等级保护2.0讲解PPT
合集下载
等级保护新标准介绍PowerPoint 演示文稿
等级保护工作内容将持续扩展
在定级、备案、建设整改、等级测评和监督检查等规定 动作基础上,2.0时代风险评估、安全监测、通报预警、案 事件调查、数据防护、灾难备份、应急处置、自主可控、 供应链安全、效果评价、综治考核等这些与网络安全密切 相关的措施都将全部纳入等级保护制度并加以实施。
等级保护对象将不断拓展
3
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
重要标志
2.0系列标 准编制工作
• 2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工 指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。
• 2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全 等级保护制度……”
• 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
2004-2006 工作开展准备
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础 调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
信 息 系 统 安 全 等 级 保 护 实 施 指 南 》
信 息 系 统 等 级 保 护 安 全 设 计 技 术 要 求
信 息 系 统 安 全 等 级 保 护 测 评 要 求 》
信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南
》
》
7
等级保护2.0标准体系
等保1.0
等保2.0
正式更名为网 络安全等级保 护标准;
在定级、备案、建设整改、等级测评和监督检查等规定 动作基础上,2.0时代风险评估、安全监测、通报预警、案 事件调查、数据防护、灾难备份、应急处置、自主可控、 供应链安全、效果评价、综治考核等这些与网络安全密切 相关的措施都将全部纳入等级保护制度并加以实施。
等级保护对象将不断拓展
3
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
重要标志
2.0系列标 准编制工作
• 2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工 指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。
• 2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全 等级保护制度……”
• 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
2004-2006 工作开展准备
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础 调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
信 息 系 统 安 全 等 级 保 护 实 施 指 南 》
信 息 系 统 等 级 保 护 安 全 设 计 技 术 要 求
信 息 系 统 安 全 等 级 保 护 测 评 要 求 》
信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南
》
》
7
等级保护2.0标准体系
等保1.0
等保2.0
正式更名为网 络安全等级保 护标准;
新时代-等级保护2.0安全解决方案ppt课件
用程序等进行可信验证
10
等级保护管理组织
指导监管部门: 国家等保工作 开展、推进、指 导。
技术支撑部门: 国家等保标准制定、修订、培训、 技术指导以及全国测评单位管理。
国家测评机构
行业测评机构
地方测评机构
11
等级保护主要工作流程
监督检查是保护能力不断提高的保障
一 定级
二 备案
三 建设整改
四 等级测评
《网络安全等级保护测评 要求》
GB/T 28448--2019
4
等级保护进入2.0时代典型标志
新
时 代
网络安全法
《网络安全法》规定“国家实行网络安全 等级保护制度”。标志 了等级
新条例
公安部会同中央网信办、国家保密局和国 家密码管理局,联合起草 并上报了《网络安全等级保护条例》(草案)。
上网行为管理
管理区
管理区FW
接入区
接入用 户
接入用 户
接入用 户
运维审计系统 网络管理系统 日志审计系统 漏洞扫描系统 终端安全准 入系统
态势感知 CIS
13
THE BUSENESS PLAN
新等级保护差异变化
14
网络安全等级保护2.0-主要标准
等保 2.0
国家标准GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》在开展信息安全等级保护工作的过程 中起到了非常重要的作用,被广泛应用于各个行业和领域开展信息安全等级保护的建设整改和等级测评等工作,但是随 着信息技术的发展,GB/T 22239—2008在时效性、易用性、可操作性上需要进一步完善。 为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保护工作的开展,需对 GB/T 22239—2008进行修订,修订的思路和方法是针对移动互联、云计算、大数据、物联网和工业控制等新技术、 新应用领域提出扩展的安全要求。
