等级保护2.0云计算解决方案网络安全等级保护云计算解决方案

合集下载

XX网络安全等级保护2.0建设方案

XX网络安全等级保护2.0建设方案1网络安全1.1总体要求建设安全可靠的网络与信息化设施、确保本校所发布的信息合法合规，是《网络安全法》对所有提供信息服务的单位提出的统一要求。

基于《GB/T22239-2019 信息安全技术网络安全等级保护基本要求》、《GB/T28448-2019 信息安全技术网络安全等级保护测评要求》、《GB/T25070-2019 信息安全技术网络安全等级保护设计要求》等标准规范，网络与信息安全是指通过梳理摸清信息资产，进行安全风险分析，明确安全目标，制定安全策略，基于网络安全政策，通过采取必要的技术和管理措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定、可靠运行的状态，保障网络数据的完整性、保密性、可用性的能力。

a)梳理摸清学校信息资产，建立信息资产库，进行安全风险分析评估；b)明确安全目标和安全策略，确定网络安全保护等级，进行网络安全体系设计，制定较为完善的安全管理体系，有效防范有关对网络的攻击、侵入、干扰、破坏、非法使用和意外事故发生；c)根据网络安全体系的设计选择适当的技术和产品，制定网络安全技术防护实施方案和运行管理方案，推进多层次纵深网络安全防护，使网络始终处于稳定、可靠运行的状态；d)对安全管理活动中的各种管理内容建立安全管理制度，对安全人员的日常安全管理操作制定操作规程，形成由安全策略、管理制度、操作规程、记录表单等构成的较为全面的安全管理体系，有效防范非法使用和意外事故发生；e)坚持问题导向、目标导向，推进网络安全技术防护系统和网络安全管理体系相融合，持续改进网络安全工作，不断提升保障网络数据完整性、保密性、可用性的能力；f)网络安全的防护对象主要涉及基础网络、云计算平台/系统、大数据应用/平台/资源、物联网（IoT）、网站、业务信息系统、个人计算机系统、个人移动终端、智能化系统以及采用移动互联技术的系统等等。

网络安全实质上已经发展为网络空间安全，不仅仅包括内容安全、也包括技术安全等。

网络安全等级保护2.0 对应的安全产品

安全审计（G）
日志收集分析系统及备份功能、网络审计、上网行为管理、云平台操作审计
虚拟化运维审计
集中管控（G）
安全管理系统、安全管控平台、日志收集分析系统、数据库审计、网络管理系统、态势感知、病毒管理端；安全管理系统、网管
虚拟日志收集分析系统
虚拟化数据库/网络审计、杀毒管理中心
防护子项
云平台安全
云租户安全
身份鉴别（S）
设备、操作系统、数据库、中间件自带认证、统一身份认证4A、堡垒机、ssh管理、多因素认证、CA证书、双向认证SSH/ HTTPS
双向认证、SSH/ HTTPS
访问控制（S）
系统账号划分、4A系统自带访问控制功能、终端安全管理、数据库防火墙、管理类手段、强访问控制、加密、平台身份认证，授权权限划分、存储加密；
云计算环境选择
运维地点，配置数据、日志信息存放地点
运维地点，配置数据、日志信息存放地点
统一策略下发平台、虚拟化防火墙、东西向虚拟化防火墙、虚拟化日志收集、杀毒，
入侵防范（G）
未知威胁攻击防护系统、抗异常流量拒绝服务攻击；网络回溯系统、入侵防护/检测
虚拟化防火墙、东西向虚拟化防火墙入侵防御模块
恶意代码（G）
防病毒网关；防火墙、统一威胁防护系统、入侵防御/检测木马监测、安全邮件网关
虚拟化防火墙（入侵防御/杀毒模块）、东西向虚拟化防火墙、主机杀毒
镜像校验；镜像加密
安全操作系统、虚拟漏洞扫描、虚拟化基线配置核查系统
应用和数据安全
防护子项
云平台安全
云租户安全
身份鉴别（S）
统一身份认证、多因素认证、证书
业务应用系统自身认证；
访问控制（S）
身份认证、管理类手段、最小化原则、数据库防火墙；敏感数据加密、访问控制、云平台账号三权分立；

