等保测评介绍及解决方案(最终)PPT.ppt

单击此处编辑母版标题样式,编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2020/3/7,#,#,网络安全等级保护介绍,恒生科技：周 伟,2019.08.23,1,2025/4/28 周一,主要内容,三,测评介绍,一,二,等保必要性,延时符,等保介绍,四,解决方案,2,2025/4/28 周一,三个分等级,等级保护的定义：,是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的,信息系统,分等级实行安全保护，对信息系统中使用的,安全产品,实行按等级管理，对信息系统中发生的信息,安全事件,分等级进行响应、处置。等级保护，即,分等级保护,，,分等级监管,。,系统重要程度有多高，安全保护就应当有多强，既不能保护不足，也不能过度保护。,三个,分等级,信息系统,安全产品,安全事件,3,2025/4/28 周一,等级保护发展,历程,等保,1.0,发展情况,1994-2003,政策环境营造,1994,年，国务院颁布,中华人民共和国计算机信息系统安全保护条例,，规定计算机信息系统实行安全等级保护。,2003,年，中央办公厅、国务院办公厅颁发,国家信息化领导小组关于加强信息安全保障工作的意见,（中办发,200327,号）明确指出“实行信息安全等级保护”。,2004-2006,工作开展准备,2004-2006,年，公安部联合四部委开展涉及,65117,家单位，共,115319,个信息系统的等级保护基础调查和等级保护试点工作，为全面开展等级保护工作奠定基础。,2007-2010,工作正式启动,2007,年,6,月，四部门联合出台,信息安全等级保护管理办法,。,2007,年,7,月，四部门联合颁布,关于开展全国重要信息系统安全等级保护定级工作的通知,。,2007,年,7,月,20,日，召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议，标志着信息安全等级保护制度正式开始实施。,2010-2016,工作规模推进,2010,年,4,月，公安部出台,关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知,，提出等级保护工作的阶段性目标。,2010,年,12,月，公安部和国务院国有资产监督管理委员会联合出台,关于进一步推进中央企业信息安全等级保护工作的通知,，要求中央企业贯彻执行等级保护工作。,4,2025/4/28 周一,等级保护发展历程 等保,2.0,发展情况,修订等保,1.0,2016,年,10,月公安部网络安全保卫局组织对原有国家标准,GB/T 22239-2008,等系列标,准进行了修订。,2.0,系列标准,编制工作,2017,年,1,月至,2,月，全国信息安全标准化技术委员会发布,网络安全等级保护基本要求,系列标准、,网络安全等级保护测评要求,系列标准等“征求意见稿”。,2017,年,5,月，国家公安部发布,GA/T 13892017,网络安全等级保护定级指南,、,GA/T 1390.22017,网络安全等级保护基本要求 第,2,部分：云计算安全扩展要求,等,4,个公共安全行业等级保护标准。,等保,2.0,网络安全等级保护条例,征求意见稿发布。,7,月再次调整分类结构和强化可信计算。充分体现一个中心，三重防御的思想（和,GB/T 25070,保持一致）充分强化可信计算技术使用的要求（和,GB/T 25070,保持一致），等保,2.0,标准在,2019,年,5,月,13,号正式发布，,12,月,1,号正式实施,，进入等保,2.0,时代。,5,2025/4/28 周一,6,2025/4/28 周一,等级保护依据的法律、法规,网络安全法,第二十一条明确要求：,“国家实行网络安全等级保护制度”,。,网络安全等级保护条例,第三条【确立制度】国家实行网络安全等级保护制度，,对网络实施分等级保护、分等级监管,（征求意见稿）,。,关键信息基础设施安全保护条例,（征求意见稿）。,关于开展信息安全等级保护安全建设整改工作的指导意见,（公信安,2009,1429,号）。,中央关于加强社会治安防控体系建设的意见、公安改革若干重大问题的框架意见要求“健全完善信息安全等级保护制度”。