網(wǎng)絡(luò)空間安全導(dǎo)論第十三章

網(wǎng)絡(luò)安全檢測與評估目錄CONTENTS01網(wǎng)絡(luò)安全評估發(fā)展史02網(wǎng)絡(luò)安全評估方法和流程03我國的網(wǎng)絡(luò)安全等級保護(hù)01網(wǎng)絡(luò)安全評估發(fā)展史PRAT01網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)1.1網(wǎng)絡(luò)安全檢測與評估是保證網(wǎng)絡(luò)與信息系統(tǒng)安全運行的重要手段，對于準(zhǔn)確掌握網(wǎng)絡(luò)與信息系統(tǒng)的安全狀況具有重要意義。在網(wǎng)絡(luò)運行和信息系統(tǒng)的整個生命周期內(nèi)，隨著系統(tǒng)結(jié)構(gòu)的變化、新漏洞的發(fā)現(xiàn)及管理員和用戶的操作，安全狀況不斷發(fā)生變化，隨時可能需要對系統(tǒng)的安全性進(jìn)行檢測與評估，只有讓安全意識、安全制度和安全檢測貫穿整個過程才有可能做到相對安全。網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)1.1標(biāo)準(zhǔn)是評估網(wǎng)絡(luò)與信息系統(tǒng)安全的依據(jù)。一般來說，完整的評估標(biāo)準(zhǔn)應(yīng)涵蓋方法、手段和途徑。國際上網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)的發(fā)展經(jīng)歷了以下幾個階段。首創(chuàng)階段普及階段統(tǒng)一階段網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)1.1一、首創(chuàng)階段：1983年，根據(jù)國防信息系統(tǒng)的保密需要，美國國防部首次發(fā)布了《可信計算機系統(tǒng)安全評估標(biāo)準(zhǔn)》（TCSEC）。1985年，TCSEC經(jīng)修改后正式發(fā)布，由于使用了橘色書皮，因此人們通常稱其為“橘皮書”。此后，在美國國防部國家計算機安全中心（NationalComputerSecurityCenter，NCSC）的主持下制定了一系列相關(guān)準(zhǔn)則，因每本書使用不同顏色的書皮，故稱其為“彩虹系列”。這些準(zhǔn)則從用戶登錄、授權(quán)管理、訪問控制、安全審計、隱通道建立、安全檢測、生命周期保障、文本寫作、用戶指南等方面提出了規(guī)范性要求。同時，這些準(zhǔn)則根據(jù)所采用的安全策略和系統(tǒng)所具備的安全功能，將系統(tǒng)分為4類7個安全級別網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)1.1TCSEC的安全級別：網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)1.1在TCSEC中首次引入了公正的第三方，該第三方借助技術(shù)分析和測試手段來獲取相關(guān)證據(jù)，以此來證明開發(fā)人員正確且有效地實現(xiàn)了標(biāo)準(zhǔn)所要求的安全功能。它運用的主要安全策略是訪問控制，考慮的安全問題大體上局限于信息的機密性，所依據(jù)的安全模型則是貝爾—拉帕杜拉模型（Bell-LaPadulaModel），該模型所制定的最重要的安全準(zhǔn)則就是嚴(yán)禁上讀下寫，所針對的就是信息的機密性要求。TCSEC存在明顯的局限性，其評估只針對操作系統(tǒng)，并且只考慮信息的機密性需求。不過，它極大地推動了國際計算機安全評估研究，促使網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)研究邁入了第二個階段。網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)1.1二、普及階段：歐洲各國不甘落后于美國，曾紛紛效仿TCSEC制定本國的評估標(biāo)準(zhǔn)。德國信息安全局于1990年發(fā)出號召，與英國、法國、荷蘭聯(lián)合推出了《信息技術(shù)安全評估標(biāo)準(zhǔn)》（ITSEC）。除了吸取TCSEC的成功經(jīng)驗，ITSEC首次提出了信息安全的機密性、完整性、可用性概念，將可信計算機的概念提升到可信信息技術(shù)的高度。