网络安全等级保护2.0主要标准介绍
等保2.0主要标准-解释说明
等保2.0主要标准-概述说明以及解释1.引言1.1 概述概述随着信息技术的不断发展和日益普及,网络空间安全问题已经成为了一个全球性难题。
为了提高国家网络安全水平,我国推出了一系列的信息安全等级保护(等保)标准。
等保标准旨在规范和指导各类网络系统、设备和服务的安全建设与管理,以保护国家的核心信息基础设施和重要信息资源的安全。
在等保标准的演进过程中,等保2.0标准应运而生。
等保2.0标准是在等保1.0标准的基础上进一步完善和提升的,以适应网络安全形势的发展和应对新的威胁挑战。
本文将从等保2.0标准的角度,对其主要内容、应用与实施以及重要性进行深入探讨。
另外,还将对等保2.0标准存在的局限性进行分析,并展望其未来的发展方向。
通过阅读本文,读者可对等保2.0标准有一个全面的了解,从而更好地理解和应用这一标准,提升网络安全保障水平,推动我国网络安全事业的健康发展。
1.2 文章结构文章结构部分的内容可以包括以下几个方面:首先,简要介绍本文的组织结构。
本文主要分为三个部分,分别是引言、正文和结论。
每个部分都涵盖了等保2.0主要标准相关的内容,通过逐步展开的方式,从整体和细节两个层面深入探讨等保2.0主要标准的方方面面。
其次,详细说明引言部分的内容。
引言部分将提供该篇文章的背景信息以及对等保2.0主要标准的整体概述。
包括等保2.0标准的定义、由来和发展背景等内容,以便读者能够对本文所述的主题有一个基本的了解。
接着,阐述正文部分的内容和结构。
正文部分是本文的核心,将对等保2.0主要标准进行详细介绍。
主要分为两个子节:等保2.0标准的介绍和等保2.0标准的主要内容。
等保2.0标准的介绍将给出更具体的详细信息,包括标准的制定机构、标准的适用范围和目标等。
而等保2.0标准的主要内容将对标准的具体要求和指导进行详细解读,包括网络安全风险评估与等级划分、网络安全保护等级与技术要求等方面。
最后,简要说明结论部分的内容和意义。
网络安全等级保护2.0主要标准介绍
网络安全等级保护2.0-主要标准☐网络安全等级保护条例(总要求/上位文件)☐计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准)☐网络安全等级保护实施指南(GB/T25058)(正在修订)☐网络安全等级保护定级指南(GB/T22240)(正在修订)☐网络安全等级保护基本要求(GB/T22239-2019)☐网络安全等级保护设计技术要求(GB/T25070-2019)☐网络安全等级保护测评要求(GB/T28448-2019)☐网络安全等级保护测评过程指南(GB/T28449-2018)特点1-对象范围扩大新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容特点2-分类结构统一新标准“基本要求、设计要求和测评要求”分类框架统一,形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的三重防护体系架构特点2-强化可信计算新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求例如可信验证-一级可基于可信根对设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。
例如可信验证-四级可基于可信根对设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。
1、名称的变化☐原来:☐《信息系统安全等级保护基本要求》☐改为:☐《信息安全等级保护基本要求》☐再改为:(与《网络安全法》保持一致)☐《网络安全等级保护基本要求》2、对象的变化☐原来:信息系统☐改为:等级保护对象(网络和信息系统)☐安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等.3、安全要求的变化☐原来:安全要求☐改为:安全通用要求和安全扩展要求☐安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求.4、章节结构的变化☐8 第三级安全要求☐8.1 安全通用要求☐8.2 云计算安全扩展要求☐8.3 移动互联安全扩展要求☐8.4 物联网安全扩展要求☐8.5 工业控制系统安全扩展要求5.分类结构的变化-1(2017试用稿)☐结构和分类调整为:⏹技术部分:☐物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;⏹管理部分:☐安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理5.分类结构的变化(正式发布稿)⏹技术部分:☐安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心⏹管理部分:☐安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理6.增加了云计算安全扩展要求云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍【等级保护新标准(2.0)介绍】1. 引言等级保护是确保敏感信息的安全保密性和完整性的一种重要机制。
为了更好地适应信息时代的安全需求,我们团队开发了等级保护新标准(2.0)。
旨在详细介绍该标准的各项内容,包括概述、目标、要求、实施方法和考虑因素等。
2. 概述该标准旨在确保敏感信息在存储、传输和处理过程中的安全性,并提供一个明确的等级分类体系。
通过合理的等级划分和相应的保护策略,我们可以更好地保护敏感信息免遭未经授权的访问、篡改或泄露。
3. 目标等级保护新标准(2.0)的主要目标包括:- 提供一个全面的敏感信息保护框架。
- 确保敏感信息在存储、传输和处理过程中的安全性。
- 为不同组织提供灵活的等级划分和保护策略选择。
- 提高信息系统的安全性和可信度。
