等级保护2.0讲解PPT

原控制点
1 身份鉴别 2 访问控制 3 安全审计
要求项数
6 7 6 2 3 3
新控制点
1 身份鉴别 2 访问控制 3 安全审计 4 入侵防范 5 恶意代码 防范 6 资源控制
要求项数
4 7 5 5 1 4
主机安全
4 剩余信息 保护 5 入侵防范 6 恶意代码 防范
设备和计算 安全
7 资源控制
5
原控制项 安全审计
4
7 9 11 28 41 175
8
11 20 16 45 62 290 合计 管理 要求 安全策略和管理 制度 安全管理机构和 人员 安全建设管理 安全运维管理 /

总体上看，等保2.0通用要求在技术部分的基础上进行了一 些调整，但控制点要求上并没有明显增加，通过合并整合 后相对旧标准略有缩减。
4
2 5 6
原控制项
新控制项
无
通信传输
a) 应采用校验码技术或密码技术保证通信过程中数据 的完整性；
b) 应采用密码技术保证通信过程中敏感信息字段或整 个报文的保密性。 a) 应保证跨越边界的访问和数据流通过边界防护设备 提供的受控接口进行通信；
边界完整 性检查
a) 应能够对非授权设备私自联到内部网络的 行为进行检查，准确定出位置，并对其进行 有效阻断；
网络安全法与等级保护工作关系




第二十一条 国家实行网络安全等级保护制度。网络运营者 应当按照网络安全等级保护制度的要求，履行下列安全保 护义务，保障网络免受干扰、破坏或者未经授权的访问， 防止网络数据泄露或者被窃取、篡改： （一）制定内部安全管理制度和操作规程，确定网络安全 负责人，落实网络安全保护责任； （二）采取防范计算机病毒和网络攻击、网络侵入等危害 网络安全行为的技术措施； （三）采取监测、记录网络运行状态、网络安全事件的技 术措施，并按照规定留存相关的网络日志不少于六个月；
3
3 5 5 9 12 66
3
3 5 5 11 13源自文库73 合计 管理 要求 安全策略和管理 制度 安全管理机构和 人员 安全建设管理 安全运维管理 /
要求项对比
基本 要求 大类 1.0 技术 要求
基本要求子类
信息系统安全等级保护 级别 等保二级 等保三级 32 33 32 31
基本 要求 大类 2.0 技术 要求
边界防护 b) 应能够对内部网络用户私自联到外部网络 的行为进行检查，准确定出位置，并对其进 行有效阻断。 无
b) 应能够对非授权设备私自联到内部网络的行为进行 限制或检查；
c) 应能够对内部用户非授权联到外部网络的行为进行 限制或检查；
d) 应限制无线网络的使用，确保无线网络通过受控的 边界防护设备接入内部网络。 b) 应在关键网络节点处检测、防止或限制从内部发起 的网络攻击行为； (新增) c) 应采取技术措施对网络行为进行分析，实现对网络 攻击特别是新型网络攻击行为的分析； (新增)
6
4 2 1 2 2 2
2 访问控制
3 安全审计 4 软件容错 5 资源控制 6 数据完整 性 应用和数据 7 数据保密 安全 性 8 数据备份 和恢复 9 剩余信息 保护 10 个人信息 保护
7
5 3 2 2 2 3
应用安全
9 资源控制
9 数据完整 性 数据安全及 10 数据保密 备份恢复 性 11 备份和恢
入侵防范
无
入侵防范
原控制项 恶意代码防范 无
安全审计
无
无
新控制项 b) 应在关键网络节点处对垃圾邮件进行检测和防护， 恶意代码防范 并维护垃圾邮件防护机制的升级和更新。 (新增) d) 应确保审计记录的留存时间符合法律法规要求； (新增) 安全审计 e) 应能对远程访问的用户行为、访问互联网的用户 行为等单独进行行为审计和数据分析。 (新增) a) 应划分出特定的管理区域，对分布在网络中的安 全设备或安全组件进行管控； (新增) b) 应能够建立一条安全的信息传输路径，对网络中 的安全设备或安全组件进行管理； (新增) c) 应对网络链路、安全设备、网络设备和服务器等的 运行状况进行集中监测； (新增) 集中管控 d) 应对分散在各个设备上的审计数据进行收集汇总 和集中分析；(新增) e) 应对安全策略、恶意代码、补丁升级等安全相关 事项进行集中管理； f) 应能对网络中发生的各类安全事件进行识别、报警 和分析。 (新增)
要求项数
2 4 6 3 3 4 2 1 4 3
2 1 3 2 3 3 2 1 3 2
原控制项 b) 机房场地应避免设在建筑物的高层 或地下室，以及用水设备的下层或隔 物理位置的选择 壁。
新控制项 b) 机房场地应避免设在建筑物的顶层或 物理位置的 地下室，否则应加强防水和防潮措施 选择 b) 应采取措施防止静电的产生，例如采 用静电消除器、佩戴防静电手环等。(新 增)
标准内容的变化
等级保护 标准体系
定级指南
基本要求
设计要求
测评要求
通用要求
云计算
物联网
移动互联
工业控制
控制结构的变化
等级保护1.0 旧标准 物理安全 网络安全 技术要求 主机安全 应用安全 数据安全及备份恢复 安全管理制度 安全管理机构 管理要求 人员安全管理 系统建设管理
结构图
新标准 物理和环境安全 网络和通信安全
解读