等级保护解决方案(2.0)

【互联网服务区】WEB服务器群集…应用服务器群集…
【安全管理区】身份认证\漏洞扫描\堡垒机\终端安全管理\全流量分析\安全管理平台
【综合业务区】OA服务器群集…ERP服务器群集…
【数据存储区】数据库群集…IP SAN存储群集…备份服务器群集…
【终端接入区】
【核心交换区】
防火墙
防火墙
防火墙
防火墙
防火墙
网络访问策略的控制要求，包括安全域的划分、网络之间的隔离。
网络架构
网络架构
通信传输
通信传输
安全通信网络
安全通信网络建设
合理的区域划分对具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享相同的安全策略，划分不同的网络区域；区域访问控制避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段；通信链路加密采用校验码技术或加解密技术保证通信过程中数据的完整性、保密性；
代表终端杀毒、EDR类产品
安全管理中心建设
安全管理体系
安全服务体系
应急响应服务
安全培训服务
安全测试服务
安全开发服务
安全咨询服务
安全运维服务
SecurityServices
应急演练
等保咨询
开发安全运维
重保安全
数据安全咨询
安全运营体系
依据标准化安全运营体系设计，为用户方提供全面的基础运营保障、安全风险分析研判与检测控制能力、风险监控预警能力以及安全事件的日常与应急处置能力。
身份安全认证对授权主体进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。终端安全管理实时针对终端的安全关机，包括漏洞扫描，基线核查、主机防病毒等，保证内网终端环境安全；全面安全审计保证审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计，审计记录满足等保要求；数据安全保护保证数据传输过程、数据存储中的加密，个人信息数据使用的审计，非法访问的禁止。

网络安全等保二级解决方案

© Copyright Sendi Corporation 2020
等保测评涉及检查范围建设或整改环节主要依据《信息系统安全等级保护基本要求》进行，《基本要求》中将等保分为两个方向，每个方向又分为5 个维度。
© Copyright Sendi Corporation 2020
5
技术要求物网主应数理络机用据安安安安安全全全全全
网络安全等级保护二级等保解决方案
catalogue
目
01 等保2.0介绍和要求
录
02 项目建设目标
03 成功案例
信息系统等级分类：
3
一级信息系统：公民个人的单机系统，小型集体、民营企业所属的信息系统，中、小学校的信息系统，乡镇级党政机关、事业单位的信息系统，其他小型组织的信息系统。
二级信息系统：县级、地市级信息系统，中型集体、民营企业、小型国有企业所属的信息系统，普通高等院校和科研机构的信息系统，其他中型组织的信息系统。
建设目标
10
➢ 通过等保测评验收
开展国家信息系统定级备案和等级测评和安全整改，并获取公安机关颁发由公安部统一监制的《信息系统安全等级保护备案二级证明》，测评结果达到良
➢ 安全技术支撑体系建设
根据等保技术要求及业务实际安全情况，合理规划安全区域，并配套完善一系列安全设备，从而建设起单位安全技术支撑体系
三级信息系统：省级和副省级独立的重要信息系统，大型集体、民营企业、大中型国有企业所属的重要信息系统，地市级党政机关、事业单位的重要信息系统，重点高等院校和科研机构的重要信息系统，其他大中型组织的信息系统。
四级信息系统：国家级所属全程全网的特大型信息系统，特大型国有企业所属全程全网的特大型信息系统，省级党政机关、事业单位所属的重要信息系统，重点科研机构的重要信息系统。

网络安全等保2.0 方案

网络安全等保2.0 方案
网络安全等保2.0方案是中国国家网络安全等级保护的规范要求，旨在提升关键信息基础设施的网络安全保护水平。

该方案主要包含以下几个方面的内容：
1. 网络安全等级划分：根据信息系统的重要程度和对网络安全的需求，将信息系统划分为不同的等级，从等级1到等级5，对应的安全要求逐渐增强。