4. 要求4.1 安全等级划分本标准基于信息系统的安全需求对敏感信息进行了等级划分,包括至少五个安全等级,分别为最高级、高级、中级、低级和公共级。
4.2 保护策略每个安全等级都有相应的保护策略要求,包括但不限于:身份认证、访问控制、数据加密、安全审计等措施。
4.3 安全技术要求针对敏感信息的存储、传输和处理过程,本标准提出了一系列安全技术要求,包括密钥管理、防火墙设置、网络隔离等。
5. 实施方法本标准的实施方法分为三个阶段:5.1 等级划分组织需要根据自身的业务需求和信息系统特点,确定适当的安全等级划分。
5.2 保护策略选择根据不同安全等级的保护策略要求,组织需要选择合适的保护措施和技术措施。
5.3 安全技术实施组织需要在信息系统中实施相应的安全技术要求,确保对敏感信息的保护达到标准要求。
6. 考虑因素在实施过程中,需要考虑以下因素:- 信息系统的规模和复杂性。
- 安全投入和资源预算。
- 法律法规的要求。
- 外部环境的威胁和风险。
【文档结尾】1. 所涉及附件如下:- 附录A:等级保护新标准(2.0)详细解读- 附录B:等级保护新标准(2.0)实施指南- 附录C:等级保护新标准(2.0)安全技术要求2. 如下所涉及的法律名词及注释:- 法律名词1:注释- 法律名词2:注释- ...3. 如下在实际执行过程中可能遇到的困难及解决办法:- 困难1:解决办法- 困难2:解决办法- ...。
等保测评2.0标准
等保测评2.0标准
等保测评2.0标准是指中国国家信息安全等级保护制度中的一
项安全评估标准。
该标准被广泛应用于评估信息系统的安全性和满足相关法律法规的要求,以确保信息系统的保密性、完整性、可用性和可控性。
等保测评2.0标准包括七个等级,分别为一级到七级,等级越
高要求越严格。
每个等级都有对应的安全要求和评估指标,包括技术要求、管理要求和工程建设要求等方面。
在等保测评2.0标准中,具体的评估指标包括:网络与终端安全、服务器与存储安全、数据安全、应用系统安全、密钥管理安全、安全运维管理、安全事件与应急管理、人员安全管理等。
通过进行等保测评,组织可以了解自身信息系统的安全状况,有针对性地修复和改进系统中的安全问题,提高信息系统的安全性和可信度。
同时,符合等保测评2.0标准也是企业在信息
安全方面的合规要求,能够获得相关行业和政府部门的认可和信任。
M30内六角螺栓的尺寸标准主要包括直径、螺距和螺栓长度。
直径:M30表示螺栓的直径为30mm。
螺距:M30的螺距为3.5mm。
螺栓长度:根据具体应用的需要,螺栓长度可以有不同的要求,例如M30x60表示螺栓的长度为60mm。
此外,螺栓的材质和表面处理也是标准中需要考虑的因素。
网络安全等级保护2.0主要标准介绍
网络安全等级保护2.0主要标准介绍公安部信息安全等级保护评估中心目录☐网络安全等级保护2.0标准的特点和变化☐网络安全等级保护2.0标准的框架和内容网络安全等级保护2.0-主要标准☐网络安全等级保护条例(总要求/上位文件)☐计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准)☐网络安全等级保护实施指南(GB/T25058)(正在修订)☐网络安全等级保护定级指南(GB/T22240)(正在修订)☐网络安全等级保护基本要求(GB/T22239-2019)☐网络安全等级保护设计技术要求(GB/T25070-2019)☐网络安全等级保护测评要求(GB/T28448-2019)☐网络安全等级保护测评过程指南(GB/T28449-2018)特点1-对象范围扩大新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容特点2-分类结构统一新标准“基本要求、设计要求和测评要求”分类框架统一,形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的三重防护体系架构特点2-强化可信计算新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求例如可信验证-一级可基于可信根对设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。
例如可信验证-四级可基于可信根对设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。
1、名称的变化☐原来:☐《信息系统安全等级保护基本要求》☐改为:☐《信息安全等级保护基本要求》☐再改为:(与《网络安全法》保持一致)☐《网络安全等级保护基本要求》2、对象的变化☐原来:信息系统☐改为:等级保护对象(网络和信息系统)☐安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等.3、安全要求的变化☐原来:安全要求☐改为:安全通用要求和安全扩展要求☐安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求.4、章节结构的变化☐8 第三级安全要求☐8.1 安全通用要求☐8.2 云计算安全扩展要求☐8.3 移动互联安全扩展要求☐8.4 物联网安全扩展要求☐8.5 工业控制系统安全扩展要求5.分类结构的变化-1(2017试用稿)☐结构和分类调整为:⏹技术部分:☐物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;⏹管理部分:☐安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理5.分类结构的变化(正式发布稿)⏹技术部分:☐安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心⏹管理部分:☐安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理6.增加了云计算安全扩展要求云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。
