千呼万唤始出来，2019年5月13日，国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开，网络安全等级；ぶ贫2.0标准（以下简称 等保2.0标准）正式发布，将于2019年12月1日开始实施
。

网络安全等级；ぶ贫仁枪彝绨踩煊虻幕竟摺⒒局贫群突痉椒，等保2.0标准在1.0标准的基础上，注重全方位主动防御、安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等；ざ韵蟮娜哺
。

究竟等保2.0标准与等保1.0标准相比，有哪些变化？又有哪些工作保持不变？受邀参与等保2.0标准编纂的等保专家、安恒信息王勇，是这样说的
。

等保2.0标准的“不变”

等级；さ母拍钭1994年提出后，经过20多年的发展和演进，在2.0时代已经有了不小的变化
。但万变不离其宗，等级；さ奈甯龅燃恫槐洹⑽逑罟ぷ鞑槐洹⒅魈逯霸鸩槐
。

01等级；ぁ拔甯黾侗稹辈槐

第一级：用户自主；ぜ
第二级：系统；ど蠹萍
第三级：安全标记；ぜ
第四级：结构化；ぜ
第五级：访问验证；ぜ

02等级；ぁ肮娑ǘ鳌辈槐

等级；の甯龉娑ǘ魇侵福憾丁⒈赴浮⒔ㄉ枵摹⒌燃恫馄馈⒓喽郊觳
。等保2.0标准仍然将围绕这5个规定动作开展工作
。

03等级；ぁ爸魈逯霸稹辈槐

运营使用单位对定级对象的等级；ぶ霸鸩槐
上级主管单位对所属单位的安全管理职责不变
第三方测评机构对定级对象的安全评估职责不变
网安对定级对象的备案受理及监督检查职责不变

等保2.0标准的“变化”

近年来，随着信息技术的发展和网络安全形势的变化，传统等保安全要求已无法有效应对安全风险和新技术应用所带来的新威胁，以被动防御为主的防御已经out了，急需建立主动保障体系
。等保2.0标准适时而出，应对新形势、新风险，满足新要求，扩大新内容
。

如此“新”的等保2.0标准，从法律法规、标准要求、安全体系、实施环节等方面都有了“变化”：

01法律法规变化

从条例法规提升到法律层面
。等保1.0的最高国家政策是国务院147号令，而等保2.0标准的最高国家政策是网络安全法
。

《网络安全法》第二十一条要求，国家实施网络安全等级；ぶ贫；第二十五条要求，网络运营者应当制定网络安全事件应急预案； 第三十一条则要求，关键信息基础设施，在网络安全等级；ぶ贫鹊幕∩，实行重点；；第五十九条明确了，网络运营者不履行本法第二十一条、第二十五条规定的网络安全；ひ逦竦，由有关主管部门给予处罚
。

总而言之，不开展等级；さ扔谖シǎ

02标准要求变化

等保2.0标准在对等保1.0标准基本要求进行优化的同时，针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求
。也就是说，使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求
。并且，针对新的安全形势提出了新的安全要求，标准覆盖度更加全面，安全防护能力有很大提升
。

通用要求方面，等保2.0标准的核心是“优化”
。删除了过时的测评项，对测评项进行合理性改写，新增对新型网络攻击行为防护和个人信息；さ刃乱，调整了标准结构、将安全管理中心从管理层面提升至技术层面
。

这里我们重点谈，安全扩展要求是等保2.0标准的“亮点”，要求细则必看：

1）云计算扩展要求

云计算技术的普及，解决了传统数据中心的存储难、资源占用大、成本高等问题，伴随而来安全风险也非常尖锐，主要来自于系统和数据所有权的转移，新技术、虚拟环境等新模式两方面带来的风险
。等保2.0标准从原则性、自身防护、提供能力三方面提出了要求：

原则性要求：应确保云计算平台不承载高于其安全；さ燃兜囊滴裼τ孟低；应确保云计算基础设施位于中国境内；应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定等
。

自身防护要求：应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；应能检测虚拟机之间的资源隔离失效，并进行告警等
。

提供能力要求：应实现不同云服务客户虚拟网络之间的隔离；应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力等
。

2）大数据扩展要求

管理流量与业务流量分离

大数据授权与分类分级管理

大数据层面入侵防范与告警

大数据应用安全管理

3）物联网扩展要求

网络安全入侵防范与认证授权

感知节点设备安全

非法感知节点设备识别与防范

抗数据重放，数据融合处理

感知节点管理

4）工业控制扩展要求

工业控制系统隔离与安全区域划分

工业控制数据加密传输

工业无线通信安全

工业控制设备自身安全

工业安全运维管理

5）移动互联扩展要求

无线边界控制与入侵防范

SSID广播与WEP认证

MDM、MCM管理

移动端应用安全管控

移动端数据安全管控

后续，我们还会就新增的扩展要求进行进一步的解读哦
。

03安全体系变化

等保2.0标准依然采用“一个中心、三重防护”的理念，从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变
。
建立安全技术体系和安全管理体系，构建具备相应等级安全；つ芰Φ耐绨踩酆戏烙逑，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作 
。
 

等级；ぐ踩蚣芡

04实施环节变化

在等级；ざ丁⒈赴浮⒔ㄉ枵摹⒌燃恫馄馈⒓喽郊觳榈氖凳┕讨，等保2.0标准进行了优化和调整
。

定级对象的变化：

等保1.0定级的对象是信息系统，等保2.0标准的定级的对象扩展至：基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台，覆盖面更广
。

定级级别的变化：

公民、法人和其他组织的合法权益产生特别严重损害时，相应系统的等级；ぜ侗鸫1.0的第二级调整到了第三级
。

定级流程的变化：

等保2.0标准不再自主定级，而是通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”这种线性的定级流程，系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，整体定级更加严格
。

相较于等保1.0，等保2.0标准测评周期、测评结果评定有所调整
。等保2.0标准要求，第三级以上的系统每年开展一次测评，测评达到75分以上才算基本符合要求
；痉指吡，要求更严苛了
。

(信息来源：http://www.sohu.com/a/313939847_100017648)