10
等级保护管理组织
指导监管部门: 国家等保工作 开展、推进、指 导。
技术支撑部门: 国家等保标准制定、修订、培训、 技术指导以及全国测评单位管理。
国家测评机构
行业测评机构
地方测评机构
11
等级保护主要工作流程
监督检查是保护能力不断提高的保障
一 定级
二 备案
三 建设整改
四 等级测评
《网络安全等级保护测评 要求》
GB/T 28448--2019
4
等级保护进入2.0时代典型标志
新
时 代
网络安全法
《网络安全法》规定“国家实行网络安全 等级保护制度”。标志 了等级
新条例
公安部会同中央网信办、国家保密局和国 家密码管理局,联合起草 并上报了《网络安全等级保护条例》(草案)。
上网行为管理
管理区
管理区FW
接入区
接入用 户
接入用 户
接入用 户
运维审计系统 网络管理系统 日志审计系统 漏洞扫描系统 终端安全准 入系统
态势感知 CIS
13
THE BUSENESS PLAN
新等级保护差异变化
14
网络安全等级保护2.0-主要标准
等保 2.0
国家标准GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》在开展信息安全等级保护工作的过程 中起到了非常重要的作用,被广泛应用于各个行业和领域开展信息安全等级保护的建设整改和等级测评等工作,但是随 着信息技术的发展,GB/T 22239—2008在时效性、易用性、可操作性上需要进一步完善。 为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保护工作的开展,需对 GB/T 22239—2008进行修订,修订的思路和方法是针对移动互联、云计算、大数据、物联网和工业控制等新技术、 新应用领域提出扩展的安全要求。
等保2.0详细解读PPT课件
2021/6/4 Nhomakorabea7
等保2.0测评变化
• 测评
• 及格分从60分改为75分
• 安全要求
• 由“安全要求”改为“安全通用要求和安全扩展要求” • 新增扩展要求:云计算、移动互联网、物联网、工业控制、大数据安全
• 评测周期
• 由原先四级系统每半年需要复查一次改为三级以上系统一年复查一次
• 要求分类精简
• 把管理要求和通用要求纳入到技术要求中 • 分类由10类改为8类
系统备案 已运行的系统在安全保护等级确定后30日内 ,由其运营、使用单位到所在地设区的市级 以上公安机关办理备案手续。新建的系统, 在通过立项申请后30日内办理。
材料不齐
公安机关审核
定级不准
材料齐、定级准
颁发证书 公安机关颁发系统等级保护备案证书。
分析安全需求 对照等保有关规定和标准分析系统安全建设整改需求,可委 托安全服务机构、等保技术支持单位分析。对于整改项目, 还可委托测评机构通过等保测评、风险评估等方法分析整改 需求。
建设整改 根据需求制订建设整改方案,按照国家相关规范和技术 标准,使用符合国家有关规定,满足系统等级需 求,开展信息系统安全建设整改。
不合格
等保测评 选择第三方测评机构进行测评。其 中对于新建系统可在试运行阶段进
行测评。
提交报告 系统运营、使用单位向地级以上市公安机关报测评报告 。项目验收文档中也须含有测评报告。
公民、法人和其他组 织的合法权益
社会秩序、公共利益
国家安全
一般损 害
第一级
对客体的侵害程度
严重损害
特别严重损害
第二级
第三级
第二级 第三级
第三级 第四级
第四级 第五级
等保2.0测评变化
• 测评
• 及格分从60分改为75分
• 安全要求
• 由“安全要求”改为“安全通用要求和安全扩展要求” • 新增扩展要求:云计算、移动互联网、物联网、工业控制、大数据安全
• 评测周期
• 由原先四级系统每半年需要复查一次改为三级以上系统一年复查一次
• 要求分类精简
• 把管理要求和通用要求纳入到技术要求中 • 分类由10类改为8类
系统备案 已运行的系统在安全保护等级确定后30日内 ,由其运营、使用单位到所在地设区的市级 以上公安机关办理备案手续。新建的系统, 在通过立项申请后30日内办理。
材料不齐
公安机关审核
定级不准
材料齐、定级准
颁发证书 公安机关颁发系统等级保护备案证书。
分析安全需求 对照等保有关规定和标准分析系统安全建设整改需求,可委 托安全服务机构、等保技术支持单位分析。对于整改项目, 还可委托测评机构通过等保测评、风险评估等方法分析整改 需求。
建设整改 根据需求制订建设整改方案,按照国家相关规范和技术 标准,使用符合国家有关规定,满足系统等级需 求,开展信息系统安全建设整改。
不合格
等保测评 选择第三方测评机构进行测评。其 中对于新建系统可在试运行阶段进
行测评。
提交报告 系统运营、使用单位向地级以上市公安机关报测评报告 。项目验收文档中也须含有测评报告。
公民、法人和其他组 织的合法权益
社会秩序、公共利益
国家安全
一般损 害
第一级
对客体的侵害程度
严重损害
特别严重损害
第二级
第三级
第二级 第三级
第三级 第四级
第四级 第五级
等保2.0 资料ppt课件
