等保2.0密码技术应用分析

1等保 2.0 三级要求的通用要求等保 2.0 三级从 8.1.2 安全通信网络、 8.1.4 安全计算环境、 8.1.9 安全建设管理、8.1.10 安全运维管理四个域对密码技术与产品提出了要求，主要涉及以下八处密码技术：8.1.2.2 通信传输a)应采用校验技术或密码技术保证通信过程中数据的完整性；b)应采用密码技术保证通信过程中数据的保密性。

8.1.4.1 身份鉴别d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

8.1.4.7 数据完整性a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

8.1.4.8 数据保密性a)应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；b)应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

8.1.9.2 安全方案设计b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，设计内容应包含密码技术相关内容，并形成配套文件；8.1.9.3 产品采购和使用b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求；8.1.9.7 测试验收b)应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容。

8.1.10.9 密码管理b)应使用国家密码管理主管部门认证核准的密码技术和产品。

2 等保 2.0 与 0054 标准中对密码技术的要求分析将等保 2.0 中对密码技术与产品的要求，细化映射到《GM/T 0054-2018 信息系统密码应用基本要求》标准（简称“0054标准”）中对密码的技术要求，如下表所示：1 等保 2.0 与 0054 标准对数据完整性的密码技术要求分析等保 2.0 在 8.1.2 安全通信网络、 8.1.4 安全计算环境中提出，可以采用密码技术来保证数据的完整性，其中主要保护的主体是 8.1.2 安全通信网络中通信数据、 8.1.4 安全计算环境中包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息。

等级保护2.0标准解读随着互联网技术的不断发展，人们对于个人信息保护的关注程度逐渐提升。

为此，我国相继出台了多项保护个人信息的法规和标准。

其中，等级保护2.0标准是其中重要的一项。

一、等级保护2.0标准的背景等级保护2.0标准是我国信息安全领域的一项重要标准，它的出台主要是针对当前信息环境下的数据泄露、跨界收集等问题，以及对于个人敏感信息保护的需要。

