等保1.0和等保2.0的一个显要的区别：等保2.0相关一系列标准已经由信息系统安全更名为网络安全。

如其中的《信息系统安全等级保护基本要求》

更名为《网络安全等级保护基本要求》

通过名称的变化，可以看出等保2.0的涉及对象的改变，定级对象由信息系统变成了等级保护对象。

覆盖范围变得更广了，这也是针对新技术的发展扩大了新内容，这个后文会进行阐述。那为什么会叫网络安全呢？我认为自然也和2016年《网络安全法》落地实施有所关联，其中《网络安全法》第二十一条明确规定：“国家实施网络安全等级保护制度”。所以在《中华人民共和国网络安全法》落地以后，等级保护工作已经上升到法律层面，网络运营者不开展等级保护工作可能违法并追究网络运营者及主管人员的法律责任。

等保2.0的落地自然会带来新增需求，包括产品和服务两部分。等保2.0带来的市场增量约为54.27%，产品加服务总的新增空间为271.35亿元。可见等保2.0的落地促进了一大批安全厂商和安全服务商的市场，也从侧面反映出等保2.0的重要性。那么等保2.0对比等保1.0究竟发生了怎样的变化呢？

我们从《网络安全等级保护基本要求》的目录结构进行分析（如下图）。

首先是第五章网络安全等级保护概述中，关于等级保护对象，《网络安全等级保护基本要求》中写道：“等级保护对象是指网络安全等级保护工作中的对象，通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，主要包括基础信息网络、云计算平台／系统、大数据应用／平台／资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高被划分为五个安全保护等级。”

这里就涉及到如何划分五个安全保护等级？如上图，等保1.0提出自主定级，等保2.0就要求二级及以上系统必须经过专家评审和主管部门审核才能进行备案。其中2.0中对公民、法人和其他组织的合法权益造成特别严重损害的已由1.0的二级提升到了三级。

另外等保2.0还提出如果第三级及以上系统有特别重要的系统，称之为关键信息基础设施，那么我们还需要依据关键信息基础设施的标准加强保护。

网络安全等级保护制度是我国网络安全保障领域普适性的制度，是关键信息基础设施保护的基础，而关键信息基础设施是网络安全等级保护制度保护的重中之重。

目前关于关键信息基础设施的标准还在起草过程中。网络安全等级保护制度和关键信息基础设施保护是网络安全的两个重要方面，不可分割。网络运营者应当在安全保护等级为第三级（含）以上网络中确定关键信息基础设施，其安全保护等级不低于第三级。

前面提到等级保护对象明显覆盖范围更加广了，也在基本要求目录中剩下的几个章节可以看出。您可以清楚的发现每一章结构是一样的，先是五个不同安全等级的安全要求，然后分别是安全通用要求、云计算扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。等保1.0的标准是在2008年陆续推出，期间经过了十余年的实践，自然出现了许多新威胁与新技术。那么从目录可以看出这次针对云计算、移动互联、物联网和工业控制系统都提出了安全扩展要求。类比08版的等保1.0标准，等保1.0的基本要求下直接是安全要求，然后划分为技术要求和管理要求。而2.0的标准是安全要求，中间多了一层安全通用要求和安全扩展要求，然后分别在安全通用要求和安全扩展要求下划分技术要求和管理要求。

如果再继续细分，就会发现结构变化的差距更大了，主要体现在技术要求。

如下图，如何理解这张图，首先要先了解什么是控制点和要求项。

举个栗子

比如安全计算环境中有身份鉴别、访问控制等控制点，控制点下面对应的abc不同要求就叫要求项。2.0中安全物理环境和1.0的物理安全中的控制点没什么差别，只是更改了部分要求项。但1.0的网络安全可以从图中看到，分别指向了2.0的安全通信网络、安全区域边界和安全计算环境，发生了比较大的变化。

具体是1.0的网络安全中结构安全变成了2.0安全通信网络中的网络架构，并增加了通信传输和可信验证。

1.0的网络安全中的边界完整性检查对应更改为2.0中的边界防护并增加了新的要求项，1.0的网络安全的恶意代码防范对应更改为了2.0中的恶意代码和垃圾邮件防范，从控制点的变化可以看出2.0对垃圾邮件防护提出了要求。安全区域边界中还增加了可信验证，可信验证是新版本的前瞻性要求。

那么网络设备防护和1.0中的应用安全、主机安全和数据及备份恢复都统一对应更改到了2.0的安全计算环境，并增加了可信验证和个人信息保护。

最后1.0中的安全管理中心由原来的管理要求变成了技术要求，控制点分别为系统管理、审计管理、安全管理和集中管控。

说了这么多变化，大家可能会产生疑问：安全通用要求和安全扩展要求到底怎么去使用呢？

不必担心，关于安全通用要求和安全扩展要求的选择和使用在附录中给大家详细介绍了，并有针对性的对云、移、物、工、大等应用场景进行说明。简单举例说明，如果某单位系统是托管于云平台，那么用户单位进行等保测评的时候，自然就是安全通用要求加上云计算扩展要求，而且必须要求云服务商等保安全等级大于客户单位系统并通过等保测评。而针对不同云计算的服务模式，如图所示，云服务商和云服务客户对计算资源拥有不同的控制范围，控制范围决定了安全责任的边界。

在IaaS模式下，云计算平台／系统由设施、硬件、资源抽象控制层组成；

在PaaS模式下，云计算平台／系统包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台；

在SaaS模式下，云计算平台／系统包括设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件。

由此可知，云服务商和云服务客户又会根据不同的模式在等保合规时要分开定级并进行测评。

以上就是关于等保2.0《网络安全等级保护基本要求》的变化讲解。由于新标准要求系统综合得分75分以上才算是通过等保2.0了，并且变成了优、良、中、差四个测评结论，可以看出等保2.0的要求更加严格了。作为等级保护对象的我们该如何应对新标准的每个要求项新变化，从而达到等保2.0的合规建设要求?我们有机会再进行分享。