细数等保2.0七大变化，网络信息安全仍然是等保2. 0 的重点

2019 年 5 月 13 日，国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开，网络安全等级保护制度2. 0 标准（以下简称 等保2. 0 标准）正式发布，将于 2019 年 12 月 1 日开始实施。

2008 年起，我国进入“等保1.0”时代，为保障我国信息安全打下了坚实的基础。为适应新技术的发展，解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要，公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，等级保护即将进入2. 0 时代。

相较于等保1.0，等保2. 0 的变化主要体现在以下几个方面：

等保2. 0 将原来的标准《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本要求》。从“信息系统安全”到“网络安全”，与《中华人民共和国网络安全法》中的相关法律条文保持一致。

等保对象由1. 0 的信息系统升级到2. 0 的网络安全和信息系统。新标准将云计算、亿动互联、物联网、工业控制系统等列入标准范围，构成了“安全通用要求+新型应用安全扩展要求”的要求内容。

标准“基本要求、设计要求和测评要求”分类框架统一，形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。

新标准强化了可信计算技术使用的要求，各个级别和层面均增加了可信验证控制点，从第一级到第四级均在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点。

例如 可信验证-一级

可基于可信根对设备的系统引导程序、系统程序等进行可信验证，并在检测到其可信性受到破坏后进行报警。

例如 可信验证-四级

可基于可信根对设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的所有执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心，并进行动态关联感知。

新制度在控制点要求项目并没有明显的增加，通过合并整合后反而减少了，最具典型的三级，其控制项已经大幅度降低，而二、三、四级控制项的级差都有了不同程度的缩短，详细如下：

等保2. 0 标准在对等保1. 0 标准基本要求进行优化的同时，针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。也就是说，使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求。

等保2. 0 发布之后，人们往往把关注点集中在基本要求的技术变化上，而容易忽略等保2. 0 的本质和结构性变化，即法律层面的提升：

1.  以国务院行政法规（《计算机信息系统安全保护条例》）为顶层设计，公安部、国家保密局、国家密码管理局、国务院信息工作办公室共同发布的部门规范性文件（《管理办法》）确立核心体系的“信息安全等级保护”为等保1. 0 时代；

2.  以《网络安全法》、《保守国家秘密法》等法律为顶层设计的等保2.0，其核心体系将是《网络安全等级保护条例》。（已于 2018 年 6 月发布征求意见稿）

《网络安全法》第二十一条要求，国家实施网络安全等级保护制度；第二十五条要求，网络运营者应当制定网络安全事件应急预案； 第三十一条则要求，关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护；第五十九条明确了，网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门给予处罚。

伴随着《网络安全法》出台，等级保护制度上升到法律层面。在此背景下孕育出来等保2.0相比之前的等保要求，在等级保护的对象、保护的内容、保护的体系都大不相同。

当然，云等保不是新鲜的事物，而是在原等保框架下的扩展要求。云等保的各环节与传统等保相同，包括定级、备案、建设整改、测评、监督检查等，因此只需要对原有等级保护相关工作的具体内容进行扩充并统一。

传统信息系统的网络架构伴随业务变化而变化，系统各组件功能与硬件紧耦合，在安全防护上强调分区域和纵深防御。直观上来说，就像铁路局各管一段，信息系统通常以物理网络或者安全设备为边界进行划分。

但是，云计算系统网络架构是扁平化的，业务应用系统与硬件平台松耦合，犹如航空运输。如果信息系统的划分，单纯的以物理网络或安全设备为边界进行划分，将无法体现出业务应用系统的逻辑关系，更无法保证业务信息的安全和系统服务的安全，这就犹如以机场划分各航空公司一样不适用。

云计算系统边界划分基本场景包括两个类型：

第一类场景：存在业务应用不独占硬件物理资源或硬件物理资源上运行的基础服务系统是所有业务应用公用的情况，这时定级系统的边界应划在虚拟边界处，这个虚拟边界就是运行业务应用所用到的最底层独占虚拟资源，通常是虚拟机。如下图所示：

在上图场景中有3个业务应用，通过对业务应用的梳理，业务应用1单独成为一个定级系统，业务应用2和业务应用3组成另一个定级系统。这两个定级系统共用底层服务，因此我们把底层服务连同硬件一起作为一个定级系统C，即云计算平台。定级系统A和定级系统B就是云平台上承载的业务应用系统。

第二类场景：业务应用对应的系统模块存在相对独立的底层服务和硬件资源，因此可以将整个系统边界划分到硬件物理设备，从而确定两个定级系统，如下图所示。如果这个场景对应的是对外提供服务的云计算系统，那么定级系统A就是一个使用了云计算技术的应用系统，而顶级系统B是另一个使用了云计算技术的应用系统。同理，我们依然可以在定级系统B上嵌套场景1，此时定级系统B这个云计算平台就会承载更多的业务应用系统。

在对云计算系统进行测评时应同时满足安全通用要求和云计算安全扩展要求部分的相关要求。在这个过程中根据云上系统的责任分担不同，要对安全通用要求和云计算安全扩展要求做拆分，云服务商和云服务客户针对应要求采取对应安全保护措施。

这时我们要考虑几方面因素，首先要确定被测系统是云计算平台还是业务应用系统。其次，确定被测系统使用哪种服务模式，以此来确定保护责任。

在确定了服务商和客户各自保护责任之后，在定级过程中需要注意以下4点：

云等保的备案方法

传统企业IT基础设施、运维地点、工商注册地基本一致，备案地明确。但是，云计算系统基础设施通常遍布多地，与运维地点和工商注册地不完全一致，存在备案地点不明确的问题。

云服务提供商负责将云计算平台的定级结果向所辖公安机关进行备案，备案地应为运维管理端所在地。云租户负责对云平台上承载的租户信息系统进行定级备案，备案地为工商注册或实际经营所在地。

云等保的建设整改/测评对象与传统信息系统建设整改/测评对象大不相同，如下表所示。云计算系统保护对象中增加了虚拟化、云管理平台、镜像文件等云计算独有内容。

云平台在安全建设中，强调安全能力集成，包括统一身份认证、统一用户授权、统一账户管理、统一安全审计等。在平台内部强调通讯加密与认证、动态监测预警、快速应急响应能力建设、安全产品合规等。

在对云计算系统测评打分时，业务系统打分是不需要与云计算平台的得分结果共同计算，只需将业务系统可测评项进行打分后计算即可，不可测项做“N/A”处理。

那么是否完全不考虑云平台的得分结果呢？显然不是，在做业务系统测评前首要看的就是云计算平台是否完成等级测评，然后索要云平台测评报告结论盖章页。在出具云服务客户业务应用系统报告时，将云平台测评得分一并放在最终得分一栏。如：云服务客户业务应用系统测评得分为85分，云计算平台得分为90分，则云服务客户业务应用系统等级测评报告得分栏填写“（85,90）”。

此外，需要特别注意：

1、在对云租户测评时，如果云平台本身未测评，则无法对云租户系统进行测评。

2、对云租户系统测评打分时，不但要考虑云租户系统自身得分，还应关注云平台得分，云平台得分高低将影响租户系统得分。

等保1. 0 到2. 0 不仅仅是制度修订，技术的升级，更是法律效力的提升。简言之，如果不展开等级保护就相当于违法。