本标准对于政府、企业和个人都有一定的指导意义，是希望通过技术和管理手段来维护信息安全和保护用户个人信息。

二、等级保护2.0标准的主要内容1.等级分类等级保护2.0标准将信息系统按照不同的等级分类，具体分为四个等级。

通过等级分类，可以让用户直观地了解自己的信息系统安全等级，从而更好地保障个人信息的安全。

2.安全控制要求不同等级的信息系统，其保护措施的要求也不同。

等级保护2.0标准中详细列出了四个等级的信息系统所需要的安全控制要求，包括安全管理、物理安全、网络安全、数据安全、应用安全等方面。

其中每一个安全控制要求都有详细的说明和操作指南。

3.风险评估根据等级保护2.0标准，用户需要对自己所属的信息系统进行风险评估，并根据评估结果来采取相应的安全保护措施。

这个过程需要基于实际情况，适当评估信息系统的风险程度，以便在安全措施上精准地投入精力。

4.日志管理等级保护2.0标准要求对于信息系统的运行情况进行日志管理，以便及时发现异常情况并采取相应的措施。

同时，对于重要信息系统，需要开展安全监视和重要事件和安全事件的应急响应工作。

三、等级保护2.0标准实施的意义等级保护2.0标准的出台，对于保护个人信心和保障信息安全具有重要的意义。

它能够有效地帮助用户改善信息安全，保护个人信息的私密性和完整性。

同时，对于企业和政府也具有重要的指导意义，可以指导其科学地进行信息系统的规划和设计，保障信息安全。

四、等级保护2.0标准在实践中的运用等级保护2.0标准已经在我国得到广泛的应用，是保障信息安全方面的重要举措。

等级保护2.0标准解读等级保护2.0标准解读1. 简介等级保护2.0标准（以下简称DP-2.0）是指文档等级保护的新一代标准。

该标准在信息安全领域有着重要的作用，对于保护敏感信息、提高数据安全性具有重要意义。

本文将对DP-2.0标准进行详细解读。

2. DP-2.0标准的背景随着信息技术的不断发展和广泛应用，数据安全问题也日益突出。

为了保护信息安全，各类组织纷纷提出了不同的标准和措施。

DP-2.0标准作为新一代的等级保护标准，在防范各类信息安全威胁方面有着显著的优势。

3. DP-2.0标准的核心内容DP-2.0标准包括以下核心内容：3.1 安全等级划分DP-2.0标准将信息系统按照安全等级进行划分，分为一级、二级、三级三个等级。

不同等级对应不同的安全需求和保护措施，以确保数据的安全性。

3.2 关键要素保护DP-2.0标准明确了关键要素的保护要求，包括对密码、身份认证、访问控制等方面的保护措施，以防止关键要素的泄露和滥用。

3.3 安全审计与监控DP-2.0标准要求建立完善的安全审计与监控机制，及时发现和应对安全事件，保障信息系统的日常运行安全。

3.4 安全培训与管理DP-2.0标准强调安全培训与管理的重要性，要求定期进行安全培训，加强员工对信息安全的意识，提高整体的安全防护能力。

4. DP-2.0标准的应用DP-2.0标准适用于各类组织的信息系统，包括企事业单位、政府机关等。

通过遵循DP-2.0标准，组织可以更加全面地保护敏感信息，提高数据安全性，有效应对信息安全威胁。

5. DP-2.0标准的优势相较于以往的等级保护标准，DP-2.0标准具有以下优势：- 标准要求更加明确，有利于各类组织的实施和操作。

- 标准细化了关键要素的保护要求，对信息系统的安全性提出了更高的要求。

- 标准强调安全培训与管理的重要性，提高了组织的整体安全水平。

6. 结论DP-2.0标准作为新一代的等级保护标准，具有重要的意义。

通过遵循DP-2.0标准，组织可以更好地保护敏感信息，提高数据安全性，并有效地应对信息安全威胁。

等保2.0的主要变化概述说明以及解释1. 引言1.1 概述等保2.0是指国家互联网信息办公室发布的《信息系统安全等级保护管理规定》，也被称为“网络安全等级保护2.0”。

随着互联网技术的发展和网络威胁形势的不断演变，等保2.0作为对原有等级保护制度的一次重大改革，旨在解决现有制度存在的问题，并提供更加科学、灵活和有效的网络安全管理要求。

本文将介绍等保2.0主要变化以及对企业和组织带来的影响。

1.2 文章结构本文共分为五个部分。

第一部分是引言，简要介绍了等保2.0的概述、文章结构和目的。

第二部分将详细讨论等保2.0主要变化，包括背景介绍、主要变化概述以及解释这些变化的意义。

第三部分将深入探讨等保2.0所采取的具体改进措施，包括政策法规的更新、安全等级核定标准的调整以及技术要求的升级与完善。

第四部分将重点讨论等保2.0对企业和组织带来的影响与挑战，包括对企业安全管理体系的要求提升、对IT基础设施建设的影响以及对人员培训和意识提升的要求。

最后一部分是结论，总结本文内容。

1.3 目的本文旨在全面介绍等保2.0的主要变化，并解释这些变化对企业和组织产生的影响和挑战。

通过深入了解等保2.0的改革内容，读者可以更好地理解新制度背后的原因和意义，并为相应的安全管理工作做好准备。

同时，本文也为相关领域从业人员提供了一份详尽清晰的参考资料，在实践中能够更加有效地推进等保2.0标准的落地实施。

2. 等保2.0主要变化2.1 背景介绍等保2.0是中国国家网络安全宣传周的重要内容之一，旨在进一步提升我国信息系统安全保护水平，适应新形势下信息化发展对网络安全的新挑战和新需求。