密码管理
备份与恢复管理
变更管理
安全事件处置 应急预案管理 外包运维管理
技术要求
三级
技术要求
安全物理环境
• 机房出入口应配置电子门禁系统
• 应设置机房防盗报警系统或设置有专人值守的视频监控系统
• 应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等
• 应对机房划分区域进行管理,区域和区域之间设置隔离防火措施
等级保护的基本要求、测 评要求和安全设计技术要 求框架统一,即:安全管 理中心支持下的三重防护 结构框架
通用安全要求+新型应用 安全扩展要求,将云计 算、移动互联、物联网、 工业控制系统等列入标 准规范
将可信验证列入各级别和 各环节的主要功能要求
定级对象
等保进入2.0时代,保护对象从传统的网络和信息系统,向“云移物工大”上扩展,基 础网络、重要信息系统、互联网、大数据中心、云计算平台、物联网系统、移动互联 网、工业控制系统、公众服务平台等都纳入了等级保护的范围。
分 级 保 护
国家保密工
作部门
国家保密标
涉密 信息系统
(国家保密 局、各省保
密局、各地
准 (BMB,强
制执行)
地市保密局)
3个级别 秘密级 机密级(一般、增强) 绝密级
信息的重要性,以 信息最高密级确定 受保护的级别。
单项:保密局发的涉密单项资质 安全产品:保密局发的涉密检测报告 密码产品:国密局发的密码资质 防病毒软件:公安部的检测报告 军队:军用安全产品检测报告
✓ 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间, 在发生严重入侵事件时应提供报警。
添加标题
4、恶意代码和垃圾邮件防护
添加标题
等保2.0标准体系详细解读-培训课件
访问控制:加强对基于应用协议和应用内容的访问控制 入侵防范:加强对关键网络节点处检测、防止或限制从内/外部发起的网络攻击
行为;新增实现对网络攻击特别是新型网络攻击行为的分析 恶意代码和垃圾邮件防范:新增垃圾邮件防护 安全审计:新增对远程访问的用户行为、访问互联网的用户行为等单独进行行为
资源控制
7
数据完整性
2
数据安全及 备份恢复
数据保密性
2
备份和恢复
4
安全计算环境
控制点
要求项
身份鉴别
4
访问控制
7
安全审计
4
入侵防范
6
恶意代码防范
1
可信验证
1数据Biblioteka 整性2数据保密性2
数据备份恢复
3
剩余信息保护
2
个人信息保护
2
合计
34
变化列举
身份鉴别:加强用户身份鉴别,采用两种或两种以上鉴别方式,且其中 一种鉴别技术至少应使用密码技术来实现
安全审计 数据完整性 个人信息保护
入侵防范 数据保密性
安全区域边界
边界防护
访问控制
恶意代码和垃圾邮件防范
入侵防范 安全审计
可信验证
安全通信网络 网络架构
通信传输
可信验证
安全物理环境
物理位置选择 防雷击
温湿度控制
物理访问控制 防火
电力供应
防盗窃和防破坏
防水和防潮
防静电
电磁防护
通用要求-安全管理要求的变化
信息安全保障纲领 性文件,明确指出 “实行信息安全等 级保护“主要任务
进一步明确了信息 安全等级保护制度 的职责分工和工作 的要求等基本内容
明确了信息安全等 级保护的五个动作, 为开展等级保护工 作提供了规范保障
行为;新增实现对网络攻击特别是新型网络攻击行为的分析 恶意代码和垃圾邮件防范:新增垃圾邮件防护 安全审计:新增对远程访问的用户行为、访问互联网的用户行为等单独进行行为
资源控制
7
数据完整性
2
数据安全及 备份恢复
数据保密性
2
备份和恢复
4
安全计算环境
控制点
要求项
身份鉴别
4
访问控制
7
安全审计
4
入侵防范
6
恶意代码防范
1
可信验证
1数据Biblioteka 整性2数据保密性2
数据备份恢复
3
剩余信息保护
2
个人信息保护
2
合计
34
变化列举
身份鉴别:加强用户身份鉴别,采用两种或两种以上鉴别方式,且其中 一种鉴别技术至少应使用密码技术来实现
安全审计 数据完整性 个人信息保护
入侵防范 数据保密性
安全区域边界
边界防护
访问控制
恶意代码和垃圾邮件防范
入侵防范 安全审计
可信验证
安全通信网络 网络架构
通信传输
可信验证
安全物理环境
物理位置选择 防雷击
温湿度控制
物理访问控制 防火
电力供应
防盗窃和防破坏
防水和防潮
防静电
电磁防护
通用要求-安全管理要求的变化
信息安全保障纲领 性文件,明确指出 “实行信息安全等 级保护“主要任务
进一步明确了信息 安全等级保护制度 的职责分工和工作 的要求等基本内容
明确了信息安全等 级保护的五个动作, 为开展等级保护工 作提供了规范保障
等级保护新标准(2.0)介绍PPT
等级保护2.0标准体系
等保1.0 等保2.0
GB 17859-1999 《计算机信息系统安全保护等
级划分准则》
《《《《《《
信 息 系 统 安 全 等 级 保 护 定 级 指 南 》
信 息 系 统 安 全 等 级 保 护 基 本 要 求 》
信 息 系 统 安 全 等 级 保 护 实 施 指 南 》
信 息 系 统 等 级 保 护 安 全 设 计 技 术 要 求
等级保护新标准(2.0)介绍
1
等级保护发展历程与展望
2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
等级保护发展历程与展望
