等级保护新标准(2.0)介绍-ppt课件.pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《等级保护新标准(2.0)介绍-ppt课件.pptx》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 等级 保护 新标准 2.0 介绍 ppt 课件
- 资源描述:
-
1、等级保护新标准(2.0)介绍 12等级保护发展历程与展望等级保护2.0标准体系3等级保护2.0基本要求解析4等级保护2.0扩展要求解析2ppt课件等保1.0时代等保2.0工作展望等级保护发展历程与展望1994-2003政策环境营造2004-2006工作开展准备2007-2010工作正式启动2010-2016工作规模推进1994年,国务院颁布中华人民共和国计算机信息系统安全保护条例,规定计算机信息系统实行安全等级保护。2003年,中央办公厅、国务院办公厅颁发国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出“实行信息安全等级保护”。2004-2006年,公安部联合四
2、部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作,为全面开展等级保护工作奠定基础。 2007年6月,四部门联合出台信息安全等级保护管理办法。2007年7月,四部门联合颁布关于开展全国重要信息系统安全等级保护定级工作的通知。2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信息安全等级保护制度正式开始实施。 2010年4月,公安部出台关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知,提出等级保护工作的阶段性目标。2010年12月,公安部和国务院国有资产监督管理委员会联合出台关于进一步推进中央企业信息安全
3、等级保护工作的通知,要求中央企业贯彻执行等级保护工作。3ppt课件等保1.0时代等保2.0工作展望等级保护发展历程与展望2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。2016年11月7日,中华人民共和国网络安全法正式颁布,第二十一条明确“国家实行网络安全等级保护制度”以GB17859 计算机信息系统安全保护等级划分准则 、GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 为代表的等级保护系列配套标准,习惯称为等保1.0标准。2013年,全国信息安
4、全标准化技术委员会授权WG5-信息安全评估工作组开始启动等级保护新标准的研究。2017年1月至2月,全国信息安全标准化技术委员会发布 网络安全等级保护基本要求系列标准、 网络安全等级保护测评要求 系列标准等“征求意见稿”。2017年5月,国家公安部发布GA/T 13892017 网络安全等级保护定级指南、GA/T 1390.22017 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求等4个公共安全行业等级保护标准。 重要标志2.0系列标准编制工作4ppt课件等保1.0时代等保2.0工作展望等级保护发展历程与展望等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵
5、、拓展保护范围、完善监管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。p 等级保护上升为法律中华人民共和国网络安全法第21条规定“国家实行网络安全等级保护制度”,要求“网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。p 等级保护对象将不断拓展随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,等保保护对象的外延将不断拓展。p 等级保护工作内容将持续扩展在定级、备案、建设整改、等级测评和监督检
6、查等规定动作基础上,2.0时代风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。p 等级保护体系将进行重大升级2.0时代,主管部门将继续制定出台一系列政策法规和技术标准,形成运转顺畅的工作机制,在现有体系基础上,建立完善等级保护政策体系、标准体系、测评体系、技术体系、服务体系、关键技术研究体系、教育训练体系等。5ppt课件12等级保护发展历程与展望等级保护2.0标准体系3等级保护2.0基本要求解析4等级保护2.0扩展要求解析6ppt课件等保1.0等保2.0等级保护2.