随着互联网技术的迅猛发展及信息化水平的不断提高，我国网络空间面临着日益复杂多变的威胁与风险，原有的等级保护制度已经无法满足现代网络环境下的安全需求。

因此，等保2.0作为更新版的等级保护制度，在政策法规、核定标准以及技术要求方面都进行了重大调整和改进。

2.2 主要变化概述等保2.0相对于原有的等级保护制度，在以下方面进行了主要变化：首先，在政策法规层面上，等保2.0进行了修订和更新。

等保2.0解读等保2.0解读信息安全等级保护 1.0：以GB17859-1999《计算机信息系统安全保护等级划分准则》为根标准；以GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》为基础标准；习惯将《基本要求》的2008版本及其配套规范标准称为等保1.0。

⽹络安全等级保护 2.0：2014年开始制定2.0标准，修订了通⽤安全要求，增加了云计算、移动互联、⼯控、物联⽹等安全扩展要求。

2019年5⽉13⽇发布；2019年12⽉1⽇开始实施。

名称变化：原来：《信息系统安全等级保护基本要求》改为：《信息安全等级保护基本要求》再改为：（与《⽹络安全法》保持⼀致）《⽹络安全等级保护基本要求》主要标准⽂件：⽹络安全等级保护条例（总要求/上位⽂件）计算机信息系统安全保护等级划分准则（GB 17859-1999）（上位标准）⽹络安全等级保护实施指南（GB/T25058）（正在修订）⽹络安全等级保护定级指南（GB/T22240）（正在修订）★⽹络安全等级保护基本要求（GB/T22239-2019）★⽹络安全等级保护设计技术要求（GB/T25070-2019）★⽹络安全等级保护测评要求（GB/T28448-2019）★⽹络安全等级保护测评过程指南（GB/T28449-2018）等保2.0的“变与不变”：“不变”：等级保护“五个级别”不变：1⾃主保护级；2 指导保护级；3 监督保护级；4 强制保护级；5 转控保护级等级保护“五个阶段”不变：1定级；2备案；3安全建设和整改；4信息安全等级测评；5信息安全检查等级保护“主体职责”不变：公安机关；国家保密⼯作部门；国家密码管理部门；⼯业和信息化部门为职能部门“变”：法律法规变化：不开展等级保护等于违法！并要承担相应的法律后果标准要求变化：使⽤新技术的信息系统需要同时满⾜“通⽤要求+安全扩展”的要求“优化”通⽤要求，删除了过时的测评项（增加云计算、⼯控、移动互联、物联⽹安全要求）安全体系变化：从被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变实施环节变化：系统定级必须经过专家评审和主管部门审核测评达到75分以上才算基本符合要求对象变化：原来：信息系统改为：等级保护对象（⽹络和信息系统）安全等级保护的对象包括⽹络基础设施（⼴电⽹、电信⽹、专⽤通信⽹络等）、云计算平台/系统、⼤数据平台/系统、物联⽹、⼯业控制系统、采⽤移动互联技术的系统等.安全要求变化：原来：安全要求改为：安全通⽤要求和安全扩展要求安全通⽤要求是不管等级保护对象形态如何必须满⾜的要求，针对云计算、移动互联、物联⽹和⼯业控制系统提出了特殊要求，称为安全扩展要求.章节结构的变化：8 第三级安全要求8.1 安全通⽤要求8.2 云计算安全扩展要求8.3 移动互联安全扩展要求8.4 物联⽹安全扩展要求8.5 ⼯业控制系统安全扩展要求分类结构变化：结构和分类调整为：（2017试⽤稿）技术部分：物理和环境安全、⽹络和通信安全、设备和计算安全、应⽤和数据安全；管理部分：安全策略和管理制度、安全管理机构和⼈员、安全建设管理、安全运维管理技术部分：(正式发布稿)安全物理环境、安全通信⽹络、安全区域边界、安全计算环境、安全管理中⼼管理部分：安全管理制度、安全管理机构、安全管理⼈员、安全建设管理、安全运维管理新等级保护的特点：1.基本要求、测评要求和技术要求框架统⼀，安全管理中⼼⽀持下的三重防护结构框架2.通⽤安全要求+新型应⽤安全扩展要求，将云计算、移动互联、物联⽹、⼯业控制等列⼊标准规范3.把基于可信根的可信验证列⼊各级别和各环节的主要功能要求新等级保护建设的核⼼思想：信息系统的安全设计应基于业务流程⾃⾝特点，建⽴“可信、可控、可管”的安全防护体系，使得系统能够按照预期运⾏，免受信息安全攻击和破坏。