2. 综合安全防护策略：要求建立综合的安全防护体系，包括网络边界安全、主机和终端安全、数据库和应用安全、数据安全、运维安全等，以全方位保护信息系统的安全。

3. 安全设施和技术要求：对关键信息基础设施的网络设备、安全设施和技术提出了具体要求，包括网络设备的安全配置、入侵检测系统和防火墙的设置、数据加密和身份认证等。

4. 安全管理要求：要求建立健全的网络安全管理制度和安全运维机制，包括安全策略制定、安全事件响应、漏洞管理、安全培训等，确保网络安全等级保护工作的持续有效进行。

5. 安全评估和监督要求：对关键信息基础设施的网络安全进行定期评估和监督，包括内部自查和外部第三方评估，以确保网络安全等级保护工作的可信度和有效性。

网络安全等保2.0方案的实施将有助于提升我国关键信息基础设施的网络安全防护能力，保护重要国家信息资产的安全。

同时，该方案也将推动网络安全技术的发展和应用，促进网络安全产业的健康发展。

信息安全等保三级(等保2.0)系统建设整体解决方案

信息安全等保三级（等保2.0）系统建设整体解决方案 2020年2月某单位信息安全等级保护（三级）建设方案目录第一章项目概述 (4)1.1项目概述 (4)1.2项目建设背景 (4)1.2.1法律要求 (5)1.2.2政策要求 (7)1.3项目建设目标及内容 (7)1.3.1项目建设目标 (7)1.3.2建设内容 (8)第二章现状与差距分析 (9)2.1现状概述 (9)2.1.1信息系统现状 (9)2.2现状与差距分析 (11)2.2.1物理安全现状与差距分析 (11)2.2.2网络安全现状与差距分析 (20)2.2.3主机安全现状与差距分析 (33)2.2.4应用安全现状与差距分析 (45)2.2.5数据安全现状与差距分析 (57)2.2.6安全管理现状与差距分析 (60)2.3综合整改建议 (66)2.3.1技术措施综合整改建议 (66)2.3.2安全管理综合整改建议 (82)第三章安全建设目标 (84)第四章安全整体规划 (86)4.1建设指导 (86)4.1.1指导原则 (86)4.1.2安全防护体系设计整体架构 (87)4.2安全技术规划 (89)4.2.1安全建设规划拓朴图 (89)4.2.2安全设备功能 (90)4.3建设目标规划 (96)第五章工程建设 (99)5.1工程一期建设 (99)5.1.1区域划分 (99)5.1.2网络环境改造 (100)5.1.3网络边界安全加固 (100)5.1.4网络及安全设备部署 (101)5.1.5安全管理体系建设服务 (136)5.1.6安全加固服务 (154)5.1.7应急预案和应急演练 (162)5.1.8安全等保认证协助服务 (162)5.2工程二期建设 (163)5.2.1安全运维管理平台（soc） (163)5.2.2APT高级威胁分析平台 (167)第六章方案预估效果 (169)6.1工程预期效果 (170)第一章项目概述1.1项目概述某单位是人民政府的职能部门，贯彻执行国家有关机关事务工作的方针政策，拟订省机关事务工作的政策、规划和规章制度并组织实施，负责省机关事务的管理、保障、服务工作。

干货：等保2.0安全架构介绍+建设要点

等保2.0安全架构介绍+建设要点
一、概述
基于“动态安全”体系架构设计，构筑“网络+安全”稳固防线“等级保护2.0解决方案”，基于“动态安全”架构，将网络与安全进行融合，以合规为基础，面对用户合规和实际遇到的安全挑战，将场景化安全理念融入其中，为用户提供“一站式”的安全进化。

国家网络安全等级保护工作进入2.0时代
国家《网络安全法》于2017年6月1日正式施行，所有了网络运营者和关键信息基础设施运营者均有义务按照网络安全等级保护制度的要求对系统进行安全保护。

随着2019年5月13日《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》标准的正式发布，国家网络安全等级保护工作正式进入2.0时代。

