等级保护2.0标准

等级保护2.0标准，全称为网络安全等级保护制度2.0标准，是我国网络安全领域的基本国策和基本制度。它是在原等级保护1.0的基础上进行的全面升级，旨在更好地适应当前信息技术的发展和网络安全的挑战。

一、标准背景与意义

等级保护2.0的启动标志着我国网络安全等级保护制度进入了一个新的发展阶段。随着云计算、物联网、大数据、工业控制系统等新兴技术的广泛应用，网络安全威胁日益复杂多变，传统的安全防护手段已难以满足新的安全需求。因此，等级保护2.0的出台，旨在通过提高防护标准、扩展保护范围、细化安全要求等措施，构建全方位、多层次的安全防护体系，确保国家关键信息基础设施和重要信息系统的安全稳定运行。

二、主要变化与特点

1、扩展保护范围：

等级保护2.0将保护对象从传统的信息系统扩展到网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统以及采用移动互联技术的系统等。

这种扩展确保了新技术领域的安全防护，使网络安全等级保护制度更加全面和具有前瞻性。

2、提高防护标准：

等级保护2.0在原有安全要求的基础上，增加了新的安全控制点和要求，提高了防护标准。

针对云计算、移动互联、物联网、工业控制系统及大数据等新技术和新应用领域，提出了针对性的安全扩展要求。

3、采用“一个中心，三重防护”的防护理念：

“一个中心”指的是安全管理中心，它是整个安全防护体系的核心，负责集中管理、监控和应急响应。

“三重防护”包括安全计算环境、安全区域边界和安全通信网络三个层面，通过立体防护机制实现对信息系统全方位的安全保护。

4、强化密码技术和可信计算技术的使用：

把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。

强调通过密码技术、可信验证、安全审计和态势感知等建立主动防御体系。

5、完善管理要求：

强调安全管理制度、安全管理机构和安全管理人员的重要性。

要求加强安全建设管理和安全运维管理，定期进行风险评估和漏洞扫描。

三、标准框架与内容

等级保护2.0标准体系采用了统一的框架结构，包括安全通用要求和安全扩展要求两部分。

1、安全通用要求：是不管等级保护对象形态如何都必须满足的要求，涵盖了“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”等技术要求，以及“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”等管理要求。

2、安全扩展要求：针对个性化保护需求提出，包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求等。等级保护对象需要根据安全保护等级、使用的特定技术或特定的应用场景实现相应的安全扩展要求。

等级保护2.0标准是我国网络安全领域的一项重要举措，它将为我国的信息安全保障工作提供有力的制度保障和技术支撑。随着等级保护2.0的深入实施和推广，我国的网络安全防护能力将得到进一步提升。