新版《网络安全等级保护定级指南》解读PPT课件
合集下载
网络安全法与等级保护ppt课件
对于违反《网络安全法》的处罚视情节严重,处罚措施分为: 1、责令改正,给予警告; 2、拒不改正或者导致危害网络安全等后果的,对企业处1-100万罚款,对直接负 责的主管人员和其他直接责任人员处1-10万罚款; 3、并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊 销营业执照。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
公司1-10万,主管5千-5万。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
根据《网络安全法》第六章-法律责任相关条款解释:本法律处罚力度空前严格,处 罚不仅涉及到企业,而且涉及到法人、管理人员、一般员工等多个层面;既有经济处罚, 也有行政处罚。
②法律责任:由有关主管部门责令改正,给予警告;拒不改正或 者导致危害网络安全等后果的,处10万元以上100万元以下罚款 ,对直接负责的主管人员处1万元以上10万元以下罚款。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
划分准则--GB 17859-1999
第一级为自主保护级,适用于一般的信息和信息系统,其受到破 坏后,会对公民、法人和其他组织的合法权益造成一定损害,但不损 害国家安全、社会秩序和公共利益。
第二级为指导保护级,信息系统受到破坏后,会对公民、法人 和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造 成损害,但不损害国家安全。
《网络安全法》自2017年6月1日正式实施,网络安全等级保护制度已经上升为 法律规定的强制义务,这是我国自1994年发布实施《中华人民共和国计算机信息 系统保护条例》将“等级保护”明确为我国计算机安全保护的根本制度以来,首 次将其写入法律。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
公司1-10万,主管5千-5万。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
根据《网络安全法》第六章-法律责任相关条款解释:本法律处罚力度空前严格,处 罚不仅涉及到企业,而且涉及到法人、管理人员、一般员工等多个层面;既有经济处罚, 也有行政处罚。
②法律责任:由有关主管部门责令改正,给予警告;拒不改正或 者导致危害网络安全等后果的,处10万元以上100万元以下罚款 ,对直接负责的主管人员处1万元以上10万元以下罚款。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
划分准则--GB 17859-1999
第一级为自主保护级,适用于一般的信息和信息系统,其受到破 坏后,会对公民、法人和其他组织的合法权益造成一定损害,但不损 害国家安全、社会秩序和公共利益。
第二级为指导保护级,信息系统受到破坏后,会对公民、法人 和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造 成损害,但不损害国家安全。
《网络安全法》自2017年6月1日正式实施,网络安全等级保护制度已经上升为 法律规定的强制义务,这是我国自1994年发布实施《中华人民共和国计算机信息 系统保护条例》将“等级保护”明确为我国计算机安全保护的根本制度以来,首 次将其写入法律。
新版《网络安全等级保护定级指南》解读教学提纲28页PPT
解读教学提纲
1、 舟 遥 遥 以 轻飏, 风飘飘 而吹衣 。 2、 秋 菊 有 佳 色,裛 露掇其 英。 3、 日 月 掷 人 去,有 志不获 骋。 4、 未 言 心 相 醉,不 再接杯 酒。 5、 黄 发 垂 髫 ,并怡 然自乐 。
谢谢你的阅读
❖ 知识就是财富 ❖ 丰富你的人生
71、既然我已经踏上这条道路,那么,任何东西都不应妨碍我沿着这条路走下去。——康德 72、家庭成为快乐的种子在外也不致成为障碍物但在旅行之际却是夜间的伴侣。——西塞罗 73、坚持意志伟大的事业需要始终不渝的精神。——伏尔泰 74、路漫漫其修道远,吾将上下而求索。——屈原 75、内外相应,言行相称。——韩非
1、 舟 遥 遥 以 轻飏, 风飘飘 而吹衣 。 2、 秋 菊 有 佳 色,裛 露掇其 英。 3、 日 月 掷 人 去,有 志不获 骋。 4、 未 言 心 相 醉,不 再接杯 酒。 5、 黄 发 垂 髫 ,并怡 然自乐 。
谢谢你的阅读
❖ 知识就是财富 ❖ 丰富你的人生
71、既然我已经踏上这条道路,那么,任何东西都不应妨碍我沿着这条路走下去。——康德 72、家庭成为快乐的种子在外也不致成为障碍物但在旅行之际却是夜间的伴侣。——西塞罗 73、坚持意志伟大的事业需要始终不渝的精神。——伏尔泰 74、路漫漫其修道远,吾将上下而求索。——屈原 75、内外相应,言行相称。——韩非
网络安全等级保护相关标准修订解读 PPT
8.1.1 物理和环境安全 … 8.1.8 安全运维管理 8.2 云计算安全扩展要求 8.2.1 物理和环境安全 8.2.2 网络和通信安全 … 8.3 移动互联安全扩展要求 8.4 物联网安全扩展要求 8.5 工业控制系统安全扩展要求
5.控制措施分类结构的变化