二、等级保护2.0关键变化
“信息安全”→“网络安全”
引入移动互联、工控、物联网等新领域
等保2.0充分体现了“一个中心三重防御“的思想。

一个中心指“安全管理中心”，三重防御指“安全计算环境、安全区域边界、安全网络通信”，同时等保2.0强化可信计算安全技术要求的使用。

被动防御→主动防御
等级保护2.0解决方案拓扑结构设计
1、安全管理中心
•大数据安全
（流量+日志）
•IT运维管理
•堡垒机
•漏洞扫描
•WMS
•等保建设咨询服务建设要点
对安全进行统一管理与把控集中分析与审计
定期识别漏洞与隐患
2、安全通信网络
•下一代防火墙•VPN
•路由器
•交换机
建设要点
构建安全的网络通信架构保障信息传输安全
3、安全区域边界。

网络安全等级保护制度2.0详解及标准【最新版】

网络安全等级保护制度2.0详解及标准2019年5月13日，国家市场监督管理总局、国家标准化管理委员会召开新闻发布会，等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布，将于2019年12月1日开始实施。

相较于2007年实施的《信息安全等级保护管理办法》所确立的等级保护1.0体系，为了适应现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求，2018年公安部正式发布《网络安全等级保护条例（征求意见稿）》，国家对信息安全技术与网络安全保护迈入2.0时代。

什么是等保根据2017 年6 月 1 日起施行《中华人民共和国网络安全法》的规定，等级保护是我国信息安全保障的基本制度。

《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度。

网络运营者应当按照网络安全等级保护制度的要求，履行下列全保护义务：保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

等保1.0指的是2007年的《信息安全等级保护管理办法》和2008年的《信息安全技术信息系统安全等级保护基本要求》。

等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，并对旧有内容进行调整等保2.0由来过程等保2.0对定级指南、基本要求、实施指南、测评过程指南、测评要求、设计技术要求等标准进行修订和完善，以满足新形势下等级保护工作的需要，其中《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全安全等级保护基本要求》、《信息安全技术网络安全等级保护安全设计要求》已于2019年5月10日发布，并将在2019年12月1日实施。

重点解读相较于等保1.0，等保2.0发生了以下主要变化：第一，名称变化。

等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《网络安全法》保持一致。

等保2.0时代,云等保安全合规要求解读

等保2.0时代，云等保安全合规要求解读导读伴随着《网络安全法》出台，等级保护制度上升到法律层面。

在此背景下孕育出来等保2.0相比之前的等保要求，在等级保护的对象、保护的内容、保护的体系都大不相同。

当然，云等保不是新鲜的事物，而是在原等保框架下的扩展要求。

云等保的各环节与传统等保相同，包括定级、备案、建设整改、测评、监督检查等，因此只需要对原有等级保护相关工作的具体内容进行扩充并统一。

传统信息系统的网络架构伴随业务变化而变化，系统各组件功能与硬件紧耦合，在安全防护上强调分区域和纵深防御。

直观上来说，就像铁路局各管一段，信息系统通常以物理网络或者安全设备为边界进行划分。

但是，云计算系统网络架构是扁平化的，业务应用系统与硬件平台松耦合，犹如航空运输。

如果信息系统的划分，单纯的以物理网络或安全设备为边界进行划分，将无法体现出业务应用系统的逻辑关系，更无法保证业务信息的安全和系统服务的安全，这就犹如以机场划分各航空公司一样不适用。

一、云计算系统边界划分云计算系统边界划分基本场景包括两个类型：第一类场景：存在业务应用不独占硬件物理资源或硬件物理资源上运行的基础服务系统是所有业务应用公用的情况，这时定级系统的边界应划在虚拟边界处，这个虚拟边界就是运行业务应用所用到的最底层独占虚拟资源，通常是虚拟机。

