殿上欢,我欲封天耳根小说,风凌天下

您現(xiàn)在的位置：首頁 ? 知識庫 ? 等保2.0 等保2.0

12月1日等保2.0正式實施，用戶最關(guān)注的等保八件事

發(fā)布日期：2019-12-04

圖片來自天億網(wǎng)絡(luò)安全文章截圖，版權(quán)歸原作者

1等保2.0相比1.0主要有哪些變化？

（1）名稱上的變化

名稱上由“信息系統(tǒng)安全等級保護”轉(zhuǎn)變?yōu)?span lang="EN-US">“網(wǎng)絡(luò)安全等級保護”。

（2）法律效力不同

《網(wǎng)絡(luò)安全法》第21條規(guī)定“國家實行網(wǎng)絡(luò)安全等級保護制度，要求網(wǎng)絡(luò)運營者應當按照網(wǎng)絡(luò)安全等級保護制度要求，履行安全保護義務”。落實網(wǎng)絡(luò)安全等級保護制度上升為法律義務。

（3）保護對象有擴展

等保1.0主要是信息系統(tǒng)。而等保2.0將網(wǎng)絡(luò)基礎(chǔ)設(shè)施（廣電網(wǎng)、電信網(wǎng)、專用通信網(wǎng)絡(luò)等）、云計算平臺/系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等納入到等級保護對象范圍中。

（4）控制措施分類不同

等保1.0按照技術(shù)和管理各5個方面的要求進行分類，技術(shù)要求分為物理安全、網(wǎng)絡(luò)安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復，管理要求分為安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理。

等保2.0則有很大的變化。技術(shù)要求分為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心，管理要求分為安全管理制度、安全管理機構(gòu)、安全人員管理、安全建設(shè)管理和安全運維管理。此外，等保2.0基本要求、測評要求、安全設(shè)計技術(shù)要求框架保持了一致性，即“一個中心，三重防護”。

（5）內(nèi)容進行了擴充

等保1.0有五個規(guī)定性動作，包括定級、備案、建設(shè)整改、等級測評和監(jiān)督檢查。而等保2.0除了定級、備案、建設(shè)整改、等級測評和監(jiān)督檢查之外，增加了風險評估、安全監(jiān)測、通報預警、案事件調(diào)查、數(shù)據(jù)防護、災難備份、應急處置等。

2、單位如何開展等級保護建設(shè)的相關(guān)工作？

等級保護工作是一個系統(tǒng)性工程，根據(jù)網(wǎng)絡(luò)安全等級保護相關(guān)標準，等級保護工作總共分五個階段，分別為：系統(tǒng)定級、系統(tǒng)備案、建設(shè)整改、等級測評、監(jiān)督檢查。

（1）系統(tǒng)定級

對擬定為第二級及以上的對象，其運營者應當組織專家評審；有行業(yè)主管部門的，應當在專家定級評審后報請主管部門核準；跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的網(wǎng)絡(luò)由行業(yè)主管部門統(tǒng)一擬定安全保護等級，統(tǒng)一組織定級評審。

（2）系統(tǒng)備案

定級對象的運營使用單位應準備定級備案材料，材料包括：定級報告、等級保護備案表、單位基本情況、信息系統(tǒng)情況等材料。第二級以上網(wǎng)絡(luò)運營者應當在定級對象安全保護等級確定后10個工作日內(nèi)，到縣級以上公安機關(guān)備案。

公安機關(guān)在接到備案材料后，于10個工作日內(nèi)完成材料審查，并對定級對象安全等級進行初步審核，并出具網(wǎng)絡(luò)安全等級保護備案證明。

（3）建設(shè)整改

對于新建的等級保護對象，要按照等級保護相關(guān)標準，撰寫等級保護建設(shè)方案，并根據(jù)建設(shè)方案組織集成實施。

對于已有的等級保護對象，等級保護對象運營使用單位負責對其進行風險評估和整改建設(shè)工作，重要等級保護對象的運營使用單位應形成等級保護整改建設(shè)方案，并根據(jù)整改方案組織集成建設(shè)。