1.标准名称的变化
原来:信息系统安全等级保护基本要求 改为:网络安全等级保护基本要求 为适应《中华人民共和国网络安全法》,配合落实“网络安
全等级保护制度”,变更等级保护相关标准的名称。
2.等级保护对象的变化
原来:信息安全等级保护工作直接作用的具体信息和信息系统 改为:由计算机或者其他信息终端及相关设备组成的按照一定的规则和
6.通用要求控制点的变化——设备和计算安全
序号 1 2 3 4 5 6 7 8 9
原分类 主机安全
原有控制点 身份鉴别 安全标记 访问控制 可信路径 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制
新的分类
设备和计算 安全
新的控制点 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 资源控制
2017年8月,网信办、公安部和信安标委达 成一致意见,将基本要求、测评要求、设计 要求三个标准体系的5个分册标准进行了合 并,形成《网络安全等级保护基本要求》、 《网络安全等级保护测评要求》、《网络安 全等级保护安全设计技术要求》三个单一标 准,形成最新版送审稿。
《网络安全等级保护基本要求》主要修订的内容
技术要求 原来:物理安全、网络安全、主机安全、应用安全、数据安全 改为:物理和环境安全、网络和通信安全、设备和计算安全、应用 和数据安全
管理要求 原来:安全管理制度、安全管理机构、人员安全管理、系统建设管 理、系统运维管理 改为:安全策略和管理制度、安全管理机构与人员、安全建设管理、 安全运维管理
5.控制措施分类结构的变化
1.标准名称的变化
原来:信息系统安全等级保护基本要求 改为:网络安全等级保护基本要求 为适应《中华人民共和国网络安全法》,配合落实“网络安
全等级保护制度”,变更等级保护相关标准的名称。
2.等级保护对象的变化
原来:信息安全等级保护工作直接作用的具体信息和信息系统 改为:由计算机或者其他信息终端及相关设备组成的按照一定的规则和
6.通用要求控制点的变化——设备和计算安全
序号 1 2 3 4 5 6 7 8 9
原分类 主机安全
原有控制点 身份鉴别 安全标记 访问控制 可信路径 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制
新的分类
设备和计算 安全
新的控制点 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 资源控制
2017年8月,网信办、公安部和信安标委达 成一致意见,将基本要求、测评要求、设计 要求三个标准体系的5个分册标准进行了合 并,形成《网络安全等级保护基本要求》、 《网络安全等级保护测评要求》、《网络安 全等级保护安全设计技术要求》三个单一标 准,形成最新版送审稿。
《网络安全等级保护基本要求》主要修订的内容
技术要求 原来:物理安全、网络安全、主机安全、应用安全、数据安全 改为:物理和环境安全、网络和通信安全、设备和计算安全、应用 和数据安全
管理要求 原来:安全管理制度、安全管理机构、人员安全管理、系统建设管 理、系统运维管理 改为:安全策略和管理制度、安全管理机构与人员、安全建设管理、 安全运维管理
新版网络安全等级保护定级指南解读
新版网络安全等级保护定级指南解读首先,新版网络安全等级保护定级指南明确了网络安全等级保护的基本原则,即依法依规、分类分级、动态管理、适度扩展的原则。
这意味着定级指南将遵循我国的法律法规,根据具体情况分类分级,并根据实际需求动态管理等级,以及适度扩展网络安全等级保护体系。
其次,新版定级指南明确了网络安全等级保护定级的目标。
目标主要包括信息系统运行安全、信息系统建设安全和信息系统运维安全。
通过建立适应不同安全需求的三个安全等级(分别是三级、四级和五级),定级指南为企事业单位提供了一套系统的网络安全评估和管理框架。
新版定级指南还对不同等级的网络安全要求进行了详细的规定。
例如,在信息系统运行安全方面,要求对网络运行环境、网络设备、网络传输、信息处理等方面进行合理控制和安全保护。
在信息系统建设安全方面,要求在网络设备选型、系统设计、系统开发、系统测试等方面严格按照安全要求进行规划和实施。
在信息系统运维安全方面,则要求建立健全的安全事件处理机制、日志记录和分析机制、数据备份和灾难恢复机制等。
值得注意的是,新版定级指南还增加了对云计算、物联网、大数据等新兴技术的网络安全要求。
这是对随着技术发展不断涌现的安全风险进行适应和应对的体现。
同时,新版定级指南也注重了创新能力和自主可控要求,这将对我国网络安全行业的发展起到积极的推动作用。
此外,新版网络安全等级保护定级指南还明确了相关管理要求。
例如,对于网络安全等级保护考核评估机构的要求,应具备相应的专业技术能力和独立性,并将其纳入国家网络安全等级保护考核评估机构名录管理。
另外,定级指南还要求企事业单位应按照国家相关要求,进行网络安全等级保护的自查和评估,并定期报告情况。
从以上解读来看,新版网络安全等级保护定级指南对于我国网络安全行业的发展具有重要的意义。
它为企事业单位提供了一个明确和规范的网络安全评估和管理框架,有助于促进我国网络安全水平的提升,保护国家信息安全。
同时,定级指南的出台也对网络安全等级保护考核评估机构提出了更高的要求,有助于推动我国网络安全行业的健康发展。
等保2.0vs1.0解读PPT参考幻灯片