信息安全等保2.0技术方案信息安全等保 20 技术方案在当今数字化时代，信息安全已成为企业和组织发展的关键因素。

随着网络攻击手段的日益复杂和多样化，信息安全等级保护 20（以下简称等保 20）标准的出台为保障信息系统的安全提供了更为全面和严格的规范。

本文将详细探讨一套符合等保 20 要求的技术方案，帮助企业和组织提升信息安全防护能力。

一、等保 20 概述等保 20 是在等保 10 的基础上进行的升级和完善，它涵盖了更广的范围和更细的要求。

等保 20 强调了“一个中心，三重防护”的理念，即以安全管理中心为核心，从安全计算环境、安全区域边界和安全通信网络三个方面进行防护。

同时，等保 20 增加了对云计算、移动互联、物联网、工业控制等新场景的安全要求。

二、技术方案框架（一）安全物理环境确保机房的物理安全是信息安全的基础。

这包括机房的选址、防火、防水、防静电、温湿度控制等方面。

例如，机房应位于不易遭受自然灾害和人为破坏的地点，安装有效的消防设备和防水设施，铺设防静电地板，并配备空调系统以保持合适的温湿度。

（二）安全通信网络1、网络架构优化采用分层、分区的网络架构，划分不同的安全区域，并通过防火墙、入侵检测系统等设备进行隔离和防护。

2、网络访问控制实施访问控制策略，限制网络访问权限，只允许授权的设备和用户接入网络。

3、数据传输加密对敏感数据的传输进行加密，如使用 SSL/TLS 协议，确保数据在传输过程中的保密性和完整性。

（三）安全区域边界1、边界防护在网络边界部署防火墙、入侵防御系统等设备，防止外部攻击和非法访问。

2、访问控制设置访问控制规则，对进出网络的流量进行严格的过滤和控制。

3、安全审计对网络边界的访问行为进行审计和监测，及时发现异常活动。

（四）安全计算环境1、操作系统安全及时更新操作系统补丁，关闭不必要的服务和端口，设置强密码策略。

2、应用系统安全对应用系统进行安全开发和测试，防止出现漏洞和安全隐患。

等保2.0引言等保2.0是指信息系统安全等级保护的第二代标准，是我国针对信息系统安全等级保护的一项重要规范。

随着信息化技术的快速发展，网络安全问题日益突出，为了保护国家信息系统的安全，等保2.0标准应运而生。

等保2.0的背景在信息化时代，网络安全问题日益严重。

黑客攻击、病毒传播、数据泄露等问题频频发生，给个人、企业甚至国家的信息系统带来了巨大的风险。

为了规范信息系统安全保护的实施，我国于2012年发布了《信息安全技术中国保密技术信息系统安全等级保护》标准，即等保1.0。

然而，随着网络安全形势的不断演变和技术的不断发展，等保1.0已经无法满足现代信息系统安全保护的需要。

因此，国家信息安全等级保护标准工作组在等保1.0的基础上制定了等保2.0标准。

等保2.0的特点1. 强调风险管理等保2.0相比于等保1.0更加重视风险管理。

它要求对信息系统的风险进行全面、系统的分析和评估，并采取相应的措施进行风险治理。

通过对信息系统的风险进行有效的管理，可以最大程度地保护信息系统的安全。

2. 强调持续监测等保2.0要求信息系统的安全保护应具备持续监测的能力。

通过监测安全事件、网络流量、系统性能等指标，及时发现并处理信息系统的异常行为。

持续监测可以帮助发现潜在威胁，及时采取措施防范风险的发生。

3. 强调技术创新等保2.0鼓励技术创新，要求在信息系统安全保护中积极应用新兴技术。

例如，人工智能、区块链、云计算等新技术可以在等保2.0的实施中发挥重要作用，提高信息系统的安全性和效率。

等保2.0的实施步骤1. 信息系统分类根据等保2.0的要求，首先需要对信息系统进行分类。

等保2.0将信息系统分为多个等级，根据信息系统的重要性和使用环境进行划分。

2. 风险评估根据信息系统的等级，进行相应的风险评估。

通过对信息系统的风险进行评估，可以确定信息系统的安全保护需求，为后续的安全保护措施提供依据。

