等保标准演变史（1.0~2.0）

随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现，计算机信息系统的概念已经不能涵盖全部，特别是互联网快速发展带来大数据价值的凸显。云计算、大数据、工业控制系统、物联网、移动互联等新技术的不断拓展已经成为产业结构升级的坚实基础，而其中网络和信息系统作为新兴产业的承载者，构建起了整个经济 社会 的神经中枢，保证其安全性不言而喻。

由于业务目标的不同、使用技术的不同、应用场景的不同等因素，不同的等级保护对象会以不同的形态出现，表现形式有 基础信息网络、信息系统、云计算平台、大数据平台、物联网系统、工业控制系统 等。形态不同的保护对象面临的威胁有所不同，安全保护需求也会有所差异。现有的标准体系需要提升台阶，去适应新技术的发展，等级保护的相关标准也需要跟上新技术的变化。 “等保10”的标准体系在适用性、时效性、易用性、可 *** 作性上需要进一步扩充和完善，因此“等保20“应运而生。

图注：等级保护20安全框架

针对等级保护对象特点建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系。应依据国家网络安全等级保护政策和标准，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。

首先安全的内涵由早期面向数据的信息安全，过度到面向信息系统的信息保障（信息系统安全），并进一步演进为面向网络空间的网络安全。网络安全（cybersecurity）以其更丰富的内涵逐步取待信息安全成为安全领域共识，《中华人民共和国网络安全法》明确规定“国家实行网络安全等级保护制度“，相关法律条文和标准也需保持一致性， “等保20“与时俱进的将原标准的”信息系统安全等级保护“改为”网络安全等级保护“ ，例如《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》。

等保20对定级指南、基本要求、实施指南、测评过程指南、测评要求、设计技术要求等标准进行修订和完善， 以满足新形势下等级保护工作的需要，其中《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全安全等级保护基本要求》、《信息安全技术 网络安全等级保护安全设计要求》已于2019年5月10日发布，并将在2019年12月1日实施。

在开展网络安全等级保护工作中应首先明确等级保护对象。

等保10定义等级保护对象为： 信息安全等级保护工作直接作用的具体信息和信息系统。随着云计算平台、物联网、工业控制系统等新形态的等级保护对象不断涌现，原定义内涵局限性日益显现。

等保20定义等级保护对象为： 包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。

（以基本要求为例）

等保10：安全要求

等保20：安全通用要求和安全扩展要求

注：等保20安全通用要求是普适性要求，是不管等级保护对象形态如何，必须满足的要求；针对云计算、移动互联、物联网和工业控制系统，除了满足安全通用要求外，还需满足的补充要求称为安全扩展要求。

云计算安全扩展要求针对云计算的特点提出特殊保护要求。云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。

针对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。

物联网安全扩展要求针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。

工业控制系统安全扩展要求针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。

以基本要求为例，充分体现一个中心，三重防御的思想（和GB/T 25070保持一致，与设计要求融合）。

1、等级保护的基本要求、测评要求和设计技术要求统一框架，构建“一个中心，三重防护“的安全体系；

2、通用安全要求+新型应用安全扩展要求，将云计算、移动互联、物联网、工业控制系统等列入了标准规范。

基于这些变化，进入等保20时代，我们应重点对云计算、移动互联、物联网、工业控制以及大数据安全等进行全面安全防护，确保关键信息基础设施安全。

1、等级保护的基本要求、测评要求和安全设计技术要求框架统一，即：安全管理中心支持下的三重防护结构框架；2、通用安全要求+新型应用安全扩展要求，将云计算、移动互联、物联网、工业控制系统等列入标准规范；3、将可信验证列入各级别和各环节的主要功能要求。

法律依据：
《中华人民共和国社会保险法》
第十二条用人单位应当按照国家规定的本单位职工工资总额的比例缴纳基本养老保险费，记入基本养老保险统筹基金。
职工应当按照国家规定的本人工资的比例缴纳基本养老保险费，记入个人账户。
无雇工的个体工商户、未在用人单位参加基本养老保险的非全日制从业人员以及其他灵活就业人员参加基本养老保险的，应当按照国家规定缴纳基本养老保险费，分别记入基本养老保险统筹基金和个人账户。
第二十三条职工应当参加职工基本医疗保险，由用人单位和职工按照国家规定共同缴纳基本医疗保险费。
无雇工的个体工商户、未在用人单位参加职工基本医疗保险的非全日制从业人员以及其他灵活就业人员可以参加职工基本医疗保险，由个人按照国家规定缴纳基本医疗保险费。
第三十五条用人单位应当按照本单位职工工资总额，根据社会保险经办机构确定的费率缴纳工伤保险费。
第四十四条职工应当参加失业保险，由用人单位和职工按照国家规定共同缴纳失业保险费。
第五十三条职工应当参加生育保险，由用人单位按照国家规定缴纳生育保险费，职工不缴纳生育保险费