等保1.0 等保2.0
时代
工作
展望
19942003 政策环境 2004- 营造 2006 工作开展 准备 20072010 工作正式 2010- 启动 2016 工作规模 推进
信 息 系 统 安 全 等 级 保 护 测 评 要 求 》
信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南
》
》
等级保护2.0标准体系
等保1.0 等保2.0
正式更名 为网络安 全等级保 护标准;
横向扩展 了对云计 算、移动 互联网、 物联网、 工业控制 系统的安 全要求;
纵向扩展 了对等保 测评机构 的规范管 理。
等级保护发展历程与展望
等保1.0 等保2.0
时代
工作
展望
等级保护2.0时代,将根据信息技术发展应用和网络安全态
势,不断丰富制度内涵、拓展保护范围、完善监管措施,逐步
健全网络安全等级保护制度政策、标准和支撑体系。
等级保护上升为法律
等保2.0vs1.0解读PPT参考幻灯片
a) 应在机房供电线路上配置稳压器和过电压防护设备;
a) 应在机房供电线路上配置稳压器和过电压防护设备;
b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常
4 运行要求 c) 应设置冗余或并行的电力电缆线路为计算机系统供电;
3
b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正 常运行要求;
b) 应删除多余或无效的访问控制规则,优化访问控制列表,
并保证访问控制规则数量最小化;
c) 应对源地址、目的地址、源端口、目的端口和协议等进行
检查,以允许/拒绝数据包进出;
8
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能 力,控制粒度为端口级;
4
c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、
d) 应建立备用供电系统。
c) 应设置冗余或并行的电力电缆线路为计算机系统供电;
a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰; 3 b) 电源线和通信线缆应隔离铺设,避免互相干扰
c) 应对关键设备和磁介质实施电磁屏蔽。
a 电源线和通信线缆应隔离铺设,避免互相干扰; 2
b) 应对关键设备实施电磁屏蔽。
a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
6 防水和防潮
4 c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
新版要 求项数
标粗内容为三级和二级的变化;标红为新标准主要变化
重要网段与其他网段之间采取可靠的技术隔离手段;
g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证
等保2总结.0标准介绍总结.ppt
介质管理
设备维护管理 漏洞和风险 管理 网络和系统 安全管理
恶意代码防范 管理
配置管理
密码管理
变更管理 备份与恢复
管理 安全事件处置 应急预案管理 优外选包文运档维管理 9
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求
7 大数据安全扩展要求
优选文档
7
GB/T 22239.1等级保护安全通用要求
技术要求
安全物理 环境
物理位置选择
物理访问控制 防盗窃和防
破坏 防雷击
防火 防水和防潮
防静电 温湿度控制
电力供应 电磁防护
安全通信 网络
网络架构 通信传输 可信验证
安全区域 边界
边界防护
访问控制
入侵防范 恶意代码和垃 圾邮件防范
安全审计
可信验证
安全管理中心 集中管控
管理要求
安全建设管理 云服务商选择
供应链管理
安全运维 管理
云计算环境 管理
优选文档
12
等保定级对象(以云计算中心为例)
系统定 级对象
云上系 统安全 由客户
负责
平台定 级对象
云平台 安全由 云服务 商负责
云服务方和云租户对计算资源拥有不同的控制范围,控
制范围则决定了安全责任的边界。
优选文档
10
GB/T 22239.2云计算安全扩展要求细则
安全物理 环境
基础设施位置
技术要求
安全通信 网络
网络架构
安全区域 边界
访问控制
入侵防范
安全审计
安全计算 环境
身份鉴别
设备维护管理 漏洞和风险 管理 网络和系统 安全管理
恶意代码防范 管理
配置管理
密码管理
变更管理 备份与恢复
管理 安全事件处置 应急预案管理 优外选包文运档维管理 9
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求
7 大数据安全扩展要求
优选文档
7
GB/T 22239.1等级保护安全通用要求
技术要求
安全物理 环境
物理位置选择
物理访问控制 防盗窃和防
破坏 防雷击
防火 防水和防潮
防静电 温湿度控制
电力供应 电磁防护
安全通信 网络
网络架构 通信传输 可信验证
安全区域 边界
边界防护
访问控制
入侵防范 恶意代码和垃 圾邮件防范
安全审计
可信验证
安全管理中心 集中管控
管理要求
安全建设管理 云服务商选择
供应链管理
安全运维 管理
云计算环境 管理
优选文档
