一、背景
等級保護2.0發(fā)布后，市場上鋪天蓋地的出現(xiàn)了眾多解讀文章，但大部分文章只停留在總體變化的描述，缺少對等級保護2.0具體條款與等級保護1.0具體基本技術要求的區(qū)別分析。
本文以幫助企業(yè)理解等級保護2.0基本要求為導向，對等級保護2.0和1.0在基本技術要求存在的區(qū)別進行具體分析。在等級保護2.0合規(guī)要求下，滿足基本符合等級保護要求從1.0的60分提高到了2.0的75分，這無疑對企業(yè)、系統(tǒng)集成商和安全廠家提出了更高的要求和挑戰(zhàn)：

● 采用何種安全技術手段、何種安全防護體系能夠滿足等級保護2.0基本要求？

● 如何為企業(yè)提供既能解決用戶切實的需求，又合法、合規(guī)的安全解決方案？

● 如何幫助企業(yè)既能合理規(guī)劃網絡安全的費用投入，又能提高自身網絡安全防護能力，達到相關等級保護級別測評要求？

下面將結合等級保護1.0（三級）的具體條款和等級保護2.0（三級）的關鍵條款變化進行詳細的解讀。（本文主要針對網絡安全部分進行詳細解讀分析）

網絡安全-關鍵條款變化

條款對比詳解

整合內容詳解

新增條款詳解

1
網絡安全-關鍵條款變化
由于等級保護2.0中將整體結構進行調整，從物理安全、網絡安全、主機安全、應用安全、數(shù)據(jù)安全變成安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心，所以原等級保護1.0中的“網絡安全”變成“安全通信網絡”。

結構安全-詳解
在等級保護2.0中，在這一小節(jié)沒有明顯的變化，主要是將一些過于老舊的條款進行了刪除，將原等級保護1.0中的c）d）g）刪除。同時增加了“應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗余，保證系統(tǒng)的可用性”的條款，并將這一小節(jié)中的“子網、網段”都統(tǒng)一更換成了“網絡區(qū)域”。

 對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求
1) 企業(yè)或集成商進行網絡基礎建設時，必須要對通信線路、關鍵網絡設備和關鍵計算設備進行冗余配置，例如關鍵網絡設備應采用主備或負載均衡的部署方式；
2) 安全廠家在進行安全解決方案設計時，也應采用主備或負載均衡的方式進行設計、部署；
3) 強調、突出了網絡區(qū)域的概念，無論在網絡基礎建設，還是安全網絡規(guī)劃，都應該根據(jù)系統(tǒng)應用的實際情況進行區(qū)域劃分。

訪問控制-詳解
在等級保護2.0中，對于訪問控制這一節(jié)變化較大，首先將等級保護1.0訪問控制這一小節(jié)從原來網絡安全中的條款變更到安全區(qū)域邊界這一節(jié)中，其次刪除了等級保護1.0中大部分條款，如上圖，將c）d）e）f）g）h）全部刪除。同時在上一節(jié)網絡架構提出網絡區(qū)域的基礎上，進一步強調區(qū)域的概念，強調應在網絡邊界或區(qū)域之間部署訪問控制設備，并強調了“應對進、出網絡的數(shù)據(jù)流實現(xiàn)基于應用協(xié)議和應用內容的訪問控制”，對應用協(xié)議、數(shù)據(jù)內容的深度解析提出了更高的要求。

 對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求
1)  要著重考慮網絡邊界的訪問控制手段，但網絡邊界不僅僅是業(yè)務系統(tǒng)對其他系統(tǒng)的網絡邊界，還應該包括在業(yè)務系統(tǒng)內不同工藝區(qū)域的網絡邊界；
2)  訪問控制的顆粒度要進一步的強化，不僅僅要停留在對于HTTP,FTP,TELNET,SMTP等通用協(xié)議的命令級控制程度，而是要對進出網絡數(shù)據(jù)流的所有應用協(xié)議和應用內容都要進行深度解析；
3）企業(yè)用戶在進行網絡安全防護項目招標時一定要考慮參與投標的安全廠家所采用的邊界訪問控制設備是否具備對應用協(xié)議深度解析的能力，例如在工業(yè)控制系統(tǒng)，除了能夠對比較常見的OPC、ModBus TCP、DNP3、S7等協(xié)議進行深度解析外，還需要根據(jù)現(xiàn)場業(yè)務實際情況，對業(yè)務系統(tǒng)中使用的私有協(xié)議進行自定義深度解析，否則很難達到測評要求。