ITSEC的推出為歐洲共同體制訂信息安全計劃奠定了基礎(chǔ)，并對國際信息安全研究與實施產(chǎn)生了深遠(yuǎn)的影響。ITSEC也定義了7個安全級別，即E6（形式化驗證）、E5（形式化分析）、E4（半形式化分析）、E3（數(shù)字化測試分析）、E2（數(shù)字化測試）、E1（功能測試）、E0（不能充分保證）。網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)1.1二、普及階段：加拿大也在同期制定了《加拿大可信計算機產(chǎn)品評估標(biāo)準(zhǔn)》（CTCPEC）第一版。其第三版于1993年發(fā)布，不僅吸取了TCSEC和ITSEC的優(yōu)點，還將安全要求清晰地分為功能性要求和保證性要求兩部分。在此期間，美國并沒有停止對評估標(biāo)準(zhǔn)的研究，于1993年發(fā)布了《聯(lián)邦準(zhǔn)則》1.0版草案，首次引入了保護(hù)輪廓（ProtectionProfile，PP）的概念，每個保護(hù)輪廓都包括功能部分、開發(fā)保證部分和測評部分。其分級方式與TCSEC的分級方式不同，并充分吸取了ITSEC和CTCPEC的優(yōu)點，供民用及政府商業(yè)使用。網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)1.1二、普及階段：總的來說，這一階段的網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)不但涵蓋了現(xiàn)代網(wǎng)絡(luò)與信息系統(tǒng)的整體安全性要求，而且內(nèi)容不斷擴展，不再局限于安全功能要求，增加了開發(fā)保證、評估分析和評估測試要求。然而，這些標(biāo)準(zhǔn)分散于各國，度量標(biāo)準(zhǔn)也不盡相同，客觀上阻礙了信息安全保障的國際合作和交流，統(tǒng)一的網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)呼之欲出。網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)1.1三、統(tǒng)一階段：為了整合各國網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)的優(yōu)點，ISO于1990年開始著手編寫國際性評估標(biāo)準(zhǔn)，但由于任務(wù)量龐大、協(xié)調(diào)困難，該項工作一度進(jìn)展緩慢。直到1993年6月，在6國7方（英國、加拿大、法國、德國、荷蘭、美國國家安全局及國家標(biāo)準(zhǔn)技術(shù)研究所）的合作下，將多個評估標(biāo)準(zhǔn)整合到一起，形成了《信息技術(shù)安全通用評估標(biāo)準(zhǔn)》（CommonCriteriaforInformationTechnologySecurityEvaluation，CC）。1996年，CC1.0發(fā)行。1998年，CC2.0正式發(fā)行。1999年，CC2.0成為國際標(biāo)準(zhǔn)ISO/IEC15408。2001年，我國將其轉(zhuǎn)化為推薦性國家標(biāo)準(zhǔn)《信息安全

信息技術(shù)安全評估準(zhǔn)則》（GB/T18336）。至此，國際上統(tǒng)一度量安全性的評估標(biāo)準(zhǔn)宣告形成。網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)1.1三、統(tǒng)一階段：為了推進(jìn)信息技術(shù)產(chǎn)品的安全性評估，便于國際互認(rèn)，減少重復(fù)檢測認(rèn)證，CC互認(rèn)組織（CommonCriteriaRecognitionArrangement，CCRA）宣告成立。截至2019年，CCRA成員國已發(fā)展到31個。根據(jù)協(xié)議要求，各CCRA成員國之間對評估結(jié)果互認(rèn)。網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)1.1三、統(tǒng)一階段：為了從整體上形成多級信息系統(tǒng)安全保護(hù)體系，提高我國計算機信息系統(tǒng)安全保護(hù)水平，公安部提出并組織制定了強制性國家標(biāo)準(zhǔn)《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859—1999）。