,中央领导批示要求：健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度。,7,2025/4/28 周一,等级保护,2.0,的法规、标准体系,网络安全等级保护条例（制订中,-,征求意见稿）（总要求,/,上位文件）,计算机信息系统安全保护等级划分准则（,GB,17859-1999),（,上位标准）,网络安全等级保护 基本要求,(,GB/T,22239,-2019,),网络安全等级保护 安全设计技术要求,(,GB/T,25070,-2019,),网络安全等级保护 测评要求,(,GB/T,28448,-2019,),网络安全等级保护 测评过程指南,(G,B/T,28449,-2018,),网络安全等级保护 定级指南,(,GB/T,22240),（修订）,网络安全等级保护 实施指南,(,GB/T,25058),（修订）,8,2025/4/28 周一,等级保护,等级划分,第一级,自主保护级：,此类信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成,一般损害,，,不损害,国家安全、社会秩序和公共利益。,第二级,指导保护级：,此类信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成,严重损害,，会对社会秩序、公共利益造成,一般损害,，,不损害,国家安全。,第三级 监督保护级：,此类信息系统受到破坏后，会对国家安全、社会秩序造成,损害,对,公共利益造成,严重损害,，对公民、法人和其他组织的合法权益造成,特别严重的损害,。,无需备案，对测评周期无要求,公安部门备案，建议两年测评一次,公安部门备案，要求每年测评一次,9,2025/4/28 周一,等级保护,等级划分,第四级,强制保护级：,此类信息系统受到破坏后，会对国家安全造成,严重损害,，,对,社会秩序、公共利益造成,特别严重损害,。,第五级,专控保护级：,此类信息系统受到破坏后会对国家安全造成,特别严重损害,。,公安部门备案，要求半年一次,公安部门备案，依据特殊安全需求进行,10,2025/4/28 周一,我国关键信息基础设施是指关系国家核心利益、人民群众生命财产安全和社会生产生活秩序，一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生和公共利益的网络基础设施、重要业务系统和生产控制系统以及重要数据资源。,关键信息基础设施,关键信息基础设施的安全保护等级,不低于三级,11,2025/4/28 周一,等级保护政策内容,由测评公司、咨询公司提供预测评服务，根据技术要求与测评要求提出整改意见与方案,物理安全，由院方根据预测评整改意见进行机房建设与整改,网络安全，主机安全、应用安全、数据安全，由专业安全厂商根据预测评整改意见提供相关安全产品与部署方案，由集成商实现安全产品部署与现有操作系统、数据库等系统的安全设置。,管理要求，由院方根据预测评整改意见完善管理方面的建设，其中涉及必要的技术手段由安全厂商提供,对信息系统中使用的信息安全产品实行按,等级管理,对信息系统中发生的信息安全事件,分等级响应、处置,12,2025/4/28 周一,主要内容,三,怎么做等保,一,二,等保必要性,延时符,什么是等保,四,解决方案,13,2025/4/28 周一,开展等保的最重要原因是为了通过等级保护测评工作，发现单位系统内、外部存在的安全风险和脆弱性，通过整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。,梳理出了不同等级的系统后，我们就要对不同系统进行不同等级的安全防护建设，保证重要的信息系统在有攻击的情况下能够很好地抵御攻击或者被攻击后能够快速的恢复应用，不造成重大损失或影响。,降低信息安全风险，提高信息系统的安全防护能力；,1,14,2025/4/28 周一,等级保护是我国关于信息安全的基本政策,2007年6月发布的关于印发信息安全等级保护管理办法的通知（公通字200743 号）规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。,2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过中华人民共和国网络安全法，网络安全法第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。