12
等保定级对象(以云计算中心为例)
系统定 级对象
云上系 统安全 由客户
负责
平台定 级对象
云平台 安全由 云服务 商负责
云服务方和云租户对计算资源拥有不同的控制范围,控
制范围则决定了安全责任的边界。
优选文档
10
GB/T 22239.2云计算安全扩展要求细则
安全物理 环境
基础设施位置
技术要求
安全通信 网络
网络架构
安全区域 边界
访问控制
入侵防范
安全审计
安全计算 环境
身份鉴别
等保2.0政策规范解读(63页 PPT )
c) 应能够对内部用户非授权联到外部网络的行为进行限制或检 查;
d) 应限制无线网络的使用,确保无线网络通过受控的边界防护设备 接入内部网络。
入侵防范
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行 为; (新增)
设计要求
测评要求
通用要求
云计算
物联网
移动互联
工业控制
7
。 share
等保2.0标准解读
勇 share
等级保护1.0和2.0对比
旧标准(等级保护1.0)
技术要求
物理安全 网络安全 主机安全 应用安全
管理要求
数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
9
新标准(等级保护2.0)
无 入侵防范
无
a) 应采用校验码技术或密码技术保证通信过程中数据的完整性;
通信传输 b) 应采用密码技术保证通信过程中敏感信息字段或整个报文的保密 性。
a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接 口进行通信;
边界防护
b) 应能够对非授权设备私自联到内部网络的行为进行限制或检 查;
3
4
6 防水和防潮
3
2
7 防静电
2
1
8 温湿度控制
1
4
9 电力供应
3
3
10 电磁防护
2
。 share
物理位置的选择
原控制项
新控制项
b)机房场地应避免设在建筑物的高层或 地下室,以及用水设备的下层或隔壁。 物理位置的选择
b)机房场地应避免设在建筑物的顶层或地下室, 否则应加强防水和防潮措施
防静电
无
d) 应限制无线网络的使用,确保无线网络通过受控的边界防护设备 接入内部网络。
入侵防范
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行 为; (新增)
设计要求
测评要求
通用要求
云计算
物联网
移动互联
工业控制
7
。 share
等保2.0标准解读
勇 share
等级保护1.0和2.0对比
旧标准(等级保护1.0)
技术要求
物理安全 网络安全 主机安全 应用安全
管理要求
数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
9
新标准(等级保护2.0)
无 入侵防范
无
a) 应采用校验码技术或密码技术保证通信过程中数据的完整性;
通信传输 b) 应采用密码技术保证通信过程中敏感信息字段或整个报文的保密 性。
a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接 口进行通信;
边界防护
b) 应能够对非授权设备私自联到内部网络的行为进行限制或检 查;
3
4
6 防水和防潮
3
2
7 防静电
2
1
8 温湿度控制
1
4
9 电力供应
3
3
10 电磁防护
2
。 share
物理位置的选择
原控制项
新控制项
b)机房场地应避免设在建筑物的高层或 地下室,以及用水设备的下层或隔壁。 物理位置的选择
b)机房场地应避免设在建筑物的顶层或地下室, 否则应加强防水和防潮措施
防静电
无
等保2.0标准介绍ppt课件
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
选择
安全运维 管理
环境管理
资产管理
介质管理
设备维护管理 漏洞和风险 管理 网络和系统 安全管理
恶意代码防范 管理
配置管理
密码管理
变更管理 备份与恢复
管理 安全事件处置 应急预案管理
外包运维管理
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
新增领域标准
云计算安全
物联网安全
工业控制安全
大数据安全
移动互联安全
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
数据完整性 数据保密性 数据备份恢复 剩余信息保护 个人信息保护
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
GB/T 22239.1等级保护安全通用要求
安全管理中心 系统管理 审计管理 安全管理 集中管控
等级保护新标准(2.0)介绍 ppt课件
等级保护体系将进行重大升级20时代主管部门将继续制定出台一系列政策法规和技术标准形成运转顺畅的工作机制在现有体系基础上建立完善等级保护政策体系标准体系测评体系技术体系服务体系关键技术研究体系教育训练体系等级保护发展历程与展望等级保护20标准体系等级保护20基本要求解析等级保护20扩展要求解析等保10等保10等保20等保20gb178591999计算机信息系统安全保护等级划分准则等保10等保10等保20等保20正式更名为网络安全等级保护标准
等保1.0 等保2.0
