1、等級保護2.0介紹什么是等級保護？網絡安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。等級保護的劃分第一級 信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益 第二級 信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全 第三級 信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害

2、 第四級 信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害 第五級 信息系統受到破壞后，會對國家安全造成特別嚴重損害 等級保護工作主要的流程一是定級二是備案（二級以上的信息系統）三是系統建設、整改四是開展等級測評五是信息安全監管部門定期開展監督檢查等級保護的對象演變標準名稱的變化等保2.0將原來的標準信息安全技術 信息系統安全等級保護基本要求改為信息安全技術 網絡安全等級保護基本要求，與中華人民共和國網絡安全法中的相關法律條文保持一致標準內容的變化等級保護標準體系定級指南基本要求通用要求云計算物聯網移動互聯工業控制設計要求測評要求控制結構的變化等級保護1.

3、0等級保護2.0結構圖舊標準技術要求物理安全網絡安全主機安全應用安全數據安全及備份恢復管理要求安全管理制度安全管理機構人員安全管理系統建設管理系統運維管理新標準物理和環境安全技術要求網絡和通信安全設備和計算安全應用和數據安全安全策略和管理制度管理要求安全管理機構和人員安全建設管理安全運維管理控制點對比基本要求大類1.0基本要求子類信息系統安全等級保護級別等保二級等保三級技術要求物理安全1010網絡安全67主機安全67應用安全79數據安全33管理要求安全管理制度33安全管理機構55人員安全管理55系統建設管理911系統運維管理1213合計/6673基本要求大類2.0基本要求子類信息系統安全等級保

4、護級別等保二級等保三級技術要求物理和環境安全1010網絡和通信安全78設備和計算安全66應用和數據安全910管理要求安全策略和管理制度44安全管理機構和人員99安全建設管理1010安全運維管理1414合計/6971要求項對比基本要求大類1.0基本要求子類信息系統安全等級保護級別等保二級等保三級技術要求物理安全1932網絡安全1833主機安全1932應用安全1931數據安全48管理要求安全管理制度711安全管理機構920人員安全管理1116系統建設管理2845系統運維管理4162合計/175290基本要求大類2.0基本要求子類信息系統安全等級保護級別等保二級等保三級技術要求物理和環境安全1522

5、網絡和通信安全1633設備和計算安全1726應用和數據安全2234管理要求安全策略和管理制度67安全管理機構和人員1626安全建設管理2534安全運維管理3048合計/147230總體上看，等保2.0通用要求在技術部分的基礎上進行了一些調整，但控制點要求上并沒有明顯增加，通過合并整合后相對舊標準略有縮減。原控制點要求項數新控制點要求項數物理安全1物理位置的選擇2物理和環境安全1物理位置的選擇22物理訪問控制42物理訪問控制13防盜竊和防破壞63防盜竊和防破壞34防雷擊34防雷擊25防火35防火36防水和防潮46防水和防潮37防靜電27防靜電28溫濕度控制18溫濕度控制19電力供應49電力供應3

6、10電磁防護310電磁防護2原控制項新控制項物理位置的選擇b)機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。物理位置的選擇b)機房場地應避免設在建筑物的頂層或地下室，否則應加強防水和防潮措施 防靜電無防靜電b)應采取措施防止靜電的產生，例如采用靜電消除器、佩戴防靜電手環等。(新增)原控制點要求項數新控制點要求項數網絡安全1結構安全7網絡和通信安全1網絡架構52訪問控制82通信傳輸23安全審計43邊界防護44邊界完整性檢查24訪問控制55入侵防范25入侵防范46惡意代碼防范26惡意代碼防范27網絡設備防護87安全審計58集中管控6原控制項新控制項無通信傳輸a)應采用校驗碼技術

