01等保2.0与1.0的区别

网络安全等级保护工作及基本要求介绍2018年4月2等级保护的前生今世2014年，全国安标委秘书处下达了对原国家标准《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2008进行修订的任务书，项目计划号为20141151-T-409，标准修订主要承担单位（牵头单位）公安部第三研究所（公安部信息安全等级保护评估中心）3信息安全等级保护标准修订2015年4月29日第一次专家评审会➢十位专家，共收到意见45条，采纳意见40条，没有采纳5条2015年12月8日第二次专家评审会➢九位专家，共收到意见25条，采纳意见23条，没有采纳2条2016年07月1日第三次专家评审会➢九位专家，共收到意见33条，采纳意见30条，没有采纳3条2016年9月参加安标委WG5工作组在研标准推进会，对草案再次进行了修改，形成了标准征求意见稿。5评审和修订进程简介标准征求意见稿征求了WG5成员单位，7个部委，分别是中央网信办、工信部、保密局、公安部、国家密码管理局、国家认监委和信息安全测评中心的意见，共收到意见44条，采纳意见36条，没有采纳8条，其中7部委意见经过沟通后全部采纳。2017年4月参加安标委WG5工作组在研标准推进会，对标准征求意见稿再次进行了修改，形成了5个分册标准送审稿。2017年8月根据网信办和公安部的意见将5个分册进行合并，形成合并后的标准送审稿。2017年10月参加安标委WG5工作组厦门在研标准推进会，再次形成标准送审稿。6评审和修订进程简介GB/T22239网络安全等级保护基本要求➢第1部分安全通用要求（公安部信息安全等级保护评估中心）➢第2部分云计算安全扩展要求（公安部信息安全等级保护评估中心）➢第3部分移动互联安全扩展要求（北京鼎普科技股份有限公司）➢第4部分物联网安全扩展要求（公安部第一研究所）➢第5部分工业控制系统安全扩展要求（浙江大学）将上述5个部分合并为一个标准：GB/T22239网络安全等级保护基本要求。7主要工作-基本要求标准的合并1、名称的变化原来：《信息系统安全等级保护基本要求》改为：《信息安全等级保护基本要求》再改为：（与《网络安全法》保持一致）《网络安全等级保护基本要求》11主要变化--（1/11）2、安全要求的变化原来：安全要求改为：安全通用要求和安全扩展要求安全通用要求是不管等级保护对象形态如何必须满足的要求，针对云计算、移动互联、物联网和工业控制系统提出了特殊要求，称为安全扩展要求.12主要变化--（2/11）3、章节结构的变化8第三级安全要求8.1安全通用要求8.2云计算安全扩展要求8.3移动互联安全扩展要求8.4物联网安全扩展要求8.5工业控制系统安全扩展要求13主要变化--（3/11）10基础信息网络工业控制系统物联网使用移动互联技术信息系统等级保护对象信息系统（计算机）云计算平台大数据4.调整了控制措施的分类结构结构和分类调整为：➢技术部分：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全；➢管理部分：安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理14主要变化--（4/11）5.增加了云计算安全扩展要求云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。15主要变化--（5/11）6.增加了移动互联安全扩展要求移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。16主要变化--（6/11）7.增加了物联网安全扩展要求物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。17主要变化--（7/11）8.增加了工业控制系统安全扩展要求工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面，针对工业控制系统实时性要求高的特点调整了“漏洞和风险管理”和“恶意代码防范管理”方面的要求。18主要变化--（8/11）9.增加了应用场景的说明增加附录C描述等级保护安全框架和关键技术，增加附录D描述云计算应用场景，附录E描述移动互联应用场景，附录F描述物联网应用场景，附录G描述工业控制系统应用场景。19主要变化--（9/11）10、取消了安全控制点的标注适应定级方法的变化。取消对控制点的“S”、“A”、“G”标注的使用，调整原来的附录B“安全要求的选择和使用”，说明与定级指南的关系，增加安全控制措施选择时，控制点的标注及使用说明。20主要变化--（10/11）11.安全通用要求分类变化基本要求技术要求管理要求安全策略和管理制度安全管理机构和人员物理和环境安全网络和通信安全设备和计算安全应用和数据安全安全建设管理安全运维管理主要变化--（11/11）安全通用要求针对共性化保护需求提出，等级保护对象无论以何种形式出现，必须根据安全保护等级实现相应级别的安全通用要求安全扩展要求针对个性化保护需求提出，需要根据安全保护等级和使用的特定技术或特定的应用场景实现安全扩展要求24安全通用要求和安全扩展要求的使用场合技术要求“从面到点”提出安全要求，“物理和环境安全”主要对机房设施提出要求，网络和通信安全”主要对网络整体提出要求，“设备和计算安全”主要对构成节点提出要求，“应用和数据安全”主要对业务应用和数据提出要求。26安全通用要求-技术要求的特点管理要求“从元素到活动”提出安全要求，“安全策略和管理制度”及“安全管理机构和人员”主要提出了管理不可缺少的制度、机构和人员三要素，“安全建设管理”及“安全运维管理”主要提出了建设过程和运维过程的安全活动管理要求。27安全通用要求-管理要求的特点等保1.0与等保2.0区别22等级保护内容大不同等保1.0等保2.0•五个规定动作•定级•备案•风险评估•安全检测•通报预警•案事件调查•数据防护•灾难备份•应急处置•……•建设整改•等级测评•监督检查等级保护体系大升级23等级保护2.0-工控24等级保护2.0-工控25等级保护2.0-工控26等级保护2.0-工控272020年11月谢谢！