网络安全等级保护(等保2.0)解读(1).pdf

网络安全等级保护（等保2.0）解读

01前言

2018年12月25日，由中关村可信计算产业联盟主办的等级保护新标准解读培训班在

北京裕龙国际酒店举行。沈昌祥院士做了《用可信计算筑牢网络安全防线》的主题演讲，公

安部范春玲、李秋香和陈广勇三位专家老师对必威体育精装版的网络安全等级保护制度进行了细致的解

读，新华三作为可信计算联盟的理事成员单位，有幸受邀参加了此次培训。同时作为等级保

护2.0的参编单位，为了更好的学习贯彻和落实国家网络安全等级保护制度，新华三再次对

会上专家的培训内容做个总结。

02等级保护标准变化

等级保护新标准在编制过程中总共经历了两次大的变化，第一次是2017年8月根据网

信办和公安部的意见将5个分册进行了合并，形成一个标准，并在2017年10月参加信安

标委WG5工作组在研标准推进会，介绍合并后的标准送审稿，征求127家成员单位意见，

修订完成报批稿；第二次大的变化是2018年7月根据沈昌祥院士的意见再次调整分类结构

和强化可信计算，充分体现一个中心、三重防御的思想并强化可信计算安全技术要求的使用。

经过这两次大变化后的《网络安全等级保护基本要求》有10个章节8个附录，其中第

6、7、8、9、10章为五个安全等级的安全要求章节，8个附录分别为：安全要求的选择和

使用、关于等级保护对象整体安全保护能力的要求、等级保护安全框架和关键技术使用要求、

云计算应用场景说明、移动互联应用场景说明、物联网应用场景说明、工业控制系统应用场

景说明和大数据应用场景说明。

标准名称由原来的《信息安全技术信息系统安全等级保护基本要求》变更为《信息安

全技术网络安全等级保护基本要求》，与《中华人民共和国网络安全法》保持一致。等级

保护对象由原来的“信息系统”改为“等级保护对象（网络和信息系统）”，安全等级保护

对象包括基础信息网络（广电网、电信网等）、信息系统（采用传统技术的系统）、云计算

平台、大数据平台、移动互联、物联网和工业控制系统等。新版安全要求在原有通用安全要

求的基础上新增安全扩展要求，安全扩展要求主要针对云计算、移动互联、物联网和工业控

制系统提出了特殊安全要求。

03等级保护章节结构

调整后每一级的安全要求均包括安全通用要求、云计算安全扩展要求、移动互联安全扩

展要求、物联网安全扩展要求和工业控制系统安全扩展要求这几个部分：

安全通用要求规定了不管等级保护对象形态如何必须满足的要求。

云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加

的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商

选择”和“云计算环境管理”等方面。这里需要注意云计算环境的定级，对于云租户的定级

仍按照传统的定级思路，而对于云计算平台的定级则分两种情况，一种是中小型云计算平台，

可将整个云计算平台作为整体定级对象；另一种是针对大型云计算平台，应将云计算基础设

施和有关辅助服务系统划分为不同的定级对象（比如大型云计算平台的计费系统可单独作为

一个定级对象）。

移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。对移动互联环境主

要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移

动应用软件采购”和“移动应用软件开发”等方面。

物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加

的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、

“感知节点的管理”和“数据融合处理”等方面。

工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控

制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨

号使用控制”、“无线使用控制”和“控制设备安全”等方面，针对工业控制系统实时性要

求高的特点调整了“漏洞和风险管理”和“恶意代码防范管理”方面的要求。

04控制措施分类结构

调整后的控制措施分类结构如下：

技术要求“从面到点”提出安全要求，“安全物理环境”主要对机房设施提出要求，“安

全通信网络”和“安全区域边界”主要对网络整体