等級保護2.0等級保護2.01什么是等級保護？網絡安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。什么是等級保護？網絡安全等級保護是指對國家重要信息、法人和其2等級保護的劃分第一級信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益第二級信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全第三級信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害第四級信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害第五級信息系統受到破壞后，會對國家安全造成特別嚴重損害等級保護的劃分第一級信息系統受到破壞后，會對公民、法人和其3等級保護工作主要的流程一是定級二是備案（二級以上的信息系統）三是系統建設、整改四是開展等級測評五是信息安全監管部門定期開展監督檢查等級保護工作主要的流程一是定級4等級保護的對象演變等級保護的對象演變5標準名稱的變化等保2.0將原來的標準《信息安全技術信息系統安全等級保護基本要求》改為《信息安全技術網絡安全等級保護基本要求》，與《中華人民共和國網絡安全法》中的相關法律條文保持一致標準名稱的變化等保2.0將原來的標準《信息安全技術信息系統6標準內容的變化標準內容的變化7控制結構的變化控制結構的變化8等級保護1.0等級保護2.0結構圖舊標準技術要求物理安全網絡安全主機安全應用安全數據安全及備份恢復管理要求安全管理制度安全管理機構人員安全管理系統建設管理系統運維管理新標準物理和環境安全技術要求網絡和通信安全設備和計算安全應用和數據安全安全策略和管理制度管理要求安全管理機構和人員安全建設管理安全運維管理等級保護1.0等級保護2.0結構圖舊標準技術要求物理安全網絡9控制點對比控制點對比10基本要求大類1.0基本要求子類信息系統安全等級保護級別等保二級等保三級技術要求物理安全1010網絡安全67主機安全67應用安全79數據安全33管理要求安全管理制度33安全管理機構55人員安全管理55系統建設管理911系統運維管理1213合計/6673基本要求大類2.0基本要求子類信息系統安全等級保護級別等保二級等保三級技術要求物理和環境安全1010網絡和通信安全78設備和計算安全66應用和數據安全910管理要求安全策略和管理制度44安全管理機構和人員99安全建設管理1010安全運維管理1414合計/6971基本要求大類1.0基本要求子類信息系統安全等級保護級別等保二11要求項對比要求項對比12基本要求大類1.0基本要求子類信息系統安全等級保護級別等保二級等保三級技術要求物理安全1932網絡安全1833主機安全1932應用安全1931數據安全48管理要求安全管理制度711安全管理機構920人員安全管理1116系統建設管理2845系統運維管理4162合計/175290基本要求大類2.0基本要求子類信息系統安全等級保護級別等保二級等保三級技術要求物理和環境安全1522網絡和通信安全1633設備和計算安全1726應用和數據安全2234管理要求安全策略和管理制度67安全管理機構和人員1626安全建設管理2534安全運維管理3048合計/147230基本要求大類1.0基本要求子類信息系統安全等級保護級別等保二13總體上看，等保2.0通用要求在技術部分的基礎上進行了一些調整，但控制點要求上并沒有明顯增加，通過合并整合后相對舊標準略有縮減。總體上看，等保2.0通用要求在技術部分的基礎上進行了一些調整14

原控制點要求項數新控制點要求項數物理安全1

物理位置的選擇2物理和環境安全1

物理位置的選擇22

物理訪問控制42

物理訪問控制13

防盜竊和防破壞63

防盜竊和防破壞34

防雷擊34

防雷擊25

防火35

防火36

防水和防潮46

防水和防潮37

防靜電27

防靜電28

溫濕度控制18

溫濕度控制19

電力供應49

電力供應310

電磁防護310

電磁防護2原控制點要求項數新控制點要求項數物理安全1

物理位置的選15原控制項新控制項物理位置的選擇b)

機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。物理位置的選擇b)

機房場地應避免設在建筑物的頂層或地下室，否則應加強防水和防潮措施防靜電無防靜電b)

應采取措施防止靜電的產生，例如采用靜電消除器、佩戴防靜電手環等。(新增)原控制項新控制項物理位置的選擇b)

機房場地應避免設在建筑物16

原控制點要求項數新控制點要求項數網絡安全1結構安全7網絡和通信安全1

網絡架構52訪問控制82通信傳輸23安全審計43邊界防護44邊界完整性檢查24

訪問控制55入侵防范25

入侵防范46

惡意代碼防范26

惡意代碼防范27

網絡設備防護87

安全審計5

8

集中管控6原控制點要求項數新控制點要求項數網絡安全1結構安全7網17原控制項新控制項無通信傳輸a)