安全審計-詳解

在等級保護2.0中，將等級保護1.0安全審計這一小節(jié)從原來網絡安全中的條款變更安全區(qū)域邊界這一節(jié)中，將原條款的c）去掉，并對其他三條都進行了強化，尤其是a）條款，同時增加了“應能對遠程訪問的用戶行為、訪問互聯(lián)網用戶行為等都進行行為審計和數(shù)據(jù)分析”。

 對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求
1) 重點強調了需要在網絡邊界、重要網絡節(jié)點處進行網絡行為審計，要求企業(yè)在進行網絡安全防護項目時要充分考慮網絡邊界和重要網絡節(jié)點的行為審計能力，例如在城市軌道交通信號系統(tǒng)中，車站分為一級集中站、二級集中站和非集中站，結合等級保護2.0的要求，需要在一級和二級集中站都要考慮部署具備網絡行為審計能力的安全產品。而僅僅在一級集中站內部署具有網絡行為審計能力的產品是不夠的。
2) 重點強調網絡行為審計，即對網絡流量進行審計，而這僅僅靠原有的日志審計類產品是不夠的，無法滿足等級保護2.0的要求。

邊界完整性&入侵防范&惡意代碼防范-詳解

將這三點放到一起是因為彼此之間具備一定的連帶關系，將等級保護1.0中的邊界完整性檢查、入侵防范和惡意代碼防范這3節(jié)都變更到等級保護2.0中的安全區(qū)域邊界中。在邊界完整性檢查的這一節(jié)中，原等級保護1.0中要求必須準確定位并有效阻斷非法外聯(lián)、內聯(lián)的行為，但在等級保護2.0中要求中，提出了“防止或限制”的要求，取消了原等級保護1.0中的“定位”要求；入侵防范這一節(jié)中，主要提出了對于網絡行為的分析，并且能夠實現(xiàn)“已知”和“未知”的攻擊行為檢測能力。

 對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求
1) 對于企業(yè)和系統(tǒng)集成商，在進行網絡安全防護項目招標時要充分考慮對于在等級保護2.0中所提出的對于“已知”和“未知”的檢測要求。尤其在進行安全廠家選擇時，要重點考慮安全廠家對于“未知”攻擊的檢測能力；

2) 對于安全廠家，網絡安全審計或入侵檢測產品不應僅僅局限在采用“特征庫”的形式進行攻擊檢測，因為采用以“特征庫”為模板的形式無法對“未知”攻擊進行檢測；

3) 對于安全廠家，入侵防范的范圍變化，需要在網絡安全解決方案設計時充分考慮，不應僅僅在網絡邊界處進行入侵防范，還需要在網絡中的關鍵節(jié)點處均需要進行入侵防范。

網絡設備防護-詳解

該小節(jié)在等級保護2.0全部被刪除，并整合到“安全計算環(huán)境”中。

以下內容以等級保護三級為基礎，針對等級保護2.0中安全計算環(huán)境部分進行解讀。

再次回顧等級保護2.0的整體變化，整體結構從物理安全、網絡安全、主機安全、應用安全、數(shù)據(jù)安全變成安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心，其中原等級保護1.0中的“主機安全”部分整合到“安全計算環(huán)境”中。
2
條款對比詳解
身份鑒別

在身份鑒別這一小節(jié)中首先弱化了系統(tǒng)的概念，提出標識的唯一性，將原等級保護1.0中老舊條款的e）刪除。同時對雙因子認證進行了加強，強調“口令、密碼技術、生物技術的組合鑒別，要求其中一種至少應使用密碼技術來實現(xiàn)”。
>>>
高風險強調

在身份鑒別這部分要求中，設備存在弱口令，遠程管理無防護和缺少雙因子認證均是高危風險項。

對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：

1)  集成商進行業(yè)務應用軟件設計時，應考慮業(yè)務應用系統(tǒng)在“用戶名”+“口令”的基礎上進一步實現(xiàn)通過密碼技術對登錄用戶的身份進行鑒別，同時應避免業(yè)務應用系統(tǒng)的弱口令問題；

2)  集成商進行業(yè)務應用軟件設計時，應充分考慮用戶權限的控制以及用戶在登錄失敗后的處理機制；

3)  企業(yè)在業(yè)務運營期間不可通過不可控的網絡環(huán)境進行遠程管理，容易被監(jiān)聽，造成數(shù)據(jù)的泄露，甚至篡改；

4)  安全廠家在進行安全產品選用時，應采用具有兩種或以上的組合鑒別方式的安全防護軟件對登錄系統(tǒng)的管理用戶進行身份鑒別。滿足本地身份認證和第三方遠程身份認證雙因子驗證要求。