7、0标准体系GB 17859-1999 计算机信息系统安全保护等级划分准则 信息系统安全等级保护定级指南信息系统安全等级保护基本要求信息系统等级保护安全设计技术要求信息系统安全等级保护实施指南信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求7ppt课件等保1.0等保2.0等级保护2.0标准体系p 正式更名为网络安全等级保护标准;p 横向扩展了对云计算、移动互联网、物联网、工业控制系统的安全要求;p 纵向扩展了对等保测评机构的规范管理。(注:基于2017年等级保护标准系列征求意见稿)未变化修订内容新增8ppt课件主要标准内容解析等级保护2.0标准体系GB 17859-1999 计算机信
8、息系统安全保护等级划分准则 信息系统安全等级保护定级指南第1部分:安全通用要求网络安全等级保护实施指南网络安全等级保护测评过程指南网络安全等级保护基本要求 第2部分:云计算安全扩展要求第3部分:移动互联安全扩展要求第4部分:物联网安全扩展要求 第5部分:工业控制系统安全扩展要求网络安全等级保护安全设计技术要求 第1部分:安全通用要求第2部分:云计算安全扩展要求第3部分:移动互联安全扩展要求第4部分:物联网安全扩展要求 第5部分:工业控制系统安全扩展要求网络安全等级保护测评要求 第1部分:安全通用要求第2部分:云计算安全扩展要求第3部分:移动互联安全扩展要求第4部分:物联网安全扩展要求 第5部分
9、:工业控制系统安全扩展要求网络安全等级保护安全管理中心技术要求网络安全等级保护测试评估技术指南网络安全等级测评机构能力要求和评估规范9ppt课件等保1.0等保2.0等级保护2.0标准体系p GA/T 1390.52017 信息安全技术 网络安全等级保护基本要求 第 5 部分:工业控制系统安全扩展要求p 公安部已于2017年5月率先发布网络安全等级保护定级指南、网络安全等级保护基本要求 第5部分:工业控制系统安全扩展要求等4个行业标准。p GA/T 13892017信息安全技术 网络安全等级保护定级指南p GA/T 1390.32017 信息安全技术 网络安全等级保护基本要求 第 3 部分:移动
10、互联安全扩展要求 p GA/T 1390.22017信息安全技术 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求在国标信息安全等级保护定级指南的基础上细化优化了对客体侵害事项、侵害程度的定义,确定了对基础信息网络、工业控制系统 、云计算平台 、物联网、采用移动互联技术的信息系统 、大数据等对象的定级原则,进一步明确了定级过程中专家审查、主管部门审核、公安机关备案审查等节点的管理要求。针对云计算架构的特点,对云计算环境下的物理位置、虚拟化网络、虚拟机、云服务方、云租户、虚拟镜像等技术保护要求,以及云服务商选择、SLA协议、云安全审计等安全管理要求进行了规定。针对移动互联网系统中移动终
11、端、移动 应用和无线网络等三个关键要素,明确了无线接入设备的安装选择、无线接入网关处理能力、非授权移动终端接入等技术保护要求,以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进行了规定。分析了工业控制系统的层次模型、区域模型,提出了工业控制系统安全域划分和保护的主要原则。并从物理提示标志、网络非必要通信控制、系统时间戳等技术方面,以及工控系统管理员/工控网络管理员/工控安全管理员岗位设置、工控设备的版本号漏洞控制等管理方面进行了规定。10ppt课件定级要求等级保护2.0定级要求解析注:基于GA/T 13892017网络安全等级保护定级指南及GB/T 222402008信息系统
12、安全等级保护定级指南内容对比分析。新增定级流程定级对象 定级要求p 重新对部分内容的顺序作了调整,从整体显得更加的合理。p 增加了新的内容和流程,例如扩展了定级的对象,包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等;新增加的流程为“定级工作一般流程”,并对旧版本“定级一般流程”更名为“定级方法流程”。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 定级一般流程;1.0要求2.0要
13、求更名为“定级方法流程”。新增“定级工作一般流程”。11ppt课件定级要求等级保护2.0定级要求解析注:基于GA/T 13892017网络安全等级保护定级指南及GB/T 222402008信息系统安全等级保护定级指南内容对比分析。新增定级流程定级对象原标准新标准12ppt课件定级要求等级保护2.0定级要求解析注:基于GA/T 13892017网络安全等级保护定级指南及GB/T 222402008信息系统安全等级保护定级指南内容对比分析。新增定级流程定级对象 新增“定级流程”包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。包括确定受侵害的客体、侵害对客体的侵害程度以及
14、综合判定侵害程度。定级对象的运营、使用单位应组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。 定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核。 定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查,审查不通过,其运营使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级。 13ppt课件定级要求等级保护2.0定级要求解析注:基于GA/T 13892017网络安全等级保护定级指南及GB/T 222402008信息系统安全等级保护定级指南内容对比分析。新增定级流程定级对象 定级对象p 重新对定级对
15、象进行调整,并进行相应的介绍。2.0定级对象分为基础信息网络、信息系统和其他信息系统,其中信息系统再细分为工业控制系统、物联网、大数据、移动互联以及云计算平台。信息系统信息系统一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。 基础信息网络基础信息网络对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象。跨省全国性业务专网可作为一个整体对象定级,也可以分区域划分为若干个定级对象
16、。1.0要求2.0要求工业控制系统工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成,其中:生产管理层的定级对象确定原则见(其他信息系统)。设备层、现场控制层和过程监控层应作为一个整体对象定级,各层次要素不单独定级。对于大型工业控制系统,可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。云计算平台在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。物联网物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层等要