應采用校驗碼技術或密碼技術保證通信過程中數據的完整性；b)

應采用密碼技術保證通信過程中敏感信息字段或整個報文的保密性。

邊界完整性檢查a)

應能夠對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；邊界防護a)

應保證跨越邊界的訪問和數據流通過邊界防護設備提供的受控接口進行通信；b)

應能夠對非授權設備私自聯到內部網絡的行為進行限制或檢查；

b)

應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。c)

應能夠對內部用戶非授權聯到外部網絡的行為進行限制或檢查；

d)

應限制無線網絡的使用，確保無線網絡通過受控的邊界防護設備接入內部網絡。

入侵防范無入侵防范b)

應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為；(新增)無c)

應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的分析；(新增)原控制項新控制項無通信傳輸a)

應采用校驗碼技術或密碼技術保18原控制項新控制項惡意代碼防范無惡意代碼防范b)

應在關鍵網絡節點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新。

(新增)安全審計無安全審計d)

應確保審計記錄的留存時間符合法律法規要求；(新增)e)

應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析。

(新增)無集中管控a)

應劃分出特定的管理區域，對分布在網絡中的安全設備或安全組件進行管控；

(新增)b)

應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理；

(新增)c)

應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測；

(新增)d)

應對分散在各個設備上的審計數據進行收集匯總和集中分析；(新增)e)

應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理；

f)

應能對網絡中發生的各類安全事件進行識別、報警和分析。

(新增)原控制項新控制項惡意代碼防范無惡意代碼防范b)

應在關鍵網絡19解讀1.根據服務器角色和重要性，對網絡進行安全域劃分；2.在內外網的安全域邊界設置訪問控制策略，并要求配置到具體的端口；3.在網絡邊界處應當部署入侵防范手段，防御并記錄入侵行為；4.對網絡中的用戶行為日志和安全事件信息進行記錄和審計；5.對安全設備、網絡設備和服務器等進行集中管理。解讀1.根據服務器角色和重要性，對網絡進行安全域劃分；20

原控制點要求項數新控制點要求項數主機安全1

身份鑒別6設備和計算安全1

身份鑒別42

訪問控制72

訪問控制73

安全審計63

安全審計54

剩余信息保護24

入侵防范55

入侵防范35

惡意代碼防范16

惡意代碼防范36

資源控制47

資源控制5

原控制點要求項數新控制點要求項數主機安全1

身份鑒別621原控制項新控制項安全審計無安全審計d)

應確保審計記錄的留存時間符合法律法規要求；（新增）入侵防范無入侵防范b)

應關閉不需要的系統服務、默認共享和高危端口；c)

應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制；d)

應能發現可能存在的漏洞，并在經過充分測試評估后，及時修補漏洞；原控制項新控制項安全審計無安全審計d)

應確保審計記錄的留存22解讀1.避免賬號共享、記錄和審計運維操作行為是最基本的安全要求；2.必要的安全手段保證系統層安全，防范服務器入侵行為；解讀1.避免賬號共享、記錄和審計運維操作行為是最基本的安全23

原控制點要求項數新控制點要求項數應用安全1

身份鑒別5應用和數據安全1

身份鑒別52

訪問控制62

訪問控制73

安全審計43

安全審計54

剩余信息保護24

軟件容錯35

通信完整性15

資源控制26

通信保密性26

數據完整性27

抗抵賴27

數據保密性28

軟件容錯28

數據備份和恢復39

資源控制79

剩余信息保護2數據安全及備份恢復9

數據完整性210

個人信息保護210

數據保密性2

11

備份和恢復4

原控制點要求項數新控制點要求項數應用安全1

身份鑒別5應24原控制項新控制項安全審計無安全審計d)

應確保審計記錄的留存時間符合法律法規要求；（新增）軟件容錯無

軟件容錯c)

在故障發生時，應自動保存易失性數據和所有狀態，保證系統能夠進行恢復。（新增）身份鑒別無

身份鑒別c)

應強制用戶首次登錄時修改初始口令；（新增）d)

用戶身份鑒別信息丟失或失效時，應采用技術措施確保鑒別信息重置過程的安全；（新增）個人信息保護無

個人信息保護a)

應僅采集和保存業務必需的用戶個人信息；（新增）b)

應禁止未授權訪問和非法使用用戶個人信息。（新增）原控制項新控制項安全審計無安全審計d)