a) 应在机房供电线路上配置稳压器和过电压防护设备;
a) 应在机房供电线路上配置稳压器和过电压防护设备;
b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常
4 运行要求 c) 应设置冗余或并行的电力电缆线路为计算机系统供电;
3
b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正 常运行要求;
b) 应删除多余或无效的访问控制规则,优化访问控制列表,
并保证访问控制规则数量最小化;
c) 应对源地址、目的地址、源端口、目的端口和协议等进行
检查,以允许/拒绝数据包进出;
8
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能 力,控制粒度为端口级;
4
c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、
d) 应建立备用供电系统。
c) 应设置冗余或并行的电力电缆线路为计算机系统供电;
a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰; 3 b) 电源线和通信线缆应隔离铺设,避免互相干扰
c) 应对关键设备和磁介质实施电磁屏蔽。
a 电源线和通信线缆应隔离铺设,避免互相干扰; 2
b) 应对关键设备实施电磁屏蔽。
a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
6 防水和防潮
4 c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
新版要 求项数
标粗内容为三级和二级的变化;标红为新标准主要变化
重要网段与其他网段之间采取可靠的技术隔离手段;
g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证
新版《网络安全等级保护定级指南》解读.ppt
…
产厂商等因素
… 划分为多个定
级对象。
…
146 SP 800-
IaaS组件栈和控制范围
GB/T 31168 : 2014
云计算模式与控制范围
云计算典型模型
ISO/IEC17789-2014 云计算层次框架
? 运维服务系统 ? 业务运营系统 ? 安全系统 ? 集成 ? 开发
在云计算环境中,应将云服务方侧的 云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单 独的定级对象定级。
等级保护对象基础Leabharlann 息网络信息系统大数据
传统信息系统
工业控制系统
云计算平台
物联网系统
采用移动互联 技术信息系统
基础信息网络
? 为信息流通、信息系统运行等起基础支撑作用的信息网络,包括电信播网电、视广 传输网、互联网、业务专网等网络设备设施。
信息系统
? 由计算机和类计算机的软硬件及其相关的和配套的设备、设施构成的,按照 一定的应用目标和规则 进行信息处理或过程控制的资源集合。
数据资源类定级方法
? 单一设备(如服务器、终端、网络设备等)不单独定级。
层 级 4 企 业 资 源 层 该 层 级 主 要 通 过 ERP 系 统 为 企 业决策层及员工提供 决策运行手段。 层 级 3 生 产 管 理 层 该 层 级 主 要 通 过 M ES 系 统 为 企业提供包括制造数 据管理、计划排程管理、 生产调度管理等管理模 块。
? 应将具有统一安全责任单位的大数据作为一个整体对象定级。
确定安全保护等级
? 业务处理类定级方法
? 适用于传统信息系统、工业控制系统、物联网、和采用移动互联 技术的信息系统等定级对象。
? 数据资源类定级方法:适用于大数据等定级对象。 ? 基础支撑类定级方法
网络安全等级保护定级指南解读
网络安全等级保护定级指南解读《信息安全技术网络安全等级保护定级指南》是《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)的修订版主要内容一.基本概念和定级要素二.定级方法三.工作流程•定级是开展网络安全等级保护工作的“基本出发点”•定级结果应当成为系统安全保护的总体安全需求之一•定级过程是找到系统最大风险的过程•《信息安全等级保护管理办法》(公通字[2007]43号“第七条信息系统的保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
”•解决了:信息系统根据什么定级?定什么级?•从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息系统被破坏后造成危害的严重性角度对信息系统确定的等级-重要性定级•没有解决:定级的方法、流程•《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)•《信息安全技术网络安全等级保护定级指南》(GB/T 22240-20**)(前者的修订版)——主要关注等级保护定级工作开展的流程及定级的方法•概念解释•安全保护等级•等级保护对象•客体•安全保护等级等级的确定是不依赖于安全保护措施的,具有一定的“客观性”,即该系统在存在之初便由其自身所实现的使命的重要程度决定了它的安全保护等级,而非由“后天”的安全保护措施决定。
•等级保护对象•网络安全等级保护工作的作用对象,主要包括基础网络设施、信息系统(如工业控制系统、云计算平台、物联网、使用移动互联技术的系统、其他系统)以及数字资源等。