訪問控制

在訪問控制這一小節(jié)中，主要是將原等級保護1.0中的條款進行了完善，強調“強制訪問控制”，明確授權主體可以通過配置策略規(guī)定對客體的訪問規(guī)則，控制粒度等。
>>>
高風險強調

要求項中，未重命名或刪除默認賬戶，未修改默認賬戶的默認口令屬于高風險項。

對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：

1)  集成商進行業(yè)務應用軟件設計時，應充分考慮用戶權限的控制以及用戶在登錄失敗后的處理機制，確保業(yè)務應用系統(tǒng)不存在訪問控制失效的情況；
2)  企業(yè)或集成商在進行系統(tǒng)配置時，應為用戶分配賬戶和權限，刪除或重命名默認賬戶及默認口令，刪除過期、多余和共享的賬戶；
3)  安全廠家在進行安全產品選用時，應采用符合強制訪問控制要求的安全防護軟件對主機、系統(tǒng)進行防護，可以有效的降低高風險項的風險等級。

安全審計

在安全審計這一小節(jié)中，主要是將一些過于老舊的條款進行了刪除，將原等級保護1.0中的a）b）d）條款刪除，整合為“啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計”。審計記錄中刪除“主體標識、客體標識和結果等”并改為“事件是否成功及其他與審計相關的信息”，增加對審計記錄的“定期備份”。

高風險強調

要求項中，未啟用安全審計功能，審計覆蓋到每個用戶，未對重要的用戶行為和重要安全事件未進行審計屬于高風險項。

對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：
1)  對集成商而言，業(yè)務應用系統(tǒng)軟件的安全審計能力至關重要，需要能夠對重要用戶操作、行為進行日志審計，并且審計的范圍不僅僅是針對前端用戶，也要針對后端用戶；
2)  對企業(yè)來說，在基礎建設時應該在重要核心設備、操作系統(tǒng)、數(shù)據(jù)庫性能允許的前提下，開啟用戶操作類和安全事件的審計策略，并在安全運營的過程中對策略的開啟定期檢查；

3)  安全廠家在進行安全審計產品選用時，應采用可以覆蓋到每個用戶并可對重要的用戶行為和重要安全事件進行審計的產品?？衫萌罩緦徲嬒到y(tǒng)實現(xiàn)對日志的審計分析并生產報表，通過堡壘機來實現(xiàn)對第三方運維操作的審計。

剩余信息保護

在剩余信息保護這一小節(jié)沒有明顯的變化，主要是將“操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶”和“無論這些信息是存放在硬盤上還是在內存中”等限制性條件進行了刪除，將“系統(tǒng)內的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間”改為“存有敏感數(shù)據(jù)的存儲空間”。

高風險強調

應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除，該項為高風險項。如果身份鑒別信息釋放或清除機制存在缺陷，如在清除身份鑒別信息后，仍能進行訪問資源的操作，屬于高風險。

對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：
企業(yè)或集成商在服務器上啟用基于操作系統(tǒng)本身的剩余信息保護功能。

入侵防范

在入侵防范這一小節(jié)中，將a）和b）進行了整合，“重要服務器”改為“重要節(jié)點”，新增d）和e），要求系統(tǒng)可以對數(shù)據(jù)進行有效性檢驗，同時可以發(fā)現(xiàn)系統(tǒng)存在的已知漏洞，在驗證后可以進行修補。