應確保審計記錄的留存25解讀1.應用是具體業務的直接實現，不具有網絡和系統相對標準化的特點。大部分應用本身的身份鑒別、訪問控制和操作審計等功能，都難以用第三方產品來替代實現；2.數據的完整性和保密性，除了在其他層面進行安全防護以外，加密是最為有效的方法；3.數據的異地備份是等保三級區別于二級最重要的要求之一，是實現業務連續最基礎的技術保障措施。解讀1.應用是具體業務的直接實現，不具有網絡和系統相對標準26網絡安全法與等級保護工作關系網絡安全法與等級保護工作關系27第二十一條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（三）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；（四）采取數據分類、重要數據備份和加密等措施；（五）法律、行政法規規定的其他義務。第二十一條國家實行網絡安全等級保護制度。網絡運營者應當按照28第三十四條

除本法第二十一條的規定外，關鍵信息基礎設施的運營者還應當履行下列安全保護義務：（一）設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查；（二）定期對從業人員進行網絡安全教育、技術培訓和技能考核；（三）對重要系統和數據庫進行容災備份；（四）制定網絡安全事件應急預案，并定期進行演練；（五）法律、行政法規規定的其他義務。第三十四條

除本法第二十一條的規定外，關鍵信息基礎設施的運營29謝謝謝謝30等級保護2.0等級保護2.031什么是等級保護？網絡安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。什么是等級保護？網絡安全等級保護是指對國家重要信息、法人和其32等級保護的劃分第一級信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益第二級信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全第三級信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害第四級信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害第五級信息系統受到破壞后，會對國家安全造成特別嚴重損害等級保護的劃分第一級信息系統受到破壞后，會對公民、法人和其33等級保護工作主要的流程一是定級二是備案（二級以上的信息系統）三是系統建設、整改四是開展等級測評五是信息安全監管部門定期開展監督檢查等級保護工作主要的流程一是定級34等級保護的對象演變等級保護的對象演變35標準名稱的變化等保2.0將原來的標準《信息安全技術信息系統安全等級保護基本要求》改為《信息安全技術網絡安全等級保護基本要求》，與《中華人民共和國網絡安全法》中的相關法律條文保持一致標準名稱的變化等保2.0將原來的標準《信息安全技術信息系統36標準內容的變化標準內容的變化37控制結構的變化控制結構的變化38等級保護1.0等級保護2.0結構圖舊標準技術要求物理安全網絡安全主機安全應用安全數據安全及備份恢復管理要求安全管理制度安全管理機構人員安全管理系統建設管理系統運維管理新標準物理和環境安全技術要求網絡和通信安全設備和計算安全應用和數據安全安全策略和管理制度管理要求安全管理機構和人員安全建設管理安全運維管理等級保護1.0等級保護2.0結構圖舊標準技術要求物理安全網絡39控制點對比控制點對比40基本要求大類1.0基本要求子類信息系統安全等級保護級別等保二級等保三級技術要求物理安全1010網絡安全67主機安全67應用安全79數據安全33管理要求安全管理制度33安全管理機構55人員安全管理55系統建設管理911系統運維管理1213合計/6673基本要求大類2.0基本要求子類信息系統安全等級保護級別等保二級等保三級技術要求物理和環境安全1010網絡和通信安全78設備和計算安全66應用和數據安全910管理要求安全策略和管理制度44安全管理機構和人員99安全建設管理1010安全運維管理1414合計/6971基本要求大類1.0基本要求子類信息系統安全等級保護級別等保二41要求項對比要求項對比42基本要求大類1.0基本要求子類信息系統安全等級保護級別等保二級等保三級技術要求物理安全1932網絡安全1833主機安全1932應用安全1931數據安全48管理要求安全管理制度711安全管理機構920人員安全管理1116系統建設管理2845系統運維管理4162合計/175290基本要求大類2.0基本要求子類信息系統安全等級保護級別等保二級等保三級技術要求物理和環境安全1522網絡和通信安全1633設備和計算安全1726應用和數據安全2234管理要求安全策略和管理制度67安全管理機構和人員1626安全建設管理2534安全運維管理3048合計/147230基本要求大類1.0基本要求子類信息系統安全等級保護級別等保二43總體上看，等保2.0通用要求在技術部分的基礎上進行了一些調整，但控制點要求上并沒有明顯增加，通過合并整合后相對舊標準略有縮減。總體上看，等保2.0通用要求在技術部分的基礎上進行了一些調整44

原控制點要求項數新控制點要求項數物理安全1

物理位置的選擇2物理和環境安全1

物理位置的選擇22

物理訪問控制42

物理訪問控制13

防盜竊和防破壞63

防盜竊和防破壞34

防雷擊34

防雷擊25

防火35

防火36

防水和防潮46

防水和防潮37

防靜電27

防靜電28

溫濕度控制18

溫濕度控制19

電力供應49

電力供應310

電磁防護310

電磁防護2原控制點要求項數新控制點要求項數物理安全1

物理位置的選45原控制項新控制項物理位置的選擇b)

