安全合规/等级保护--12--等级保护2.0与等级保护1.0对比（以三级为例）

前言

先来一点最明显的区别：等级保护1.0是60分及格，通过60分即可拿证。等级保护2.0是70分及格，通过70分才能拿证。

网络安全等级保护基本要求通用要求技术部分与信息安全等级保护基本要求技术部分结构由原来的五个层面：物理安全、网络安全、主机安全、应用安全、数据安全，调整为五个层面：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。

其中：

1、“安全物理环境”主要对机房设施提出要求；
2、“安全通信网络”主要对网络通信传输安全提出要求；
3、“安全区域边界”主要对网络边界安全防护提出要求；
4、“安全计算环境”主要对构成节点（包括网络设备、安全设备、服务器操作系统、数据库、中间件、应用、终端安全）提出安全要求，
5、”安全管理中心”主要对安全集中管理提出要求。

说明：

1、由于表格过于复杂，不能使用Markdown编辑器来编辑，因此全部使用Excel表格来编辑，之后再截图贴在这里。
2、Excel表格中标红部分为新标准的主要变化。

2.0版「安全物理环境」VS 1.0版「物理安全」

控制点未发生变化，要求项数由原来的32项调整为22项。控制点要求项数修改情况如下：

要求项的变化如下：

2.0版「安全通信网络+安全区域边界」 VS 1.0版「网络安全」

新标准将原来网络安全层面拆分为安全通信网络和安全区域边界两个层面，减少了网络设备防护控制点，网络设备防护控制点要求并到安全计算环境要求中，新增了通信传输、可信验证控制点，原应用安全中通信完整性和保密性的要求项纳入了通信传输控制点中。

原结构安全控制点变更为网络架构控制点、原恶意代码防范控制点变更为恶意代码和垃圾邮件防范控制点，增加了垃圾邮件防范的要求，原结构安全中部分要求项纳入了网络架构控制点中，原边界完整性检查和访问控制中部分要求项内容纳入了边界防护控制点中。

原网络安全层面要求项总数为33项，调整后安全通信网络层面要求项为8项，安全区域边界层面要求项为20项。控制点和要求项数修改情况如下：

具体要求项的变化如下表：

2.0版「安全计算环境」 VS 1.0版「主机安全+应用安全+数据安全及备份恢复」

新标准将原主机安全、应用安全、数据安全及备份恢复三个层面合并成了安全计算环境一个层面，增加了可信验证和个人信息保护两个控制点，减少了通信完整性、通信保密性、抗抵赖、软件容错、资源控制五个控制点，通信完整性和通信保密性的要求纳入了安全通信网络层面的通信传输控制点。在测评对象上，把网络设备、安全设备、应用也纳入了此层面的测评范围，原应用安全层面原软件容错控制点要求纳入了入侵防范控制点中。要求项一共34项。控制点和各控制点要求项数修改情况如下：

具体要求项的变化如下表：

2.0版新增：安全管理中心

新标准新增安全管理中心层面，包括系统管理、审计管理、安全管理、集中管控四个控制点，其中安全管理和集中管控均为三级要求，要求项一共12项。控制点和各控制点要求项数情况如下：

安全管理中心具体要求项的如下表：