等级保护2.0讲解PPT课件
第四级 信息系统受到破坏后,会对社会秩序和公共利益造成特别严 重损害,或者对国家安全造成严重损害
第五级 信息系统受到破坏后,会对国家安全造成特别严重损害
2021
等级保护工作主要的流程
一是定级 二是备案(二级以上的信息系统) 三是系统建设、整改 四是开展等级测评 五是信息安全监管部门定期开展监督检查
无
通信传输
b) 应采用密码技术保证通信过程中敏感信息字段或整
个报文的保密性。
a) 应能够对非授权设备私自联到内部网络的
a) 应保证跨越边界的访问和数据流通过边界防护设备 提供的受控接口进行通信;
行为进行检查,准确定出位置,并对其进行
有效阻断;
b) 应能够对非授权设备私自联到内部网络的行为进行
边界完整 性检查
(一)制定内部安全管理制度和操作规程,确定网络安全 负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害 网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技 术措施,并按照规定留存相关的网络日志不少于六个月; 2021
第三十四条 除本法第二十一条的规定外,关键信息基础设 施的运营者还应当履行下列安全保护义务:
c) 应强制用户首次登录时修改初始口令; (新增) d) 用户身份鉴别信息丢失或失效时,应采用技术措
施确保鉴别信息重置过程的安全; (新增)
a) 应仅采集和保存业务必需的用户个人信息; (新 增)
b) 应禁止未授权访问和非法使用用户个人信息。 (新增)
2021
解读
1. 应用是具体业务的直接实现,不具有网络和系统相对标 准化的特点。大部分应用本身的身份鉴别、访问控制和操 作审计等功能,都难以用第三方产品来替代实现;
第五级 信息系统受到破坏后,会对国家安全造成特别严重损害
2021
等级保护工作主要的流程
一是定级 二是备案(二级以上的信息系统) 三是系统建设、整改 四是开展等级测评 五是信息安全监管部门定期开展监督检查
无
通信传输
b) 应采用密码技术保证通信过程中敏感信息字段或整
个报文的保密性。
a) 应能够对非授权设备私自联到内部网络的
a) 应保证跨越边界的访问和数据流通过边界防护设备 提供的受控接口进行通信;
行为进行检查,准确定出位置,并对其进行
有效阻断;
b) 应能够对非授权设备私自联到内部网络的行为进行
边界完整 性检查
(一)制定内部安全管理制度和操作规程,确定网络安全 负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害 网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技 术措施,并按照规定留存相关的网络日志不少于六个月; 2021
第三十四条 除本法第二十一条的规定外,关键信息基础设 施的运营者还应当履行下列安全保护义务:
c) 应强制用户首次登录时修改初始口令; (新增) d) 用户身份鉴别信息丢失或失效时,应采用技术措
施确保鉴别信息重置过程的安全; (新增)
a) 应仅采集和保存业务必需的用户个人信息; (新 增)
b) 应禁止未授权访问和非法使用用户个人信息。 (新增)
2021
解读
1. 应用是具体业务的直接实现,不具有网络和系统相对标 准化的特点。大部分应用本身的身份鉴别、访问控制和操 作审计等功能,都难以用第三方产品来替代实现;
等保2.0标准介绍ppt课件
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
选择
安全运维 管理
环境管理
资产管理
介质管理
设备维护管理 漏洞和风险 管理 网络和系统 安全管理
恶意代码防范 管理
配置管理
密码管理
变更管理 备份与恢复
管理 安全事件处置 应急预案管理
外包运维管理
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
新增领域标准
云计算安全
物联网安全
工业控制安全
大数据安全
移动互联安全
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
数据完整性 数据保密性 数据备份恢复 剩余信息保护 个人信息保护
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
GB/T 22239.1等级保护安全通用要求
安全管理中心 系统管理 审计管理 安全管理 集中管控
网络安全等级保护定级指南解读
15
一、基本概念和定级要素
• 社会秩序 • 国家机关的工作秩序; • 各类经济活动秩序; • 各行业科研、生产秩序; • 公众正常生活秩序等。
16
一、基本概念和定级要素
• 公共利益 • 不特定社会成员所共同享有的,维持其生产、生活、 教育、卫生等方面的利益,表现为: • 社会成员使用公共设施 • 社会成员获取公开信息资源 • 社会成员获取公共服务等
4
一、基本概念和定级要素-等级定义
• 《信息安全等级保护管理办法》(公通字[2007]43号“第七条 信息系统的保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他 组织的合法权益造成损害,但不损害国家安全、社会秩 序和公共利益;
5
一、基本概念和定级要素-等级定义