3. 安全策略制定根据风险评估结果，制定相应的安全策略。

1 等保2.0三级要求的通用要求等保2.0三级从8.1.2安全通信网络、8.1.4安全计算环境、8.1.9安全建设管理、8.1.10安全运维管理四个域对密码技术与产品提出了要求，主要涉及以下八处密码技术：8.1.2.2通信传输a)应采用校验技术或密码技术保证通信过程中数据的完整性；b)应采用密码技术保证通信过程中数据的保密性。

8.1.4.1身份鉴别d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

8.1.4.7数据完整性a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

8.1.4.8数据保密性a)应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；b)应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

8.1.9.2安全方案设计b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，设计内容应包含密码技术相关内容，并形成配套文件；8.1.9.3产品采购和使用b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求；8.1.9.7测试验收b)应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容。

8.1.10.9密码管理b)应使用国家密码管理主管部门认证核准的密码技术和产品。

2等保2.0与0054标准中对密码技术的要求分析将等保2.0中对密码技术与产品的要求，细化映射到《GM/T 0054-2018 信息系统密码应用基本要求》标准（简称“0054标准”）中对密码的技术要求，如下表所示：1等保2.0与0054标准对数据完整性的密码技术要求分析等保2.0在8.1.2安全通信网络、8.1.4安全计算环境中提出，可以采用密码技术来保证数据的完整性，其中主要保护的主体是8.1.2安全通信网络中通信数据、8.1.4安全计算环境中包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息。

网络安全等级保护（等保2.0）解读01前言2018年12月25日，由中关村可信计算产业联盟主办的等级保护新标准解读培训班在北京裕龙国际酒店举行。

沈昌祥院士做了《用可信计算筑牢网络安全防线》的主题演讲，公安部范春玲、李秋香和陈广勇三位专家老师对最新的网络安全等级保护制度进行了细致的解读，新华三作为可信计算联盟的理事成员单位，有幸受邀参加了此次培训。

同时作为等级保护2.0的参编单位，为了更好的学习贯彻和落实国家网络安全等级保护制度，新华三再次对会上专家的培训内容做个总结。

02等级保护标准变化等级保护新标准在编制过程中总共经历了两次大的变化，第一次是2017年8月根据网信办和公安部的意见将5个分册进行了合并，形成一个标准，并在2017年10月参加信安标委WG5工作组在研标准推进会，介绍合并后的标准送审稿，征求127家成员单位意见，修订完成报批稿；第二次大的变化是2018年7月根据沈昌祥院士的意见再次调整分类结构和强化可信计算，充分体现一个中心、三重防御的思想并强化可信计算安全技术要求的使用。

经过这两次大变化后的《网络安全等级保护基本要求》有10个章节8个附录，其中第6、7、8、9、10章为五个安全等级的安全要求章节，8个附录分别为：安全要求的选择和使用、关于等级保护对象整体安全保护能力的要求、等级保护安全框架和关键技术使用要求、云计算应用场景说明、移动互联应用场景说明、物联网应用场景说明、工业控制系统应用场景说明和大数据应用场景说明。

