2020年信息安全技术 等级保护2.0解读培训 PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
并形成测试验收报告;
c) 应对系统测试验收的控制方法和人员行为准则进行书
面规定;
d) 应指定或授权专门的部门负责系统测试验收的管理,
并按照管理规定的要求完成系统测试验收工作;
e) 应组织相关部门和相关人员对系统测试验收报告进行
审定,并签字确认。
原控制项
漏洞和风险管理
新控制项
a) 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏 洞和隐患及时进行修补或评估可能的影响后进行修补;
d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能 力,控制粒度为端口级;
e) 应限制网络最大流量数及网络连接数;
e) 应在关键网络节点处对进出网络的信息内容进行过滤,实现对内容 的访问控制。
f) 重要网段应采取技术手段防止地址欺骗;
g) 应按用户和系统之间的允许访问规则,决定允许或拒绝 用户对受控系统进行资源访问,控制粒度为单个用户;
4.安全规划设计(锐捷安全服务部门可提供此服务)
全 管 理 机 构 和 人
安 全 建 设 管 理
安 全 运 维 管 理
度员
等保1.0
等保2.0
等保三级
控制点
73
控制点
71
控制项
290
控制项
231
• 控制点名称变更:4个 • 新增控制点:7个(通信传输、集中管控、个人信息保护、安全策略、漏洞和风险管理 、配置
管理、外包运维管理) • 删除控制点:5个 • 合并控制点:4个
络安全设备列表及销售许可证等)。 • 公安机关审核后颁发备案证明。
3.风险评估,差距分析(锐捷安全服务部门可提供此服务)
• 风险评估
① 资产评估 ② 威胁评估 ③ 脆弱性评估 ④ 安全措施评估 ⑤ 综合风险分析
• 差距分析
按照等级保护基本要求每一条进行对比分析,查看是否满足对应等级的要求。 ① 技术差距分析 ② 管理差距分析
b) 应定期开展安全测评,形成安全测评报告,采取措施应对 发现的安全问题。
等级保护2.0
等保实施流程
锐捷安全服务
将网络系统按照重要性 和遭受损坏后的危害性 分成五个安全保护等级
系统 定级
等级保护规定动作
根据信息系统安全等级, 按照国家政策、标准开
展安全建设整改
建设 整改
等级确定后,第二级(含)以 上信息系统到公安机关备案, 公安机关审核后颁发备案证明
访问控制
原控制项
新控制项
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默 a) 应在网络边界部署访问控制设备,启用访问控制功能;
认情况下除允许通信外受控接口拒绝所有通信;
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访 b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访
定级一般由客户自主定级,或遵守上级主管部门指导意见(如有),锐捷安全服务部门可提供定级咨询
常见客户定级参考: 三级医院的HIS、LIS、PACS等系统建议定为三级; 教育行业非985、211的学校,一般建议定为二级,教育厅、教育局的门户网站,要求定为三级 以上定级仅供参考
2.备案
• 到当地公安机关的网安大队或安支队进行备案(第二级(含)以上信息系统)。 • 需提供“定级报告、备案表”(如是三级系统还需要提供:拓扑图、组织结构图、系统安全方案、网
技术要求变化
数
据
物 理 安 全
网 络 安 全
主 机 安 全
应 用 安 全
安 全 及 备 份
恢
复
信息系统 基本要求
管理要求变化
物 网设应 理 络备用 和 和和和 环 通计数 境 信算据 安 安安安 全 全全全
安安人系系 全全员统统 管管安建运 理理全设维 制机管管管 度构理理理
安安
全 策 略 和 管 理 制
安全产品事业部 安全服务中心
等级保护2.0
等保实施流程
锐捷安全服务
等级保护相关标准在调整中,等保2.0新标准即将落地,除了传统信息系统的安全防护 外,新标准增加了云计算、移动互联、物联网、工业控制等新兴领域的安全要求。
信息系统安全等级保护
网络安全等级保护
安全保护等级定义的变化
受侵害的客体
公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全
一般损害 第一级 第二级 第三级
对客体的侵害程度 严重损害 第二级 第三级 第四级
受侵害的客体
公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全
一般损害 第一级 第二级 第三级
对客体的侵害程度 严重损害 第二级 第三级 第四级
特别严重损害 第二级 第四级 第五级
特别严重损害 第三级 第四级 第五级
h) 应限制具有拨号访问权限的用户数量。
原控制项
集中管控
新控制项
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全 组件进行管控;
b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或 安全组件进行管理;
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进 行集中监测;
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析; e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中 管理; f) 应能对网络中发生的各类安全事件进行识别、报警和分析。
问的能力,控制粒度为端口级;
wenku.baidu.com
问控制规则数量最小化;
c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允
FTP、TELNET、SMTP、POP3等协议命令级的控制;
许/拒绝数据包进出;
d) 应在会话处于非活跃一定时间或会话结束后终止网络 连接;
备案
公安机关定期开展 监督、检查、指导
监督 检查
等级 测评
备案单位选择符合国家 规定条件的测评机构开 展等级测评
系统定级 等级测评 安全运维
备案 安全整改
风险评估 差距分析
安全规划设计
1.系统定级
• 资产调查 • 信息系统分析 • 等级确定(将网络系统按照重要性和遭受损坏后的危害性分成五个安全保护等级) • 编制定级报告 • 专家评审(三级及以上系统需要)
集测试验收
原控制项
新控制项
a) 应委托公正的第三方测试单位对系统进行安全性测试,a) 在制订测试验收方案,并依据测试验收方案实施测试验
并出具安全性测试报告;
收,形成测试收报告;
b) 在测试验收前应根据设计方案或合同要求等制订测试
验收方案,在测试验收过程中应详细记录测试验收结果, b) 应进行上线前的安全性测试,并出具安全测试报告。