等保2.0政策规范解读(63页 PPT )
d) 应限制无线网络的使用,确保无线网络通过受控的边界防护设备 接入内部网络。
入侵防范
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行 为; (新增)
设计要求
测评要求
通用要求
云计算
物联网
移动互联
工业控制
7
。 share
等保2.0标准解读
勇 share
等级保护1.0和2.0对比
旧标准(等级保护1.0)
技术要求
物理安全 网络安全 主机安全 应用安全
管理要求
数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
9
新标准(等级保护2.0)
无 入侵防范
无
a) 应采用校验码技术或密码技术保证通信过程中数据的完整性;
通信传输 b) 应采用密码技术保证通信过程中敏感信息字段或整个报文的保密 性。
a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接 口进行通信;
边界防护
b) 应能够对非授权设备私自联到内部网络的行为进行限制或检 查;
3
4
6 防水和防潮
3
2
7 防静电
2
1
8 温湿度控制
1
4
9 电力供应
3
3
10 电磁防护
2
。 share
物理位置的选择
原控制项
新控制项
b)机房场地应避免设在建筑物的高层或 地下室,以及用水设备的下层或隔壁。 物理位置的选择
b)机房场地应避免设在建筑物的顶层或地下室, 否则应加强防水和防潮措施
防静电
无
等保2.0基本要求
等保2.0基本要求标题:等保2.0基本要求及其重要性随着信息化的快速发展,网络安全已经成为国家和社会关注的重要问题。
在此背景下,中国制定了等保2.0基本要求,以期提高我国的信息安全防护水平。
本文将详细介绍等保2.0的基本要求,并阐述其重要性。
一、等保2.0基本要求概述等保2.0是《信息安全等级保护基本要求》的简称,是我国在信息安全管理领域的一项重要政策。
等保2.0于2019年正式发布并实施,是对原有等保1.0的一次全面升级和改革。
等保2.0从原来的五个级别扩展到三个级别,即基础级、增强级和高级,每个级别都有相应的技术要求和管理要求。
二、等保2.0基本要求的具体内容1. 技术要求:主要包括物理环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面。
这些技术要求旨在保证信息系统的稳定运行和数据的安全存储。
2. 管理要求:主要包括安全策略和制度、人员安全管理、资产管理、安全运维管理和应急响应等方面。
这些管理要求旨在规范信息系统的日常管理和维护,防止人为因素导致的信息安全事件。
三、等保2.0的重要性等保2.0的实施对于提升我国的信息安全防护能力具有重要意义。
首先,等保2.0能够指导各组织机构进行信息系统建设,确保信息系统的安全性、稳定性。
其次,等保2.0能够提高公众对信息安全的认识,推动全社会形成良好的信息安全氛围。
最后,等保2.0也体现了我国对国际信息安全标准的接轨,有助于提升我国在国际信息安全领域的影响力。
四、结论综上所述,等保2.0基本要求是我国信息安全工作的重要指南。
只有严格按照等保2.0的要求进行信息系统建设和维护,才能有效保障我国的信息安全。
因此,我们需要进一步加强等保2.0的宣传和培训,让更多的人了解和掌握等保2.0的基本要求,共同构建一个安全、可靠的信息环境。
以上只是对等保2.0基本要求的简单介绍,实际上,等保2.0的内容非常丰富,涵盖了信息安全的各个方面。
希望这篇文章能帮助大家对等保2.0有一个初步的了解,如果想要深入了解等保2.0,还需要阅读相关的法规和标准,以及参加专业的培训。
等级保护2.0达标分数
等级保护2.0达标分数
在网络安全等级保护2.0(等保2.0)的标准下,信息系统的安全等级分为五个级别,每个级别都有相应的安全要求和测评标准。
在等保2.0中,测评结论分为优、良、中、差几个级别,每个级别的达标分数有所不同。
具体来说:
1.优:被测对象中存在安全问题,但不会导致被测对象面临中、高
等级安全风险,且系统综合得分90分以上,包含90分。
2.良:被测对象中存在安全问题,但不会导致被测对象面临高等级
安全风险,且系统综合得分80分以上,包含80分。
3.中:被测对象中存在安全问题,但不会导致被测对象面临高等级
安全风险,且系统综合得分70分以上,包含70分。
4.差:被测对象中存在安全问题,而且会导致达测对象面临高等级
安全风险,或被测对象综合得分低于70分。
需要注意的是,等保2.0的测评要求更加严格,标准有所提高,因此测评结论的达标分数也相应有所提高。
同时,等保2.0还注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
网络安全等级保护2 0一通用
网络安全等级保护2 0一通用网络安全等级保护2.0通用一、引言随着互联网的快速发展,网络安全问题日益突出,各类网络攻击频繁出现,给个人和组织带来了巨大的威胁。
为了保护网络安全,并促进网络安全的全面发展,我国提出了网络安全等级保护2.0通用标准,旨在提高网络安全等级保护的整体水平,确保网络空间的稳定和安全。
二、网络安全等级保护2.0通用标准概述网络安全等级保护2.0通用标准是由我国国家互联网应急中心制定的,旨在规范网络安全等级保护的各项工作。
该标准结合了国内外网络安全发展的最新成果,面向各类网络用户,并根据不同网络用户的实际需求,提供了一系列的网络安全保护要求和措施,以确保网络安全的全面防护。
三、网络安全等级保护2.0通用标准的主要内容1. 安全等级划分与评估网络安全等级保护2.0通用标准明确了网络安全的四个等级:一级等级最低,四级等级最高。
用户可以根据自身网络规模和安全需求,选择适合的等级,并进行相应的评估和认证。
2. 安全保护要求网络安全等级保护2.0通用标准规定了不同等级网络的安全保护要求,包括技术要求和管理要求。