7、或密碼技術保證通信過程中數據的完整性；b)應采用密碼技術保證通信過程中敏感信息字段或整個報文的保密性。 邊界完整性檢查a)應能夠對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；邊界防護a)應保證跨越邊界的訪問和數據流通過邊界防護設備提供的受控接口進行通信；b)應能夠對非授權設備私自聯到內部網絡的行為進行限制或檢查； b)應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。c)應能夠對內部用戶非授權聯到外部網絡的行為進行限制或檢查； d)應限制無線網絡的使用，確保無線網絡通過受控的邊界防護設備接入內部網絡。入侵防范無入侵防范b)應在

8、關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為； (新增)無c)應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的分析； (新增)原控制項新控制項惡意代碼防范無惡意代碼防范b)應在關鍵網絡節點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新。 (新增)安全審計無安全審計d)應確保審計記錄的留存時間符合法律法規要求；(新增)e)應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析。 (新增)無集中管控a)應劃分出特定的管理區域，對分布在網絡中的安全設備或安全組件進行管控； (新增)b)應能夠建立一條安全的信息傳輸路徑，對網絡中的安

9、全設備或安全組件進行管理； (新增)c)應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測； (新增)d)應對分散在各個設備上的審計數據進行收集匯總和集中分析；(新增)e)應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理； f)應能對網絡中發生的各類安全事件進行識別、報警和分析。 (新增)解讀1. 根據服務器角色和重要性，對網絡進行安全域劃分；2. 在內外網的安全域邊界設置訪問控制策略，并要求配置到具體的端口；3. 在網絡邊界處應當部署入侵防范手段，防御并記錄入侵行為；4. 對網絡中的用戶行為日志和安全事件信息進行記錄和審計；5.對安全設備、網絡設備和服務器等進行集中管

10、理。原控制點要求項數新控制點要求項數主機安全1身份鑒別6設備和計算安全1身份鑒別42訪問控制72訪問控制73安全審計63安全審計54剩余信息保護24入侵防范55入侵防范35惡意代碼防范16惡意代碼防范36資源控制47資源控制5原控制項新控制項安全審計無安全審計d)應確保審計記錄的留存時間符合法律法規要求； （新增）入侵防范無入侵防范b)應關閉不需要的系統服務、默認共享和高危端口；c)應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制；d)應能發現可能存在的漏洞，并在經過充分測試評估后，及時修補漏洞；解讀1. 避免賬號共享、記錄和審計運維操作行為是最基本的安全要求；2. 必

11、要的安全手段保證系統層安全，防范服務器入侵行為；原控制點要求項數新控制點要求項數應用安全1身份鑒別5應用和數據安全1身份鑒別52訪問控制62訪問控制73安全審計43安全審計54剩余信息保護24軟件容錯35通信完整性15資源控制26通信保密性26數據完整性27抗抵賴27數據保密性28軟件容錯28數據備份和恢復39資源控制79剩余信息保護2數據安全及備份恢復9數據完整性210個人信息保護210數據保密性211備份和恢復4原控制項新控制項安全審計無安全審計d)應確保審計記錄的留存時間符合法律法規要求； （新增）軟件容錯無軟件容錯c)在故障發生時，應自動保存易失性數據和所有狀態，保證系統能夠進行恢復。

12、（新增）身份鑒別無身份鑒別c)應強制用戶首次登錄時修改初始口令； （新增）d)用戶身份鑒別信息丟失或失效時，應采用技術措施確保鑒別信息重置過程的安全； （新增）個人信息保護無個人信息保護a)應僅采集和保存業務必需的用戶個人信息； （新增）b)應禁止未授權訪問和非法使用用戶個人信息。（新增）解讀1. 應用是具體業務的直接實現，不具有網絡和系統相對標準化的特點。大部分應用本身的身份鑒別、訪問控制和操作審計等功能，都難以用第三方產品來替代實現；2. 數據的完整性和保密性，除了在其他層面進行安全防護以外，加密是最為有效的方法；3. 數據的異地備份是等保三級區別于二級最重要的要求之一，是實現業務連續最基礎的技術保障措施。網絡安全法與等級保護工作關系第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（三）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；（四）采取數據分類、重要數據備份和加密