返回顶部
隐藏或显示

新闻动态

News

一文读懂 | 等保2.0与等保1.0到底有哪些不同

/ 2019-07-08

5月13日,网络安全等级保护2.0(简称等保2.0)核心标准(《信息安全技术  网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》)正式发布,网络安全等级保护正式进入2.0时代。那么等保2.0究竟与等保1.0有什么不同?


两个全覆盖


第一,覆盖各地区、各单位、各部门、各企业、各机构,也就是覆盖全社会。
第二,覆盖所有保护对象,包括网络、信息系统,以及新的保护对象,云平台、物联网、工控系统、大数据、移动互联等各类新技术应用。

两个全覆盖是网络安全等级保护制度的核心,是它的重中之重。


三个新特点



▲等级保护安全框架

网络安全等级保护2.0新标准具有以下三个特点:
1、等级保护的基本要求、测评要求和安全设计技术要求框架统一,即:安全管理中心支持下的三重防护结构框架;
2、通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制系统等列入标准规范;
3、将可信验证列入各级别和各环节的主要功能要求。

五个主要变化
1、名称变化。
《信息系统安全等级保护基本要求》 改为:《网络安全等级保护基本要求》,与《网络安全法》保持一致。

2、定级对象变化。

等保进入2.0时代,保护对象从传统的网络和信息系统,向“云移物工大”上扩展,基础网络、重要信息系统、互联网、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等都纳入了等级保护的范围。



▲定级对象的类型

3、安全要求变化。

等保2.0由一个单独的基本要求演变为通用安全要求+新技术安全扩展要求,其中安全通用要求是不管等级保护对象形态如何都必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。


其中,云计算安全扩展要求包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。
移动互联安全扩展要求包括“无线接入点的地理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。
物联网安全扩展要求包括“感知节点的物理保护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。
工业控制系统安全扩展要求包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。

4、控制措施分类结构变化。
等保2.0控制措施的分类结构调整,充分体现“一个中心、三重防护”的思想。其中技术部分调整为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。管理部分调整为:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

5、工作内涵变化

等保2.0不仅进一步明确定级、备案、安全建设、等级测评、监督检查等1.0时代的规定动作,最主要的是把安全检测、通报预警、案事件调查等措施都将全部纳入等级保护制度并加以实施。



▲等级保护工作内涵增加


识别二维码了解等保2.0更多内容

©2000-2019    深信服科技股份有限公司    版权所有    粤ICP备08126214号-5

粤公网安备

粤公网安备44030502002384号