等級保護(hù)20講解課件

1、等級保護(hù)2.0介紹什么是等級保護(hù)？網(wǎng)絡(luò)安全等級保護(hù)是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。等級保護(hù)的劃分第一級 信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益 第二級 信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全 第三級 信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害

2、 第四級 信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害 第五級 信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害 等級保護(hù)工作主要的流程一是定級二是備案（二級以上的信息系統(tǒng)）三是系統(tǒng)建設(shè)、整改四是開展等級測評五是信息安全監(jiān)管部門定期開展監(jiān)督檢查等級保護(hù)的對象演變標(biāo)準(zhǔn)名稱的變化等保2.0將原來的標(biāo)準(zhǔn)信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求改為信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求，與中華人民共和國網(wǎng)絡(luò)安全法中的相關(guān)法律條文保持一致標(biāo)準(zhǔn)內(nèi)容的變化等級保護(hù)標(biāo)準(zhǔn)體系定級指南基本要求通用要求云計算物聯(lián)網(wǎng)移動互聯(lián)工業(yè)控制設(shè)計要求測評要求控制結(jié)構(gòu)的變化等級保護(hù)1.

3、0等級保護(hù)2.0結(jié)構(gòu)圖舊標(biāo)準(zhǔn)技術(shù)要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)管理要求安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理新標(biāo)準(zhǔn)物理和環(huán)境安全技術(shù)要求網(wǎng)絡(luò)和通信安全設(shè)備和計算安全應(yīng)用和數(shù)據(jù)安全安全策略和管理制度管理要求安全管理機(jī)構(gòu)和人員安全建設(shè)管理安全運(yùn)維管理控制點對比基本要求大類1.0基本要求子類信息系統(tǒng)安全等級保護(hù)級別等保二級等保三級技術(shù)要求物理安全1010網(wǎng)絡(luò)安全67主機(jī)安全67應(yīng)用安全79數(shù)據(jù)安全33管理要求安全管理制度33安全管理機(jī)構(gòu)55人員安全管理55系統(tǒng)建設(shè)管理911系統(tǒng)運(yùn)維管理1213合計/6673基本要求大類2.0基本要求子類信息系統(tǒng)安全等級保

4、護(hù)級別等保二級等保三級技術(shù)要求物理和環(huán)境安全1010網(wǎng)絡(luò)和通信安全78設(shè)備和計算安全66應(yīng)用和數(shù)據(jù)安全910管理要求安全策略和管理制度44安全管理機(jī)構(gòu)和人員99安全建設(shè)管理1010安全運(yùn)維管理1414合計/6971要求項對比基本要求大類1.0基本要求子類信息系統(tǒng)安全等級保護(hù)級別等保二級等保三級技術(shù)要求物理安全1932網(wǎng)絡(luò)安全1833主機(jī)安全1932應(yīng)用安全1931數(shù)據(jù)安全48管理要求安全管理制度711安全管理機(jī)構(gòu)920人員安全管理1116系統(tǒng)建設(shè)管理2845系統(tǒng)運(yùn)維管理4162合計/175290基本要求大類2.0基本要求子類信息系統(tǒng)安全等級保護(hù)級別等保二級等保三級技術(shù)要求物理和環(huán)境安全1522

5、網(wǎng)絡(luò)和通信安全1633設(shè)備和計算安全1726應(yīng)用和數(shù)據(jù)安全2234管理要求安全策略和管理制度67安全管理機(jī)構(gòu)和人員1626安全建設(shè)管理2534安全運(yùn)維管理3048合計/147230總體上看，等保2.0通用要求在技術(shù)部分的基礎(chǔ)上進(jìn)行了一些調(diào)整，但控制點要求上并沒有明顯增加，通過合并整合后相對舊標(biāo)準(zhǔn)略有縮減。原控制點要求項數(shù)新控制點要求項數(shù)物理安全1物理位置的選擇2物理和環(huán)境安全1物理位置的選擇22物理訪問控制42物理訪問控制13防盜竊和防破壞63防盜竊和防破壞34防雷擊34防雷擊25防火35防火36防水和防潮46防水和防潮37防靜電27防靜電28溫濕度控制18溫濕度控制19電力供應(yīng)49電力供應(yīng)3

6、10電磁防護(hù)310電磁防護(hù)2原控制項新控制項物理位置的選擇b)機(jī)房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。物理位置的選擇b)機(jī)房場地應(yīng)避免設(shè)在建筑物的頂層或地下室，否則應(yīng)加強(qiáng)防水和防潮措施 防靜電無防靜電b)應(yīng)采取措施防止靜電的產(chǎn)生，例如采用靜電消除器、佩戴防靜電手環(huán)等。(新增)原控制點要求項數(shù)新控制點要求項數(shù)網(wǎng)絡(luò)安全1結(jié)構(gòu)安全7網(wǎng)絡(luò)和通信安全1網(wǎng)絡(luò)架構(gòu)52訪問控制82通信傳輸23安全審計43邊界防護(hù)44邊界完整性檢查24訪問控制55入侵防范25入侵防范46惡意代碼防范26惡意代碼防范27網(wǎng)絡(luò)設(shè)備防護(hù)87安全審計58集中管控6原控制項新控制項無通信傳輸a)應(yīng)采用校驗碼技術(shù)

