等保2.0解读

四级
33 32 36 36 11 14 20 18 48 70 318 28
方面
控制类
物理和环境安全 网络和通信安全
技术要求 设备和计算安全
应用和数据安全
二级 三级 四级
16
21
24
14
33
34
17
28
28
21
35
29
安全策略和管理制度 5
7
8
安全管理机构和人员
管理要求
16
24
27
合计 级差
系统安全建设管理
1
等保2.0核心变化介绍
等级保护2.0时代
2016年10月10日，第五届等级保护大会在昆明召开，业界一致认为，本次大会的召开，标 志着等级保护进入2.0时代。 ＝＝＝标准历程＝＝＝＝＝＝＝
2014年初，公安部牵头组织信息技术新领域等级保护标准申报工作。 2015年初，标委会批准立项，建议形成基本要求和测评要求的系列标准。 2015年中，标委会批准设计要求修订立项，形成设计要求系列标准。 2017年初，草案经信安标委会投票通过，成为公开征求意见稿。4月推进为送审稿
《网络安全法》部分执法案例
信息来源：“公安三所网络安全法律研究中心”微信公众号
等级保护工作实施流程
1.确定信息系统的安全防护等级， 形成定级报告。
定级
5.向当地公安机关网监部门提交测评 报告，配合完成对信息安全等级保护 实施情况的检查。
监督检查
备案
2.持定级报告和备案表到当地 公安机关网监部门进行备案。
等保1.0 & 等保2.0标准对比
等级保护发展历程简介
1994年-国务院147号令
第九条： 计算机信息系统实行安全 等级保护。
2003年-中办发27号文
信息安全保障纲领性文件。 第二条： 实行信息安全等级保护。
1999年-GB 17859
强制性标准： 规定了我国计算机信息系统 安全保护能力的五个等级。
等级保护2.0
围绕关键信息基础设施保护，信息安全等级保护制度进入新的历史阶段！
等级保护2.0时代 • 2.0时代,等级保护空前重要（我们要顺势而为）
2.0时代,等级保护制度上升为法律 2.0时代,等级保护对象大扩展 2.0时代,等级保护内容大不同 2.0时代,等级保护体系大升级
定级对象 信息系统
关键信息基础设施的安全保护等级 不低于第三级
违反《网络安全法》需承担相关法律责任
第五十九条
网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令 改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款；对直接 负责的主管人员处五千元以上五万元以下罚款。 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的 网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果 的，处十万元以上一百万元以下罚款；对直接负责的主管人员处一万元以上十万元以下罚款。
2019/7/2
管理策略的变化
围绕关键信息基础设施保护特点， 信息安全等级保护的管理策略也将发生相应变化。
自主定级、自主保护、监督指导 明确等级、增强保护、常态监督
保护方法的变化
从统一基线-到针对性保护 从基本安全-到相对安全
通用要求中的基本指标 行业标准的增加、增强指标 新技术、新应用的扩展指标 定级对象的特殊安全需求指标
具体要求 项34
具体要求 项28
具体要求 项29
具体要求 项8
具体要求 项27
具体要求 项35
具体要求 项50
方面
控制类
二级
物理安全
10
网络安全
6
技术要求 主机安全
6
应用安全
7
数据安全及备份恢复
3
安全管理制度
安全管理机构
管理要求 人员安全管理
系统建设管理
合计 级差
系统运维管理 / /
3 5 5 9 12 66 /
25
34
35
系统安全运维管理
33
49
50
/
147 231
235
/
/
84
4
2
等保2.0核心标准介绍
•等保2.0标准解读
2019/7/2
要求项 物理位置的选择
物理访问控制
防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 温湿度控制
电力供应
电磁防护