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生 严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
二、定级方法
• 系统识别 • 识别单位基本信息 • 识别管理框架 • 识别业务种类和业务流程 • 识别信息 • 识别网络结构 • 识别主要的软硬件设备 • 识别用户类型和分布
32
二、定级方法
• 系统划分 • 分析安全管理责任,确定管理边界 • 分析网络结构和已有内外部边界 • 分析业务流程和业务间关系
38
主要内容
一. 基本概念和定级要素 二. 定级方法 三. 定级流程
三、定级流程
1. 确定定级对象 2. 初步确定等级 3. 专家评审 4. 主管部门审核
5. 公安机关备案审查
三、定级流程
专家评审
定级对象的运营、 使用单位应组织信 息安全专家和业务 专家,对初步定级 结果的合理性进行 评审,出具专家评 审意见。
一、基本概念和定级要素
• 社会秩序 • 国家机关的工作秩序; • 各类经济活动秩序; • 各行业科研、生产秩序; • 公众正常生活秩序等。
16
一、基本概念和定级要素
• 公共利益 • 不特定社会成员所共同享有的,维持其生产、生活、 教育、卫生等方面的利益,表现为: • 社会成员使用公共设施 • 社会成员获取公开信息资源 • 社会成员获取公共服务等
4
一、基本概念和定级要素-等级定义
• 《信息安全等级保护管理办法》(公通字[2007]43号“第七条 信息系统的保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他 组织的合法权益造成损害,但不损害国家安全、社会秩 序和公共利益;
5
一、基本概念和定级要素-等级定义
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生 严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
二、定级方法
• 系统识别 • 识别单位基本信息 • 识别管理框架 • 识别业务种类和业务流程 • 识别信息 • 识别网络结构 • 识别主要的软硬件设备 • 识别用户类型和分布
32
二、定级方法
• 系统划分 • 分析安全管理责任,确定管理边界 • 分析网络结构和已有内外部边界 • 分析业务流程和业务间关系
38
主要内容
一. 基本概念和定级要素 二. 定级方法 三. 定级流程
三、定级流程
1. 确定定级对象 2. 初步确定等级 3. 专家评审 4. 主管部门审核
5. 公安机关备案审查
三、定级流程
专家评审
定级对象的运营、 使用单位应组织信 息安全专家和业务 专家,对初步定级 结果的合理性进行 评审,出具专家评 审意见。
网络安全等级保护2.0解读 PPT精品课件
➢ 等保2.0 :《网络安全等级保护条例》第十八条规定,第 二级以上网络的运营者应当在安全保护等级确认后10个工 作日内,到县级以上公安机关备案 。
安全通信网络
安全建设
安全区域边界
安全计算环境
安全管理中心
测评周期的变化
➢ 等保1.0 :三级系统每年至少进行一次等级测评, 四级系统每半年至少进行一次等级测评。
网络安全等级保护2.0解读
网络安全等级保护相关法律法规
等级保护2.0措施进一步完善
➢ 等级保护2.0沿等用级了等保保护1.02的.0五措个规施定进动作一: 定步级完、备善案、
建设整改、等级测评和监督检查(《信息安全等级保护 管理办法》 公通字[2007]43号)规定的等级保护工作)。 ➢ 增加了风险评估、安全监测、通报预警、案(事)件调 查、数据防护、灾难备份、应急处置、自主可控、供应 链安全、效果评价、综合考核等内容,充分体现了变被 动防护为主动防护,变静态防护为动态防护,变单点防 护为整体防控的核心思想。
等级保护2.0定级流程
定级标准及对象的变化
➢ 1.标准的变化
✓ 1.0 《信息系统安全等级保护等级指南》(GB/T 22240-2008) ✓ 2.0 《网络安全等级保护等级指南》(GA/T 1389-2017)
➢ 2.等级保护对象的演变
1.0定级对象 ✓ 信息系统
2.0等级保护对象 ✓ 基础信息网络 ✓ 信息系统(如工业控制系统、云计算平
等级保护2.0工作流程
定级流程的变化
➢ 等保1.0 :自主定级 ➢ 等保2.0:《网络安全等级保护条例》
✓ 网络定级应按照网络运营者拟定网络等级、专家评审、主管部分核 准、公安机关审核的流程进行。
✓ 对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业 主管部门的,应当在评审后报请主管部门核准。
安全通信网络
安全建设
安全区域边界
安全计算环境
安全管理中心
测评周期的变化
➢ 等保1.0 :三级系统每年至少进行一次等级测评, 四级系统每半年至少进行一次等级测评。
网络安全等级保护2.0解读
网络安全等级保护相关法律法规
等级保护2.0措施进一步完善
➢ 等级保护2.0沿等用级了等保保护1.02的.0五措个规施定进动作一: 定步级完、备善案、
建设整改、等级测评和监督检查(《信息安全等级保护 管理办法》 公通字[2007]43号)规定的等级保护工作)。 ➢ 增加了风险评估、安全监测、通报预警、案(事)件调 查、数据防护、灾难备份、应急处置、自主可控、供应 链安全、效果评价、综合考核等内容,充分体现了变被 动防护为主动防护,变静态防护为动态防护,变单点防 护为整体防控的核心思想。