1999年9月，該標(biāo)準(zhǔn)經(jīng)國家質(zhì)量技術(shù)監(jiān)督局發(fā)布，并于2001年1月1日起實施。網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)1.1三、統(tǒng)一階段：《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859—1999）是建立安全保護(hù)等級制度、實施安全保護(hù)等級管理的重要基礎(chǔ)性標(biāo)準(zhǔn)。它將信息系統(tǒng)安全保護(hù)體系劃分為5個級別：第一級是用戶自主保護(hù)級；第二級是系統(tǒng)審計保護(hù)級；第三級是安全標(biāo)記保護(hù)級；第四級是結(jié)構(gòu)化保護(hù)級；第五級是訪問驗證保護(hù)級。各級別通過對一系列安全要素的不同要求進(jìn)行界定。同一安全要素在不同級別中的要求不同，級別越高，要求也就越高。同時，級別越高，所需的安全要素越多，也就意味著信息系統(tǒng)的安全保護(hù)能力越強。TCSEC、ITSEC和CC的基本構(gòu)成1.2TCSEC的基本構(gòu)成：可以從4個方面來描述TCSEC：安全策略模型可追究性安全保證文檔TCSEC、ITSEC和CC的基本構(gòu)成1.2TCSEC的基本構(gòu)成：安全策略模型：B1級及以下的安全評估級別，其安全策略模型是非形式化定義。從B2級開始，其安全策略模型是更加嚴(yán)格的形式化定義，甚至引入形式化驗證方法。安全策略制定的基礎(chǔ)是可信計算基（TrustedComputingBase，TCB）結(jié)構(gòu)。在TCSEC評估標(biāo)準(zhǔn)中給出了11項安全策略內(nèi)容，其中以自主訪問控制（C級及以上級別采用）、客體重用、標(biāo)識（有8個）和強制訪問控制（B級及以上級別采用）作為主要特性。TCSEC、ITSEC和CC的基本構(gòu)成1.2TCSEC的基本構(gòu)成：可追究性：在TCSEC評估標(biāo)準(zhǔn)中給出了3個可追究性特性，分別是識別與授權(quán)、審計和可信通路。安全保證：在TCSEC評估標(biāo)準(zhǔn)中給出了9個安全保證特性，主要用于解決安全測試、驗證分析等方面的問題。文檔：在TCSEC評估標(biāo)準(zhǔn)中還給出了對文檔的要求。TCSEC、ITSEC和CC的基本構(gòu)成1.2C2級對于一般意義上的攻擊具有一定的抵抗能力；B1級對于一般意義上的攻擊具有較強的抵抗能力，但對于抵抗高威脅的滲透入侵能力較差；B2級有一定的抵抗高威脅的滲透入侵能力；B3級有較強的抵抗高威脅的滲透入侵能力。TCSEC是第一代網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)，雖存在不足，但仍有借鑒意義。TCSEC、ITSEC和CC的基本構(gòu)成1.2ITSEC的基本構(gòu)成：ITSEC的安全功能涵蓋標(biāo)識與鑒別、訪問控制、可追究性、審計、客體重用、精確性、服務(wù)可靠性和數(shù)據(jù)交換等方面。ITSEC的生命力頑強，其系列文檔一直以UKSPXX（UnitedKindomITSECSchemePublication）為編號不斷發(fā)布。1996年發(fā)布的基礎(chǔ)性文檔UKSP01《框架描述》于2000年2月進(jìn)行了第4次修訂，此次修訂最大的改動是增加了對CC最新動態(tài)的響應(yīng)。TCSEC、ITSEC和CC的基本構(gòu)成1.2CC的基本構(gòu)成：CC主要有兩個核心思想：一是信息安全提供的安全功能本身和對信息安全技術(shù)的保證承諾之間相互獨立；二是安全工程的思想，即通過對信息安全產(chǎn)品開發(fā)、評價、使用全過程的各個環(huán)節(jié)實施安全工程來確保產(chǎn)品的安全性。TCSEC、ITSEC和CC的基本構(gòu)成1.2CC的基本構(gòu)成：CC由三部分構(gòu)成，它們相互依存、缺一不可：第一部分介紹CC的基本概念和基本原理第二部分提出安全功能要求，包含定義明確、易于理解的安全功能要求。第三部分提出非技術(shù)的安全保證要求，包含表示信息技術(shù)產(chǎn)品和系統(tǒng)安全要求的標(biāo)準(zhǔn)。