技术要求方面,标准明确了网络安全设备的配置要求、网络拓扑结构的设计要求、访问控制的要求等。
管理要求方面,标准强调了网络安全管理责任的划分、安全培训和意识提升的要求等。
3. 安全防护措施网络安全等级保护2.0通用标准提供了一系列的安全防护措施,包括入口防御、出口防御、内部防御、应急处置等。
标准明确了各种防护技术的原理和应用,帮助用户建立完善的网络安全防护体系,提高对网络攻击的抵抗能力。
四、网络安全等级保护2.0通用标准的意义和作用1. 推动网络安全建设网络安全等级保护2.0通用标准为网络安全建设提供了一套统一的标准和规范,可以有效推动我国网络安全的整体水平提升。
2. 提供技术指导网络安全等级保护2.0通用标准提供了丰富的技术指导,帮助用户了解和掌握网络安全的相关知识和技术,提高网络安全的保护能力。
等保2.0标准介绍
等保定级对象(以云计算中心为例)
系统定 级对象
云上系 统安全 由客户
负责
平台定 级对象
云平台 安全由 云服务 商负责
云服务方和云租户对计算资源拥有不同的控制范围,控 制范围则决定了安全责任的边界。
云计算系统与传统信息系统保护对象差异
层面
云计算系统保护对象
传统信息系统保护对象
物理和环境安全 机房及基础设施
GB/T25070.1-XXXX 安全通用要求 GB/T25070.2-XXXX 云计算安全要求 GB/T25070.3-XXXX 移动互联安全要求 GB/T25070.4-XXXX 物联网安全要求 GB/T25070.5-XXXX 工业控制安全要求
等保2.0由一个单一标准演变为一个系列标准
等级保护安全框架
技术要求
安全通信 网络
网络架构
安全区域 边界
访问控制
入侵防范
安全审计
安全计算 环境
身份鉴别
访问控制
入侵防范 镜像和快照
保护 数据完整性和
保密性 数据备份恢复
剩余信息保护
GB/T 22239.2云计算安全扩展要求细则
安全管理中心 集中管控
管理要求
安全建设管理 云服务商选择
供应链管理
安全运维 管理
云计算环境 管理
应用和数据安全
应用系统、云应用开发平台、中间件、 应用系统、中间件、配置文 云业务管理系统、配置文件、镜像文件、件、业务数据、用户隐私、 快照、业务数据、用户隐私、鉴别信息 鉴别信息等 等
系统安全建设管 云计算平台接口、云服务商选择过程、 N/A
理
SLA、供应链管理过程等
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求
等保测评标准2.0
等保测评标准2.0
等保测评标准2.0是网络安全领域中的一项重要标准,旨在评估信息系统安全等级保护的级别和安全性。
该标准由国家相关部门联合制定,是信息安全保护工作的基础。
相较于之前的等保测评标准,等保测评标准2.0更加注重信息系统的整体安全性和隐私保护。
在评估过程中,该标准不仅考虑了信息系统的技术层面,还涵盖了安全管理、安全审计、安全控制等多个方面。
此外,等保测评标准2.0还增加了一些新的安全要求和指标,例如对数据传输、数据存储、数据备份等方面的要求。
在等保测评标准2.0中,信息系统安全等级保护的级别被划分为五个等级,分别是:一级(基本安全)、二级(较为安全)、三级(安全)、四级(高级安全)和五级(最安全)。
每个等级都有相应的安全要求和指标,以确保信息系统的安全性和稳定性。
在评估过程中,等保测评标准2.0采用了多种方法和工具,包括漏洞扫描、渗透测试、安全审计等。
评估结果将被记录在测评报告中,该报告将详细说明信息系统的安全等级和需要改进的方面。
总之,等保测评标准2.0是信息安全保护工作的重要标准之一,有助于提高信息系统的安全性和稳定性。
对于企业和组织来说,开展等保测评工作是非常必要的,有助于及时发现和解决潜在的安全风险。
网络安全等级保护制度2.0详解及标准【最新版】
网络安全等级保护制度2.0详解及标准2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,将于2019年12月1日开始实施。
相较于2007年实施的《信息安全等级保护管理办法》所确立的等级保护1.0体系,为了适应现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求,2018年公安部正式发布《网络安全等级保护条例(征求意见稿)》,国家对信息安全技术与网络安全保护迈入2.0时代。
什么是等保根据2017 年6 月 1 日起施行《中华人民共和国网络安全法》的规定,等级保护是我国信息安全保障的基本制度。
《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。
网络运营者应当按照网络安全等级保护制度的要求,履行下列全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
等保1.0指的是2007年的《信息安全等级保护管理办法》和2008年的《信息安全技术信息系统安全等级保护基本要求》。
等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,并对旧有内容进行调整等保2.0由来过程等保2.0对定级指南、基本要求、实施指南、测评过程指南、测评要求、设计技术要求等标准进行修订和完善,以满足新形势下等级保护工作的需要,其中《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全安全等级保护基本要求》、《信息安全技术网络安全等级保护安全设计要求》已于2019年5月10日发布,并将在2019年12月1日实施。
重点解读相较于等保1.0,等保2.0发生了以下主要变化:第一,名称变化。
等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《网络安全法》保持一致。
等保2.0标准介绍
等保2.0标准介绍等保2.0标准介绍一、等保2.0标准概述等保2.0标准是中国国家信息安全等级保护推进委员会发布的新一代信息安全等级保护标准。