7、或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性；b)應(yīng)采用密碼技術(shù)保證通信過程中敏感信息字段或整個報文的保密性。 邊界完整性檢查a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷；邊界防護(hù)a)應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界防護(hù)設(shè)備提供的受控接口進(jìn)行通信；b)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查； b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷。c)應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查； d)應(yīng)限制無線網(wǎng)絡(luò)的使用，確保無線網(wǎng)絡(luò)通過受控的邊界防護(hù)設(shè)備接入內(nèi)部網(wǎng)絡(luò)。入侵防范無入侵防范b)應(yīng)在

8、關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為； (新增)無c)應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析； (新增)原控制項新控制項惡意代碼防范無惡意代碼防范b)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對垃圾郵件進(jìn)行檢測和防護(hù)，并維護(hù)垃圾郵件防護(hù)機(jī)制的升級和更新。 (新增)安全審計無安全審計d)應(yīng)確保審計記錄的留存時間符合法律法規(guī)要求；(新增)e)應(yīng)能對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計和數(shù)據(jù)分析。 (新增)無集中管控a)應(yīng)劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控； (新增)b)應(yīng)能夠建立一條安全的信息傳輸路徑，對網(wǎng)絡(luò)中的安

9、全設(shè)備或安全組件進(jìn)行管理； (新增)c)應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測； (新增)d)應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進(jìn)行收集匯總和集中分析；(新增)e)應(yīng)對安全策略、惡意代碼、補(bǔ)丁升級等安全相關(guān)事項進(jìn)行集中管理； f)應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別、報警和分析。 (新增)解讀1. 根據(jù)服務(wù)器角色和重要性，對網(wǎng)絡(luò)進(jìn)行安全域劃分；2. 在內(nèi)外網(wǎng)的安全域邊界設(shè)置訪問控制策略，并要求配置到具體的端口；3. 在網(wǎng)絡(luò)邊界處應(yīng)當(dāng)部署入侵防范手段，防御并記錄入侵行為；4. 對網(wǎng)絡(luò)中的用戶行為日志和安全事件信息進(jìn)行記錄和審計；5.對安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等進(jìn)行集中管

10、理。原控制點要求項數(shù)新控制點要求項數(shù)主機(jī)安全1身份鑒別6設(shè)備和計算安全1身份鑒別42訪問控制72訪問控制73安全審計63安全審計54剩余信息保護(hù)24入侵防范55入侵防范35惡意代碼防范16惡意代碼防范36資源控制47資源控制5原控制項新控制項安全審計無安全審計d)應(yīng)確保審計記錄的留存時間符合法律法規(guī)要求； （新增）入侵防范無入侵防范b)應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；c)應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制；d)應(yīng)能發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過充分測試評估后，及時修補(bǔ)漏洞；解讀1. 避免賬號共享、記錄和審計運(yùn)維操作行為是最基本的安全要求；2. 必

11、要的安全手段保證系統(tǒng)層安全，防范服務(wù)器入侵行為；原控制點要求項數(shù)新控制點要求項數(shù)應(yīng)用安全1身份鑒別5應(yīng)用和數(shù)據(jù)安全1身份鑒別52訪問控制62訪問控制73安全審計43安全審計54剩余信息保護(hù)24軟件容錯35通信完整性15資源控制26通信保密性26數(shù)據(jù)完整性27抗抵賴27數(shù)據(jù)保密性28軟件容錯28數(shù)據(jù)備份和恢復(fù)39資源控制79剩余信息保護(hù)2數(shù)據(jù)安全及備份恢復(fù)9數(shù)據(jù)完整性210個人信息保護(hù)210數(shù)據(jù)保密性211備份和恢復(fù)4原控制項新控制項安全審計無安全審計d)應(yīng)確保審計記錄的留存時間符合法律法規(guī)要求； （新增）軟件容錯無軟件容錯c)在故障發(fā)生時，應(yīng)自動保存易失性數(shù)據(jù)和所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。

12、（新增）身份鑒別無身份鑒別c)應(yīng)強(qiáng)制用戶首次登錄時修改初始口令； （新增）d)用戶身份鑒別信息丟失或失效時，應(yīng)采用技術(shù)措施確保鑒別信息重置過程的安全； （新增）個人信息保護(hù)無個人信息保護(hù)a)應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個人信息； （新增）b)應(yīng)禁止未授權(quán)訪問和非法使用用戶個人信息。（新增）解讀1. 應(yīng)用是具體業(yè)務(wù)的直接實現(xiàn)，不具有網(wǎng)絡(luò)和系統(tǒng)相對標(biāo)準(zhǔn)化的特點。大部分應(yīng)用本身的身份鑒別、訪問控制和操作審計等功能，都難以用第三方產(chǎn)品來替代實現(xiàn)；2. 數(shù)據(jù)的完整性和保密性，除了在其他層面進(jìn)行安全防護(hù)以外，加密是最為有效的方法；3. 數(shù)據(jù)的異地備份是等保三級區(qū)別于二級最重要的要求之一，是實現(xiàn)業(yè)務(wù)連續(xù)最基礎(chǔ)的技術(shù)保障措施。網(wǎng)絡(luò)安全法與等級保護(hù)工作關(guān)系第二十一條 國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安全保護(hù)責(zé)任；（二）采取防范計算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密