TCSEC、ITSEC和CC的基本構(gòu)成1.2CC的基本構(gòu)成：CC將安全要求分為安全功能要求，以及用來解決如何正確且有效地實現(xiàn)這些功能的安全保證要求。這是從ITSEC和CTCPEC中吸取的優(yōu)點，還從FC（功能組件）中吸取了保護(hù)輪廓的概念。CC的安全功能要求和安全保證要求均以類、族、組件的結(jié)構(gòu)來表述。安全功能要求包括12個安全功能類，分別是安全審計、通信、密碼支持、用戶數(shù)據(jù)保護(hù)、標(biāo)識和鑒別、安全管理、隱秘、TSF（文本服務(wù)框架）保護(hù)、資源利用、TOE（評估對象）訪問、可信路徑、信道。安全保證要求包括7個安全保證類，分別是配置管理、交付和運行、開發(fā)、指導(dǎo)性文件、生命周期支持、測試、脆弱性評定。TCSEC、ITSEC和CC的基本構(gòu)成1.2在CC中定義了7個遞增的評估保證級別，這種遞增依靠替換成同一保證子類中一個更高級別的保證組件（增加嚴(yán)格性、范圍或深度）和添加另一個保證子類中的保證組件（如添加新的要求）來實現(xiàn)。EAL1：功能測試EAL2：結(jié)構(gòu)測試EAL3：系統(tǒng)測試和審查EAL4：系統(tǒng)設(shè)計、測試和評審EAL5：半形式化設(shè)計和測試EAL6：半形式化驗證的設(shè)計和測試EAL7：形式化驗證的設(shè)計和測試TCSEC、ITSEC和CC的基本構(gòu)成1.2CC的先進(jìn)性體現(xiàn)在以下幾個方面：適用于各類信息技術(shù)產(chǎn)品的評估開放性語言的通用性以用戶需求為中心的保護(hù)輪廓突出體現(xiàn)了安全以需求為目標(biāo)的宗旨TCSEC、ITSEC和CC的基本構(gòu)成1.2CC評估分為以下3種類型：PP評估。PP評估的目的是證明PP是完備的、一致的、技術(shù)合理的，并適合表達(dá)一個可評估的TOE要求。PP評估應(yīng)得到“通過/未通過”的陳述。ST（SecurityTarget，安全目標(biāo)）評估。ST評估的目的首先是證明ST是完備的、一致的、技術(shù)合理的，并適合作為相應(yīng)TOE評估的基礎(chǔ)；其次，當(dāng)某個ST宣稱與某個PP一致時，證明ST滿足該PP的要求。TOE評估。評估人員依照CC第三部分的評估標(biāo)準(zhǔn)，遵從通用評估方法（CommonEvaluationMethodology，CEM）中的EAL1～EAL4級別進(jìn)行評估。TOE評估使用一個已評估的ST作為基礎(chǔ)，其目的是證明TOE滿足ST中的安全要求。TOE評估也應(yīng)得到“通過/未通過”的陳述。TCSEC、ITSEC和CC的基本構(gòu)成1.23種CC評估類型之間的關(guān)系如圖所示：由此可以看出，如果PP評估成功，那么這個PP會被編目，并且可以被ST評估引用；ST評估結(jié)果只能作為TOE評估的基礎(chǔ)；如果TOE評估成功，就可以編目證書。02網(wǎng)絡(luò)安全評估方法和流程PRAT02網(wǎng)絡(luò)安全評估方法和流程2CEM是實施信息技術(shù)安全評估工作的評估人員在評估時遵循的工作準(zhǔn)則，但對從事信息安全產(chǎn)品或系統(tǒng)集成的開發(fā)人員、評估申請者及評估認(rèn)證機構(gòu)的工作人員也有重要的參考價值。CEM由兩部分組成：第一部分為簡介和一般模型，包括評估的一般原則、評估過程中的角色、評估全過程概況和相關(guān)術(shù)語解釋；第二部分為評估方法，詳細(xì)介紹了適用于所有評估的通用評估任務(wù)、PP評估、ST評估、EAL1～EAL4評估及評估過程中使用的一般技術(shù)。第二部分按照EAL來組織，只涉及保證要求對應(yīng)的評估活動，以工作單元的形式進(jìn)行描述，即評估人員在評估時應(yīng)執(zhí)行什么操作。CC評估的流程2.1CC評估流程如圖所示：CC評估的流程2.1首先，評估相關(guān)團(tuán)體（如評估申請者、TOE開發(fā)人員等）使用與遵從CC標(biāo)準(zhǔn)和CEM對描述TOE的文檔進(jìn)行修改，生成TOE修正文檔；其次，評估相關(guān)團(tuán)體使用CC工具箱（CCToolBox）、CC標(biāo)準(zhǔn)、相關(guān)PP及TOE修正文檔生成ST，此時評估準(zhǔn)備工作已經(jīng)完成；再次，當(dāng)ST、TOE修正文檔、TOE被提交給評估人員后，評估人員使用與遵從CC標(biāo)準(zhǔn)和CEM進(jìn)行CC評估，審查ST、PP、TOE修正文檔，測試TOE，生成ETR（EvaluationTechnologyReport，評估技術(shù)報告）；最后，評估人員將ETR提交給評估認(rèn)證機構(gòu)進(jìn)行認(rèn)證。