正式更名为网 络安全等级保 护标准;
横向扩展了对 云计算、移动 互联网、物联 网、工业控制 系统的安全要 求; 纵向扩展了对 等保测评机构 的规范管理。
( 注 : 基 于 2017 年等级保护标准系 列征求意见稿) 未变化 修订内容 新增
ppt课件
8
等级保护2.0标准体系
等级保护新标准(2.0)介绍
1
2 3
等级保护发展历程与展望
等级保护2.0标准体系
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
ppt课件
2
等级保护发展历程与展望
等保1.0时代 等保2.0工作
• 1994-2003 政策环境营造 •
展望
1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实 行安全等级保护。 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
等级保护体系将进行重大升级
2.0时代,主管部门将继续制定出台一系列政策法规和 技术标准,形成运转顺畅的工作机制,在现有体系基础上 ,建立完善等级保护政策体系、标准体系、测评体系、技 术体系、服务体系、关键技术研究体系、教育训练体系等 。
等保1.0 等保2.0
正式更名为网 络安全等级保 护标准;
横向扩展了对 云计算、移动 互联网、物联 网、工业控制 系统的安全要 求; 纵向扩展了对 等保测评机构 的规范管理。
( 注 : 基 于 2017 年等级保护标准系 列征求意见稿) 未变化 修订内容 新增
ppt课件
8
等级保护2.0标准体系
等级保护新标准(2.0)介绍
1
2 3
等级保护发展历程与展望
等级保护2.0标准体系
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
ppt课件
2
等级保护发展历程与展望
等保1.0时代 等保2.0工作
• 1994-2003 政策环境营造 •
展望
1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实 行安全等级保护。 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
等级保护体系将进行重大升级
2.0时代,主管部门将继续制定出台一系列政策法规和 技术标准,形成运转顺畅的工作机制,在现有体系基础上 ,建立完善等级保护政策体系、标准体系、测评体系、技 术体系、服务体系、关键技术研究体系、教育训练体系等 。
等级保护2.0讲解PPT【优质PPT】
1
8 温湿度控制
1
9 电力供应
4
9 电力供应
3
10 电磁防护
3
10 电磁防护
2
原控制项
新控制项
b) 机房场地应避免设在建筑物的高层
物理位置的选择
或地下室,以及用水设备的下层或隔 壁。
物理位置的 选择
b) 机房场地应避免设在建筑物的顶层或 地下室,否则应加强防水和防潮措施
防静电
无
防静电
b) 应采取措施防止静电的产生,例如采 用静电消除器、佩戴防静电手环等。
技术 要求
基本要求子类
物理安全 网络安全
信息系统安全等级保护 级别
等保二级 等保三级
19
32
18
33
主机安全
19
32
应用安全
19
31
数据安全
4
8
管理 安全管理制度
7
11
要求
安全管理机构
9
20
人员安全管理
11
16
系统建设管理
28
45
系统运维管理
41
62
合计
/
175
290
基本 要求 大类 2.0
技术 要求
等级保护2.0介绍
什么是等级保护?
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的 专有信息以及公开信息和存储、传输、处理这些信息的信息系统分 等级实行安全保护,对信息系统中使用的信息安全产品实行按等级 管理,对信息系统中发生的信息安全事件分等级响应、处置。
等级保护的划分
第一级 信息系统受到破坏后,会对公民、法人和其他组织 的合法权益造成损害,但不损害国家安全、社会秩序和公 共利益
网络安全等级保护2.0解读 PPT精品课件
➢ 等保2.0 :《网络安全等级保护条例》第十八条规定,第 二级以上网络的运营者应当在安全保护等级确认后10个工 作日内,到县级以上公安机关备案 。
安全通信网络
安全建设
安全区域边界
安全计算环境
安全管理中心
测评周期的变化
➢ 等保1.0 :三级系统每年至少进行一次等级测评, 四级系统每半年至少进行一次等级测评。
网络安全等级保护2.0解读
网络安全等级保护相关法律法规
等级保护2.0措施进一步完善
➢ 等级保护2.0沿等用级了等保保护1.02的.0五措个规施定进动作一: 定步级完、备善案、
建设整改、等级测评和监督检查(《信息安全等级保护 管理办法》 公通字[2007]43号)规定的等级保护工作)。 ➢ 增加了风险评估、安全监测、通报预警、案(事)件调 查、数据防护、灾难备份、应急处置、自主可控、供应 链安全、效果评价、综合考核等内容,充分体现了变被 动防护为主动防护,变静态防护为动态防护,变单点防 护为整体防控的核心思想。
等级保护2.0定级流程
定级标准及对象的变化
➢ 1.标准的变化
✓ 1.0 《信息系统安全等级保护等级指南》(GB/T 22240-2008) ✓ 2.0 《网络安全等级保护等级指南》(GA/T 1389-2017)