高風險強調
不必要的服務、端口未關閉；管理終端管控無措施均屬于高危風險項目。

對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：

1)  企業(yè)或集成商在進行系統(tǒng)安裝時，遵循最小安裝原則，僅安裝業(yè)務應用程序及相關的組件；
2)  企業(yè)或集成商進行應用軟件開發(fā)時，需要考慮應用軟件本身對數(shù)據(jù)的符合性進行檢驗，確保通過人機接口或通信接口收到的數(shù)據(jù)內容符合系統(tǒng)應用的要求；
3)  企業(yè)或集成商在選擇主機安全防護軟件時除了要考慮主機安全防護軟件的安全功能以外，還要考慮與實際業(yè)務場景結合的問題，能夠有效的幫助業(yè)主解決實際痛點。工業(yè)現(xiàn)場大部分現(xiàn)場運維人員對安全知之甚少，很難嚴格按照等級保護要求將安全配置一一完善，所以選擇的主機安全防護軟件應可以通過最簡單的配置來滿足等級保護的要求；
4)  解決安全漏洞最直接的辦法是更新補丁，但對于工業(yè)控制系統(tǒng)而言，打補丁的動作越謹慎越好，避免由于更新補丁而影響到生產業(yè)務。該條款需要企業(yè)委托第三方工控安全廠家對系統(tǒng)進行漏洞的掃描，發(fā)現(xiàn)可能存在的已知漏洞，根據(jù)不同的風險等級形成報告，企業(yè)或集成商根據(jù)報告在離線環(huán)境經過測試評估無誤后對漏洞進行修補。

惡意代碼防范

在惡意代碼防范這一小節(jié)將a)、b）、c）進行了整合，同時提出了主動免疫可信驗證機制，即“文件加載執(zhí)行控制”的“白名單”技術。

高風險強調

未安裝防惡意代碼軟件，并進行統(tǒng)一管理，無法防止來自于外部的病毒、惡意代碼入侵，為高風險項。

對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：
工業(yè)現(xiàn)場惡意代碼防范一直是用戶的痛點，受制于工業(yè)現(xiàn)場環(huán)境，殺毒軟件無法在工業(yè)環(huán)境內發(fā)揮作用。誤殺、漏殺、占用資源、無法升級等問題一直被詬病。所以在工業(yè)場景中應該選擇采用白名單機制的安全防護軟件。

資源控制
 資源控制這一小節(jié)整體進行了刪減，將部分內容整合到集中管控章節(jié)。

3
整合內容詳解

將原等級保護1.0數(shù)據(jù)安全內容整合到安全計算環(huán)境中
高風險強調
數(shù)據(jù)傳輸完整性保護和保密性保護，針對不同的業(yè)務場景，如業(yè)務場景對數(shù)據(jù)傳輸?shù)耐暾砸蟾?，未采取相應措施，則為高風險；如業(yè)務場景對數(shù)據(jù)傳輸保密性要求高，未采取相應措施，則為高風險。
數(shù)據(jù)存儲完整性保護和保密性保護，針對不同的業(yè)務場景，如業(yè)務場景對數(shù)據(jù)存儲的完整性要求高，未采取相應措施，則為高風險；如業(yè)務場景對數(shù)據(jù)存儲保密性要求高，未采取相應措施，則為高風險。

對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：
在工業(yè)現(xiàn)場大部分的場景對于數(shù)據(jù)傳輸、存儲完整性要求要高于數(shù)據(jù)傳輸、存儲保密性要求。對于系統(tǒng)集成商在應用通過密碼技術來保證傳輸數(shù)據(jù)的完整性，并在服務器端對數(shù)據(jù)有效性進行驗證。
在工業(yè)現(xiàn)場關鍵服務器、工作站內存儲的業(yè)務軟件及配置文件的完整性和可用性是至關重要的，一旦其完整性遭到破壞，直接影響現(xiàn)場生產任務。所以對于安全廠家提出的要求就是其安全防護軟件應可以通過訪問控制功能，對存儲的數(shù)據(jù)、配置文件進行完整性保護，避免遭到非法破壞。
企業(yè)應建立異地備份中心，同時形成數(shù)據(jù)備份制度，定期進行現(xiàn)場的關鍵數(shù)據(jù)、配置文件的備份。

以下內容將以等級保護三級為基礎，針對等級保護2.0中安全管理中心部分進行解讀。

在原等保1.0中技術要求部分沒有單獨設立章節(jié)對安全管理中心進行要求，只在“管理要求→系統(tǒng)運維管理下→監(jiān)控管理和安全管理中心”一節(jié)中提到“應建立安全管理中心，對設備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理”。在等級保護2.0的整體變化中，單獨設立“安全管理中心”章節(jié)，強化安全管理中心的概念，突出安全管理中心在信息安全等級保護建設中的重要性。
 
4
新增條款詳解
在等級保護2.0“安全管理中心”章節(jié)中，“系統(tǒng)管理”、“審計管理”和“安全管理”三小節(jié)中對分別對系統(tǒng)管理員、審計管理員和安全管理員的管理主體、權限控制和管控過程提出明確要求，同時要求安全管理中心內的管理系統(tǒng)符合“三權分立”權限管理模式，并在“集中管控”小節(jié)中對管理系統(tǒng)需要符合的集中管控功能進行了規(guī)定。

