等保 2.0

这里的等保 2.0 是指网络安全等级保护制度 2.0 国家标准，该标准于 2019 年 05 月 10 日发布，并于 2019 年 12 月 01 日正式实施。那么到底什么是等级保护？等级保护 2.0 又有什么重大变化呢？

概述

等保 2.0 标准名称为《信息安全技术 网络安全等级保护基本要求》，编号为 GB/T 22239-2019，基于等保 1.0 GB/T 22239-2008 进行修订。为了适配《中华人民共和国网络安全法》的实施，同时适应云计算、移动互联、物联网、工业控制和大数据等技术、新应用情况下的网络安全等级保护工作的开展，针对公共性安全保护需求提出安全通用要求，针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。

等级保护对象

等级保护对象是指网络安全等级保护工作中的对象，通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网（IoT）、工业控制系统和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高被划分为五个安全保护等级。

五个安全保护等级由低到高分别为：

• 安全通用要求
• 云计算安全扩展要求
• 移动互联安全扩展要求
• 物联网安全扩展要求
• 工业控制系统安全扩展要求

等保 2.0 的变化

与 GB/T 22239-2008 相比，GB/T 22239-2019 的主要变化如下：

• 变更标准名称为《信息安全技术 网络安全等级保护基本要求》；
• 调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理；
• 调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联网安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

物联网安全扩展要求

由于本人从事物联网行业相关工作，因此将 GB/T 22239-2019 标准中的物联网安全扩展要求摘录下来，以作参考。

安全物理环境

感知节点设备物理防护

本项要求包括：

a) 感知节点设备所处的物理环境不对感知节点设备造成物理破坏，如挤压、强振动；

b) 感知节点设备在工作状态所处物理环境应能正确反映环境状态（如温湿度传感器不能安装在阳光直射区域）；

c) 感知节点设备在工作状态所处物理环境应不对感知节点设备的正常工作造成影响，如强干扰、阻挡屏蔽等；

d) 关键感知节点设备应具有可供长时间工作的电力供应（关键网关节点设备应具有持久稳定的电力供应能力）。

安全区域边界

接入控制

应保证只有授权的感知节点可以接入。

入侵防范

本项要求包括：

a) 应能够限制与感知节点通信的目标地址，以避免对陌生地址的攻击行为；

b) 应能够限制与网关节点通信的目标地址，以避免对陌生地址的攻击行为。

安全计算环境

感知节点设备安全

本项要求包括：

a) 应保证只有授权的用户可以对感知节点设备上的软件应用进行配置或变更；

b) 应具有对其连接的网关节点设备（包括读卡器）进行身份标识和鉴别的能力；

c) 应具有对其连接的其他感知节点设备（包括路由节点）进行身份标识和鉴别的能力。

网关节点设备安全

本项要求包括：

a) 应具备对合法连接设备（包括终端节点、路由节点、数据处理中心）进行标识和鉴别的能力；

b) 应具备过滤非法节点和伪造节点所发送的数据的能力；

c) 授权用户应能够在设备使用过程中对关键密钥进行在线更新；

d) 授权用户应能够在设备使用过程中对关键配置参数进行在线更新。

抗数据重放

本项要求包括：

a) 应能够鉴别数据的新鲜性，避免历史数据的重放攻击；

b) 应能够鉴别历史数据的非法修改，避免数据的修改重放攻击。

数据融合处理

本项要求包括：

a) 应对来自传感网的数据进行数据融合处理，使不同种类的数据可以在同一个平台被使用；

b) 应对不同数据之间的依赖关系和制约关系等进行智能处理，如一类数据达到某个门限时可以影响对另一类数据采集终端的管理指令。

安全运维管理

感知节点管理

本项要求包括：

a) 应指定人员定期巡视感知节点设备、网关节点设备的部署环境，对可能影响感知节点设备、网关节点设备正常工作的环境异常进行记录和维护；

b) 应对感知节点设备、网关节点设备入库、存储、部署、携带、维修、丢失和报废等过程作出明确规定，并进行全程管理；

c) 应加强对感知节点设备、网关节点设备部署环境的保密性管理，包括负责检查和维护的人员调离工作岗位应立即交还相关检查工具和检查维护记录等。

物联网应用场景说明

物联网通常从架构上可分为三个逻辑层，即感知层、网络传输层和处理应用层。其中感知层包括传感器节点和传感网网关节点，或 RFID 标签和 RFID 读卡器，也包括这些感知设备及传感网网关、RFID 标签与阅读器之间的短距离通信（通常为无线）部分；网络传输层包括将这些感知数据远距离传输到处理中心的网络，包括互联网、移动网等，以及几种不同网络的融合；处理应用层报对感知数据进行存储于智能处理的平台，并对业务应用终端提供服务。对大型物联网来说，处理应用层一般是云计算平台和业务应用终端设备。物联网构成示意图如图 F.1 所示。对物联网的安全防护应包括感知层、网络传输层和处理应用层，由于网络传输层和处理应用层通常是由计算机设备构成，因此这两部分按照安全通用要求提出的要求进行保护，本标准的物联网安全扩展要求针对感知层提出特殊安全要求，与安全通用要求一起构成对物联网的完整安全要求。

等级保护安全框架

总结

等保 2.0 将信息安全和网络安全划分为五个安全等级，涉及到基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网（IoT）、工业控制系统和采用移动互联技术的系统等，全方位指导企业确保网络信息安全。配合《中华人民共和国网络安全法》，企业有责任和义务确保本企业内所有产品网络信息安全。企业可以基于 GB/T 22239-2019 及其附属文档，根据相关检测标准进行自查，并最终通过相关相关测评要求（参考 GB/T 28448 标准）。

在信息大爆炸，物联网大爆发的时代，网络安全问题不容小觑，2016 年的物联网僵尸网络攻击以及 2019 年的小米摄像头视频泄露等问题，已经为我们敲响了安全警钟，未来安全之路任重道远，与每个人息息相关。等保 2.0 系列安全安全标准已经给出了基本的安全框架，未来定能更好地指导企业做好基础的网络信息安全。

参考

• GB/T 22239-2019
• GB/T 22239-2008

注意

以上内容摘自 GB/T 22239-2019 标准文档，部分内容纯属个人理解，仅供学习参考，如有侵权，请联系删除。如果以上内容与 GB/T 22239-2019 有冲突，请以 GB/T 22239-2019 中的原文为主。

本文禁止转载。