划分为不同的安全保护级别。笫一级至笫五

级，每•级别对应的损害程度和对国家安全的影响逐级加重。第•级影响最小，第五级

则对国家安全构成特别严重损害。

等级保护工作流程

等保2.0的工作流程中要包括五个步骤：定级、备案（限干二级以上系统）、差距分析

与系统建设整改、等级测评以及信息安全监管部门的监督检查。

等级保护对象与标准的演变

随着技术的发展，等级保护的对象和标准也在不断演变。等保2.0在命名和内容上都有

所调整，以与《中华人民共和国网络安全法》保持一致。

标准内容的变化

等保2.0在技术要求和管理要求上进行了细化和调整。例如，将物理安全扩展为物理和

环境安全，网络和通信安全、设备和计算安全、应用和数据安全等方面也有相应的更

新。

对比1.0与2.0的要求项

通过对比，我们可以看到等保2.0在技术部分进行了调整，但控制点要求并没有明显增

加，反而通过合并整合有所缩减。在具体要求项上，等保2.0对物理安全、网络安全、

主机安全、应用安全和数据安全等方面都提出了新的要求。

重点解读

等保2.0强调了安全域划分、访问控制策略配置、入侵防范手段部署、用户行为日志记

录审计以及安全设备的集中管理等方面。

网络安全法与等保2.0的关系

网络安全法明确了网络安全等级保护制度的法律地位，并规定了网络运营者应履行的安

全保护义务，这与等保2.0的要求相辅相成。

云计算安全扩展要求

等保2.0针对云计算环境提出了扩展要求，包括对云服务方和云租户的定级、控制要求

以及管理措施。

移动互联安全扩展要求

随着移动互联技术的发展，等保2.0也对移动终端、无线网络和移动应用等方面提出了

新的安全要求。

工业控制安全扩展要求

工业控制系统作为国家安全的重要组成部分，等保2.0特别强调了生产管理层的控制要

求，包括网络区域防护、设备硬件冗余、访问控制策略管理等。

物联网安全拓展要求

物联网作为新兴的技术领域，等保2.0也对其进行了安全拓展要求的规范，以确保物联

网设备和数据的安全。

结语

等级保护2.0政策规范的解读对于理解和执行网络安全保护工作至关重要。希望通过本

文的解读，能够帮助读者更深入地了解等保2.0的具体要求和实施要点。

接下来请您阅读下面的详细资料吧。

等保2.0政策规范解读

什么是等级保护?

，网络安全等级保护是指对国家重要信息、法人和其他组织及公民的

专有信息以及公开信息和存储、传输、处理这些信息的信息系统分

等级实行安全保护，对信息系统中使用的信息安全产品实行按等级

管理，对信息系统中发生的信息安全事件分等级响应、处置.