,简单总结下就是国家法律法规、相关政策制度要求我们去开展等级保护工作，不做就不合规，就违法。,满足国家相关法律法规和制度的要求；,2,15,2025/4/28 周一,很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育等行业，还有一些主管单位发过相关文件或通知要求去做。另外信息安全主管单位要求我们去开展等级保护工作，主要有：公安、网信办、经信委、通管局等行业主管单位。,所以不做等保的话，没法向相关主管单位和行业领导们交待。,满足相关主管单位和行业要求；,3,16,2025/4/28 周一,每年都会出现一些的信息安全事件，一旦发生比较大的安全事件，主管单位就要去现场调查，首先就会看我们到底有没开展等级保护工作，那么如果你没有，最直接的一个结论就是你的信息安全工作没有开展好，没有开展到位，国家最基本的信息安全等级保护工作都没做，你说你买了很多防火墙，很多安全设备，都不如你实实在在拿出备案证明，拿出测评报告说服力强。,出了问题难免就会被通报批评，被勒令下线整改，那么开展了等级保护工作和没有开展等级保护工作被通报的内容就显然不同了。最简单的例子：一个主观上重视安全工作但是因为技术还不够好而被攻击造成破坏和一个主观上都不重视安全工作被攻击造成破坏的情况，孰轻孰重，一目了然。怎么叫主观上重视呢？等保工作有没有开展就是衡量的一个重要标准，因为等级保护是国家基本信息安全制度要求。,四、合理地规避或降低风险。,4,17,2025/4/28 周一,依据,中华人民共和国网络安全法,第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。,第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，,处一万元以上十万元以下罚款,，对直接负责的主管人员处,五千元以上五万元,以下罚款。,关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，,处十万元以上一百万元,以下罚款，对直接负责的主管人员处,一万元以上十万元,以下罚款。,18,2025/4/28 周一,网络安全法执法案例,案例一：重庆永川某私立医院服务器突然陷入瘫痪，医院业务全面“停摆,重庆永川某医院未履行等级保护义务，被罚款10000元，医院业务全面“停摆”，重庆永川公安接警后立即按照“净网2019”工作要求，启动网络安全应急响应预案，组织网安刑侦民警、勘验民警、管理民警、技术支持专家赶赴现场对该案件进行调查核实。经过民警和技术专家调查核实，该私立医院因未按照网络安全等级保护制度的要求履行安全保护义务。,医院HIS、LIS、PACS、EMR等后台系统业务以及微信公众号后台、医院网站等主要系统业务全部放置在同一套服务器中，医院未安装边界防护设备、未安装日志行为审计设备，未设置数据安全备份策略等其他网络安全技术措施，使医院业务在互联网上长期处于“裸奔”状态。黑客通过互联网攻破医院系统后植入勒索病毒，导致医院业务全面“停摆”。,针对此案，公安部门按照公安部“一案双查”工作要求，对医院未按照网络安全等级保护制度的要求履行安全保护义务的行为进行查处，并按照中华人民共和国网络安全法第五十九条之规定，对医院处以罚款一万元，对直接负责的主管人员处以罚款五千元的行政处罚。,19,2025/4/28 周一,案例二：新乡市封丘县图书馆致命网站遭受攻击,河南网警发布一条公告：新乡市封丘县图书馆未按中国人民共和国网络安全法的要求，未采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施，致命网站遭受攻击。,封丘县公安局依据中华人民共和国网络安全法第五十九条第一款之规定，对封丘县图书馆给予罚款2万元、对直接责任人海某给予罚款5000元的行政处罚；并建议依法依规追究相关人员责任。1月13日，封丘县文化广电旅游局经研究决定，给予负责网络安全工作的直接责任人海某行政警告处分。,网络安全法执法案例,20,2025/4/28 周一,案例三：山西忻州市某省直事业单位网站不履行网络安全保护义务被处罚,2017,年6月至7月间，山西忻州市某省直事业单位网站存在SQL注入漏洞，严重威胁网站信息安全，连续被国家网络与信息安全信息通报中心通报。