干货 | 等保2.0 VS 等保1.0 测评要求的变化
No.1
标准内容增加了
标准内容上最大的变化就是将安全要求分为了安全通用要求和扩展要求。首先,安全通用要求部分已对1.0标准的内容进行了优化,删除或修订了过时的要求项,新增了对新型网络攻击行为防护和个人信息保护等方面的新要求。其次,针对云计算、移动互联、物联网、工业控制系统等提出了新的安全扩展要求。其测评要求体现在具体工作上,就是“测评难度加大、测评工作量增加、测评标准更高”,今后一个系统测评时将由过去的一个安全要求变成现在的一个通用安全要求加N个扩展要求,对测评机构提出新的更高的要求。特别是新增的几个扩展要求,都是最新技术在网络系统上的应用。
No.2
以基本要求为首的2.0标准,从标准结构上发生了较大的调整
以安全通用要求为例,技术要求调整为安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心5个层面,管理要求5个层面也重新进行了调整。从测评项数量上来看,安全通用要求二级和三级的测评项数量比1.0标准减少了,但实际上2.0标准的覆盖面比1.0标准要更广,要求也要高得多。主要体现在:第一方面、新标准将原来1.0标准的不同层面的相同要求项进行了合并,如主机、数据库、网络设备、安全设备、应用系统、数据的要求,所以该层面的一个要求项就覆盖了原标准多个层面的内容;第二方面、部分要求项的要求更高了,覆盖面更大了,比如网络入侵防范内容中,明确要求具有对关键节点从内部和外部的攻击检测能力(1.0仅要求网络边界处的检测能力);如果被保护系统使用了新技术,那么还需考虑扩展要求的内容。总的来说,就是2.0标准的覆盖范围更大了,要求更高了,系统运营使用单位须在系统建设和整改过程中进一步提升安全防护能力。测评机构的测评难度也增加了,相同系统的测评投入也必然要增加。
No.3
测评报告的变化
测评联盟针对2.0标准发布了2019版测评报告模板,该模板在2015版的基础上强化了分析研判方面的要求,并强化了工具测试/渗透测试的要求。在2019版发布的同时,还发布了配套文件《等级保护测评高风险判定指引》,明确定义了各个问题场景的分析研判要求和规范。所以,报告编制的难度也增加了,测评机构在报告编制阶段的投入也要增加。
附:等保2.0 VS 等保1.0 三级标准对比
(以安全通用要求为例)
基本条款的数量和安全层面变化如下图所示:
等保2.0的安全物理环境VS等保1.0的物理安全
控制点未发生变化,要求项数由原来的32项调整为22项。控制点要求项数修改情况如下图:
要求项的变化如下:
等保2.0的网络安全VS等保1.0的网络安全
新标准对之前的网络安全分类进行了拆分,并添加了一些新的控制点和要求项,整合为安全通信网络、安全区域边界、安全管理中心的三个类。
原结构安全中部分要求项纳入了安全通信网络的网络架构控制点中,原应用安全中通信完整性和保密性的要求项纳入了通信传输控制点中,原边界完整性检查和访问控制中部分要求项内容纳入了边界防护控制点中,原网络设备防护控制点要求并到安全计算环境要求中。
要求项总数原来为33项,调整后为40项,且要求项内容有变化。
控制点和控制点要求项数修改情况如下表:
具体要求项的变化如下表:
等保2.0的安全计算环境VS等保1.0的主机安全+应用安全+数据安全及备份恢复
新标准增加了可信验证、个人信息保护两个控制点,抗抵赖条款从三级要求变到四级要求,原设备层面的集中管控、安全策略、资源控制等集中管理类要求的测评条款已转移到安全管理中心层面测评,原软件容错合并到入侵防范中,在测评对象上,把应用系统、网络设备、安全设备也纳入了此层面的测评范围,并将数据安全及备份恢复作为条款融入条款。
要求项由原来针对单个对象测评的主机安全32项、应用安全31项、数据安全及备份恢复8项,融合调整为安全计算环境26项,且要求项内容有变化。
控制点和各控制点要求项数修改情况如下图:
具体要求项的变化如下表:
因多类对象合并测评,除了可以对比原主机安全的安全计算环境层面,其它主要条款补充对比如下(以内容契合度高的数据安全及备份恢复为例):
免费下载资料
关注本公众号,在对话框:
回复“工业软件”,下载《工业软件:研究框架》PDF原文;
回复“图谱”,下载《中国长城网信产业生态图谱》全文PDF;
回复“数字经济”,下载《中国数字经济发展白皮书(2020年)》;回复“电子政务”,下载《国家电子政务标准体系建设指南》;回复“管理模板”,下载《华为项目管理10大模板Excel版(可直接套用)》;回复“0612”,下载《湛江市公安大数据智能化建设项目招标文件电子版》;回复“昆明新基建”,下载《下载昆明新基建项目投资清单》;回复“大数据”,下载《埃森哲大数据分析方法及工具应用;回复“政务云”,下载完整版《重庆市政务云招标书》;回复“定级指南”,下载《信息安全技术 网络安全等级保护定级指南》;回复"政策“,下载《新基建政策白皮书》;回复"新基建“,下载《新基建产品手册》;回复"华为中台“,下载《华为大数据中台架构设计》PPT。温馨提示
如果你喜欢本文,请分享到朋友圈,想要获得更多相关资料,请关注“信创工程咨询”。我们的推送时间是18:00或24:00,一定不要忘了给“信创工程咨询”设星标哦!获取投稿或入群方式, 请在公众号对话框回复“投稿”或“入群”获取!
相关阅读
碾压 Intel、AMD:基于 Arm 的 CPU 荣登超级计算机 500 强榜首
《涉密信息系统集成资质管理办法(征求意见稿)》等公开征求意见
农行率先采购2000台国产服务器 | 金融业“新基建”悄然而至
市场监管总局等六部门印发《国家电子政务标准体系建设指南》(附下载)
免费下载 | 中国信通院《中国数字经济发展白皮书 (2020年)》
5G和AI双引擎 | 中国10万亿元投资新基建!(附报告下载)
依托亦庄信创园,建设信创应用生态 | 北京“新基建”政策终于来了!
广州新基建三年行动计划 | 1800亿73个重大数字新基建项目
昆明 “新基建”394个重点项目 | 总投资1万亿元(附清单下载)
福建省人民政府办公厅关于印发2020年数字福建工作要点的通知
“新基建”中的大数据中心,该是什么样?| 弯道超车的“新基建”
上海版“新基建”35条重磅发布 | 首批重大项目投资2700亿
中国移动2020年度13.8万台服务器、80亿元采购大单意味着什么
国家发改委将出台“新基建”政策 | 实施全国一体化大数据中心建设