網絡安全等級保護 2.0 的主要變化包括：

一是擴大了對象范圍，將云計算、移動互聯、物聯網、工業控制系統等列入標準范圍，構成了“網絡安全通用要求＋新型應用的網絡安全擴展要求＂的要求內容。

二是提出了在“安全通信網絡”“安全區域邊界”“安全計算環境”和“安全管理中心”支持下的三重防護體系架構。

三是等級保護 2.0 新標準強化了可信計算技術使用的要求，各級增加了”可信驗證”控制點。其中，一級要求設備的系統引導程序、系統程序等進行可信驗證；二級增加重要配置參數和應用程序進行可信驗證，并將驗證結果形成審計記錄送至安全管理中心；三級增加應用程序的關鍵執行環節進行動態可信驗證；四級增加應用程序的所有執行環節進行動態可信驗證。

02

—

智慧城市安全體系應用參考

智慧城市安全體系框架以安全保障措施為視角，從智慧城市安全戰略保障、智慧城市安全技術保障、智慧城市安全管理保障、智慧城市安全建設與運營保障、智慧城市安全基礎支撐五個方面給出了智慧城市的安全要素，如圖所示。

智慧城市安全體系的各要素闡述如下。

1、智慧城市安全戰略保障

明確國家智慧城市安全建設總體方針，按要求約束智慧城市安全管理、技術以及建設與運營活動。智慧城市安全戰略保障要素包括法律法規、政策文件及標準規范。

2、智慧城市安全管理保障

智慧城市安全管理保障要素包括決策規劃、組織管理、協調監督、評價改進。

3、智慧城市安全技術保障

以建立城市縱深防御體系為目標，從物聯感知層、網絡通信層、計算與存儲層、數據及服務融合層以及智慧應用層五個層次分別采用多種安全防御手段，動態應對智慧城市安全技術風險。智慧城市安全技術保障的功能要素包括防護、檢測、響應和恢復。

4、智慧城市安全建設與運營保障

智慧城市信息安全工程的實施包括對智慧城市整體信息安全系統的開發、采購、集成、組裝、配置及測試。智慧城市安全運行維護包括對智慧城市信息系統運行狀態的監測、維護、應急處置與恢復，確保并維持智慧城市信息系統和智慧城市中的各項業務安全有序地運行。智慧城市安全建設與運營保障要素包含工程實施、監測預警、應急處置和災難恢復。

5、智慧城市安全基礎支撐

智慧城市安全基礎支撐設施包括密鑰與證書管理基礎設施、身份管理基礎設施、監測預警與通報基礎設施、容災備份基礎設施和時間同步等基礎設施。基礎服務支撐包括產品和服務的資質認證、安全評估、安全檢測、安全審查以及咨詢服務等。

03

—

智能交通網絡安全體系應用參考

智能交通系統是集成先進的信息技術、數據通信技術、計算機處理技術和電子自動控制技術而形成的復雜系統，其潛在的網絡安全風險可能危及車主的財產和生命安全。按照“識別風險、設計規劃、指導落實、持續改進”的體系架構設計方法論。智能交通網絡安全體系主要包括智能交通網絡安全管理體系、智能交通網絡安全技術體系、智能交通網絡安全運營體系、智能交通網絡安全評價體系。

智能交通網絡安全管理體系架構由智能交通網絡安全職能整體架構、智能交通產業內網絡安全管理框架兩個方面組成，如圖所示。智能交通網絡安全職能整體架構負責處理產業鏈中各層級的管理職能分配以及各層級的管理、匯報和協作關系；智能交通產業內網絡安全管理框架則負責處理在產業內具體組織和機構的安全管理，具體包括安全治理、安全管理等。

智能交通網絡安全技術體系參考我國 WPDRRC 信息安全模型和國內外最佳實踐，明確以“數據層、服務支撐層、平臺層、物聯網通信層、物聯網智能終端”為保護對象的框架，構建智能情報、身份認證、訪問控制、加密、防泄漏、防惡意代碼、安全加固、安全監控、安全審計和可用性設計等安全技術框架。

智能交通網絡安全運營體系由三個要素組成：運營管理、網絡安全事件周期性管理、工具。其中，運營管理的作用是有效銜接安全管理體系和安全技術體系，通過其有效運轉實現安全管理體系、安全技術體系的不斷優化提升；網絡安全事件周期性管理覆蓋預防（事前）、監控（事中）、響應（事后），形成自主有效的閉環；工具主要包括事件管理、工單系統、審計日志、取證工具、安全掃描和合規平臺等。

智能交通網絡安全評價體系其目標是建立有效的評價體系，推動整體體系的持續優化和改進，使整個智能交通網絡安全體系形成有效的閉環。

04

—

ISO 27000 信息安全管理體系應用參考

ISO 27000 信息安全管理標準最初起源于英國的 BS7799。

信息安全管理系統 (ISMS) 按照 PDCA 不斷循環改進，如圖所示。

其主要步驟闡述如下：

 計劃 (Plan) 。建立 ISMS, 識別信息資產及其相關的安全需求；評估信息安全風險；選擇合適的安全控制措施，管理不可接受的風險。

執行 (Do) 。實現和運行 ISMS, 實施控制和運維管理。

檢查 (Check) 。監測和評估 ISMS。

處理 (Act) 。維持和改進 ISMS。

ISO 27001 給出的信息安全管理目標領域共計十一項，即安全策略、安全組織、資產管理、人力資源安全、物理與環境安全、通信與運行管理、訪問控制、信息系統獲取開發與維護、信息安全事件管理、業務待續運行、符合性。