该标准主要针对网络安全领域的风险评估、安全等级评定和安全保障措施制定,提出了严格的要求和标准,是信息安全技术管理领域的重要规范。
二、等保2.0标准内容概述等保2.0标准共分为17个安全等级,分别涵盖了国家级、重要部门、重点领域和一般领域等四个等级。
同时,该标准还针对基础设施、应用系统和云计算三大类进行了详细的安全要求和控制措施规定,包括信息安全安全评估、安全管理、风险管理、安全技术、保密管理、安全事件管理等方面。
三、等保2.0标准实施意义等保2.0标准的发布,将有效提高我国网络安全的整体水平和保护能力,推动我国信息安全从单一技术手段防护向全方位综合防护转变。
对于增强我国信息安全防护能力,促进信息化发展和中国数字经济的高质量发展都具有重大的意义。
四、本文档涉及注释1. 等保:信息安全等级保护,是国家信息安全保护的一项重要制度。
该制度分为四个等级,包括国家级、重要部门、重点领域和一般领域。
2. 安全等级:根据风险评估的结果,对信息系统的安全等级进行划分,包括一级安全、二级安全、三级安全、四级安全。
五、本文档涉及的法律名词及注释1.《中华人民共和国网络安全法》:是中国于2016年颁布的网络安全法律法规,主要涉及网络安全的基本法律制度、网络安全保护的组织体系、网络安全的技术措施和安全事件的应急处理等方面。
2.《信息安全技术个人信息安全规范》:是国家信息安全标准化技术委员会发布的个人信息安全标准,主要涉及个人信息的标识、采集、使用、存储、共享、转移和销毁等方面。
等级保护2.0标准解读
《信息系统安全等级保护测评过程指南》GB/T28449-2012(有修订)ຫໍສະໝຸດ 客户支持 和服务代表
跨云提供 者
云服务安 全和风险 管理者
网络提供 者
22
等保2.0-移动互联安全扩展要求
• 移动互联安全扩展要求章节针对移动互联的特点 提出特殊保护要求。对移动互联环境主要增加的 内容包括“无线接入点的物理位置”、"区域边 界安全"、“移动终端管控”、“移动应用管控 ”、“移动应用软件采购”和“移动应用软件开 发”等方面。
19
02 等级保护2.0 介绍 20
等保2.0-云计算安全扩展要求
• 云计算安全扩展要求章节针对云计算的特点提出 特殊保护要求。对云计算环境主要增加的内容包 括“基础设施的位置”、“虚拟化安全保护”、 “镜像和快照保护”、“云服务商选择”和“云 计算环境管理”等方面。
21
等保2.0-云计算安全扩展要求
12
等保2.0特点4-强化可信计算
从一级到四级均在“安全通信网络”、“安全区域边界”和“安全计算环境” 中增加了“可信验证”控制点。
设备的系统引导程序、系统程序等进行可信验证
增加重要配置参数和应用程序进行可信验证,并将 验证结果形成审计记录送至安全管理中心
增加应用程序的关键执行环节进行动态可信验证
• 管理部分: • 安全管理制度、安全管理机构、安全管理人员、安全建 设管理、安全运维管理
等保2.0网络安全等级保护介绍
异常行为。
05
等保2.0实践Байду номын сангаас例分析
案例一:金融行业网络安全等级保护实践
背景介绍
金融行业面临着严峻的网络安全威胁,为确保业务安全、合规地运 营,需开展网络安全等级保护工作。
解决方案
根据等保2.0要求,为金融行业制定了一套全面的网络安全等级保 护方案,包括安全通信网络、安全区域边界、安全计算环境等方面 。
01
02
03
技术难题
随着网络安全环境的不断 变化和技术的发展,等保 2.0面临着不断更新的技术 难题和挑战。
成本压力
网络安全防护需要投入大 量的资金和人力资源,对 于一些企业来说,面临着 较大的成本压力。
意识不强
一些企业和个人对网络安 全的认识不够深入,缺乏 网络安全意识和技能,容 易成为网络攻击的目标。
03
等保2.0等级划分与要求
等级划分依据
01
业务重要程度
指信息系统所承载的业务涉及的国家 秘密等级、对国家安全和利益的重要 性,以及业务服务中断对公民、法人 和其他组织的合法权益的造成的影响 程度。
02
数据重要性
指信息系统及其所属单位的重要数据 和信息对国家安全、社会秩序、公共 利益以及公民、法人和其他组织合法 权益的造成的影响程度。
复、安全审计等方面。
实施效果
通过该方案的实施,大型企 业有效地提升了网络安全防 护能力,减少了安全风险和 损失。
06
等保2.0未来发展趋势与挑战
技术发展趋势
1 2 3
云计算安全
随着云计算技术的广泛应用,云安全问题日益突 出,等保2.0将更加重视云计算安全防护措施。
等保2.0网络安全等级保护介绍
云计算的定级对象
系统定 级对象
应用1 Guest OS 虚拟机 VM
应用1 Guest OS 虚拟机 VM
应用2 Guest OS 虚拟机 VM
平台定 级对象
云管理层 虚拟化层 硬件资源
云服务方的云平台与云租户的应用系统应分别定级,平台等级不低于应用的安全保护等级,云平台先定级测评,再将已定 级应用系统向云平台迁移,云上应用定级参照传统信息系统。
检查:公安机关定期开展监督、检查、指导。
通用要求标准变化小结
分类
要求对象
物理和环境安全
机房设施
网络和通信安全
通信网络
设备和计算安全 应用和数据安全
构成节点 业务应用
主要变化
要求降低,机房不再限制位置,但特殊位置要加强防水、防潮 要求降低,只要求有电子门禁就可以。 取消对于建筑物的避雷要求 取消水管不得穿屋顶和地板的不合理要求,现代技术已经完全可以穿 取消备用供电系统(发电机)的要求
IPS 防病毒 堡垒机 应用控制 安全接入包 New 安全策略模版3
租户n WAF EDR
下一代防火墙 安全接入网关
IPS 防病毒 堡垒机 应用控制 安全接入包 New 自定义策略
租户侧网络拓扑
用户本地数据中心 分支机构
员工/合作伙伴/授权客户 公众用户
DDoS高防
CDN 安全云
BGP出口带宽
下一代防火墙 虚拟路由器
云计算技术要求控制项分布
安全要求类
层面
二级
Hale Waihona Puke 三级物理和环境安全
1
1
技术要求
网络和通信安全 设备和计算安全
13
21
9
16
应用和数据安全