對于三級以上的等級保護對象建設(shè)整改方案，要組織專家進行評審，形成專家評審意見，并最終形成等級保護整改建設(shè)方案。

（4）等級測評

等級保護對象的運營使用單位應落實等級測評資金保障工作，同時開展等級測評工作。

等級保護對象建設(shè)完成后，運營使用單位或者其主管部門應當選擇符合資質(zhì)要求的第三方測評機構(gòu)，依據(jù)《網(wǎng)絡(luò)安全等級保護測評要求》等技術(shù)標準，定期對等級保護對象開展等級測評。第三級及以上定級對象應當每年至少進行一次等級測評（等保1.0標準里面等級保護四級系統(tǒng)需要每半年一次，現(xiàn)在調(diào)整為每年一次），第五級定級對象應當依據(jù)特殊安全需求進行等級測評。

3、什么樣的系統(tǒng)要求定級？系統(tǒng)備案去哪里？找誰備案？

除等保1.0規(guī)定的信息系統(tǒng)外，對于如下對象，均屬于等級保護定級備案的范疇，具體包括：

（1）對于電信網(wǎng)、廣播電視傳輸網(wǎng)、互聯(lián)網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，應分別依據(jù)服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象，而跨省業(yè)務專網(wǎng)既可以作為一個整體定級，也可根據(jù)區(qū)域劃分為若干對象定級。

（2）對于工業(yè)控制系統(tǒng)，應將現(xiàn)場采集/執(zhí)行、現(xiàn)場控制和過程控制等要素應作為一個整體對象定級，而生產(chǎn)管理要素可以單獨定級。

（3）對于云計算平臺，則應區(qū)分為服務提供方與租戶方，各自分別作為定級對象。

（4）對于物聯(lián)網(wǎng)，雖然其包括感知、網(wǎng)絡(luò)傳輸和處理應用等多種特征因素，但仍應將以上要素作為一個整體的定級對象，各要素并不單獨定級。

（5）采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)與物聯(lián)網(wǎng)類似，應將移動終端、移動應用、無線網(wǎng)絡(luò)等要素與相關(guān)有線網(wǎng)絡(luò)業(yè)務系統(tǒng)作為整體對象定級。

（6）對于大數(shù)據(jù)，除安全責任主體相同的平臺和應用可以整體定級外，應單獨定級。

第二級以上網(wǎng)絡(luò)運營者應當在安全保護等級確定后10個工作日內(nèi)，到縣級以上公安機關(guān)備案。

4、等保2.0安全通用要求與安全擴展要求之間的關(guān)系？

等保2.0基本要求分為安全通用要求和安全擴展要求。其中安全通用要求針對共性化保護需求提出，等級保護對象無論以何種形式出現(xiàn)，必須根據(jù)安全保護等級實現(xiàn)相應級別的安全通用要求。

安全擴展要求針對個性化保護需求提出，需要根據(jù)安全保護等級和使用的特定技術(shù)或者特定的應用場景實現(xiàn)安全擴展要求。

5、單位自建的云計算平臺如何開展等級保護工作？

在云計算環(huán)境中，將云計算平臺作為基礎(chǔ)設(shè)施、云租戶系統(tǒng)作為信息系統(tǒng)，分別作為定級對象進行定級。對于大型云計算平臺，當運管平臺共用時，可將云計算基礎(chǔ)設(shè)施與運管平臺系統(tǒng)分開定級，責任分離，分別定級、各自備案。云計算基礎(chǔ)設(shè)施的安全保護等級不低于其所支撐的業(yè)務系統(tǒng)的最高等級。

針對私有云用戶，也要按照云平臺和云租戶信息系統(tǒng)，分別進行定級。并且云平臺的安全等級不低于其所支撐的業(yè)務系統(tǒng)的最高等級。

對于云計算平臺和云租戶信息系統(tǒng)，則分別依據(jù)等保2.0基本要求中的通用要求和云計算安全擴展要求來開展等級保護工作。對于私有云，定級流程為云平臺先定級測評，再將已定級應用系統(tǒng)向云平臺遷移。

6、部署在公有云上的信息系統(tǒng)如何開展等級保護工作？

依據(jù)等保2.0，在對公有云環(huán)境下開展等級保護工作應遵循如下原則：

（1）應確保云計算平臺不承載高于其安全保護等級的業(yè)務應用系統(tǒng)。

（2）應確保云計算基礎(chǔ)設(shè)施位于中國境內(nèi)。

（3）云計算平臺的運維地點應位于中國境內(nèi)，如需境外對境內(nèi)云計算平臺實施運維操作應遵循國家相關(guān)規(guī)定。

（4）云計算平臺運維過程產(chǎn)生的配置數(shù)據(jù)、鑒別數(shù)據(jù)、業(yè)務數(shù)據(jù)、日志信息等存儲于中國境內(nèi)，如需出境應遵循國家相關(guān)規(guī)定。

