等级保护专题培训课件.ppt

1、等级保护等级保护2.02.0什么是等级保护？网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。等级保护的划分等级保护的划分第一级 信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益 第二级 信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全 第三级 信息系统受到破坏后，会对社会秩序和公共利益造成严重损害

2、，或者对国家安全造成损害 第四级 信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害 第五级 信息系统受到破坏后，会对国家安全造成特别严重损害 等级保护工作主要的流程一是定级二是备案（二级以上的信息系统）三是系统建设、整改四是开展等级测评五是信息安全监管部门定期开展监督检查等级保护的对象演变标准名称的变化等保2.0将原来的标准信息安全技术 信息系统安全等级保护基本要求改为信息安全技术 网络安全等级保护基本要求，与中华人民共和国网络安全法中的相关法律条文保持一致标准内容的变化标准内容的变化控制结构的变化等级保护1.0等级保护2.0旧标准技术要求物理安全网络安全

3、主机安全应用安全数据安全及备份恢复管理要求安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理新标准物理和环境安全技术要求网络和通信安全设备和计算安全应用和数据安全安全策略和管理制度管理要求安全管理机构和人员安全建设管理安全运维管理控制点对比基本要求大类1.0基本要求子类信息系统安全等级保护级别等保二级等保三级技术要求物理安全1010网络安全67主机安全67应用安全79数据安全33管理要求安全管理制度33安全管理机构55人员安全管理55系统建设管理911系统运维管理1213合计/6673基本要求大类2.0基本要求子类信息系统安全等级保护级别等保二级等保三级技术要求物理和环境安全1010

4、网络和通信安全78设备和计算安全66应用和数据安全910管理要求安全策略和管理制度44安全管理机构和人员99安全建设管理1010安全运维管理1414合计/6971要求项对比基本要求大类1.0基本要求子类信息系统安全等级保护级别等保二级等保三级技术要求物理安全1932网络安全1833主机安全1932应用安全1931数据安全48管理要求安全管理制度711安全管理机构920人员安全管理1116系统建设管理2845系统运维管理4162合计/175290基本要求大类2.0基本要求子类信息系统安全等级保护级别等保二级等保三级技术要求物理和环境安全1522网络和通信安全1633设备和计算安全1726应用和数

5、据安全2234管理要求安全策略和管理制度67安全管理机构和人员1626安全建设管理2534安全运维管理3048合计/147230总体上看，等保2.0通用要求在技术部分的基础上进行了一些调整，但控制点要求上并没有明显增加，通过合并整合后相对旧标准略有缩减。原控制点原控制点要求项数要求项数新控制点新控制点要求项数要求项数物理安全1 物理位置的选择2物理和环境安全1 物理位置的选择22 物理访问控制42 物理访问控制13 防盗窃和防破坏63 防盗窃和防破坏34 防雷击34 防雷击25 防火35 防火36 防水和防潮46 防水和防潮37 防静电27 防静电28 温湿度控制18 温湿度控制19 电力供应

6、49 电力供应310 电磁防护310 电磁防护2原控制项原控制项新控制项新控制项物理位置的选择b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。物理位置的选择b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施 防静电无防静电b) 应采取措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等。(新增)原控制点原控制点要求项数要求项数新控制点新控制点要求项数要求项数网络安全1结构安全7网络和通信安全1 网络架构52访问控制82通信传输23安全审计43边界防护44边界完整性检查24 访问控制55入侵防范25 入侵防范46 恶意代码防范26 恶意代码防范27

7、 网络设备防护87 安全审计58 集中管控6原控制项原控制项新控制项新控制项无通信传输a) 应采用校验码技术或密码技术保证通信过程中数据的完整性；b) 应采用密码技术保证通信过程中敏感信息字段或整个报文的保密性。 边界完整性检查a) 应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；边界防护a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信；b) 应能够对非授权设备私自联到内部网络的行为进行限制或检查； b) 应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。c) 应能够对内部用户非授权联到外部网络的行

8、为进行限制或检查； d) 应限制无线网络的使用，确保无线网络通过受控的边界防护设备接入内部网络。入侵防范无入侵防范b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为； (新增)无c) 应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析； (新增)原控制项原控制项新控制项新控制项恶意代码防范无恶意代码防范b) 应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。 (新增)安全审计无安全审计d) 应确保审计记录的留存时间符合法律法规要求；(新增)e) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 (

9、新增)无集中管控a) 应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控； (新增)b) 应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理； (新增)c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测； (新增)d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析；(新增)e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理； f) 应能对网络中发生的各类安全事件进行识别、报警和分析。 (新增)解读1. 根据服务器角色和重要性，对网络进行安全域划分；2. 在内外网的安全域边界设置访问控制策略，并要求配置到具体的端口；3

10、. 在网络边界处应当部署入侵防范手段，防御并记录入侵行为；4. 对网络中的用户行为日志和安全事件信息进行记录和审计；5.对安全设备、网络设备和服务器等进行集中管理。原控制点原控制点要求项数要求项数新控制点新控制点要求项数要求项数主机安全1 身份鉴别6设备和计算安全1 身份鉴别42 访问控制72 访问控制73 安全审计63 安全审计54 剩余信息保护24 入侵防范55 入侵防范35 恶意代码防范16 恶意代码防范36 资源控制47 资源控制5原控制项原控制项新控制项新控制项安全审计无安全审计 d) 应确保审计记录的留存时间符合法律法规要求； （新增）入侵防范无入侵防范b) 应关闭不需要的系统服务

11、、默认共享和高危端口；c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；d) 应能发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞；解读1. 避免账号共享、记录和审计运维操作行为是最基本的安全要求；2. 必要的安全手段保证系统层安全，防范服务器入侵行为；原控制点原控制点要求项数要求项数新控制点新控制点要求项数要求项数应用安全1 身份鉴别5应用和数据安全1 身份鉴别52 访问控制62 访问控制73 安全审计43 安全审计54 剩余信息保护24 软件容错35 通信完整性15 资源控制26 通信保密性26 数据完整性27 抗抵赖27 数据保密性28 软件容错28

12、 数据备份和恢复39 资源控制79 剩余信息保护2数据安全及备份恢复9 数据完整性210 个人信息保护210 数据保密性211 备份和恢复4原控制项原控制项新控制项新控制项安全审计无安全审计d) 应确保审计记录的留存时间符合法律法规要求； （新增）软件容错无软件容错c) 在故障发生时，应自动保存易失性数据和所有状态，保证系统能够进行恢复。（新增）身份鉴别无身份鉴别c) 应强制用户首次登录时修改初始口令； （新增）d) 用户身份鉴别信息丢失或失效时，应采用技术措施确保鉴别信息重置过程的安全； （新增）个人信息保护无个人信息保护a) 应仅采集和保存业务必需的用户个人信息； （新增）b) 应禁止未授

13、权访问和非法使用用户个人信息。（新增）解读1. 应用是具体业务的直接实现，不具有网络和系统相对标准化的特点。大部分应用本身的身份鉴别、访问控制和操作审计等功能，都难以用第三方产品来替代实现；2. 数据的完整性和保密性，除了在其他层面进行安全防护以外，加密是最为有效的方法；3. 数据的异地备份是等保三级区别于二级最重要的要求之一，是实现业务连续最基础的技术保障措施。网络安全法与等级保护工作关系第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管

14、理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。第三十四条第三十四条 除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定网络安全事件应急预案，并定期进行演练；（五）法律、行政法规规定的其他义务。