1. 避免账号共享、记录和审计运维操作行为是最基本的安 全要求； 2. 必要的安全手段保证系统层安全，防范服务器入侵行为；
原控制点 1 身份鉴别
要求项数 5
新控制点 1 身份鉴别
要求项数 5
2 访问控制
3 安全审计 4 剩余信息 保护 5 通信完整 性 6 通信保密 性 7 抗抵赖 8 软件容错
等级保护2.0
技术要求 设备和计算安全 应用和数据安全 安全策略和管理制度
安全管理机构和人员
安全建设管理 安全运维管理
管理要求
系统运维管理
控制点对比
基本 要求 大类 1.0 技术 要求
基本要求子类
信息系统安全等级保护 级别 等保二级 等保三级 10 7 7 9
基本 要求 大类 2.0 技术 要求





第三十四条 除本法第二十一条的规定外，关键信息基础设 施的运营者还应当履行下列安全保护义务： （一）设置专门安全管理机构和安全管理负责人，并对该 负责人和关键岗位的人员进行安全背景审查； （二）定期对从业人员进行网络安全教育、技术培训和技 能考核； （三）对重要系统和数据库进行容灾备份； （四）制定网络安全事件应急预案，并定期进行演练； （五）法律、行政法规规定的其他义务。
谢谢
防静电
无
防静电
原控制点 1结构安全 2访问控制 3安全审计 网络安全 4边界完整性 检查
要求项数 7 8 4 2
新控制点 1 网络架构 2通信传输 3边界防护 4 访问控制
要求项数 5 2 4 5
网络和通信安全 2
2 8
5入侵防范
6 恶意代码防 范 7 网络设备防 护
5 入侵防范
6 恶意代码 防范 7 安全审计 8 集中管控
7
2 2 4
2
2
原控制项 安全审计 软件容错 身份鉴别 个人信息保护 无 个人信息保护 无 无 安全审计 软件容错 身份鉴别
无
新控制项 d) 应确保审计记录的留存时间符合法律法规要求； （新增） c) 在故障发生时，应自动保存易失性数据和所有状 态，保证系统能够进行恢复。（新增） c) 应强制用户首次登录时修改初始口令； （新增） d) 用户身份鉴别信息丢失或失效时，应采用技术措 施确保鉴别信息重置过程的安全； （新增） a) 应仅采集和保存业务必需的用户个人信息； （新 增） b) 应禁止未授权访问和非法使用用户个人信息。 （新增）
基本要求子类
信息系统安全等级保 护级别 等保二级 等保三级
物理安全 网络安全 主机安全 应用安全
10 6 6 7
物理和环境安全 网络和通信安全 设备和计算安全 应用和数据安全
10 7 6 9 4 9 10 14 69
10 8 6 10 4 9 10 14 71
数据安全
管理 要求 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 合计 /
基本要求子类
信息系统安全等级保 护级别 等保二级 等保三级
物理安全 网络安全 主机安全 应用安全
19 18 19 19
物理和环境安全 网络和通信安全 设备和计算安全 应用和数据安全
15 16 17 22 6 16 25 30 147
22 33 26 34 7 26 34 48 230
数据安全
管理 要求 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 合计 /
无
入侵防范
无
新控制项 安全审计 d) 应确保审计记录的留存时间符合法律法规要求； （新增） b) 应关闭不需要的系统服务、默认共享和高危端口； c) 应通过设定终端接入方式或网络地址范围对通过网络进行 入侵防范 管理的管理终端进行限制； d) 应能发现可能存在的漏洞，并在经过充分测试评估后，及 时修补漏洞；
解读