機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。物理位置的選擇b)

機房場地應避免設在建筑物的頂層或地下室，否則應加強防水和防潮措施防靜電無防靜電b)

應采取措施防止靜電的產生，例如采用靜電消除器、佩戴防靜電手環等。(新增)原控制項新控制項物理位置的選擇b)

機房場地應避免設在建筑物46

原控制點要求項數新控制點要求項數網絡安全1結構安全7網絡和通信安全1

網絡架構52訪問控制82通信傳輸23安全審計43邊界防護44邊界完整性檢查24

訪問控制55入侵防范25

入侵防范46

惡意代碼防范26

惡意代碼防范27

網絡設備防護87

安全審計5

8

集中管控6原控制點要求項數新控制點要求項數網絡安全1結構安全7網47原控制項新控制項無通信傳輸a)

應采用校驗碼技術或密碼技術保證通信過程中數據的完整性；b)

應采用密碼技術保證通信過程中敏感信息字段或整個報文的保密性。

邊界完整性檢查a)

應能夠對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；邊界防護a)

應保證跨越邊界的訪問和數據流通過邊界防護設備提供的受控接口進行通信；b)

應能夠對非授權設備私自聯到內部網絡的行為進行限制或檢查；

b)

應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。c)

應能夠對內部用戶非授權聯到外部網絡的行為進行限制或檢查；

d)

應限制無線網絡的使用，確保無線網絡通過受控的邊界防護設備接入內部網絡。

入侵防范無入侵防范b)

應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為；(新增)無c)

應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的分析；(新增)原控制項新控制項無通信傳輸a)

應采用校驗碼技術或密碼技術保48原控制項新控制項惡意代碼防范無惡意代碼防范b)

應在關鍵網絡節點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新。

(新增)安全審計無安全審計d)

應確保審計記錄的留存時間符合法律法規要求；(新增)e)

應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析。

(新增)無集中管控a)

應劃分出特定的管理區域，對分布在網絡中的安全設備或安全組件進行管控；

(新增)b)

應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理；

(新增)c)

應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測；

(新增)d)

應對分散在各個設備上的審計數據進行收集匯總和集中分析；(新增)e)

應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理；

f)

應能對網絡中發生的各類安全事件進行識別、報警和分析。

(新增)原控制項新控制項惡意代碼防范無惡意代碼防范b)

應在關鍵網絡49解讀1.根據服務器角色和重要性，對網絡進行安全域劃分；2.在內外網的安全域邊界設置訪問控制策略，并要求配置到具體的端口；3.在網絡邊界處應當部署入侵防范手段，防御并記錄入侵行為；4.對網絡中的用戶行為日志和安全事件信息進行記錄和審計；5.對安全設備、網絡設備和服務器等進行集中管理。解讀1.根據服務器角色和重要性，對網絡進行安全域劃分；50

原控制點要求項數新控制點要求項數主機安全1

身份鑒別6設備和計算安全1

身份鑒別42

訪問控制72

訪問控制73

安全審計63

安全審計54

剩余信息保護24

入侵防范55

入侵防范35

惡意代碼防范16

惡意代碼防范36

資源控制47

資源控制5

原控制點要求項數新控制點要求項數主機安全1

身份鑒別651原控制項新控制項安全審計無安全審計d)

應確保審計記錄的留存時間符合法律法規要求；（新增）入侵防范無入侵防范b)

應關閉不需要的系統服務、默認共享和高危端口；c)

應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制；d)

應能發現可能存在的漏洞，并在經過充分測試評估后，及時修補漏洞；原控制項新控制項安全審計無安全審計d)

應確保審計記錄的留存52解讀1.避免賬號共享、記錄和審計運維操作行為是最基本的安全要求；2.必要的安全手段保證系統層安全，防范服務器入侵行為；解讀1.避免賬號共享、記錄和審計運維操作行為是最基本的安全53

原控制點要求項數新控制點要求項數應用安全1

身份鑒別5應用和數據安全1

身份鑒別52

訪問控制62

訪問控制73

安全審計43

安全審計54

剩余信息保護24

軟件容錯35

通信完整性15

資源控制26

通信保密性26

數據完整性27

抗抵賴27

數據保密性28

軟件容錯28

數據備份和恢復39

資源控制79

剩余信息保護2數據安全及備份恢復9

數據完整性210

個人信息保護210

數據保密性2

11

備份和恢