从“指南”到“法律”，严格程度上升的不只一点点。同时，保护的范围也发生了变化：除基本要求外，云计算、移动互联、物联网、工业控制和大数据等新业态无一另外。定级、测评和备案等流程的条件限定也有所调整。

2.以“一个中心，三重防护“为网络安全技术设计的总体思路

一个中心即安全管理中心，三重防护即安全计算环境、安全区域边界、安全通信网络。

安全管理中心要求在系统管理、安全管理、审计管理三个方面实现集中管控，从被动防护转变到主动防护，从静态防护转变到动态防护，从单点防护转变到整体防护，从粗放防护转变到精准防护。

三重防护要求企业通过安全设备和技术手段实现身份鉴别、访问控制、入侵防范、数据完整性、保密性、个人信息保护等安全防护措施，实现平台的全方位安全防护。

3.对加密管理提出了严格要求

等保2.0明确要求，从建设初期设计和采购阶段就应该考虑加密需求，同时在网络通信传输、计算环境的身份鉴别、数据完整性、数据保密性明确了使用加密技术实现安全防护的要求，另外，云上还特别提出镜像和快照的加固和完整性校验保护要求，以及对密码应用方案的国密化提出了明确的采购标准要求。

4.确立了可信计算技术的重要地位

这是等保2.0文件中特别强调的安全特性，不仅要求对配置文件及参数的可信执行进行验证，同时检测到完整性问题时也应进行报警和应对。

三、等保2.0的测评流程是怎样的？

等保2.0的测评流程具体来说，主要包含以下几个方面：

1.确认定级

首先，通过系统识别和描述系统功能和信息系统管理责任划分，初步综合其对业务和系统服务等客体的侵害程度，确定其系统安全保护等级。有主管部门的，应当经主管部门审批。对于拟确定为四级及以上信息系统，还应经专家评审会评审。

2.备案

运营、使用单位在确定等级后到所在地的市级及以上公安机关备案。新建二级及以上信息系统在投入运营后30日内、已运行的二级及以上信息系统在等级确定30日内备案。公安机关对信息系统备案情况进行审核，对符合要求的在10个工作日内颁发等级保护备案证明。