标准名称由原来的《信息安全技术信息系统安全等级保护基本要求》变更为《信息安全技术网络安全等级保护基本要求》，与《中华人民共和国网络安全法》保持一致。

等级保护对象由原来的“信息系统”改为“等级保护对象（网络和信息系统）”，安全等级保护对象包括基础信息网络（广电网、电信网等）、信息系统（采用传统技术的系统）、云计算平台、大数据平台、移动互联、物联网和工业控制系统等。

新版安全要求在原有通用安全要求的基础上新增安全扩展要求，安全扩展要求主要针对云计算、移动互联、物联网和工业控制系统提出了特殊安全要求。

信息系统等级保护2.0的技术要求信息系统等级保护（以下简称“等保”）是指根据国家有关保密工作的法律、法规和标准，采取技术、管理、物理等多种手段，对国家秘密和重要敏感信息进行保护的一种制度。

信息系统等级保护2.0（以下简称“等保2.0”）是在原有等保基础上，结合了新技术、新形势，提出的一种更高要求的信息系统安全保护标准。

为了更好地理解等保2.0的技术要求，我们首先需要了解等保2.0的背景和主要内容。

等保2.0是在原有等保1.0的基础上提出的，其目的是适应信息化建设和网络安全形势的发展，以及新技术、新业务的应用。

与等保1.0相比，等保2.0更加注重对网络安全、数据安全等方面的保护，技术要求更加严格和全面。

等保2.0的技术要求主要包括以下几个方面：一、网络安全在网络安全方面，等保2.0要求系统有高效的防火墙和入侵检测系统，能够及时发现和阻止网络攻击，保障系统的稳定和安全运行。

还要求系统具备安全的网络接入控制技术，实现对用户访问的精细化管理，防范恶意访问和数据泄露。

二、数据安全数据安全是等保2.0非常重视的一个方面。

在数据加密方面，等保2.0要求系统能够对重要数据进行加密存储和传输，保障数据在存储和传输过程中不受到非法访问和篡改。

系统还要具备完善的备份和恢复机制，确保数据不会因为意外事件而丢失或损坏。

三、应用安全在应用安全方面，等保2.0要求系统能够对应用进行全面的安全审计和监控，发现和阻止恶意操作和非法访问。

还要求系统具备安全的身份认证和访问控制技术，确保只有经过授权的用户才能访问系统和数据。

四、硬件安全等保2.0要求系统的硬件要具备安全可控的特性，能够有效地防范硬件攻击和破坏。

还要求系统的硬件能够进行安全启动和运行，防范恶意软件和恶意代码的植入和传播。

总结回顾通过对等保2.0的技术要求的了解，我们可以看到，等保2.0对信息系统的安全保护提出了更高、更严格的要求。

在网络安全、数据安全、应用安全和硬件安全等方面都有着具体的技术要求，这些要求也是为了更好地保护国家秘密和重要敏感信息的安全。

【详解等保】安全可控系列之一：等保2.0，催生网络安全新需求主要观点网络安全等级保护2.0标准颁布在即。

从2015年开始，国家安标委开始启动等级保护2.0标准的制定。

2017年6月1号开始实施的《网络安全法》第二十一条和第五十九条以网络安全领域基本法的形式确立了国家网络安全等级保护制度，规定了等级保护制度安全措施的基线要求并赋予强制力，同时第三十一条进一步要求关键信息基础设施必须落实国家安全等级保护制度，突出保护重点。

2018年6月27日，公安部发布《网络安全等级保护条例(征求意见稿)》。

2018年11月9日，公安部网络安全保卫局总工程师郭启全在2018合肥网络安全大会上提到，等保2.0标准已在国家安标委最终审批，不日出台。

等保2.0是网络安全的一次重大升级。

等级保护2.0较1.0相比，主要变化体现在等级保护工作内容扩展、保护对象扩展、保护力度提升这几个方面。

从工作内容上来比较，除了满足等保1.0时代定级、备案、建设整改、等级测评和监督检查五个规定动作以外，把风险评估、安全监测、通报预警、案事件调查等方面的工作都纳入到等级保护的范围之内。