等级保护2.0标准
等级保护2.0标准
等级保护2.0标准体系主要标准如下:
1.网络安全等级保护条例
2.计算机信息系统安全保护等级划分准则
3.网络安全等级保护实施指南
4.网络安全等级保护定级指南
5.网络安全等级保护基本要求
6.网络安全等级保护设计技术要求
7.网络安全等级保护测评要求
8.网络安全等级保护测评过程指南。
第一级(自主保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
第二级(指导保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
第三级(监督保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
第四级(强制保护级),等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
第五级(专控保护级),等级保护对象受到破坏后,会对国家安全造成特别严重损害
相较于1.0版本,2.0在内容上到底有哪些变化呢?
1.0定级的对象是信息系统,
2.0标准的定级的对象扩展至:基础信息网络、云计算平台、物联网、工业控制系统、使用移动互联技术的网络以及大数据平台等多个系统,覆盖面更广。
再者,在系统遭到破坏后,对公民、法人和其他组织的合法权益造成特别严重损害的由原来的最高定为二级改为现在的最高可以定为三级。
最后,等保2.0标准不再强调自主定级,而是强调合理定级,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,定级更加严格。
等保2.0解读
等保2.0解读信息安全等级保护 1.0:以GB17859-1999《计算机信息系统安全保护等级划分准则》为根标准;以GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》为基础标准;习惯将《基本要求》的2008版本及其配套规范标准称为等保1.0。
网络安全等级保护 2.0:2014年开始制定2.0标准,修订了通用安全要求,增加了云计算、移动互联、工控、物联网等安全扩展要求。
2019年5月13日发布;2019年12月1日开始实施。
名称变化:原来:《信息系统安全等级保护基本要求》改为:《信息安全等级保护基本要求》再改为:(与《网络安全法》保持一致)《网络安全等级保护基本要求》主要标准文件:网络安全等级保护条例(总要求/上位文件)计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准)网络安全等级保护实施指南(GB/T25058)(正在修订)网络安全等级保护定级指南(GB/T22240)(正在修订)★网络安全等级保护基本要求(GB/T22239-2019)★网络安全等级保护设计技术要求(GB/T25070-2019)★网络安全等级保护测评要求(GB/T28448-2019)★网络安全等级保护测评过程指南(GB/T28449-2018)等保2.0的“变与不变”:“不变”:等级保护“五个级别”不变:1自主保护级;2 指导保护级;3 监督保护级;4 强制保护级;5 转控保护级等级保护“五个阶段”不变:1定级;2备案;3安全建设和整改;4信息安全等级测评;5信息安全检查等级保护“主体职责”不变:公安机关;国家保密工作部门;国家密码管理部门;工业和信息化部门为职能部门“变”:法律法规变化:不开展等级保护等于违法!并要承担相应的法律后果标准要求变化:使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求“优化”通用要求,删除了过时的测评项(增加云计算、工控、移动互联、物联网安全要求)安全体系变化:从被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变实施环节变化:系统定级必须经过专家评审和主管部门审核测评达到75分以上才算基本符合要求对象变化:原来:信息系统改为:等级保护对象(网络和信息系统)安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等.安全要求变化:原来:安全要求改为:安全通用要求和安全扩展要求安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求.章节结构的变化:8 第三级安全要求8.1 安全通用要求8.2 云计算安全扩展要求8.3 移动互联安全扩展要求8.4 物联网安全扩展要求8.5 工业控制系统安全扩展要求分类结构变化:结构和分类调整为:(2017试用稿)技术部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;管理部分:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理技术部分:(正式发布稿)安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心管理部分:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理新等级保护的特点:1.基本要求、测评要求和技术要求框架统一,安全管理中心支持下的三重防护结构框架2.通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制等列入标准规范3.把基于可信根的可信验证列入各级别和各环节的主要功能要求新等级保护建设的核心思想:信息系统的安全设计应基于业务流程自身特点,建立“可信、可控、可管”的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏。
等保2.0详细解读
• 系统损害对客体的侵害程度 • 损害、严重损害、特别严重损害
保护对象受到破坏时 受侵害的客体
公民、法人和其他组 织的合法权益
社会秩序、公共利益
国家安全
一般损 害
