网络攻防学习笔记 Day148

信息和信息系统的安全保护等级划分为五级，第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。

等级保护测评与风险评估均是对信息系统开展分析评估工作的方式，可以发现信息系统存在的安全隐患或风险。但在具体开展时存在区别如下：

等保 2.0 与 1.0 的区别

等保 1.0 缺乏对一些新技术和新应用的等级保护规范，比如云计算、大数据和物联网等，而且风险评估、安全监测和通报预警等工作以及政策、标准、测评、技术和服务等体系不完善。为适应现代新技术信息的发展，公安部开展了主导向国家标准申报信息技术新领域等级保护重点标准的工作，等级保护正式进入 2.0 时代，主要变化如下。

● 标准名称变化：《网络安全法》第 21 条：“国家实施网络安全等级保护制度。”在等保 2.0 中，所有涉及“信息系统安全等级保护”统一调整为“网络安全等级保护”。

● 保护对象变化：由原来的“信息系统”调整为“网络和信息系统”。

● 安全要求变化：由原来的“安全通用要求”调整为“安全通用要求+安全扩展要求”，安全扩展要求中增加了云计算安全扩展要求、移动互联网安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

● 控制措施变化：技术部分由原来的“物理安全、网络安全、主机安全、应用安全、数据安全”调整为“安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心”。管理部分由原来的“安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理”调整为“安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理”。整体上，技术部分内容变化较大，管理部门内容变化不大。

● 等保 2.0 技术思路 1：“一个中心、三重防护”，一个中心指的是安全管理中心，三重防护分别为安全通信网络、安全区域边界、安全计算环境。

● 等保 2.0 技术思路 2：“主动免疫”，三级要求，即可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。