等保2.0通用要求VS等保1.0技术部分要求详细对比

等保2.0系列标准中的“网络安全等级保护基本要求通用要求”在信息安全等级保护基本要求技术部分的基础上进行了一些调整，本文就网络安全等级保护基本要求通用要求在信息安全等级保护基本要求进行了详细对比，下面以三级为例进行一个对比。

网络安全等级保护基本要求通用要求技术部分与信息安全等级保护基本要求技术部分结构由原来的五个层面：物理安全、网络安全、主机安全、应用安全、数据安全，调整为四个部分：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全；技术要求“从面到点”提出安全要求，“物理和环境安全”主要对机房设施提出要求，“网络和通信安全”主要对网络整体提出要求，“设备和计算安全”主要对构成节点（包括网络设备、安全设备、操作系统、数据库、中间件等）提出要求，“应用和数据安全”主要对业务应用和数据提出要求。（标粗内容为三级和二级的变化，标红部门为新标准主要变化）

物理与环境安全VS原来物理安全

控制点未发生变化，要求项数由原来的32项调整为22项。控制点要求项数修改情况如下图：

要求项的变化如下：

网络和通信安全VS原来网络安全

新标准减少了结构安全、边界完整性检查、网络设备防护三个控制点，增加了网络架构、通信传输、边界防护、集中管控四个控制点。

原结构安全中部分要求项纳入了网络架构控制点中，原应用安全中通信完整性和保密性的要求项纳入了通信传输控制点中，原边界完整性检查和访问控制中部分要求项内容纳入了边界防护控制点中，原网络设备防护控制点要求并到设备和计算安全要求中。

要求项总数原来为33项，调整为还是33项，但要求项内容有变化。

控制点和控制点要求项数修改情况如下图：

具体要求项的变化如下表：

设备和计算安全VS原来主机安全

新标准减少了剩余信息保护一个控制点，在测评对象上，把网络设备、安全设备也纳入了此层面的测评范围。

要求项由原来的32项调整为26项。

控制点和各控制点要求项数修改情况如下图：

1身份鉴别

6

设备和计算安全

1身份鉴别

4

2访问控制

7

2访问控制

7

3安全审计

6

3安全审计

5

4剩余信息保护

2

4入侵防范

5

5入侵防范

3

5恶意代码防范

1

6恶意代码防范

3

6 资源控制

4

7 资源控制

5

具体要求项的变化如下表：

应用和数据安全VS原来应用安全+数据安全及备份恢复

新标准将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一个层面，减少了通信完整性、通信保密性和抗抵赖三个控制点，增加了个人信息保护控制点。通信完整性和通信保密性的要求纳入了网络和通信安全层面的通信传输控制点。

要求项由原来的39项调整为33项。

控制点和控制点要求项数修改情况如下图：

具体要求项的变化如下表：