如下图所示：在上图场景中有3个业务应用，通过对业务应用的梳理，业务应用1单独成为一个定级系统，业务应用2和业务应用3组成另一个定级系统。

这两个定级系统共用底层服务，因此我们把底层服务连同硬件一起作为一个定级系统C，即云计算平台。

定级系统A和定级系统B就是云平台上承载的业务应用系统。

第二类场景：业务应用对应的系统模块存在相对独立的底层服务和硬件资源，因此可以将整个系统边界划分到硬件物理设备，从而确定两个定级系统，如下图所示。

如果这个场景对应的是对外提供服务的云计算系统，那么定级系统A就是一个使用了云计算技术的应用系统，而顶级系统B是另一个使用了云计算技术的应用系统。

等保2.0

等保2.0引言等保2.0是指信息系统安全等级保护的第二代标准，是我国针对信息系统安全等级保护的一项重要规范。

随着信息化技术的快速发展，网络安全问题日益突出，为了保护国家信息系统的安全，等保2.0标准应运而生。

等保2.0的背景在信息化时代，网络安全问题日益严重。

黑客攻击、病毒传播、数据泄露等问题频频发生，给个人、企业甚至国家的信息系统带来了巨大的风险。

为了规范信息系统安全保护的实施，我国于2012年发布了《信息安全技术中国保密技术信息系统安全等级保护》标准，即等保1.0。

然而，随着网络安全形势的不断演变和技术的不断发展，等保1.0已经无法满足现代信息系统安全保护的需要。

因此，国家信息安全等级保护标准工作组在等保1.0的基础上制定了等保2.0标准。

等保2.0的特点1. 强调风险管理等保2.0相比于等保1.0更加重视风险管理。

它要求对信息系统的风险进行全面、系统的分析和评估，并采取相应的措施进行风险治理。

通过对信息系统的风险进行有效的管理，可以最大程度地保护信息系统的安全。

2. 强调持续监测等保2.0要求信息系统的安全保护应具备持续监测的能力。

通过监测安全事件、网络流量、系统性能等指标，及时发现并处理信息系统的异常行为。

持续监测可以帮助发现潜在威胁，及时采取措施防范风险的发生。

3. 强调技术创新等保2.0鼓励技术创新，要求在信息系统安全保护中积极应用新兴技术。

例如，人工智能、区块链、云计算等新技术可以在等保2.0的实施中发挥重要作用，提高信息系统的安全性和效率。

等保2.0的实施步骤1. 信息系统分类根据等保2.0的要求，首先需要对信息系统进行分类。

等保2.0将信息系统分为多个等级，根据信息系统的重要性和使用环境进行划分。

2. 风险评估根据信息系统的等级，进行相应的风险评估。

通过对信息系统的风险进行评估，可以确定信息系统的安全保护需求，为后续的安全保护措施提供依据。

3. 安全策略制定根据风险评估结果，制定相应的安全策略。

等保2.0网络安全等级保护介绍

建立安全审计机制，记录关键操作和事件，及时发现和处理
异常行为。
05
等保2.0实践Байду номын сангаас例分析
案例一：金融行业网络安全等级保护实践
背景介绍
金融行业面临着严峻的网络安全威胁，为确保业务安全、合规地运营，需开展网络安全等级保护工作。
解决方案
根据等保2.0要求，为金融行业制定了一套全面的网络安全等级保护方案，包括安全通信网络、安全区域边界、安全计算环境等方面。
01
02
03
技术难题
随着网络安全环境的不断变化和技术的发展，等保 2.0面临着不断更新的技术难题和挑战。
成本压力
网络安全防护需要投入大量的资金和人力资源，对于一些企业来说，面临着较大的成本压力。
意识不强
一些企业和个人对网络安全的认识不够深入，缺乏网络安全意识和技能，容易成为网络攻击的目标。
03
等保2.0等级划分与要求
等级划分依据
01
业务重要程度
指信息系统所承载的业务涉及的国家秘密等级、对国家安全和利益的重要性，以及业务服务中断对公民、法人和其他组织的合法权益的造成的影响程度。
02
数据重要性
指信息系统及其所属单位的重要数据和信息对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益的造成的影响程度。
复、安全审计等方面。
实施效果
通过该方案的实施，大型企业有效地提升了网络安全防护能力，减少了安全风险和损失。
06
等保2.0未来发展趋势与挑战
技术发展趋势
1 2 3
云计算安全
随着云计算技术的广泛应用，云安全问题日益突出，等保2.0将更加重视云计算安全防护措施。

网络安全等级保护(等保2.0)解读(1)