第一级
对客体的侵害程度
严重损害
特别严重损害
第二级
第三级
第二级 第三级
Hale Waihona Puke 第三级 第四级不合格
等保测评 选择第三方测评机构进行测评。其 中对于新建系统可在试运行阶段进
行测评。
提交报告 系统运营、使用单位向地级以上市公安机关报测评报告 。项目验收文档中也须含有测评报告。
合格
等保测评 定期选择第三方测评机构进行测评 。三级系统每年至少一次,四级系
统每半年至少一次。
不合格
定级、备案与复查
• 信息系统安全保护等级的定级要素
• 方法指导类
• GB/T25058-2010《信息安全技术 信息系统安全等级保护实施指南》 • GB/T25070-2010《信息系统等级保护安全设计技术要求》等
• 状况分析类
• GB/T28448-2012《信息安全技术 信息系统安全等级保护测评要求》 • GB/T28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》等
• 评测周期
• 由原先四级系统每半年需要复查一次改为三级以上系统一年复查一次
• 要求分类精简
• 把管理要求和通用要求纳入到技术要求中 • 分类由10类改为8类
• 控制点和要求项变化
通用要求分类
控制点对比
详细要求项对比
等保解决方案示例(深信服)
追求人生的美好! 我们的共同目标!
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全等级保护2.0-主要标准☐网络安全等级保护条例(总要求/上位文件)☐计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准)☐网络安全等级保护实施指南(GB/T25058)(正在修订)☐网络安全等级保护定级指南(GB/T22240)(正在修订)☐网络安全等级保护基本要求(GB/T22239-2019)☐网络安全等级保护设计技术要求(GB/T25070-2019)☐网络安全等级保护测评要求(GB/T28448-2019)☐网络安全等级保护测评过程指南(GB/T28449-2018)特点1-对象范围扩大新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容特点2-分类结构统一新标准“基本要求、设计要求和测评要求”分类框架统一,形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的三重防护体系架构特点2-强化可信计算新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求例如可信验证-一级可基于可信根对设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。
例如可信验证-四级可基于可信根对设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。
1、名称的变化☐原来:☐《信息系统安全等级保护基本要求》☐改为:☐《信息安全等级保护基本要求》☐再改为:(与《网络安全法》保持一致)☐《网络安全等级保护基本要求》2、对象的变化☐原来:信息系统☐改为:等级保护对象(网络和信息系统)☐安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等.3、安全要求的变化☐原来:安全要求☐改为:安全通用要求和安全扩展要求☐安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求.4、章节结构的变化☐8 第三级安全要求☐8.1 安全通用要求☐8.2 云计算安全扩展要求☐8.3 移动互联安全扩展要求☐8.4 物联网安全扩展要求☐8.5 工业控制系统安全扩展要求5.分类结构的变化-1(2017试用稿)☐结构和分类调整为:⏹技术部分:☐物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;⏹管理部分:☐安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理5.分类结构的变化(正式发布稿)⏹技术部分:☐安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心⏹管理部分:☐安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理6.增加了云计算安全扩展要求云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。
对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。
7.增加了移动互联安全扩展要求移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。
对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。
8.增加了物联网安全扩展要求物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。
对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。
9.增加了工业控制系统安全扩展要求工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。
对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。
10.增加了应用场景的说明☐增加附录C 描述等级保护安全框架和关键技术,增加附录D描述云计算应用场景,附录E描述移动互联应用场景,附录F描述物联网应用场景,附录G描述工业控制系统应用场景。
☐附录H描述大数据应用场景(安全扩展要求)。