➢ 2.等级保护对象的演变
1.0定级对象 ✓ 信息系统
2.0等级保护对象 ✓ 基础信息网络 ✓ 信息系统(如工业控制系统、云计算平
等级保护2.0工作流程
定级流程的变化
➢ 等保1.0 :自主定级 ➢ 等保2.0:《网络安全等级保护条例》
✓ 网络定级应按照网络运营者拟定网络等级、专家评审、主管部分核 准、公安机关审核的流程进行。
✓ 对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业 主管部门的,应当在评审后报请主管部门核准。
安全通信网络
安全建设
安全区域边界
安全计算环境
安全管理中心
测评周期的变化
➢ 等保1.0 :三级系统每年至少进行一次等级测评, 四级系统每半年至少进行一次等级测评。
网络安全等级保护2.0解读
网络安全等级保护相关法律法规
等级保护2.0措施进一步完善
➢ 等级保护2.0沿等用级了等保保护1.02的.0五措个规施定进动作一: 定步级完、备善案、
建设整改、等级测评和监督检查(《信息安全等级保护 管理办法》 公通字[2007]43号)规定的等级保护工作)。 ➢ 增加了风险评估、安全监测、通报预警、案(事)件调 查、数据防护、灾难备份、应急处置、自主可控、供应 链安全、效果评价、综合考核等内容,充分体现了变被 动防护为主动防护,变静态防护为动态防护,变单点防 护为整体防控的核心思想。
等级保护2.0定级流程
定级标准及对象的变化
➢ 1.标准的变化
✓ 1.0 《信息系统安全等级保护等级指南》(GB/T 22240-2008) ✓ 2.0 《网络安全等级保护等级指南》(GA/T 1389-2017)
➢ 2.等级保护对象的演变
1.0定级对象 ✓ 信息系统
2.0等级保护对象 ✓ 基础信息网络 ✓ 信息系统(如工业控制系统、云计算平
等级保护2.0工作流程
定级流程的变化
➢ 等保1.0 :自主定级 ➢ 等保2.0:《网络安全等级保护条例》
✓ 网络定级应按照网络运营者拟定网络等级、专家评审、主管部分核 准、公安机关审核的流程进行。
✓ 对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业 主管部门的,应当在评审后报请主管部门核准。
网络安全等级保护2.0解读 PPT精品课件
网络安全等级保护2.0高风险指引
序号 层面
1
2 3
4
安全
计算
环境
5
6 7
8
控制点
控制项
对应案例
身份鉴别
a)应对登录的用户进行身份标识和鉴别, 设备存在弱口令、应用系统
身份标识具有唯一性,身份鉴别信息具有 口令策略缺失、应用系统存
复杂度要求并定期更换;
在弱口令
b)应具有登录失败处理功能,应配置并启 用结束会话、限制非法登录次数和当登录 连接超时自动退出等相关措施;
设备未开启安全审计措施、 应用系统无安全审计措施
适用范围
所有系统 3级及以上系统
所有系统 3级及以上系统
所有系统 所有系统 所有系统 3级及以上系统
等保2.0测评结论谢谢!ຫໍສະໝຸດ 应用系统无登录失败 处理机制
c)当进行远程管理时,应采取必要措施防 止鉴别信息在网络传输过程中被窃
设备鉴别信息无防窃取措施
d)应采用口令、密码技术、生物技术等两 种或两种以上组合的鉴别技术对用户进行 身份鉴别,且其中一种鉴别技术至少应使 用密码技术来实现。
设备未实现双因素认证、互 联网可访问系统未实现双因
安全通用要求和安全扩展要求
等级保护2.0为1+N模式,1为通用要求,适用各个行业和各个领域,N指 具体的一个领域内的扩展要求,目前N为5,分别是云计算、移动互联、物联 网、工业控制、大数据。未来随着技术的发展,N会不断扩展。
分类结构的变化
安全通用要求要求项变化
充分强化可信计算技术使用的要求
➢ 增加:从一级到四级均在“安全通信网络”、“安全区域边界” 和“安全计算环境”中增加了“可信验证”控制点(和GB/T 25070设计要求保持一致)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
19
32
18
33
主机安全
19
32
应用安全
19
31
数据安全
4
8
管理 安全管理制度
7
11
要求
安全管理机构
9
20
人员安全管理
11
16
系统建设管理
28
45
系统运维管理
41
62
合计
/
175
290
基本 要求 大类 2.0
技术 要求
基本要求子类
物理和环境安全 网络和通信安全
信息系统安全等级保 护级别
等保二级 等保三级
d) 应确保审计记录的留存时间符合法律法规要求;
安全审计
(新增) e) 应能对远程访问的用户行为、访问互联网的用户
行为等单独进行行为审计和数据分析。 (新增)
a) 应划分出特定的管理区域,对分布在网络中的安
精品课件
原控制点 要求项数
新控制点 要求项数
1结构安全
7
1 网络架构
5
2访问控制
8
2通信传输
2
3安全审计
4
3边界防护
4
网络安全
4边界完整性 检查
5入侵防范
2
4 访问控制
5
网络和通信安全
2
5 入侵防范
4
6 恶意代码防 范
2
7 网络设备防 护
8
6 恶意代码 防范
2
7 安全审计
5
8 集中管控
6
精品课件
原控制项
等保二级 等保三级
10
10
7
8
设备和计算安全
6
6
应用和数据安全
9
10