网络安全等级保护制度是国家网络安全保障的基本制度、基本策略、基本方法。最新的网络安全等级保护标准已于2019年12月1日起正式实施（简称“等保20”）。

等保20依旧采用“一个中心，三重防护”的技术理念，并在原标准基础上提出新的技术要求和管理要求，如可信技术、云计算、物联网等新兴领域的安全扩展要求等。因此，用户在安全防护体系建设、风险评估和安全管理上需要更加全面，并关注所在行业的安全要求和定级标准，满足等保二级、等保三级认证要求。

伴随着等保20的发布，也标志着我国网络安全等级保护将进入一个全新的阶段。那么什么是等保网络安全等级保护20具有哪些特点等保20和等保10有什么区别针对这些问题，我为大家详细讲解一下。

什么是等保

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

网络安全等级保护20具有哪些特点

①等级保护的基本要求、测评要求和安全设计技术要求框架统计，即：安全管理中心支持下的三重防护结构框架;

②通用安全要求+新型应用安全扩展要求，将云计算、移动互联、物联网、工业控制系统等列入标准规范;

③将可信验证列入各级别和各环节的主要功能要求。

等保20和等保10有什么区别

第一：名称变化

《信息系统安全等级保护基本要求》改为：《网络安全等级保护基本要求》，与《网络安全法》保持一致。

第二：定级对象变化

等保10的定级对象是信息系统，现在20更为广泛，包括：信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。

第三：安全要求变化

等保20由一个单独的基本要求演变为通用安全要求+新技术安全扩展要求，其中安全通用要求是不管等级保护对象形态如何都必须满足的要求，针对云计算、移动互联、物联网和工业控制系统提出了特殊要求，称为安全扩展要求。

①云计算安全扩展要求包括基础设施的位置、虚拟化安全保护、镜像和快照保护、云服务商选择和云计算环境管理等方面。

②移动互联安全扩展要求包括无线接入点的地理位置、移动终端管控、移动应用管控、移动应用软件采购和移动应用软件开发等方面。

③物联网安全扩展要求包括感知节点的物理保护、感知节点设备安全、感知网关节点设备安全、感知节点的管理和数据融合处理等方面。

④工业控制系统安全扩展要求包括室外控制设备防护、工业控制系统网络架构安全、拨号使用控制、无线使用控制和控制设备安全等方面。

第四：控制措施分类结构变化

等保20依然保留技术和管理两个维度。

技术：由物理安全、网络安全、主机安全、应用安全、数据安全，变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;

管理：结构上没有太大的变化，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理，调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

第五：工作内容变化

等保20不仅进一步明确定级、备案、安全建设、等级测评、监督检查等10时代的规定动作，最主要的是把安全检测、通报预警、案事件调查等措施都将全部纳入等级保护制度并加以实施。

一、网络安全等级保护的认证流程
三级等保的流程一般为系统定级→系统备案→整改实施→系统测评→运维检查，具体每步流程步骤如下：
（1）系统定级：编写定级报告、填写定级备案表；
（2）系统备案：定级备案表填写完整后，将定级材料提交至公安机关进行备案审核；
（3）整改实施：对系统进行调研，开展差距评估，依照国家相关标准进行方案设计，完成相应设备采购及调整、策略配置调试、完善管理制度等工作；
（4）系统测评：请当地测评机构，对系统进行全方面测评，测评评分合格后获得合格测评报告，最终获得等级保护备案证；
（5）运维检查：系统持续运维与优化，并按照相关要求进行年检。
二、网络安全等级保护都需要提供哪些材料？
1信息系统等级保护备案表；
2信息系统等级保护定级报告；
3网络与信息安全承诺书；
4营业执照复印件（或执业许可证、事业单位证书、非盈利性机构证书等许可证明）；
5法人身份z复印件；
6被授权人身份z原件及复印件；
7被授权人委托书；
8单位办公地证明（公司或个人办公地址租赁合同或房产证）；
9单位服务器托管协议；
10网络安全等级保护应急联系人登记表；
11定级专家评审意见（及专家资质、专家会议签到表）；
12行业主管部门定级审核意见（或上级主管部门定级审核意见）；
13系统使用的安全产品清单及认证、销售许可证明；
14信息安全工作管理制度；
15系统拓扑图及说明；
16系统使用网络IP地址清单；
17备案证明。
三、哪些企业需要做等保
根据《信息安全技术 网络安全等级保护定级指南》等相关标准的规定，针对于备案单位而言，以下内容都属于实施等保的对象：
（1）起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统），如某汽车局域网信息系统，某IDC机房等保三级业务系统；
（2）用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统，要按照不同业务类别单独实施等保，不以系统是否进行数据交换、是否独享设备为必要条件。如企业内部的OA系统、人力资源管理系统以及ERP系统，某法院智能信息审判系统，某医院的信息化系统，某水电厂监控系统；
（3）各单位网站、邮件系统要作为独立的等保对象。如果网站的后台数据库管理系统安全级别较高，以及网上运行的信息系统，都要作为独立的等保对象。如企业内部/对外网站系统、某银行征信中心网站系统，12306火车票售票网站等；
（4）云平台、大数据、工业控制系统、物联网、移动互联网、卫星系统等，都属于等保对象的范围。

---