另外，保护对象也从传统的网络和信息系统，向“云大物智移”上扩展。

保护力度上，从原来等保1.0的十个安全控制域缩减为2.0的八个。

总体控制要求，以三级为例控制数量从290个点，调整为231个点。

这些诸多细粒度的变化，从制度层面给用户带来了一次知识更新的要求，同时也是为用户构建更加强大的安全能力提供了体系化的制度保障。

回溯等保1.0时代，等级保护政策极大促进了信息安全行业的发展。

2007年《信息安全等级保护管理办法》的发布，标志着等保1.0时代正式开启。

随后等级保护系列配套政策密集出台，推动信息安全行业景气度快速提升。

根据对启明星辰、绿盟科技、卫士通、北信源、蓝盾股份五家信息安全上市企业收入增速（中位数法）的统计，从2008到2011年我国信息安全厂商收入增速快速提升，我们认为等级保护政策是重要驱动因素之一。

等保2.0解读信息安全等级保护 1.0：以GB17859-1999《计算机信息系统安全保护等级划分准则》为根标准；以GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》为基础标准；习惯将《基本要求》的2008版本及其配套规范标准称为等保1.0。

网络安全等级保护 2.0：2014年开始制定2.0标准，修订了通用安全要求，增加了云计算、移动互联、工控、物联网等安全扩展要求。

2019年5月13日发布；2019年12月1日开始实施。

名称变化：原来：《信息系统安全等级保护基本要求》改为：《信息安全等级保护基本要求》再改为：（与《网络安全法》保持一致）《网络安全等级保护基本要求》主要标准文件：网络安全等级保护条例（总要求/上位文件）计算机信息系统安全保护等级划分准则（GB 17859-1999）（上位标准）网络安全等级保护实施指南（GB/T25058）（正在修订）网络安全等级保护定级指南（GB/T22240）（正在修订）★网络安全等级保护基本要求（GB/T22239-2019）★网络安全等级保护设计技术要求（GB/T25070-2019）★网络安全等级保护测评要求（GB/T28448-2019）★网络安全等级保护测评过程指南（GB/T28449-2018）等保2.0的“变与不变”：“不变”：等级保护“五个级别”不变：1自主保护级；2 指导保护级；3 监督保护级；4 强制保护级；5 转控保护级等级保护“五个阶段”不变：1定级；2备案；3安全建设和整改；4信息安全等级测评；5信息安全检查等级保护“主体职责”不变：公安机关；国家保密工作部门；国家密码管理部门；工业和信息化部门为职能部门“变”：法律法规变化：不开展等级保护等于违法！并要承担相应的法律后果标准要求变化：使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求“优化”通用要求，删除了过时的测评项（增加云计算、工控、移动互联、物联网安全要求）安全体系变化：从被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变实施环节变化：系统定级必须经过专家评审和主管部门审核测评达到75分以上才算基本符合要求对象变化：原来：信息系统改为：等级保护对象（网络和信息系统）安全等级保护的对象包括网络基础设施（广电网、电信网、专用通信网络等）、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等.安全要求变化：原来：安全要求改为：安全通用要求和安全扩展要求安全通用要求是不管等级保护对象形态如何必须满足的要求，针对云计算、移动互联、物联网和工业控制系统提出了特殊要求，称为安全扩展要求.章节结构的变化：8 第三级安全要求8.1 安全通用要求8.2 云计算安全扩展要求8.3 移动互联安全扩展要求8.4 物联网安全扩展要求8.5 工业控制系统安全扩展要求分类结构变化：结构和分类调整为：（2017试用稿）技术部分：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全；管理部分：安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理技术部分：(正式发布稿)安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心管理部分：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理新等级保护的特点：1.基本要求、测评要求和技术要求框架统一，安全管理中心支持下的三重防护结构框架2.通用安全要求+新型应用安全扩展要求，将云计算、移动互联、物联网、工业控制等列入标准规范3.把基于可信根的可信验证列入各级别和各环节的主要功能要求新等级保护建设的核心思想：信息系统的安全设计应基于业务流程自身特点，建立“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受信息安全攻击和破坏。