新标准结构☐1范围☐2规范性引用文件☐3术语和定义☐4缩略语☐5网络安全等级保护概述☐ 5.1等级保护对象☐ 5.2不同级别的安全保护能力☐ 5.3安全通用要求和安全扩展要求新标准结构☐8 第三级安全要求☐8.1 安全通用要求☐8.2 云计算安全扩展要求☐8.3 移动互联安全扩展要求☐8.4 物联网安全扩展要求☐8.5 工业控制系统安全扩展要求原来基本要求文档结构(2008)物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理新基本要求文档结构(发布稿)安全物理环境技术要求管理要求基本要求安全通信网络安全区域边界安全计算环境安全管理机构安全管理人员安全建设管理安全运维管理安全管理中心安全管理制度- 24 -安全通用要求-安全物理环境(试用稿-发布稿)分类原有控制点新的控制点1物理和环境安全物理位置选择 1安全物理环境物理位置的选择2 物理访问控制 2 物理访问控制3 防盗窃和防破坏 3 防盗窃和防破坏4 防雷击 4 防雷击5 防火 5 防火6 防水和防潮 6 防水和防潮7 防静电7 防静电8 温湿度控制8 温湿度控制9 电力供应9 电力供应10 电磁防护10 电磁防护安全通用要求-安全通信网络(试用稿-发布稿)分类原有控制点新的控制点1网络和通信安全网络架构 1安全通信网络网络架构2 通信传输 2 通信传输3 边界防护 3 可信验证4 访问控制5 入侵防范6 恶意代码防范7 安全审计8 集中管控安全通用要求-安全区域边界(试用稿-发布稿)分类原有控制点新的控制点1网络和通信安全网络架构安全区域边界2 通信传输3 边界防护 1 边界防护4 访问控制 2 访问控制5 入侵防范 3 入侵防范6 恶意代码防范 4 恶意代码防范7 安全审计 5 安全审计8 集中管控 6 可信验证安全通用要求-安全管理中心(试用稿-发布稿)分类原有控制点新的控制点1网络和通信安全网络架构 1安全管理中心系统管理2 通信传输 2 审计管理3 边界防护 3 安全管理4 访问控制5 入侵防范6 恶意代码防范7 安全审计8 集中管控 4 集中管控安全通用要求-安全计算环境(试用稿-发布稿)分类 原有控制点新的控制点 1 设备和计算安全 应用和数据安全身份鉴别 1 安全计算环境 身份鉴别 2 访问控制 2 访问控制 3 安全审计 3 安全审计 4 入侵防范4 入侵防范5 恶意代码防范 5 恶意代码防范6 资源控制 6 可信验证7 1 身份鉴别8 数据完整性 2 访问控制9 数据保密性 3 安全审计 10 数据备份恢复 4 软件容错 11 剩余信息保护 5 资源控制 12个人信息保护 6 数据完整性 7 数据保密性 8 数据备份恢复 9 剩余信息保护 10个人信息保护云计算安全扩展要求云计算安全扩展要求由第2分册合并精炼为基本要求的X.2章节, 保留针对云计算的特点特殊保护要求。
包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。
安全要求项一级二级三级四级云计算安全扩展要求(分册)32 52 82 84云计算安全扩展要求(X.2)11 29 46 4930云计算安全扩展要求-控制点和要求项序号控制点一级二级三级四级1基础设施位置11112网络架构24693访问控制12224入侵防范03555安全审计02226集中管控00447身份鉴别00118访问控制22229入侵防范003310镜像和快照保护023311数据安全性134412数据备份恢复024413剩余信息保护022214云服务商选择345515供应链管理123316云计算环境管理0111移动互联安全扩展要求移动互联安全扩展要求由第3分册合并精炼为基本要求的X.3章节, 保留针对移动互联部分特殊保护要求。
包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。
安全要求项一级二级三级四级移动互联安全扩展要求(分册)30 69 104 114移动互联安全扩展要求(X.3) 5 14 19 2132移动互联安全扩展要求-控制点和要求项序号控制点一级二级三级四级1无线接入点的物理位置11112边界防护11113访问控制111+14入侵防范05665移动终端管控00236移动应用管控12347移动应用软件采购122+28移动应用软件开发02229配置管理0011物联网安全扩展要求物联网安全扩展要求由第4分册合并精炼为基本要求的X.4章节, 保留针对物联网的感知网部分特殊保护要求。
包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。
安全要求项一级二级三级四级物联网安全扩展要求(分册)19 32 62 70物联网安全扩展要求(X.4) 4 7 20 2134物联网安全扩展要求-控制点和要求项序号控制点一级二级三级四级1感知节点的物理防护2244 2入侵防范0222 3接入控制1111 4感知节点设备安全0033 5网关节点设备安全0055 6抗数据重放0022 7数据融合处理0012 8感知节点的管理1233工业控制系统安全扩展要求工业控制系统安全扩展要求由第5分册合并精炼为基本要求的X.5章节,只保留针对工业控制系统的特殊保护要求。
包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。
安全要求项一级二级三级四级工业控制系统安全扩展要求(分册)分层要求分层要求分层要求分层要求工业控制系统安全扩展要求(X.5) 9 15 21 2336工业控制系统安全扩展要求-控制点和要求项序号控制点一级二级三级四级1室外控制设备防护22222网络架构23333通信传输01114访问控制12225拨号使用控制01236无线使用控制22447控制设备安全22558产品采购和使用01119外包软件开发0111 10安全事件处置0111总结GB/T22239-2019《信息安全技术网络安全等级保护基本要求》将替代原来的GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》。