等保2.0的重要变化

等保2.0的重要变化

• 云上信息系统纳入检测范围。

  基于等保1.0的网络和信息系统，新增了云计算平台、大数据平台、物联网、移动互联技术系统、工业控制系统。充分考虑了当前企业信息系统的业务多样性和复杂性。

• 云上租户的信息系统成为独立的检测对象。

  在等保1.0中，企业托管资源的云平台通过相应等保等级，即认为相应云上租户通过了相应等级。随着云上服务的复杂度和灵活性日渐成熟，云上租户对托管的资源具有越来越高的控制权，所以从等保2.0开始，云上租户使用云平台服务所构建的云上信息系统将作为独立的检测对象。

• 强调持续的安全能力构建，而非一次性检测。

  等保1.0主要关注在检测当时系统的合规状态，检测完成后，系统是否能持续保持安全合规是无法监管的。等保2.0在制定过程中，将对系统的持续合规要求融入到条例中，引导并监督企业构建一个可持续保护信息系统的安全能力。以PPDR（以策略为中心，构建防护、检测和响应防护机制）为核心思想、以可信认证为基础、以访问控制为核心，构建可信、可控和可管的立体化纵深防御体系。

  分类	说明
  可信	以可信计算技术为基础，构建一个可信的业务系统执行环境，即用户、平台、程序都是可信的，确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行，不会出现非预期的流程，从而保障了业务系统安全可信。
  可控	以访问控制技术为核心，实现主体对客体的受控访问，保证所有的访问行为均在可控范围之内进行，在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作，永远都按系统设计的方式进行资源访问，保证了系统的信息安全可控。
  可管	通过构建集中管控、最小权限管理与三权分立的管理平台，为管理员创建了一个工作平台，使其可以借助于本平台对系统进行更好的管理，从而弥补了我们现在重机制、轻管理的不足，保证信息系统安全可管。

  等保2.0以“一个中心，三重防护”为网络安全技术设计的总体思路，其中一个中心即安全管理中心，三重防护即安全计算环境、安全区域边界和安全通信网络。

• 安全管理中心要求在系统管理、安全管理、审计管理三个方面实现集中管控，从被动防护转变成主动防护，从静态防护转变成动态防护，从单点防护转变成整体防护，从粗放防护转变成精准防护。

• 三重防护要求企业通过安全设备和技术手段实现身份鉴别、访问控制、入侵防范、数据完整性、保密性、个人信息保护等安全防护措施，实现平台的全方位安全防护。

等保1.0和2.0的差异如下表所示。

云上信息系统过等保的五大困难

等保2.0侧重视持续的合规监管能力，且要求等保三级和等保四级均每年检测一次。但资源托管在云端，云上信息系统过等保，具体困难如下表所示。

借助云平台能力，实现持续监管

针对以上五大困难，阿里云在配置审计服务中，为您提供免费的等保预检能力，在等保预检和整改环节为企业助力。

配置审计将等保2.0条例解读为云上的合规检测规则，并持续监控资源的变更，动态实时的执行合规评估，及时推送不合规告警，让企业能时刻掌握云上信息系统的合规性。