1. 应用是具体业务的直接实现，不具有网络和系统相对标 准化的特点。大部分应用本身的身份鉴别、访问控制和操 作审计等功能，都难以用第三方产品来替代实现； 2. 数据的完整性和保密性，除了在其他层面进行安全防护 以外，加密是最为有效的方法； 3. 数据的异地备份是等保三级区别于二级最重要的要求之 一，是实现业务连续最基础的技术保障措施。
等级保护2.0介绍
什么是等级保护？

网络安全等级保护是指对国家重要信息、法人和其他组织及公民的 专有信息以及公开信息和存储、传输、处理这些信息的信息系统分 等级实行安全保护，对信息系统中使用的信息安全产品实行按等级 管理，对信息系统中发生的信息安全事件分等级响应、处置。
等级保护的划分





第一级 信息系统受到破坏后，会对公民、法人和其他组织的合 法权益造成损害，但不损害国家安全、社会秩序和公共利益 第二级 信息系统受到破坏后，会对公民、法人和其他组织的合 法权益产生严重损害，或者对社会秩序和公共利益造成损害， 但不损害国家安全 第三级 信息系统受到破坏后，会对社会秩序和公共利益造成严 重损害，或者对国家安全造成损害 第四级 信息系统受到破坏后，会对社会秩序和公共利益造成特 别严重损害，或者对国家安全造成严重损害 第五级 信息系统受到破坏后，会对国家安全造成特别严重损害
等级保护工作主要的流程



一是定级 二是备案（二级以上的信息系统） 三是系统建设、整改 四是开展等级测评 五是信息安全监管部门定期开展监督检查
等级保护的对象演变
标准名称的变化

等保2.0将原来的标准《信息安全技术 信息系统安全等级保 护基本要求》改为《信息安全技术 网络安全等级保护基本 要求》，与《中华人民共和国网络安全法》中的相关法律 条文保持一致
原控制点 1 物理位置的 选择 2 物理访问控 制 3 防盗窃和防 破坏 4 防雷击 物理安全 5 防火 6 防水和防潮 7 防静电 8 温湿度控制 9 电力供应 10 电磁防护
要求项数
新控制点 1 物理位置的 选择 2 物理访问控 制 3 防盗窃和防 破坏 4 防雷击 物理和环境安 5 防火 全 6 防水和防潮 7 防静电 8 温湿度控制 9 电力供应 10 电磁防护
解读




1. 根据服务器角色和重要性，对网络进行安全域划分； 2. 在内外网的安全域边界设置访问控制策略，并要求配置 到具体的端口； 3. 在网络边界处应当部署入侵防范手段，防御并记录入侵 行为； 4. 对网络中的用户行为日志和安全事件信息进行记录和审 计； 5.对安全设备、网络设备和服务器等进行集中管理。