等级保护2.0定级流程
定级标准及对象的变化
➢ 1.标准的变化
✓ 1.0 《信息系统安全等级保护等级指南》(GB/T 22240-2008) ✓ 2.0 《网络安全等级保护等级指南》(GA/T 1389-2017)
➢ 2.等级保护对象的演变
1.0定级对象 ✓ 信息系统
2.0等级保护对象 ✓ 基础信息网络 ✓ 信息系统(如工业控制系统、云计算平
等级保护2.0工作流程
定级流程的变化
➢ 等保1.0 :自主定级 ➢ 等保2.0:《网络安全等级保护条例》
✓ 网络定级应按照网络运营者拟定网络等级、专家评审、主管部分核 准、公安机关审核的流程进行。
✓ 对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业 主管部门的,应当在评审后报请主管部门核准。
网络安全等级保护2.0解读 PPT精品课件
网络安全等级保护2.0高风险指引
序号 层面
1
2 3
4
安全
计算
环境
5
6 7
8
控制点
控制项
对应案例
身份鉴别
a)应对登录的用户进行身份标识和鉴别, 设备存在弱口令、应用系统
身份标识具有唯一性,身份鉴别信息具有 口令策略缺失、应用系统存
复杂度要求并定期更换;
在弱口令
b)应具有登录失败处理功能,应配置并启 用结束会话、限制非法登录次数和当登录 连接超时自动退出等相关措施;
设备未开启安全审计措施、 应用系统无安全审计措施
适用范围
所有系统 3级及以上系统
所有系统 3级及以上系统
所有系统 所有系统 所有系统 3级及以上系统
等保2.0测评结论谢谢!ຫໍສະໝຸດ 应用系统无登录失败 处理机制
c)当进行远程管理时,应采取必要措施防 止鉴别信息在网络传输过程中被窃
设备鉴别信息无防窃取措施
d)应采用口令、密码技术、生物技术等两 种或两种以上组合的鉴别技术对用户进行 身份鉴别,且其中一种鉴别技术至少应使 用密码技术来实现。
设备未实现双因素认证、互 联网可访问系统未实现双因
安全通用要求和安全扩展要求
等级保护2.0为1+N模式,1为通用要求,适用各个行业和各个领域,N指 具体的一个领域内的扩展要求,目前N为5,分别是云计算、移动互联、物联 网、工业控制、大数据。未来随着技术的发展,N会不断扩展。
分类结构的变化
安全通用要求要求项变化
充分强化可信计算技术使用的要求
➢ 增加:从一级到四级均在“安全通信网络”、“安全区域边界” 和“安全计算环境”中增加了“可信验证”控制点(和GB/T 25070设计要求保持一致)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
19
物联网应作为一个整体对象定级,主要包括感知层、网络 传输层和处理应用层等要素。
.
20
区别在于:移动终端可以通过无线方式 接入网络。
移动终端可以远程通过运营商基站或公共Wi-Fi 接入等级保护对象,也可以在本地通过本地无 线接 入设备接入等级保护对象; 系统通过移动管理系统的服务端软件向客户端 软件发送管理策略,并由客户端软件执行实现 系统 的安全管理。
素不单独定级。
.
…
根据系统功能、
… OO控PPCC服制务对器
象产和厂生商等因素
划分为多个定 …
级对象。
…
16
GB/T 31168 2014
SP 800146
IaaS组件栈和控制范围
:
云计算模式与控制范围
云计算典型模型
ISO/IEC17789-2014 云计算层次框架
运维服务系统 业务运营系统 安全系统 集成 开发
云计算平台、工业控制系统、物联网、大数据等
定级流程
流程完善 、定级方法细化。
.
3
安全保护等级
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或 者对国家安全造成损害。
第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的 合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重 损害,或者对国家安全造成损害。
单一设备(如服务器、终端、网络设备等)不单独定级。
.
14
层级4 企业资源层 该层级主要通过ERP系统为企业决策层及 员工提供 决策运行手段。
层级3 生产管理层 该层级主要通过MES系统为企业提供包括 制造数 据管理、计划排程管理、生产调度管理等管理模 块。
层级2 过程监控层 该层级主要通过分布式SCADA系统采集和 监控生产 过程参数,并利用HMI系统实现人机交互。
.
4. 主管部门审核 5. 公安机关备案审查
10
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应将初步定 级结果上报行业主管部门或上级主管部 门进行审核。
.
4. 主管部门审核 5. 公安机关备案审查
11
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应按照相关 管理规定,将初步定级结果提交公安机 关进行备案审查,最终确定定级对象的 安全保护等级。
.
4
受侵害的客体 公民、法人和其他组织的合法权益
社会秩序、公共利益 国家安全
一般损害
第一级
对客体的侵害程度 严重损害来自特别严重损害第二级
第三级
第二级
第三级
第四级
第三级
第四级
第五级
.