至此，CC評估結(jié)束。在評估期間，評估認(rèn)證機構(gòu)對整個評估過程進(jìn)行監(jiān)督，以確保評估的公正性、客觀性。CC評估的流程2.1評估人員依照以下算法來確定最終評估結(jié)果：CC評估的流程2.1上述算法的理念是：一個動作的失敗將會導(dǎo)致整個行為的失敗，直至整個評估的失敗。CEM中的活動、子活動、行為和動作是不能被賦予評估結(jié)果的，CC評估中的評估結(jié)果只能賦予安全保證類、組件和評估人員行為元素。因此，在最終評估結(jié)果或ETR中，只有CC安全保證要求的各個類、組件和評估人員行為元素才有評估結(jié)果。在完成評估后，評估人員要提交ERT。即使評估失敗，也要提交ERT，并且要在其中包含OR。OR用來記錄評估失敗的原因，并給出解決方案和建議。ETR和OR都有固定的格式。評估人員提交的ETR和OR是評估認(rèn)證機構(gòu)對產(chǎn)品進(jìn)行認(rèn)證的主要依據(jù)。CC評估的現(xiàn)狀2.2CC評估是一個復(fù)雜、耗時的過程，除了歸因于CC本身的復(fù)雜性，還與以下幾個問題相關(guān):CC評估結(jié)果具有國際互認(rèn)的優(yōu)勢，但是僅限于EAL1～EAL4級別。缺乏針對CC評估的輔助工具（如CCToolBox），導(dǎo)致評估效率很難提高。缺乏專業(yè)性安全需求文檔（如PP文檔等）。ST編寫難度大。CC評估結(jié)果只適用于一定的TOE版本和配置。CC評估的發(fā)展趨勢2.3CC評估主要有以下發(fā)展趨勢:流程性評估方法的研究。EAL5～EAL7通用評估方法的研究。TOE安全環(huán)境的標(biāo)準(zhǔn)化。評估工具的開發(fā)。03我國的網(wǎng)絡(luò)安全等級保護(hù)PRAT03我國的網(wǎng)絡(luò)安全等級保護(hù)3網(wǎng)絡(luò)安全等級保護(hù)制度是我國網(wǎng)絡(luò)安全的基本制度。簡而言之，網(wǎng)絡(luò)安全等級保護(hù)就是分等級保護(hù)、分等級監(jiān)管。實際上，網(wǎng)絡(luò)安全等級保護(hù)制度是指對包括法人、公民和其他組織在內(nèi)的專有或公共信息及國家秘密信息的分級安全保護(hù)。同時，對處理、傳輸和存儲這些信息的系統(tǒng)也應(yīng)進(jìn)行分級安全保護(hù)。此外，在所使用的信息系統(tǒng)中，還需要對應(yīng)用的安全產(chǎn)品進(jìn)行分級管理，對安全事件進(jìn)行分級響應(yīng)和處置。我國網(wǎng)絡(luò)安全等級保護(hù)的發(fā)展歷程3.1我國網(wǎng)絡(luò)安全等級保護(hù)的發(fā)展經(jīng)歷了3個階段:起步與探索階段（1994—2007年）標(biāo)準(zhǔn)化與發(fā)展階段（2007—2016年）網(wǎng)絡(luò)安全等級保護(hù)2.0時代（2016年至今）等保2.0的基本概念與標(biāo)準(zhǔn)體系3.2網(wǎng)絡(luò)安全等級保護(hù)2.0制度是我國網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度?！吨腥A人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定，“國家實行網(wǎng)絡(luò)安全等級保護(hù)制度”，要求“網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度要求，履行安全保護(hù)義務(wù)”；第三十一條規(guī)定，“對于國家關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實行重點保護(hù)”。