网络安全等级保护（等保2.0）解读01前言2018年12月25日，由中关村可信计算产业联盟主办的等级保护新标准解读培训班在北京裕龙国际酒店举行。

沈昌祥院士做了《用可信计算筑牢网络安全防线》的主题演讲，公安部范春玲、李秋香和陈广勇三位专家老师对最新的网络安全等级保护制度进行了细致的解读，新华三作为可信计算联盟的理事成员单位，有幸受邀参加了此次培训。

同时作为等级保护2.0的参编单位，为了更好的学习贯彻和落实国家网络安全等级保护制度，新华三再次对会上专家的培训内容做个总结。

02等级保护标准变化等级保护新标准在编制过程中总共经历了两次大的变化，第一次是2017年8月根据网信办和公安部的意见将5个分册进行了合并，形成一个标准，并在2017年10月参加信安标委WG5工作组在研标准推进会，介绍合并后的标准送审稿，征求127家成员单位意见，修订完成报批稿；第二次大的变化是2018年7月根据沈昌祥院士的意见再次调整分类结构和强化可信计算，充分体现一个中心、三重防御的思想并强化可信计算安全技术要求的使用。

经过这两次大变化后的《网络安全等级保护基本要求》有10个章节8个附录，其中第6、7、8、9、10章为五个安全等级的安全要求章节，8个附录分别为：安全要求的选择和使用、关于等级保护对象整体安全保护能力的要求、等级保护安全框架和关键技术使用要求、云计算应用场景说明、移动互联应用场景说明、物联网应用场景说明、工业控制系统应用场景说明和大数据应用场景说明。

标准名称由原来的《信息安全技术信息系统安全等级保护基本要求》变更为《信息安全技术网络安全等级保护基本要求》，与《中华人民共和国网络安全法》保持一致。

等级保护对象由原来的“信息系统”改为“等级保护对象（网络和信息系统）”，安全等级保护对象包括基础信息网络（广电网、电信网等）、信息系统（采用传统技术的系统）、云计算平台、大数据平台、移动互联、物联网和工业控制系统等。

新版安全要求在原有通用安全要求的基础上新增安全扩展要求，安全扩展要求主要针对云计算、移动互联、物联网和工业控制系统提出了特殊安全要求。

华为等级保护2.0详细解决方案

华为等级保护2.0详细解决方案目录等级保护2.0要求解读华为等级保护解决方案23网络安全态势1据国家互联网应急中心2018年5月发布的《2017年我国互联网网络安全态势综述》，监测数据显示，2017年国内互联网安全形势十分严峻，敲诈勒索病毒盛行，分布式拒绝服务攻击峰值持续新高、工业控制系统安全风险加剧！国家信息安全漏洞共享平台（CNVD ）所收录的安全漏洞数量达到15955个，同比增长47.4%。

205万余个移动互联网恶意程序，较上一年增长39.0%，近7年来持续保持高速增长趋势2017年我国遭受DDoS 攻击依然严重，攻击峰值流量持续攀升。

大流量攻击事件的主要攻击方式为TCP SYN Flood 、NTP 反射放大攻击和SSDP 反射放大攻击。

国家信息安全漏洞共享平台（CNVD ）共收录通用软硬件漏洞10822个，高危漏洞收录数量高达4146个，占38.3%，”零日”漏洞3203个，较2015年增长82.5%2017年，CNCERT 监测发现我国境内约2万个网站被篡改，较2016年的约1.7万个增长20.0%，其中被篡改的政府网站有618个，较2016年的467个增长32.3%网站安全形势十分严峻拒绝服务攻击变成常用手段工业互联网安全安全漏洞数量持续走高互联网金融安全网络安全事件持续高发，新型威胁层出不穷1101万余台主机被境外控制服务器控制，来自美国的控制服务器数量居首位，其次是俄罗斯和日本。