变化内容解读 降低要求,以前明确要求不得在顶层戒者地下室,现在是可以,只要有加强措施即可。 降低要求,原三级丏人职守和电子门禁等其他很多内容,新要求都取消了值要求配 置电子门禁即可。 取消要求:不再要求介质安全,不再要求光电报警、监控报警等
技术要求
网络安全等级保护基本要求 （1）安全通用要求
管理要求
类
物理和环 境安全
网络和通 信
ห้องสมุดไป่ตู้
设备和计 算安全
应用和数 据安全
安全策略 和管理制
度
安全管理 机构和人
员
安全建设 管理
安全运维 管理
控制点
控制点 10
控制点 8
控制点 6
控制点 10
控制点 4
控制点 9
控制点 10
控制点 14
项
具体要求 项24
机构类
管理类
管理类
管理类
控制点
控制点 10
控制点 7
控制点 9
控制点 11
控制点 3
项
具体要求 具体要求 具体要求 具体要求 具体要求
项33
项32
项36
项36
项11
控制点 3
控制点 5
控制点 5
控制点 11
控制点 13
具体要求 具体要求 具体要求 具体要求 具体要求
项14
项20
项18
项48
项70
保护对象 方面
核心变化：重点保障关键信息基础设施
等级保护1.0
网站 信息系统 传统IT环境
等级保护2.0
关键信息基础设施
公共通信和信息服务、能源、交通、 水利、金融、公共服务、电子政务 等重要行业和领域
云计算、物联网、移动互联、工控、 大数据等新IT环境
面对关键信息基础设施，等级保护《基本要求》需要创新发展： 适应新型的系统形态和网络架构 面对新技术新应用的扩展 使基本指标具有动态、可扩展性 从合规测评到CIIP安全状态评价
2019/7/2
要求项
网络结构---网络架构
新增通信传输要求项 边界完整性 新增边界防护要求项
变化内容解读
增强要求:原要求保障关键设备业务高峰期冗余,变化为所有设备的业 务高峰期冗余要求。 取消要求:不再要求应绘制与当前运行情况相符的网络拓扑结构图提 出避免讲重要网络区域部属在网络边界处并丐没有防护。 取消要求: 不再要求按照对业务服务的重要次序来指定带宽分配优先 级别,保 证在网络发生拥堵的时候优先保护重要主机。
取消要求,取消建筑物的避雷要求,这方面要求对于IT部门往往不好实现。 表述方式调整,更加精准可实施,基本内容不变。 取消要求,取消水管安装不得穿过机房屋顶和活劢地板下的要求。 新增要求,提出需要静电消除器、防静电手环等。 无变化 增强要求:原备用电力供应(UPS)只要求支持关键设备,现在要求支持 所有设备。 取消要求:取消备用供电系统(发电机)的要求 取消要求:取消电磁屏蔽要求,电磁屏蔽对三级来讲要求过高。
一般损害
严重损害
特别严重损害
第一级
第二级
第二级 第三级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
信息系统 方面
技术要求
信息安 全等级 保护基 本要求
管理要求
类
物理安全 类
网络安全 类
主机安全 类
应用安全 类
数据安全 及备份恢
复类
安全管理 安全管理 人员安全 系统建设 系统运维
制度类
三级
10 7 7 9 3
3 5 5 11 13 73 7
四级
10 7 9 11 3
3 5 5 11 13 77 4
方面
控制类
物理和环境安全 网络和通信安全
技术要求 设备和计算安全
应用和数据安全
二级 三级 四级
10
10
10
6
8
8
6
6
6
9
10
10
安全策略和管理制度 3
4
4
安全管理机构和人员
管理要求
9
9
9
移动互联应用、物联网应用和工业控制系统依据业务系统重要 性确定等级。
2019/7/2
等级保护1.0
定级 备案 建设整改 等级测评 监督检查
等级保护2.0
五个规定动作 风险评估 安全检测 通报预警 案事件调查 数据防护 灾难备份 应急处置
……
2019/7/2
与时俱进的等级保护工作
运营使用单位/厂商
已发布
• 信息安全技术 网络安全等级保护定级指南 GA/T 1389-2017 • 信息安全技术 网络安全等级保护基本要求 第2部分：云计算安全扩展要求 GA/T 1390.2-
2017
• 信息安全技术 网络安全等级保护基本要求 第3部分：移动互联安全扩展要求 GA/T
（公安行标） 1390.3-2017 • 信息安全技术 网络安全等级保护基本要求 第5部分：工业控制系统安全扩展要求 GA/T