5
等级保护对象
信息安全等级保护工作直接作用的具体信息和信息系统。
网络安全等级保护工作的作用对象,主要包括基础信息网络、信息 系统(诸如传统信息系统、工业控制系统、云计算平台、物联网、 使 用移动互联技术的信息系统等)和大数据等。
在云计算环境中,应将云服务方侧的 云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单 独的定级对象定级。
在云计算环境中,应将云服务方侧的 云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单 独的定级对象定级。
.
对于大型云计算平台,应 将云计算基础设施和有关 辅助服务系统划分为不同 的定级对象。
采用移动互联技术的等级保护对象 应作 为一个整体对象定级,移动终端、 移动 应用和无线网络等要素不单独定级。
.
21
应将具有统一安全责任单位的大数据作为一个整体对象定级。
.
22
确定安全保护等级
业务处理类定级方法
适用于传统信息系统、工业控制系统、物联网、和采用移动互联 技 术的信息系统等定级对象。
.
4. 主管部门审核 5. 公安机关备案审查
12
确定定级对象
对于电信网、广播电视传输网、互联网等基础信息网络,应分别依 据服务类型、服务地域和安全责 任主体等因素将其划分为不同的 定级对象。
跨省全国性业务专网可作为一个整体对象定级,也可以分区域划分 为若干个定级对象。
.
13
传统信息系统
具有唯一确定的安全责任单位;【 大切小 】 承载相对独立的业务应用;【 再切小 】 具有信息系统的基本要素。【 不能再小了 】
层级1 现场控制层 该层级主要通过PLC、DCS控制单元 和 R T U 等 进 行 生产过程的控制。
层级0 现场设备层 该层级主要通过传感器对实际生产过程的 数据进行 采集,同时,利用执行器对生产过程进行操作。
.
15
生产管理层 过程监控层 现场控制层 现场设备层
仓储管理系统
计划排产系统
现场设备层、现场控制层 工和程过师站程监控层应作为操作一员站个
网络安全等级保护定级指南解读
支撑等级保护管理工作新思路和内容; 适应新形势下信息化新技术新应用的不断涌现; 针对标准使用过程中发现的一些问题进行修订:
降级躲避监管; 拍脑袋定级,流程不完整。
.
2
安全保护等级定义
第三级:对公民、法人和其他组织的合法权益产生特别严重损害。
等级保护对象
.
8
1. 确定定级对象 2. 初步确定等级
自主定级 专 家评审 主管部门审批 公安机关监督
定级流程
3. 专家评审 4. 主管部门审核 5. 公安机关备案审查
.
9
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应组织信息 安 全专家和业务专家,对初步定级结果 的合 理性进行评审, 出具专家评审意见。
数据资源类定级方法:适用于大数据等定级对象。 基础支撑类定级方法
适用于基础信息网络和云计算平台等定级对象。
.
23
数据资源类定级方法
对于大数据等定级对象,应综合考虑数据规模、数据价值等因素根据 其在国家安全、经济建设、社 会生活中的重要程度,以及数据资源 遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其 他组织的合法权益的危害程度等因素确定其安全保护等级。
.
6
基
传统信息系统
等级保护对象
信息系统
云计算平台
.
础信息网络 大数据
采用移动互联 工业控制系统
物联网系统 技术信息系统
7
基础信息网络
为信息流通、信息系统运行等起基础支撑作用的信息网络,包括电信网、广 播电视传输网、互联网、 业务专网等网络设备设施。
信息系统
由计算机和类计算机的软硬件及其相关的和配套的设备、设施构成的,按照 一定的应用目标和规则 进行信息处理或过程控制的资源集合。 注:资源可以是物理设备,也可以是虚拟设备。
物联网应作为一个整体对象定级,主要包括感知层、网络 传输层和处理应用层等要素。
.
20
区别在于:移动终端可以通过无线方式 接入网络。
移动终端可以远程通过运营商基站或公共Wi-Fi 接入等级保护对象,也可以在本地通过本地无 线接 入设备接入等级保护对象; 系统通过移动管理系统的服务端软件向客户端 软件发送管理策略,并由客户端软件执行实现 系统 的安全管理。
素不单独定级。
.
…
根据系统功能、
… OO控PPCC服制务对器
象产和厂生商等因素
划分为多个定 …
级对象。
…
16
GB/T 31168 2014
SP 800146
IaaS组件栈和控制范围
:
云计算模式与控制范围
云计算典型模型
ISO/IEC17789-2014 云计算层次框架
运维服务系统 业务运营系统 安全系统 集成 开发
云计算平台、工业控制系统、物联网、大数据等
定级流程
流程完善 、定级方法细化。
.