等保对象演变

1994

计算机信息系统

2003G2017

基础信息网络N重要网络设施

重要信息系统♦重要信息系统

保护重点没有变，但复杂度提高

等保标准变化

「等保2.0将原来的标准《信息安全技术信息级安全等级保护基本

要求》改为《信息安全技术网络安全等级保护基本要求》，与《中

华人民共和国网络安全法》中的相关法律条文保持一致

标准内容变化

等保2.0标准解读

等级保护1.0和2.0对比

新标准（等级保护2.0）

旧标准（等级保护1.0）

物理安全狗理和环境安全

网络和通信安全

技术要求主机傩及木宴事

设备和计算安全

应用安全

应用和数据安全

安仝营芝制度安仝策《8和HWWflt

gtram安全性理机构和人员

省理要求

管理要求人员安全管理

安全建设管理

系统健殳管理

系统运金管理安全运维管理

控制点对比

信息系统安全等级保护级别

基本要“本霎僖息系统安全等级保妒级别

求大类福本襄求子类求大类"本要求子类

1.0

等保三级2.0

等保二级等保三级

穆现安全1010

拗型和环境安全1010

网络安全67

网珞和通信安全78

技术要

技术要

主机安全求

求67

设备和计算安全66

应用安全79

应税n«ag安全910

33

安全策略埋制度44

安全管理制度33ftm

安全管理机构55

安全管理机构和人员

*3999

管理要

人员安全管理求

求55

m建设管理1010

系统魂设管理911

安全运维营理1414

系统运维管理1213

街十

,/5673/6971

1

要求项对比

信息系统安全等级保护级别

・本要“本要僖息系统安全等级保妒级别

求大类as本要求子类求大类"本要求子类

1.0

等保三级2.0

等贮级等保三级

穆现安全1932

拗型和环境安全1522

网络安全1833

网珞和通信安全1633

技术要

技术要

主机安全求

求1932

设备和计算安全1726

应用安全1931

应税n«ag安全2234

48

支主策略和首埋制度7

安全管理制度7116

安全管理机构920

安全*理机构和人员

*391626

管理要

人员安全管理求

求1116

m建设管理2534

系统魂设管理2845

安全运维营理3048

系统运维管理4162

街十

,/175290/147230

总结对比

总体上看，等保2.0通用要求在技术部分的基础上进行了一些调整，但

控制点要求上并没有明显增加，通过合并整合后相对旧标准略有缩减。

S（控制点要求顶数新控制点要求膜或

1物理位■的选择21物理位■的选择2

2物型访问控制42拗理访问控制1

3防省总和防破坏63防盗。和防破坏3

4防雷击34昉雷击2

赖理安全5防火3物理和环境安全5防火3

6防水和防潮46防水和防潮3

7昉》电27防静电2

8温湿度控制18温湿度控制1

9电力供应49电力供应3

10电磁防护310电磁昉护2

原控制项新控制项

b）机房场地位逑免设在注筑物的高层或b）机房场地应邀免设在8!筑椅的顶层或地下空,

拗理位■的选择地下室，以及用水设备的下层或隔壁.何理位置的选择否则应加为防水和防潮措施

b）应采取措施防止内电的产生，例如采用静电消

防静电无防静电除黑、保戴防仲电手环等.（新堵）

原控制点要求项收新控制点要求项跤

1结构安全71网络架构5

2访何控制82通信传帐2

3安全审计43边界防护4

网络安全4边界完整性检查24访问控制5

网络和通信安全

5入侵防建25入侵防范4

6思患代码防范26超息代码昉超2

7网络设笛昉护87安全审计5

8集中管控6

原控制项新控制项

a）应采用收蛤码技术或声码技术保证通信过程中数讴的完整性;

无通信传蝙

，）应采用密码技术保证通信过程中敏感信息字段或整个报文的保密

a）应保证聘越边界的访问和数据流通过边界防护设铸拶供的殳控接

口迸行通信；

a）应胡第对非授权设备和自取到网掐的行为进行检

8,准确定出位■,并对其注行有效阻断；b）应能第对非授权设各私自联到网络的行为进行眼制或检

边界完禁性

边界防护

桧查

c）应能多对用户非授权眯到外部网络的行为进行限制或检鱼

b）应使第对网络用户和自联到外部网络的行为进行

检直，准确定出位置，井对其进行有效阻断.

d）应跟制无城同搭的使用，确保无线网络通过受控的边界昉沪设备

接入网络.