新增要求:应采用校验码技术保证通信过程中数据的完整性。应对通 信过程中的敏感信息字段戒整个报文进行加密。
该要求项取消
新增要求:应保证跨越边界的访问和数据流通过边界防护设备提供的 受控接口 进行通信。 新增要求:对接入和外联设备进行限制戒检查 新增要求:对无线网络提出边界防护要求
2019/7/2
要求项 入侵防范
（二）采取防范计算机病毒和网络攻击、网络侵入等 危害网络安全行为的技术措施；
（三）采取监测、记录网络运行状态、网络安全事件 的技术措施，并按照规定留存相关的网络日志不少于 六个月；
（四）采取数据分类、重要数据备份和加密等措施； （五）法律、行政法规规定的其他义务。
第三十一条
国家对公共通信和信息服务、能源、交通、水利、金 融、公共服务、电子政务等重要行业和领域，以及其 他一旦遭到破坏、丧失功能或者数据泄露，可能严重 危害国家安全、国计民生、公共利益的关键信息基础 设施，在网络安全等级保护制度的基础上，实行重点 保护。关键信息基础设施的具体范围和安全保护办法 由国务院制定。
系统安全建设管理
9
10
10
系统安全运维管理
14
14
14
合计
/
66
71
71
级差
/
/
5
/
方面
控制类
二级
物理安全
19
网络安全
18
技术要求 主机安全
19
应用安全
19
数据安全及备份恢复
4
安全管理制度
7
安全管理机构
9
管理要求 人员安全管理
11
系统建设管理
28
系统运维管理
42
合计
/
175
级差
/
/
三级
32 33 32 31 8 11 20 16 45 62 290 115
业务处理类对象 信息系统、工业控制系统、物联网系统等
基础服务类对象 网络、云服务平台、大数据分析平台等
数据资源类对象
2019/7/2
《定级指南》修订
定级对象的扩展 定级方法的变化
定级方法的变化
云服务方的云平台与云租户的应用系统应分别定级，平台等级 不低于所承载的应用系统的安全保护等级。
2017年-《网络安全法》
第二十一条： 国家实行网络安全等级保护 制度。
等保与《网络安全法》及应对思路
第二十一条
国家实行网络安全等级保护制度。网络运营者应当按 照网络安全等级保护制度的要求，履行下列安全保护 义务，保障网络免受干扰、破坏或者未经授权的访问， 防止网络数据泄露或者被窃取、篡改：
（一）制定内部安全管理制度和操作规程，确定网络 安全负责人，落实网络安全保护责任；
1390.5-2017
未发布 （国标）
•信息安全技术 网络安全等级保护基本要求（送审稿）GB/T 22239-20XX •信息安全技术 网络安全等级保护安全设计技术要求（送审稿）GB/T 25070-
20XX •信息安全技术 网络安全等级保护测评要求（送审稿）GB/T 28448-20XX •信息安全技术 网络安全等级保护实施指南（送审稿）GB/T 25058-20XX
安全审计 网络设备防护 恶意代码防范
新增资源控制要求项
变化内容解读 增强要求:以前只要求网络边界处进行入侵防范,现在改为关键节点处要进行 入侵防范。 新增要求:提出要检测进行从内到外的攻击行为。 新增要求:提出要针对未知威胁进行检测; 新增要求:提出要建立统一时钟,保证审计结果精准。 新增要求:提出对远程访问的用户行为、访问互联网的用户行为等单独进 行行为审计和数据分析。(数据中心必须有互联网审计AC) 该要求项取消 增强要求:原有的网络边界处进行恶意代码检测,变为关键节点处; 取消要求:病毒库异构要求取消 新增要求:要求在关键节点对垃圾邮件进行过滤;
测评机构
监管机构
定级备案
建设整改
等级测评
监督检查
定级备案
建设整改 信息共享 态势感知 应急演练
。。。
等级测评 按需定制 线上线下 攻防对抗
。。。
监督检查·
网络基础设施、信息系统、大数 信息系统 据、云计算、物联网、移动互联
、工控系统等
重
危
要
害
程
程
度
度
受侵害的客体 公司、法人和其他组织的合法利益
对相应客体的侵害程度
4.委托具备测评资质的测评机构对 信息系统进行等级测评，形成正式 的测评报告。
等级测评
建设整改
3.参照信息系统当前等级要 求和标准，对信息系统进行 整改加固。
信息来源：中国网络安全等级保护网 www.djbh.net
等保2.0来了，业界重新洗牌， 大家都在同一起跑线上！
等保2.0标准发布情况介绍