等级保护20讲解

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

3
3
要求
安全管理机构
5
5
人员安全管理
5
5
系统建设管理
9
11
系统运维管理
12
13
合计
/
66
73
基本 要求 大类 2.0
技术 要求
基本要求子类
信息系统安全等级保 护级别
等保二级 等保三级
物理和环境安全
10
10
网络和通信安全
7
8
设备和计算安全
6
6
应用和数据安全
9
10
管理 安全策略和管理
4
4
要求
制度
安全管理机构和
第五级 信息系统受到破坏后,会对国家安全造成特别严重损害
等级保护工作主要的流程
一是定级 二是备案(二级以上的信息系统) 三是系统建设、整改 四是开展等级测评 五是信息安全监管部门定期开展监督检查
等级保护的对象演变
标准名称的变化
等保2.0将原来的标准《信息安全技术 信息系统安全等级保 护基本要求》改为《信息安全技术 网络安全等级保护基本 要求》,与《中华人民共和国网络安全法》中的相关法律 条文保持一致
安全审计
(新增) e) 应能对远程访问的用户行为、访问互联网的用户
行为等单独进行行为审计和数据分析。 (新增)
a) 应划分出特定的管理区域,对分布在网络中的安全
2
2 物理访问控 制
1
3 防盗窃和防 破坏
3
4 防雷击
3
4 防雷击
2
物理安全 5 防火
物理和环境安
3

5 防火
3
6 防水和防潮
4
6 防水和防潮
3
7 防静电
2
7 防静电
2
8 温湿度控制
1
8 温湿度控制
1
9 电力供应
4
9 电力供应
3
10 电磁防护
3
10 电磁防护
2
原控制项
新控制项
b) 机房场地应避免设在建筑物的高层
11
16
系统建设管理
28
45
系统运维管理
41
62
合计
/
175
290
基本 要求 大类 2.0
技术 要求
基本要求子类
信息系统安全等级保 护级别
等保二级 等保三级
物理和环境安全
15
22
网络和通信安全
16
33
设备和计算安全
17
26
应用和数据安全
22
34
管理 安全策略和管理
6
7
要求
制度
安全管理机构和
16
26
人员
标准内容的变化
等级保护 标准体系
定级指南 基本要求 设计要求 测评要求
通用要求
云计算
物联网
移动互联 工业控制
控制结构的变化
等级保护1.0 旧标准
物理安全
技术要求
网络安全 主机安全
应用安全
数据安全及备份恢复
安全管理制度
安全管理机构
管理要求
人员安全管理
系统建设管理
系统运维管理
结构图
等级保护2.0
新标准 物理和环境安全
第二级 信息系统受到破坏后,会对公民、法人和其他组织的合 法权益产生严重损害,或者对社会秩序和公共利益造成损害, 但不损害国家安全
第三级 信息系统受到破坏后,会对社会秩序和公共利益造成严 重损害,或者对国家安全造成损害
第四级 信息系统受到破坏后,会对社会秩序和公共利益造成特 别严重损害,或者对国家安全造成严重损害
9
9
人员
安全建设管理
10
10
安全运维管理
14
14
合计
/
69
71
要求项对比
基本 要求 大类 1.0
技术 要求
基本要求子类
物理安全 网络安全
信息系统安全等级保护 级别
等保二级 等保三级
19
32
18
33
主机安全
19
32
应用安全
19
31
数据安全
4
8
管理 安全管理制度
7
11
要求
安全管理机构
9
20
人员安全管理
限制或检查; 边界防护
c) 应能够对内部用户非授权联到外部网络的行为进行 限制或检查;
的行为进行检查,准确定出位置,并对其进
行有效阻断。
d) 应限制无线网络的使用,确保无线网络通过受控的
边界防护设备接入内部网络。
入侵防范

b) 应在关键网络节点处检测、防止或限制从内部发起 入侵防范 的网络攻击行为; (新增)
物理位置的选择
或地下室,以及用水设备的下层或隔 壁。
物理位置的 选择
b) 机房场地应避免设在建筑物的顶层或 地下室,否则应加强防水和防潮措施
防静电

防静电
b) 应采取措施防止静电的产生,例如采 用静电消除器、佩戴防静电手环等。(新 增)
原控制点 要求项数
新控制点 要求项数
1结构安全
7
1 网络架构
5

c) 应采取技术措施对网络行为进行分析,实现对网络 攻击特别是新型网络攻击行为的分析; (新增)
原控制项 恶意代码防范 无
安全审计


新控制项
恶意代码防范
b) 应在关键网络节点处对垃圾邮件进行检测和防护, 并维护垃圾邮件防护机制的升级和更新。 (新增)
d) 应确保审计记录的留存时间符合法律法规要求;
2访问控制
8
2通信传输
2
3安全审计
4
3边界防护
4
网络安全
4边界完整性 检查
5入侵防范
2
4 访问控制
5
网络和通信安全
2
5 入侵防范
4
6 恶意代码防 范
2
7 网络设备防 护
8
6 恶意代码 防范
2
7 安全审计
5
8 集中管控
6
原控制项
新控制项
a) 应采用校验码技术或密码技术保证通信过程中数据
的完整性;

通信传输
b) 应采用密码技术保证通信过程中敏感信息字段或整
个报文的保密性。
a) 应能够对非授权设备私自联到内部网络的
a) 应保证跨越边界的访问和数据流通过边界防护设备 提供的受控接口进行通信;
行为进行检查,准确定出位置,并对其进行
有效阻断;
b) 应能够对非授权设备私自联到内部网络的行为进行
边界完整 性检查
b) 应能够对内部网络用户私自联到外部网络
网络和通信安全 设备和计算安全
技术要求
应用和数据安全
安全策略和管理制度
安全管理机构和人员 安全建设管理
管理要求
安全运维管理
控制点对比
ຫໍສະໝຸດ Baidu
基本 要求 大类 1.0
技术 要求
基本要求子类
物理安全 网络安全
信息系统安全等级保护 级别
等保二级 等保三级
10
10
6
7
主机安全
6
7
应用安全
7
9
数据安全
3
3
管理 安全管理制度
等级保护2.0介绍
什么是等级保护?
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的 专有信息以及公开信息和存储、传输、处理这些信息的信息系统分 等级实行安全保护,对信息系统中使用的信息安全产品实行按等级 管理,对信息系统中发生的信息安全事件分等级响应、处置。
等级保护的划分
第一级 信息系统受到破坏后,会对公民、法人和其他组织的合 法权益造成损害,但不损害国家安全、社会秩序和公共利益
安全建设管理
25
34
安全运维管理
30
48
合计
/
147
230
总体上看,等保2.0通用要求在技术部分的基础上进行了一 些调整,但控制点要求上并没有明显增加,通过合并整合 后相对旧标准略有缩减。
原控制点 要求项数
新控制点 要求项数
1 物理位置的 选择
2
2 物理访问控 制
4
3 防盗窃和防 破坏
6
1 物理位置的 选择
相关文档
最新文档