No.1 標準內容增加了
標準內容上最大的變化就是將安全要求分為了安全通用要求和擴展要求。首先,安全通用要求部分已對1.0標準的內容進行了優化,刪除或修訂了過時的要求項,新增了對新型網絡攻擊行為防護和個人信息保護等方面的新要求。其次,針對雲計算、移動互聯、物聯網、工業控制系統等提出了新的安全擴展要求。其測評要求體現在具體工作上,就是“測評難度加大、測評工作量增加、測評標準更高”,今後一個系統測評時將由過去的一個安全要求變成現在的一個通用安全要求加N個擴展要求,對測評機構提出新的更高的要求。特別是新增的幾個擴展要求,都是最新技術在網絡系統上的應用。
No.2 以基本要求為首的2.0標準,從標準結構上發生了較大的調整
以安全通用要求為例,技術要求調整為安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心5個層面,管理要求5個層面也重新進行了調整。從測評項數量上來看,安全通用要求二級和三級的測評項數量比1.0標準減少了,但實際上2.0標準的覆蓋面比1.0標準要更廣,要求也要高得多。主要體現在:第一方面、新標準將原來1.0標準的不同層面的相同要求項進行了合併,如主機、數據庫、網絡設備、安全設備、應用系統、數據的要求,所以該層面的一個要求項就覆蓋了原標準多個層面的內容;第二方面、部分要求項的要求更高了,覆蓋面更大了,比如網絡入侵防範內容中,明確要求具有對關鍵節點從內部和外部的攻擊檢測能力(1.0僅要求網絡邊界處的檢測能力);如果被保護系統使用了新技術,那麼還需考慮擴展要求的內容。總的來說,就是2.0標準的覆蓋範圍更大了,要求更高了,系統運營使用單位須在系統建設和整改過程中進一步提升安全防護能力。測評機構的測評難度也增加了,相同系統的測評投入也必然要增加。
No.3 測評報告的變化
測評聯盟針對2.0標準發佈了2019版測評報告模板,該模板在2015版的基礎上強化了分析研判方面的要求,並強化了工具測試/滲透測試的要求。在2019版發佈的同時,還發布了配套文件《等級保護測評高風險判定指引》,明確定義了各個問題場景的分析研判要求和規範。所以,報告編制的難度也增加了,測評機構在報告編制階段的投入也要增加。
附:等保2.0 VS 等保1.0 三級標準對比
(以安全通用要求為例)
基本條款的數量和安全層面變化如下圖所示:
等保2.0的安全物理環境VS等保1.0的物理安全
控制點未發生變化,要求項數由原來的32項調整為22項。控制點要求項數修改情況如下圖:
要求項的變化如下:
等保2.0的網絡安全VS等保1.0的網絡安全
新標準對之前的網絡安全分類進行了拆分,並添加了一些新的控制點和要求項,整合為安全通信網絡、安全區域邊界、安全管理中心的三個類。
原結構安全中部分要求項納入了安全通信網絡的網絡架構控制點中,原應用安全中通信完整性和保密性的要求項納入了通信傳輸控制點中,原邊界完整性檢查和訪問控制中部分要求項內容納入了邊界防護控制點中,原網絡設備防護控制點要求併到安全計算環境要求中。
要求項總數原來為33項,調整後為40項,且要求項內容有變化。
控制點和控制點要求項數修改情況如下表:
等保2.0的安全計算環境VS等保1.0的主機安全+應用安全+數據安全及備份恢復
新標準增加了可信驗證、個人信息保護兩個控制點,
抗抵賴條款從三級要求變到四級要求,原設備層面的集中管控、安全策略、資源控制等集中管理類要求的測評條款已轉移到安全管理中心層面測評,原軟件容錯合併到入侵防範中,在測評對象上,把應用系統、網絡設備、安全設備也納入了此層面的測評範圍,並將數據安全及備份恢復作為條款融入條款。要求項由原來針對單個對象測評的主機安全32項、應用安全31項、數據安全及備份恢復8項,融合調整為安全計算環境26項,且要求項內容有變化。
控制點和各控制點要求項數修改情況如下圖:
因多類對象合併測評,除了可以對比原主機安全的安全計算環境層面,其它主要條款補充對比如下(以內容契合度高的數據安全及備份恢復為例):