17、素。采用移动互联技术的信息系统采用移动互联技术的等级保护对象应作为一个整体对象定级,主要包括移动终端、移动应用、无线网络以及相关应用系统等。大数据应将具有统一安全责任单位的大数据作为一个整体对象定级, 或将其与责任主体相同的相关支撑平台统一定级。其他信息系统其他信息系统作为定级对象的其他信息系统应具有如下基本特征:a) 具有确定的主要安全责任单位具有确定的主要安全责任单位。作为定级对象的信息系统应能够明确其主要安全责任单位;b) 承载相对独立的业务应用。承载相对独立的业务应用。 作为定级对象的信息系统应承载相对独立的业务应用, 完成不同业务目标或者支撑不同单位或不同部门职能的多个信息系统应划分
18、为不同的定级对象;c) 具有信息系统的基本要素。具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、 设施按照一定的应用目标和规则组合而成的多资源集合,单一设备(如服务器、终端、网络设备等)不单独定级。14ppt课件12等级保护发展历程与展望等级保护2.0标准体系3等级保护2.0通用要求解析4等级保护2.0扩展要求解析15ppt课件整体变化等级保护2.0通用要求解析注:基于网络安全保护基本要求 第一部分:通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。p 安全控制域划分上有较大变化,原有十个安全域整合为八个,定义上更精确,内涵更为丰
19、富。物理安全网络安全主机安全应用安全数据安全安全制度安全管理机构人员安全管理系统建设管理系统运维管理物理和环境安全网络和通信安全设备和计算安全应用和数据安全安全策略和管理制度安全管理机构和人员安全建设管理安全系统运维管理技术管理技术1.02.0技术管理16ppt课件整体变化技术等级保护2.0通用要求解析注:基于网络安全保护基本要求 第一部分:通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。p 安全控制要求的部分条款被合并,部分条款被删除,同时也有部分新增要求,整体数量有较大降低。总体安全要求数量对比(以三级系统为例)各控制域安全要求数量对比(以三级系统为例
20、)管理17ppt课件整体变化等级保护2.0通用要求解析注:基于网络安全保护基本要求 第一部分:通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。p 整体内容上,对过于细节内容进行精炼或合并,对部分要求进行了删减,同时也新增了部分要求。p 在操作落实方面更灵活,同时与1.0相比整体安全要求有所降低。例:整合的内容网络安全身份鉴别a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别; c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;网络与通信安全身份鉴别a) 应对登录的用户进行身份标识和鉴
21、别, 身份标识具有唯一性, 鉴别信息具有复杂度要求并定期更换;例:删减的内容安全管理机构人员配备c) 关键事务岗位应配备多人共同管理。例:增加的内容网络和通信安全边界完整性检查d) 应限制无线网络的使用,确保无线网络通过受控的边界防护设备接入内部网络。设备和计算安全安全审计e) 审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性 。技术管理18ppt课件整体变化等级保护2.0通用要求解析注:基于网络安全保护基本要求 第一部分:通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。技术管理 物理和环境安全实质性变更p 降低物理位置选择要求
22、,机房可设置在建筑楼顶或地下室,但需要加强相应防水防潮措施。p 降低了物理访问控制要求,不再要求人员值守出入口,不再要求机房内部分区,不再对机房人员出入进行具体要求。p 降低了电力供应的要求,不再要求必须配备后备发电机。p 降低了电磁防护的要求,不再要求必须接地。p 降低了防盗和防破坏要求,可部署防盗系统或视频监控系统b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。b) 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;c)
23、 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。机房出入口应 配置电子门禁系统,控制、鉴别和记录进入的人员。d) 应建立备用供电系统。1.0要求2.0要求a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;f)应利用光、电等技术设置机房防盗报警系统;g) 应对机房设置监控报警系统。c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统 。19ppt课件整体变化等级保护2.0通用要求解析注:基于网络安全保护基本要求 第一部分:通用安全要求征求意见稿及GB/T 22239信息安全
24、等级保护基本要求三级要求对比分析。技术管理 网络和通讯安全实质性变更1p 强化了对设备和通信链路的硬件冗余要求。p 强化了网络访问策略的控制要求,包括默认拒绝策略、控制规则最小化策略和源目的检查要求。p 降低了带宽控制的要求,不再要求必须进行QOS控制。p 降低了安全访问路径、网络会话控制、地址欺骗防范、拨号访问权限限制等比较“古老”的控制要求。e) 应提供通信线路、关键网络设备的硬件冗余,保证系统可用性1.0要求2.0要求b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
25、a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则, 默认情况下除允许通信外受控接口拒绝所有通信;d) 应在会话处于非活跃一定时间或会话结束后终止网络连接;e) 应限制网络最大流量数及网络连接数;f) 重要网段应采取技术手段防止地址欺骗;g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;h) 应限制具有拨号访问权限的用户数量。c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。20ppt课件整体变化等级保护2.0通用要求解
展开阅读全文