计算机行业：等保2.0标准发布，信息安全产业进一步迎来合规市场增量空间.docxVIP

等保 2.0 新国家标准发布，信息安全产业进入加速发展阶段 5 月 13 日下午，国家市场监督管理总局召开新闻发布会，正式发布“等保 2.0”。据悉，等保 2.0 将于 2019 年 12 月 1 日正式实施。中国信息安全基本制度于 2016 年 11 月 7 日发布，自 2017 年 6 月 1 日起施行的《网络安全法》规定：等级保护，是我国信息安全保障的基本制度。 等保 2.0 新标准出台，提出移动互联安全扩展要求 2007 年和 2008 年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》被称为“等保 1.0”。网络安全法的实施，强制要求等级保护工作，强调关键基础设施三同步。根据网络安全法的规定，等级保护是我国信息安全保障的基本制度。但是“等保 1.0”不仅缺乏对一些新技术和新应用的等级保护规范，比如云计算、大数据和物联网等，而且风险评估、安全监测和通报预警等工作以及政策、标准、测评、技术和服务等体系不完善。 等保等级由低到高分为五级，主要依据系统受破坏后危害的范围和严重程度。目前 1 级系统因影响小，基本不需备案；5 级系统目前还不存在，只是理想状态。这里主要介绍 2-4 级： 表1 ：等保不同级别内容 等级 内容 级 受到破坏，会对公民、法人和其他组织的合法权益产生严重损害， 或者对社会秩序和公共利益造成损害，但不损害国家安全。需国家 信息安全监管部门对该级信息系统信息安全等保工作进行指导。 级 受到破坏，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。需国家监管部门进行监督、检查。 级 受到破坏，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。需国家监管部门进行强制监督、检查。 资料来源：中信建投研究发展部 等保 2.0 将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《中华人民共和国网络安全法》中的相关法律条文保持一致，是指对网络和信息系统按照重要性等级分级别保护的一种工作。安全保护等级越高，安全保护能力就越强。等保筑起了我国网络和信息安全的重要防线。一方面通过开展等保工作，发现相关机构、单位和企业网络和信息系统与国家安全标准之间存在的差距，找到目前系统存在的安全隐患和不足；另一方面，通过安全整改，提高网络安全防护能力，降低系统被各种攻击的风险。 图1：等保 2.0 安全框架 资料来源： 等保 2.0 与等 1.0 五大主要区别 ①名称：等保 2.0 将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网 络安全等级保护基本要求》，与《网络安全法》保持一致。②定级对象：等保 1.0 的定级对象是信息系统，现在 2.0 更为广泛，包含：信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。③安全要求：基本要求的内容，由安全要求变革为安全通用要求与安全扩展要求(含云计算、移动互联、物联网、工业控制)。④控制措施分类结构：等保 2.0 依旧保留技术和管理两个维度。在技术上，由物理安全、网络安全、主机安全、应用安全、数据安全，变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;在管理上，结构上没有太大的变化，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理，调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。⑤内容：从等保 1.0 的定级、备案、建设整改、等级测评和监督检查五个规定动作， 变更为五个规定动作+新的安全要求(风险评估、安全监测、通报预警、态势感知等)。 表2 ：等保 1.0 与等保 2.0 对比 等保 1.0 等保 2.0 等级保护对象  信息系统 物理安全、网络安全、主机安全、应用安全、数据安全和备份与恢复 安全管理制度 安全策略与管理制度 安全管理机构 管理要求 人员安全管理 安全管理机构和人员 系统建设管理 安全建设管理 通用要求  技术要求  系统运维管理 安全运维管理 物理安全 物理和环境安全 网络安全 网络和通信安全 主机安全 设备和计算安全应用安全 行业动态研究报告 资料来源：中信建投研究发展部 数据安全与备份恢复 应用和数据安全 存在安全控制点的 S/A/G 标注 不存在安全控制点的S/A/G 标注 等保 2.0 针对云计算、移动互联、物联网和工业控制系统，除了满足安全通用要求外，还需满足的安全扩展要求。云计算：云计算安全扩展要求针对云计算的特点提出特殊保护要求。云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。移动互联：针对移动互联环境主要增加