管理 安全策略和管理
4
4
要求
制度
安全管理机构和
9
9
人员
安全建设管理
10
10
安全运维管理
14
14
合计
/
69
71
精品课件
要求项对比
精品课件
基本 要求 大类 1.0
技术 要求
基本要求子类
物理安全 网络安全
信息系统安全等级保护 级别
等保二级 等保三级
有效阻断;
b) 应能够对非授权设备私自联到内部网络的行为进行
边界完整 性检查 b) 应能够对内部网络用户私自联到外部网络
限制或检查; 边界防护
c) 应能够对内部用户非授权联到外部网络的行为进行 限制或检查;
的行为进行检查,准确定出位置,并对其进
行有效阻断。
d) 应限制无线网络的使用,确保无线网络通过受控的
第一级 信息系统受到破坏后,会对公民、法人和其他组织 的合法权益造成损害,但不损害国家安全、社会秩序和公 共利益
第二级 信息系统受到破坏后,会对公民、法人和其他组织 的合法权益产生严重损害,或者对社会秩序和公共利益造 成损害,但不损害国家安全
第三级 信息系统受到破坏后,会对社会秩序和公共利益造 成严重损害,或者对国家安全造成损害
1
8 温湿度控制
1
9 电力供应
4
9 电力供应
3
10 电磁防护
3
10 电磁防护
2
精品课件
原控制项
新控制项
b) 机房场地应避免设在建筑物的高层
物理位置的选择
或地下室,以及用水设备的下层或隔 壁。
物理位置的 选择
b) 机房场地应避免设在建筑物的顶层或 地下室,否则应加强防水和防潮措施
防静电
无
防静电
b) 应采取措施防止静电的产生,例如采 用静电消除器、佩戴防静电手环等。(新 增)
边界防护设备接入内部网络。
入侵防范
无
b) 应在关键网络节点处检测、防止或限制从内部发起
的网络攻击行为; 入侵防范
(新增)
无
c) 应采取技术措施对网络行为进行分析,实现对网络 攻击特别是新型网络攻击行为的分析; (新增)
精品课件
原控制项 恶意代码防范 无
安全审计
无
无
新控制项
恶意代码防范
b) 应在关键网络节点处对垃圾邮件进行检测和防护, 并维护垃圾邮件防护机制的升级和更新。 (新增)
15
22
16
33
设备和计算安全
17
26
应用和数据安全
22
34
管理 安全策略和管理
6
7
要求
制度
安全管理机构和
16
26
人员
安全建设管理
25
34
安全运维管理
30
48
合计
/
147
230
精品课件
总体上看,等保2.0通用要求在技术部分的基础上进行了一 些调整,但控制点要求上并没有明显增加,通过合并整合 后相对旧标准略有缩减。
新控制项
a) 应采用校验码技术或密码技术保证通信过程中数据
的完整性;
无
通信传输
b) 应采用密码技术保证通信过程中敏感信息字段或整
个报文的保密性。
a) 应能够对非授权设备私自联到内部网络的
a) 应保证跨越边界的访问和数据流通过边界防护设备 提供的受控接口进行通信;
行为进行检查,准确定出位置,并对其进行
物理安全 网络安全
信息系统安全等级保护 级别
等保二级 等保三级
10
10
6
7
主机安全
6
7
应用安全
7
9
数据安全
3
3
管理 安全管理制度
3
3
要求
安全管理机构
5
5
人员安全管理
5
5
系统建设管理
9
11
系统运维管理
12
13
合计
/
66
73
基本 要求 大类 2.0
技术 要求
基本要求子类
物理和环境安全 网络和通信安全
信息系统安全等级保 护级别
等级保护2.0介绍
精品课件
什么是等级保护?
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的 专有信息以及公开信息和存储、传输、处理这些信息的信息系统分 等级实行安全保护,对信息系统中使用的信息安全产品实行按等级 管理,对信息系统中发生的信息安全事件分等级响应、处置。
精品课件
等级保护的划分
等保2.0将原来的标准《信息安全技术 信息系统安全等级 保护基本要求》改为《信息安全技术 网络安全等级保护基 本要求》,与《中华人民共和国网络安全法》中的相关法 律条文保持一致
精品课件
标准内容的变化
精品课件
控制结构的变化
精品课件
等级保护1.0 旧标准
物理安全
网络安全
技术要求
主机安全
应用安全
数据安全及备份恢复
精品课件
原控制点 要求项数
新控制点 要求项数
1 物理位置的 选择
2
2 物理访问控 制
4
3 防盗窃和防 破坏
6
1 物理位置的 选择
2
2 物理访问控 制
1
3 防盗窃和防 破坏
3
4 防雷击
3
4 防雷击
2
物理安全 5 防火
物理和环境安
3
全
5 防火
3
6 防水和防潮
4
6 防水和防潮
3
7 防静电
2
7 防静电
2
8 温湿度控制
第四级 信息系统受到破坏后,会对社会秩序和公共利益造
成特别严重损害,或者对国家安全造成严重损害
精品课件
等级保护工作主要的流程
一是定级 二等级测评 五是信息安全监管部门定期开展监督检查
精品课件
等级保护的对象演变
精品课件
标准名称的变化
安全管理制度
安全管理机构
管理要求
人员安全管理
系统建设管理
系统运维管理
结构图
等级保护2.0
新标准 物理和环境安全
网络和通信安全 设备和计算安全
技术要求
应用和数据安全
安全策略和管理制度
安全管理机构和人员 安全建设管理
管理要求
安全运维管理
精品课件
控制点对比
精品课件
基本 要求 大类 1.0
技术 要求
基本要求子类