移动互联网恶意程序达到253万个，同比增长23.4%。

大量主机被木马远程控制业务数字化快速发展，被动防御的安全手段已经无法满足需要防护的基础设施数字化：云化、IoT 、5G 、移动化攻击：规模化、产业化•云化：开放、数据应用集中、攻击面增大，云服务责任边界模糊•IoT ：移动化、异构化、海量化，攻击无处不在•5G ：多连接、大流量，网络切片，管理复杂•安全防护成为一种持续对抗，向事前和事中的持续监测、响应转变•安全检测智能化，管控维自动化，全网统一安全管理•攻击手段持续升级，甚至采用智能化，持续创新，防护难度加大•黑客产业化进程加快，能够充分调动资源进行攻击且获取巨额收益，从“小作坊”走向“正规军”安全防护理念：应急响应持续监测和响应，自动化智能化《中华人民共和国网络安全法》【第三十一条】【第二十一条】国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

网络安全等级保护(等保2

网络安全等级保护(等保2.0)3级建设内容设计方案物理环境安全设计旨在保护计算机网络通信的电磁兼容工作环境，防止非法用户进入计算机控制室并防止偷窃和破坏活动发生。

在物理位置选择上，应选择具有防震、防风、防雨等能力的建筑内场地，避免设在建筑物的顶层或地下室以确保机房的防水防潮效果。

在UPS电池放置时，应考虑楼板的承重能力。

对机房划分区域进行管理，并在重要区域前设置交付或安装等过渡区域。

进入机房的人员必须经过申请和审批流程，并受到限制和监控。

机房的各出入口应配置电子门禁系统和视频监控系统来控制、鉴别和记录进入机房的人员相关信息。

设备或主要部件应固定，并设置不易除去的标记以防盗窃和破坏。

为了防止非法用户和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性，必须采用有效的区域监控、防盗报警系统，阻止非法用户的各种临近攻击。

必须制定严格的出入管理制度和环境监控制度，以保障区域监控系统和环境监控系统的有效运行。

在地板方面，应安装防静电地板并采用必要的接地防静电措施，在上架、调试触摸设备时应佩戴防静电手环等措施消除静电避免静电引起设备故障和事故。

合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。

房间装修必需使用阻燃材料，耐火等级符合国家相关标准规定，同时设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。

在机房建设阶段，对机房窗户、屋顶和墙壁进行处理，防止液体渗透。

按照新风系统防止机房内水蒸气结露。

在机房内部按照水浸传感器，实时对机房进行防水检测和报警。

严格按照国家的相关标准将各类机柜、设施和设备等通过接地系统安全接地。

在配电方面设置相应的防雷保安器或过压保护装置等。

网络安全设计为保障通信传输网络的安全性，需要采用多种措施。

首先，对网络传输设备进行加密和认证，确保数据传输的安全性。

其次，采用虚拟专用网络（VPN）技术，对外部网络进行隔离，防止未经授权的访问。

等保2.0标准介绍

等保定级对象（以云计算中心为例）
系统定级对象
云上系统安全由客户
负责
平台定级对象
云平台安全由云服务商负责
云服务方和云租户对计算资源拥有不同的控制范围，控制范围则决定了安全责任的边界。
云计算系统与传统信息系统保护对象差异
层面
云计算系统保护对象
传统信息系统保护对象
物理和环境安全机房及基础设施
GB/T25070.1-XXXX 安全通用要求 GB/T25070.2-XXXX 云计算安全要求 GB/T25070.3-XXXX 移动互联安全要求 GB/T25070.4-XXXX 物联网安全要求 GB/T25070.5-XXXX 工业控制安全要求
等保2.0由一个单一标准演变为一个系列标准
等级保护安全框架
技术要求
安全通信网络
网络架构
安全区域边界
访问控制
入侵防范
安全审计
安全计算环境
身份鉴别
访问控制
入侵防范镜像和快照
保护数据完整性和
保密性数据备份恢复
剩余信息保护
GB/T 22239.2云计算安全扩展要求细则
安全管理中心集中管控
管理要求
安全建设管理云服务商选择
供应链管理
安全运维管理
云计算环境管理
应用和数据安全
应用系统、云应用开发平台、中间件、应用系统、中间件、配置文云业务管理系统、配置文件、镜像文件、件、业务数据、用户隐私、快照、业务数据、用户隐私、鉴别信息鉴别信息等等
系统安全建设管云计算平台接口、云服务商选择过程、 N/A
理
SLA、供应链管理过程等
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求