等保 | 2.0 VS 1.0 测评要求的变化

前言

点击下方 "深圳市网络与信息安全行业协会"公众号关注, 设为星标。后台回复【技术】，申请加入网络安全行业技术交流群。

No.1 标准内容增加了

标准内容上最大的变化就是将安全要求分为了安全通用要求和扩展要求。 首先，安全通用要求部分已对1.0标准的内容进行了优化，删除或修订了过时的要求项，新增了对新型网络攻击行为防护和个人信息保护等方面的新要求。 其次，针对云计算、移动互联、物联网、工业控制系统等提出了新的安全扩展要求。 其测评要求体现在具体工作上，就是“测评难度加大、测评工作量增加、测评标准更高”，今后一个系统测评时将由过去的一个安全要求变成现在的一个通用安全要求加N个扩展要求，对测评机构提出新的更高的要求。 特别是新增的几个扩展要求，都是最新技术在网络系统上的应用。

No.2 以基本要求为首的2.0标准，从标准结构上发生了较大的调整

以安全通用要求为例，技术要求调整为安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心5个层面，管理要求5个层面也重新进行了调整。 从测评项数量上来看，安全通用要求二级和三级的测评项数量比1.0标准减少了，但实际上2.0标准的覆盖面比1.0标准要更广，要求也要高得多。 主要体现在： 第一方面、新标准将原来1.0标准的不同层面的相同要求项进行了合并，如主机、数据库、网络设备、安全设备、应用系统、数据的要求，所以该层面的一个要求项就覆盖了原标准多个层面的内容； 第二方面、部分要求项的要求更高了，覆盖面更大了，比如网络入侵防范内容中，明确要求具有对关键节点从内部和外部的攻击检测能力（1.0仅要求网络边界处的检测能力）； 如果被保护系统使用了新技术，那么还需考虑扩展要求的内容。 总的来说，就是2.0标准的覆盖范围更大了，要求更高了，系统运营使用单位须在系统建设和整改过程中进一步提升安全防护能力。 测评机构的测评难度也增加了，相同系统的测评投入也必然要增加。

No.3 测评报告的变化

测评联盟针对2.0标准发布了2019版测评报告模板，该模板在2015版的基础上强化了分析研判方面的要求，并强化了工具测试/渗透测试的要求。 在2019版发布的同时，还发布了配套文件《等级保护测评高风险判定指引》，明确定义了各个问题场景的分析研判要求和规范。 所以，报告编制的难度也增加了，测评机构在报告编制阶段的投入也要增加。

附：等保2.0 VS 等保1.0 三级标准对比

(以安全通用要求为例)

基本条款的数量和安全层面变化如下图所示：

1.等保2.0的安全物理环境VS等保1.0的物理安全

   控制点未发生变化，要求项数由原来的32项调整为22项。控制点要求项数修改情况如下图：

要求项的变化如下：

2.等保2.0的网络安全VS等保1.0的网络安全

    新标准对之前的网络安全分类进行了拆分，并添加了一些新的控制点和要求项，整合为安全通信网络、安全区域边界、安全管理中心的三个类。

   原结构安全中部分要求项纳入了安全通信网络的网络架构控制点中，原应用安全中通信完整性和保密性的要求项纳入了通信传输控制点中，原边界完整性检查和访问控制中部分要求项内容纳入了边界防护控制点中，原网络设备防护控制点要求并到安全计算环境要求中。

    要求项总数原来为33项，调整后为40项，且要求项内容有变化。

控制点和控制点要求项数修改情况如下表：

具体要求项的变化如下表：

3.等保2.0的安全计算环境VS等保1.0的主机安全+应用安全+数据安全及备份恢复

    新标准增加了可信验证、个人信息保护两个控制点，抗抵赖条款从三级要求变到四级要求，原设备层面的集中管控、安全策略、资源控制等集中管理类要求的测评条款已转移到安全管理中心层面测评，原软件容错合并到入侵防范中，在测评对象上，把应用系统、网络设备、安全设备也纳入了此层面的测评范围，并将数据安全及备份恢复作为条款融入条款。

    要求项由原来针对单个对象测评的主机安全32项、应用安全31项、数据安全及备份恢复8项，融合调整为安全计算环境26项，且要求项内容有变化。

控制点和各控制点要求项数修改情况如下图：

具体要求项的变化如下表：

    因多类对象合并测评，除了可以对比原主机安全的安全计算环境层面，其它主要条款补充对比如下（以内容契合度高的数据安全及备份恢复为例）：