系統(tǒng)管理

在“系統(tǒng)管理”這一小節(jié)中，要求安全管理中心內的管理系統(tǒng)應具備對系統(tǒng)管理員的身份鑒別、特定命令和操作界面控制和操作審計等功能，并要求系統(tǒng)管理員作為系統(tǒng)資源和運行配置的唯一主體。
對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求
1) 集成商進行整體架構設計時，應合理設置安全管理中心，且安全管理中心內的管理系統(tǒng)應具備系統(tǒng)管理員配置和管控的相應功能；
2) 企業(yè)或集成商在系統(tǒng)配置時，應確保系統(tǒng)管理員作為唯一主體通過安全管理中心進行系統(tǒng)配置；
3) 安全廠家在進行產品選用和開發(fā)時，應采用管理權限模塊化設計且符合系統(tǒng)管理要求的管理系統(tǒng)對管理主體、權限和對象進行控制，確保系統(tǒng)管理安全性。

審計管理

在“審計管理”這一小節(jié)中，要求安全管理中心內的管理系統(tǒng)應具備對審計管理員的身份鑒別、特定命令和操作界面控制和操作審計等功能，并要求審計管理員作為審計記錄分析和管控的唯一主體。
對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：
1) 集成商進行整體架構設計時，應合理設置安全管理中心，且安全管理中心內的管理系統(tǒng)應具備審計管理員配置和管控的相應功能；
2) 企業(yè)或集成商在進行審計記錄分析和管控時，應確保審計管理員作為唯一主體進行分析和管控，設定安全審計策略；
3) 安全廠家在進行產品選用和開發(fā)時，應采用管理權限模塊化設計且符合審計管理要求的管理系統(tǒng)對審計記錄和審計策略等進行控制，確保系統(tǒng)審計管控過程安全性。

安全管理

在“安全管理”這一小節(jié)中，要求安全管理中心內的管理系統(tǒng)應具備對安全管理員的身份鑒別、特定命令和操作界面控制和操作審計等功能，并要求安全管理員作為系統(tǒng)安全參數(shù)設定、主客體標記、授權和可信驗證策略配置的唯一主體。

對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：
1) 集成商進行整體架構設計時，應合理設置安全管理中心，且安全管理中心內的管理系統(tǒng)應具備安全管理員配置和管控的相應功能；

2) 企業(yè)或集成商在進行系統(tǒng)安全參數(shù)設定、主客體安全標記和安全策略配置時，應確保安全管理員作為唯一主體進行配置；

3) 安全廠家在進行產品選用和開發(fā)時，應采用管理權限模塊化設計且符合安全管理要求的管理系統(tǒng)對安全管理員管控過程、系統(tǒng)安全策略配置等進行控制，確保系統(tǒng)安全管理過程安全性。

集中管控
“集中管控”這一小節(jié)中，在原等級保護1.0“應建立安全管理中心，對設備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理”要求的基礎上增加“a)應劃分出特定的管理區(qū)域，對分布在網絡中的安全設備或安全組件進行管控”、“b)應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理”、“f)應能對網絡中發(fā)生的各類安全事件進行識別、報警和分析”三個要求，明確安全管理中心在系統(tǒng)網絡架構上的獨立地位，對管理傳輸鏈路通信安全性提出要求，同時要求具備對網絡安全事件的分析和告警能力。

高風險強調：

要求項中，對各類設備運行狀況的集中監(jiān)測、各類設備審計數(shù)據(jù)匯總分析和留存時間要求屬于高風險項。

對企業(yè)、安全廠家、系統(tǒng)集成商提出的要求：
1) 對集成商而言，應在整體網絡架構設計中考量安全管理中心區(qū)域設立位置，能夠實現(xiàn)對各安全設備/組件的集中監(jiān)控，且安全管理中心各組件應能夠滿足集中管控的各項要求；

2) 對企業(yè)來說，在系統(tǒng)建設時應充分考慮安全管理中心建設相關預算經費，并在日常運維過程中采用集中管控的方式進行安全設備/組件管控、設備狀態(tài)監(jiān)控、日志分析、安全策略管控和安全事件分析；

3) 安全廠家在進行安全管理中心內管理系統(tǒng)產品開發(fā)和選用時，應采用符合集中管控各項技術要求的安全產品，在設備通信加密、日志存儲、策略集中管控和安全事件分析等各方面滿足相關管控要求。