b）应在关或网络节点处检滤.防止或限制从发起的网络攻击行

无

为；（蚓•）

入侵防危入侵防范

c）应采取技术措施对网络行为迸行分析,实现对网络攻击特别是新

无

型网络攻击行为的分析；（新增）

.thw

原控制项新控制项

立也小初味不工皿awxne格b）应在关键网络节点处对垃"邮件进行检测和防护，井维护垃圾部件防护机制

恶意代码防范无恶意代码防范的级和更航惭境）

d）应确保审计记录的留存时间符合法律法规要求；（防堵）

e）应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和

fSOB分析.（新增）

a）应划分出特定的留理区域，对分布在网络中的安全设密或安全组件进行僮

控；（新曲

b）应能第速立一条安全的信息传啮路径，对网络中的安全设循或安全组件迸行

*；断地）

C）应对网络逊路.安全设备.网络设修和服务照等的运行状况进行集中监

»；渐电）

无

d）应对分散在各个设备上的亩计数据进行收集汇总和集中分析；（新增）

e）应对安全策略、怒意代码、扑丁升级等安全相关事项迸行集中管理，

f）应能对网络中发生的各类安全事件进行识别、报警和分析.（新增）

重点解读

，1.根据服务器角色和重要性，对网络进行安全域划分;（安全域划分）

，2.在内外网的安全域边界设置访问控制策略，并要求配置到具体的端口;（防火墙）

，3.在网络边界处应当部署入侵防范手段，防御并记录入侵行为;（入侵防御系统）

，4.对网络中的用户行为日志和安全事件信息进行记录和审计;（上网行为管理）

5.对安全设备、网络设备和服务器等进行集中管理.（安全态势感知/安全大数据分析）

等保2.0标准解读

隙控制点要求项取新控制点要求安散

1身份筵别61身份密别4

2访问控制72访问控制7

3安全审计63安全审计5

设备和计H安全

主机安全4剥余信息保护24入侵昉范5

5入侵防范35恶意代码防范1

6零息代码防范36资源控制4

7资源控制5

原控制项新控制项

安全审计无安全审计d）应确保审计记录的留存时间符合法律法规要求；（新增）

b）应关闭不需要的系统勉务.默认共享和高危筑口；

6应通过设定终端接入方式或网络地址挖EE对通过网络进行管理的管理终

入侵防范无入侵防范浣进行限制；

d）应能发现可能存在的X词.并在经过充分测试评估后，及时修扑漏洞；

重点解读

1.避免账号共享、记录和审计运堆操作行为是最基本的安全要求；（运维审计/堡垒机）

2.必要的安全手段保证系统层安全，防范服务器入量行为；（服务器加固-服务/软件）

度控制点要求项故新控制点要求项政

1身份茶别51身份鉴别5

2访问控制62访问控制7

3安全审计43安全审计5

4剩余信息保沪24软件容错3

5通信完整性15资源控制2

应用安全

6通信保存性26数器完整性2

7抗阳帆2应用和数据安全7数索保密性2

8软件容肃28数格备份和恢复3

9资源控制79鼎余信息保的2

9数据完整性210个人信息保护2

数据安全及箫份恢

数据保密性2

复10

11IR份和恢短4

取控制项新控制顼

安全审计无安全审计d）应孀保审计记录的留存时间符合法律法规要求；（新增）

无

次件容措炊件容搐C）在故埠发生时，应自动保存易失性数据和所有状态,保证系

统能够进行恢复.（新增）

c）应强制用户首次登录时修改初始口令；（新埴）

无

身份量别身份掇别⑴用户身份监别信息丢失或失效时，应采用技术措施确保基别

信息B■过程的安全；（新总）

个人信息保妒a）应仅采集和保存业务必需的用户个人信息；（新增）

个人信息保护

无

b）应禁止未受权访问和非法使用用户个人信息.（新增）

重点解读

，1.应用是具体业务的直接实现，不具有网络和系统相对标准化的特点,大部分应用本身

的身份鉴别、访问控制和操作审计等功能，都难以用第三方产品来替代实现；

，2.数据的完整性和保密性，除了在其他层面进行安全防护以外，加密是最为有效的方法;

，3.数据的异地笛份是等保三级区别丁二级最重要的要求之，是实现业务连续最基础的

技术保障措瓶

重点解读

，第二十一条国家实行网络安全等级保护制度.网络运营者应当按照网络安全等级保护制度

的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网

络数据泄露或者被窃取、募改：

，（一）制定安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

，（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

,（三）采取监测、记录网络运行状态、网络安仝事件的技术措施，井按照规定留存相关的

网络日志不少于六个月；

，（四）采取数据分类、重要数据备份和加密等措施；

/（五）法律、行政法规规定的其他义务.