3
安全保护等级
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或 者对国家安全造成损害。
第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的 合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重 损害,或者对国家安全造成损害。
单一设备(如服务器、终端、网络设备等)不单独定级。
.
14
层级4 企业资源层 该层级主要通过ERP系统为企业决策层及 员工提供 决策运行手段。
层级3 生产管理层 该层级主要通过MES系统为企业提供包括 制造数 据管理、计划排程管理、生产调度管理等管理模 块。
层级2 过程监控层 该层级主要通过分布式SCADA系统采集和 监控生产 过程参数,并利用HMI系统实现人机交互。
.
4. 主管部门审核 5. 公安机关备案审查
10
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应将初步定 级结果上报行业主管部门或上级主管部 门进行审核。
.
4. 主管部门审核 5. 公安机关备案审查
11
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应按照相关 管理规定,将初步定级结果提交公安机 关进行备案审查,最终确定定级对象的 安全保护等级。
.
4
受侵害的客体 公民、法人和其他组织的合法权益
社会秩序、公共利益 国家安全
一般损害
第一级
对客体的侵害程度 严重损害来自特别严重损害第二级
第三级
第二级
第三级
第四级
第三级
第四级
第五级
.
5
等级保护对象
信息安全等级保护工作直接作用的具体信息和信息系统。
网络安全等级保护工作的作用对象,主要包括基础信息网络、信息 系统(诸如传统信息系统、工业控制系统、云计算平台、物联网、 使 用移动互联技术的信息系统等)和大数据等。
在云计算环境中,应将云服务方侧的 云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单 独的定级对象定级。
在云计算环境中,应将云服务方侧的 云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单 独的定级对象定级。
.
对于大型云计算平台,应 将云计算基础设施和有关 辅助服务系统划分为不同 的定级对象。
采用移动互联技术的等级保护对象 应作 为一个整体对象定级,移动终端、 移动 应用和无线网络等要素不单独定级。
.
21
应将具有统一安全责任单位的大数据作为一个整体对象定级。
.
22
确定安全保护等级
业务处理类定级方法
适用于传统信息系统、工业控制系统、物联网、和采用移动互联 技 术的信息系统等定级对象。
.
4. 主管部门审核 5. 公安机关备案审查
12
确定定级对象
对于电信网、广播电视传输网、互联网等基础信息网络,应分别依 据服务类型、服务地域和安全责 任主体等因素将其划分为不同的 定级对象。
跨省全国性业务专网可作为一个整体对象定级,也可以分区域划分 为若干个定级对象。
.
13
传统信息系统
具有唯一确定的安全责任单位;【 大切小 】 承载相对独立的业务应用;【 再切小 】 具有信息系统的基本要素。【 不能再小了 】
层级1 现场控制层 该层级主要通过PLC、DCS控制单元 和 R T U 等 进 行 生产过程的控制。
层级0 现场设备层 该层级主要通过传感器对实际生产过程的 数据进行 采集,同时,利用执行器对生产过程进行操作。
.
15
生产管理层 过程监控层 现场控制层 现场设备层
仓储管理系统
计划排产系统
现场设备层、现场控制层 工和程过师站程监控层应作为操作一员站个
网络安全等级保护定级指南解读
支撑等级保护管理工作新思路和内容; 适应新形势下信息化新技术新应用的不断涌现; 针对标准使用过程中发现的一些问题进行修订:
降级躲避监管; 拍脑袋定级,流程不完整。
.
2
安全保护等级定义
第三级:对公民、法人和其他组织的合法权益产生特别严重损害。
等级保护对象
.
8
1. 确定定级对象 2. 初步确定等级
自主定级 专 家评审 主管部门审批 公安机关监督
定级流程
3. 专家评审 4. 主管部门审核 5. 公安机关备案审查
.
9
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应组织信息 安 全专家和业务专家,对初步定级结果 的合 理性进行评审, 出具专家评审意见。
数据资源类定级方法:适用于大数据等定级对象。 基础支撑类定级方法
适用于基础信息网络和云计算平台等定级对象。
.
23
数据资源类定级方法
对于大数据等定级对象,应综合考虑数据规模、数据价值等因素根据 其在国家安全、经济建设、社 会生活中的重要程度,以及数据资源 遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其 他组织的合法权益的危害程度等因素确定其安全保护等级。
.
6
基
传统信息系统
等级保护对象
信息系统
云计算平台
.
础信息网络 大数据
采用移动互联 工业控制系统
物联网系统 技术信息系统
7
基础信息网络
为信息流通、信息系统运行等起基础支撑作用的信息网络,包括电信网、广 播电视传输网、互联网、 业务专网等网络设备设施。
信息系统
由计算机和类计算机的软硬件及其相关的和配套的设备、设施构成的,按照 一定的应用目标和规则 进行信息处理或过程控制的资源集合。 注:资源可以是物理设备,也可以是虚拟设备。