基于等保2.0要求的密码测评经验分享内容来源：浙江东安检测技术有限公司密码测评实验室第九届全国网络安全等级保护测评体系建设会议圆满结束，在此次大会上东安检测的网络安全专家跟大家分享了《基于等保2.0要求的密码测评经验分享》，以下是本次分享的重点内容：一、前言随着《中华人民共和国网络安全法》、《中华人民共和国密码法》和《信息安全技术网络安全等级保护基本要求》即等保2.0的相继发布和正式实施，以及当下严峻的网络安全形势，网络数据的保密性、完整性、可用性需求逐渐提高。

密码技术作为网络安全的核心技术，合理运用密码技术可以达到防泄密、防篡改、防假冒和抗抵赖的需求。

因此，创新发展和掌握网络安全核心技术，是牢牢掌握网络安全主动权，争夺网络空间话语权的重要举措。

与等保1.0相比，2.0提高了密码技术的应用要求，对相关条款的测评方法也提出了更高的标准。

二、法律法规政策依据2016年11月7日，《中华人民共和国网络安全法》（以下简称“网络安全法”）正式发布，2017年6月1日起施行；2019年12月1日,等保2.0开始实施；《中华人民共和国密码法》（以下简称“密码法”）于2019年10月26日通过表决，2020年1月1日起正式实施。

这些法律法规有效地保障了网络安全，维护了网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进了经济社会信息化健康发展。

(一) 网络安全法“网络安全法”总则第十条中明确，“维护网络数据的完整性、保密性和可用性”。

第二十一条中表明“国家实行网络安全等级保护制度，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改，且需要采取数据分类、重要数据备份和加密等措施”。

以上内容均可以通过正确、有效地使用密码技术来满足相应的需求，其中使用密码技术对数据加密可以防数据泄露，使用密码技术的完整性功能可以防止攻击者对数据的篡改。

(二) 密码法“密码法”是我国历史上第一部密码大法，旨在规范密码应用和管理，促进密码事业发展，保障网络与信息安全。

1 等保2.0三级要求的通用要求等保2.0三级从8.1.2安全通信网络、8.1.4安全计算环境、8.1.9安全建设管理、8.1.10安全运维管理四个域对密码技术与产品提出了要求，主要涉及以下八处密码技术：8.1.2.2通信传输a)应采用校验技术或密码技术保证通信过程中数据的完整性；b)应采用密码技术保证通信过程中数据的保密性。

8.1.4.1身份鉴别d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

8.1.4.7数据完整性a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

8.1.4.8数据保密性a)应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；b)应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

8.1.9.2安全方案设计b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，设计内容应包含密码技术相关内容，并形成配套文件；8.1.9.3产品采购和使用b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求；8.1.9.7测试验收b)应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容。

8.1.10.9密码管理b)应使用国家密码管理主管部门认证核准的密码技术和产品。

2等保2.0与0054标准中对密码技术的要求分析将等保2.0中对密码技术与产品的要求，细化映射到《GM/T 0054-2018 信息系统密码应用基本要求》标准（简称“0054标准”）中对密码的技术要求，如下表所示：1等保2.0与0054标准对数据完整性的密码技术要求分析等保2.0在8.1.2安全通信网络、8.1.4安全计算环境中提出，可以采用密码技术来保证数据的完整性，其中主要保护的主体是8.1.2安全通信网络中通信数据、8.1.4安全计算环境中包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息。