重点解读

,第三十四条除本法第二十一条的规定外，关键信息基批设施的运营者还应当履行下列安全

保护义务：

，（-）设置专门安全管理机构和安全管理负责人，井对亥负责人和关键岗位的人员进行安

全背景审查；

S（-）定期对从业人员进行网络安全教育、技术培训和技能考核；

，（三）对重要系疣和数据库进行容灾备份；

,（四）制定网络安全事件应急预案，并定期进行演练；

，（五）法律、行政法规规定的其他义务.

等保2.0扩展要求（一）云计算

等级保护2.0云计算扩展要求解析

定级责任划分laaspaassaas

云计算平台由设施、硬件、资源抽软控制层、

虚拟化计宜资源、软件平台和应用软件等组成.

软件即服旁（saas）

在平台即98务模式下，云计算平台包括设施、

硬件、资通抽象控制层、虚拟化计算资源和软

件平台；

平台即服务（paas）

在平台即服务模式下，云计算平台包括设施、

硬件、资源抽象控制层、虚拟化计舞资源和软

件平台：

基础设施即服务（laas）

在基础设施即服务模式下，云计算平台由设施、

硬件、资源抽象控制层组成；

等级保护2.0云计算扩展要求解析

定级责任划分laaspaassaas

在云计算环境中，应将云服务方侧的云：

云服务方

计算平台单独作为定级对象定级.

云租户侧的等级保护对象也应作为单独

云用户

的定级对象定级。

大型云计算应将云计算基础设施和有关辅助服务系

平台统划分为不同的定级对象.

.ihaw

等级保护2.0云计算扩展要求解析

定级责任划分laaspaassaas

云计算系统对

层面云计,泰筑保护纣■传统伏息里统保「时徵

我歹依环地安全机用及修❶设修机阴&修«｛设■

M络国通信安全网络怙物.Mmd*.安全12$.虚IU化网端fA构.由内HftrtMma*.传统的安全&占、

安全传统的m络结构

M络设番・安全设■旭M络设器•/履安金设8.构传统上机.nm

A机.@上机.■他机.■总机云借■平台.tk

累片管内余统.”瑞

应刖国敢掘安全应刖京愦.云应用开发平台・中间件.E业务情用系陵.应用后统.中同件.配■文件、«»

配置文件.悔像文件.快阻.业务故据.用户＞M&M.用户♦也.零制信必»

，”

系统安金健0管云计台槽”•石•务商选岬过丹、SLA-供”■管网"A

nttliv

等级保护2.0云计算扩展要求解析

定级责任划分paassaas

包

括

硬

件

•

虚

»范围和控制

机

K应用软件

a

H1软件平台

'.

1

M优

虚拟化计算资源

JK统'

•

中

wl资源抽象控制

ftl

nl

fii硬件

云服务方

等级保护2.0云计算扩展要求解析

定级责任划分laaspaassaas

①设施一控制要求

O提出物理位置的选择的要求，例如云计算的所有物理设备碱

据均存放在国内.

口提出服务供府商选择和供应链管理的要求，例如选择云服务商

和供应商的过程须符合国家的要求.

等级保护2.0云计算扩展要求解析

定级责任划分■laasPaassaas

□提出身份鉴别的要求，例如设备之间建立双向身份验证机制.

口提出访问控的要求，例如在远程量理设备时不能直接连旗

他网密

r□提出数据保密性的要求，例如保证设备之间网络通信的保密性。

等级保护2.0云计算扩展要求解析

定级责任划分laaspaassaas

@laas~~控制饕求2

口特别增加了镜像而快船原先的控制要求。

口提出了对身份验证机制的控制要求.

、口提出了对职责与权限划分.数据安全审计.超意代码检测.

a）团a机两a主机资於的汾俄访问，并ia行告警；

b）虚拟机之间的资源牖高失效,并进行告警；

应在网