对等保2.0的看法

一、概念

等保2.0是网络安全等级保护制度的第二代标准，是对原有信息安全等级保护（简称”等保1.0”）的深化和完善。这一制度旨在应对信息技术快速发展带来的新挑战，通过主动防御、事前、事中、事后全流程的安全可信、动态感知和全面审计，提升网络安全防护水平。等保2.0强调可信计算技术的使用，并将可信验证功能要求列入各个级别，逐级提出各个环节的具体要求。

二、要求

等保2.0标准体系涉及众多标准，包括《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）、《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）等。这些标准对数据安全、个人信息保护提出了更高的要求，例如要求对数据进行分区管理，设置独立安全区域以隔离敏感数据。此外，等保2.0还强化了密码技术和可信计算技术的使用，把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。

三、不同点

与等保1.0相比，等保2.0有以下几个主要不同点：

1.覆盖范围的扩展：等保2.0不仅涵盖了传统的信息系统，还包括了云计算、大数据、物联网、移动互联等领域，更好地适应了数字化时代的发展需求。
2.技术要求的提升：等保2.0强化了可信计算技术的使用，并把可信验证功能要求列入各个级别，逐级提出各个环节的具体要求。
3.管理要求的细化：等保2.0增加了“外部运维管理”控制点，并对外部运维管理提出了更严格的要求。
4.安全防护策略的变化：从被动防御转变为主动式防御，以应对新技术和新应用带来的挑战。

四、扩展要求

1.云计算安全扩展要求：

包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个部分。
针对云计算平台的安全架构、访问控制、入侵防范和安全审计等方面提出了详细的安全标准。

2.移动互联安全扩展要求：

对移动应用来源进行管理，实施软件白名单功能，控制应用软件的安装和运行。
包括无线边界控制、入侵防范、移动终端管理等内容。

3.物联网安全扩展要求：

针对物联网设备和系统的特殊性，提出了室外控制设备防护、工业控制系统网络架构安全、拨号使用控制、无线使用控制和控制设备安全等方面的要求。

4.工业控制系统安全扩展要求：

针对工业控制系统的实时性要求，提出了室外控制设备防护、工业控制系统网络架构安全、拨号使用控制、无线使用控制和控制设备安全等方面的要求。
包括室外控制设备防护、工业控制系统网络架构安全、拨号使用控制、无线使用控制和控制设备安全等方面的要求。

5.大数据安全扩展要求：

对大数据平台提出了新的安全扩展要求，包括数据完整性、数据保密性等方面的具体要求。
等保2.0标准不仅覆盖了传统信息系统，还扩展到了网络基础设施、云计算平台、大数据平台、物联网、工业控制系统和采用移动互联技术的系统等多个领域，提出了相应的安全扩展要求。这些扩展要求旨在应对新技术带来的安全挑战，确保各类信息系统在不同业务场景下的安全性。