公有云開展等級保護一般分為兩個部分：

（1）是云平臺本身，在等保2.0里面明確提出：對于公有云定級流程為云平臺先定級測評，再提供云服務。

（2）是云租戶信息系統(tǒng)，比如政府單位門戶網(wǎng)站系統(tǒng)，在遷入公有云平臺后，還需要對這個門戶網(wǎng)站獨立定級備案、進行等保測評。其中，涉及云平臺部分的內(nèi)容可以不重復測評，測評結(jié)論直接引用即可。

不同云計算服務模式需要采取不同職責劃分方式：

（1）對于IaaS（基礎(chǔ)設(shè)施即服務）模式，云服務商的職責范圍包括虛擬機監(jiān)視器和硬件，云租戶的職責范圍包括操作系統(tǒng)、中間件和應用數(shù)據(jù)。

（2）對于PaaS（平臺即服務）模式，云服務商的職責范圍包括硬件、虛擬機監(jiān)視器、操作系統(tǒng)和中間件。云租戶的職責范圍為應用和數(shù)據(jù)。

（3）對于SaaS（軟件即服務）模式，云服務商的職責范圍包括硬件、虛擬機監(jiān)視器、操作系統(tǒng)、中間件和應用，云租戶的職責范圍包括部分應用職責及用戶使用職責。

7、對于工業(yè)控制系統(tǒng)如何開展等級保護工作？

依據(jù)等?；疽笾械陌踩ㄓ靡蠛凸た財U展要求來對工業(yè)控制系統(tǒng)開展等級保護工作。

工業(yè)控制系統(tǒng)主要包括現(xiàn)場采集/執(zhí)行、現(xiàn)場控制、過程控制和生產(chǎn)管理等特征要素。其中，現(xiàn)場采集/執(zhí)行、現(xiàn)場控制和過程控制等要素應作為一個整體對象定級，各要素不單獨定級；生產(chǎn)管理要素可單獨定級。

對于大型工業(yè)控制系統(tǒng)，可以根據(jù)系統(tǒng)功能、責任主體、控制對象和生產(chǎn)廠商等因素劃分為多個定級對象。

工控擴展要求保護主要包括：室外控制設(shè)備防護、工業(yè)控制系統(tǒng)、網(wǎng)絡(luò)架構(gòu)安全、撥號使用控制無線使用控制、控制設(shè)備安全、漏洞和風險管理、惡意代碼防范管理等方面內(nèi)容。

工業(yè)控制系統(tǒng)安全擴展要求主要針對現(xiàn)場控制層和現(xiàn)場設(shè)備層提出特殊安全要求，其他層次使用安全通用要求條款，對工業(yè)控制系統(tǒng)的保護需要根據(jù)實際情況使用基本要求。

8、等保2.0測評是否更加嚴格？

等保測評結(jié)論由1.0時代的符合、基本符合、不符合改為2.0時代的優(yōu)、良、中、差四個等級。其中測評結(jié)論“差”的判別依據(jù)是被測對象中存在安全問題，而且會導致被測對象面臨高等級安全風險，或被測對象綜合得分低于70分。

圖片來自天億網(wǎng)絡(luò)安全文章截圖，版權(quán)歸原作者

簡單而言，“差”是在系統(tǒng)中存在高危風險或得分低于70分。相當于等保1.0時代中的不符合。但是可以看出來等保的及格線已經(jīng)由原先的60分提高到了70分，等保對安全的最低要求已經(jīng)在顯然提高。因此，未來想通過等保測評需要扎扎實實地把安全工作做好才行。當然，等保不僅是一項合法合規(guī)工作，更是一項基本的安全工作，通過落實等級保護可以提高網(wǎng)絡(luò)安全綜合防御能力和水平，實現(xiàn)動態(tài)防御、主動防御、縱深防御、精準防護、整體防控以及聯(lián)防聯(lián)控。讓更多的網(wǎng)絡(luò)運營者從等保2.0時代中獲取等保建設(shè)的紅利。

下一篇：等保干貨丨等保安全設(shè)備清單整理

【打印此文】【關(guān)閉窗口】