等保2.0全称为信息安全技术网络安全等级保护基本要求2.0。GB/T 22239-2019代替22239-2008。是*部颁发，针对全行业进行定级、备案、建设整改、等级测评、监督检查的强制性文件。与此同时，也是当今我国的网络安全领域的一项基本制度，基本国策。

 

首先是关于执行等保2.0的必要性。在《*网络安全法》中针对这方面有明文要求：

• 第二十一条要求：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改
• 第二十五条要求：网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。
• 第三十一条要求：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
• 第五十九条要求：网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

 

因此不展开等级保护等于违法。

 

那怎么样才能落实等保2.0，其具体要求是怎样的呢？与等保1.0相比，等保2.0在很多方面都进行了细化，同时也提出了更高的要求。从法律法规、标准要求、安全体系、实施环节等方面都有了变化。主要变化如下：

• 将标准名称变更为《信息安全技术 网络安全等级保护基本要求》；

• 调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理；
• 调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求；
• 取消了原来安全控制点的S、A、G标注，增加一个附录A 描述等级保护对象的定级结果和安全要求之间的关系，说明如何根据定级结果选择安全要求；
• 调整了原来附录A 和附录 B的顺序，增加了附录C描述网络安全等级保护总体框架，并提出关键技术使用要求。

 

以上是等保2.0中提出的变化。接下来谈谈详细的规程规制。信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由高到低分为五级：

• 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；
• 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；
• 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；
• 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；

• 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

 

等保2.0主要是对各级保护对象提出了详细要求。其中由于第五等级保护对象是非常重要的监督管理对象，对其有特殊的管理模式和安全要求，所以不在等保2.0中进行描述。

 

在之前的等保1.0，各级安全要求是分为两大部分，技术要求和管理要求，而最新的等保2.0已不再划分，更加整洁和扼要。

 

在等保2.0中，各级安全要求都是围绕五项要求展开的，即安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求，无外乎具体细则要求的强度不同。

 

第一级的安全通用要求包括，物理环境、通信网络、区域边界、计算环境、管理制度、管理机构、管理人员、建设管理、运维管理。具体要求做到物理访问控制、防盗、防破坏、防雷击、防火、防水、防潮、温湿度控制、电力供应等。

 

针对不同对象的要求都是围绕这些项目展开的。例如：云计算安全扩展要求包括，物理环境、通信网络、区域边界、计算环境、建设管理；移动互联安全扩展要求包括，物理环境、区域边界、计算环境、建设管理；物联网安全扩展要求包括，物理环境、区域边界、运维管理；工业控制系统安全扩展要求包括，物理环境、通信网络、区域边界、计算环境。

 

而针对第二级，各项要求都有了更高要求的补充，例如在安全通用要求中加了电磁防护，或是对原先的入侵防范多了三项要求等。以此类推，第三级、第四级的要求也是在原有基础上添加和补充。

 

由于篇幅原因，不能够对等保2.0中所有的细则进行对比分析，此处着重分析对于各级保护对象关于管控中心的要求。在等保2.0中，针对第一级保护对象，并没有安全管理中心的相关要求，只需要做到建立安全管理制度。

 

针对第二级保护对象，在第7.1.5条中关于安全管理中心的要求，提出管理中心的功能主要包括系统管理和审计管理两部分。系统管理主要是对系统管理员进行身份鉴别和对相关操作进行审计，并能够通过系统管理员进行各类资源配置。审计管理主要是对审计操作的命令进行约束，以及能够对审计人员的操作进行审计，分析结果便于查询。

 

针对第三级保护对象，在第8.1.5条中关于安全管理中心的要求，比第二级的要求多出两项，除了原有的系统管理和审计管理，新增加了安全管理、集中管控。

• 安全管理提出对安全管理员的相关操作命令进行约束，以及能够对其操作进行审计，并能够通过安全管理员进行安全策略的配置。
• 集中管控，这是最重要的功能。这项要求从功能上和技术实现上，跟前两级要求划分了界限。其要求划分特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；建立安全的信息传输路径，对网络链路、安全设备、网络设备和服务器等进行集中监测；对分散设备的审计数据进行收集汇总和集中分析；对安全策略，恶意代码、补丁升级等进行集中管理；对网络中的各类安全事件进行识别、报警和分析。

 

针对第四级保护对象，在第9.1.5条中关于安全管理中心的要求，在集中管控要求比第三级的要求多出一项。保证系统范围内的时间由唯一确定的时钟产生，以保证各种数据的管理和分析在时间上的一致性。

 

集中管控的功能是第三级、第四级的重点。要求对三重防护，通讯网络、区域边界、计算环境中的安全设备或安全组件进行集中管控，包括纵向认证、路由器、交换机、横向隔离、防火墙、恶意代码防范、入侵检测、主机加固、安全审计、安全自评估工具等，这是过去极少实现的，以致于听过有人说现在不存在可用统一管控的产品。

 

但考虑到国家文件已经下发，肯定是有看到技术的可行性，以及成熟的产品。现如今的安全厂家肯定有能够实现的产品，但肯定不会多。

 

这是等保2.0中附录C的安全框架图。其体系架构特点可以概括为1+3，即一个安全管理中心支持下的三重防护体系架构：

 

 

最后，说下现状。由于等保2.0是2019年12月1日发行的，因此今年是采用全新要求来做等保测评的。而做等保测评先要到*部备案定级，*部通过后再根据定级来做防护，部分地区会刻意让下属厂站定在第二等级，这样在管控平台的相关要求会低很多。但其实，只要单位遭受破坏后，会对国家安全造成损害，都会定在三级以上，电厂是电网的一个点，经常被用来当做跳板攻击中调，配电公司也是同样的道理。因此厂站理论上来说都是要至少做三级的，即要实现能够统一管控安全设备和安全组件。

 

以上就是关于等保2.0的一部分解读，也希望今年等保测评都能顺利通过。关注公众号：IT学子，回复等保2.0，可获取等保1.0，等保2.0，以及相关解读资料。回复网络安全法，可获取*网络安全法。