等保2.0的基本概念與標(biāo)準(zhǔn)體系3.2等保2.0的基本概念:等保2.0注重主動防御，從被動防御逐步邁向事前、事中、事后全流程的安全可信、動態(tài)感知和全面審計，對象范圍由原來的信息系統(tǒng)改為等級保護(hù)對象（信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源等），包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施（廣電網(wǎng)、電信網(wǎng)、專用通信網(wǎng)絡(luò)等）、云計算平臺/系統(tǒng)、大數(shù)據(jù)平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng)等。等保2.0的基本概念與標(biāo)準(zhǔn)體系3.2等保2.0的5個級別沒有變化，從第一級到第五級依次是用戶自主保護(hù)級、系統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級、訪問驗證保護(hù)級。同時，信息系統(tǒng)按重要程度由低到高分為5個等級，分別實施不同的保護(hù)策略，對應(yīng)客體受侵害程度如表所示。等保2.0的基本概念與標(biāo)準(zhǔn)體系3.2等保2.0的規(guī)定動作不變，分別為定級、備案、安全建設(shè)整改、等級測評、監(jiān)督檢查。等保2.0的主體職責(zé)也不變，包含網(wǎng)安對定級對象的備案受理及監(jiān)督檢查職責(zé)、第三方測評機構(gòu)對定級對象的安全評估職責(zé)、上級主管單位對所屬單位的安全管理職責(zé)、運營使用單位對定級對象的等級保護(hù)職責(zé)。在依據(jù)標(biāo)準(zhǔn)方面，等保2.0依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，如第二十五條要求網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，第三十一條要求在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上對關(guān)鍵基礎(chǔ)設(shè)施實行重點保護(hù)，第五十九條規(guī)定了沒有履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的處罰措施。等保2.0的基本概念與標(biāo)準(zhǔn)體系3.2在通用要求方面，等保2.0的核心是優(yōu)化，刪除過時的測評項，對測評項進(jìn)行合理改寫，新增新型網(wǎng)絡(luò)攻擊行為防護(hù)和個人信息保護(hù)等要求，調(diào)整標(biāo)準(zhǔn)結(jié)構(gòu)，將安全管理中心從管理層面提升至技術(shù)層面；擴展要求則涵蓋云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)等領(lǐng)域。等保2.0的安全體系向事前防御、事中響應(yīng)、事后審計的動態(tài)保障體系轉(zhuǎn)變，建立安全技術(shù)體系和安全管理體系，構(gòu)建具備相應(yīng)等級安全保護(hù)能力的網(wǎng)絡(luò)安全綜合防御體系，開展組織管理、機制建設(shè)、安全規(guī)劃、通報預(yù)警、應(yīng)急處置、態(tài)勢感知、能力建設(shè)、監(jiān)督檢查、技術(shù)檢測、隊伍建設(shè)、教育培訓(xùn)和經(jīng)費保障等工作。等保2.0的基本概念與標(biāo)準(zhǔn)體系3.2在定級流程方面，等保2.0不再允許自主定級，二級及以上系統(tǒng)定級必須經(jīng)過專家評審和主管部門審核，才能到公安機關(guān)備案，整體定級更加嚴(yán)格。等保2.0測評標(biāo)準(zhǔn)的合格要求有所提高，70分以上才算基本符合要求。等保2.0的基本概念與標(biāo)準(zhǔn)體系3.2等保2.0的標(biāo)準(zhǔn)體系:等保2.0采用了統(tǒng)一的框架結(jié)構(gòu)。如圖所示為安全通用要求框架結(jié)構(gòu):等保2.0的基本概念與標(biāo)準(zhǔn)體系3.2等保2.0采用了“一個中心，三重防護(hù)”的防護(hù)理念和分類結(jié)構(gòu)，強化了建立縱深防御和精細(xì)防御體系的思想；強化了密碼技術(shù)和可信計算技術(shù)的使用，把可信驗證列入各個級別并逐級提出各個環(huán)節(jié)的主要可信驗證要求，強調(diào)通過密碼技術(shù)、可信驗證、安全審計、態(tài)勢感知等建立主動防御體系的期望。等保2.0的基本概念與標(biāo)準(zhǔn)體系3.2等保2.0標(biāo)準(zhǔn)體系中的應(yīng)用安全通用要求