根据中华人民共和国网络安全法第二十一条第二款之规定，网络运营者应当按照网络安全等级保护制度的要求，采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；第五十九条第一款之规定，网络运营者不履行第二十一条规定的网络安全保护义务的，由有关主管部门责令改正，依法予以处置。山西忻州市网警认为该单位之行为已违反网络安全法相关规定，忻州市、县两级公安机关网安部门对该单位进行了现场执法检查，依法给予行政警告处罚并责令其改正。,执法机构：山西忻州市、县两级公安机关网安部门,处罚行为：未按照网络安全等级保护制度的要求，采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,处罚措施：警告并责令其改正,法律依据：网络安全法第21条、第59条,网络安全法执法案例,21,2025/4/28 周一,案例四：安徽网警依法查处一起违反网络安全等级保护制度案件,2017,年8月12日，蚌埠怀远县教师进修学校网站因网络安全防等级保护制度落实不到位，遭黑客攻击入侵。蚌埠市公安局网安支队调查案件时发现，该网站自上线运行以来，始终未进行网络安全等级保护的定级备案、等级测评等工作，未落实网络安全等级保护制度，未履行网络安全保护义务。根据网络安全法第五十六条之规定，省公安厅网络安全保卫总队约谈怀远县教师进修学校法定代表人、怀远县人民政府分管副县长。蚌埠市局网安支队依法对网络运营单位怀远县教师进修学校处以一万五千元罚款，对负有直接责任的副校长处以五千元罚款。,执法机构：安徽省公安厅网络安全保卫总队；蚌埠市局网安支队,处罚行为：网站因网络安全防等级保护制度落实不到位，遭黑客攻击入侵。,处罚措施：约谈怀远县教师进修学校法定代表人、怀远县人民政府分管副县长；对网络运营单位怀远县教师进修学校处以一万五千元罚款，对负有直接责任的副校长处以五千元罚款。,法律依据：网络安全法第21条、56条、第59条第1款。,网络安全法执法案例,22,2025/4/28 周一,案例五:国内首例高校违法案例诞生，因未落实等保制度致学生信息泄露,2017,年9月28日，淮南市网络与信息安全信息通报中心接到国家网络与信息安全信息通报中心通报：淮南职业技术学院系统存在高危漏洞，系统存储的4000余名学生身份信息已经造成泄露。经查，确认淮南职业技术学院招生信息管理系统存在越权漏洞，后台登录密码弱口令，学院未落实网络安全管理制度，未建立网络安全防护技术措施、网络日志留存少于六个月，未采取数据分类、重要数据备份和加密措施，致使系统存储的4353名学生的身份信息泄露。,2017,年,10月12日,安徽省淮南市网警巡查执法官方微博发布通报称，关于淮南职业技术学院未落实网络安全等级保护制度，导致4000余名学生身份信息泄露一事，淮南市公安局网安支队依法对该学院处以立即整改和行政警告的处罚措施。,执法机构：淮南市公安局网安支队,处罚行为：淮南职业技术学院招生信息管理系统存在越权漏洞，后台登录密码弱口令，未落实网络安全管理制度，未建立网络安全防护技术措施、网络日志留存少于六个月，未采取数据分类、重要数据备份和加密措施，致使系统存储的多名学生身份信息泄露。,处罚措施：责令整改，警告,法律依据：网络安全法第21条、第59条第1款。,网络安全法执法案例,23,2025/4/28 周一,主要内容,三,测评介绍,一,二,等保政策,延时符,等保介绍,测评介绍,四,解决方案,24,2025/4/28 周一,什么是等级测评？,信息系统等级测评是指,测评机构,依据国家信息安全等级保护制度规定，按照有关,管理规范和技术标准,，对,未涉及国家秘密,的信息系统安全等级保护状况进行检测评估的活动。,等级测评是,标准符合性,评判活动，即依据信息安全等级保护的国家标准或行业标准，按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。,25,2025/4/28 周一,等保测评流程,一,定级,二,备案,三,建设整改,备案是等级保护的,核心,建设整改是等级保护工作落实的,关键,四,等级测评,等级测评是评价安全保护状况的,方法,定级是等级保护的,首要环节,26,2025/4/28 周一,重要行业关键信息系统划分及定级建议,等级,对象,侵害客体,侵害程度,监管强度,第一级,一般,系统,合法权益,损害,自主保护,第二级,合法权益,严重损害,指导,社会秩序和公共利益,损害,第三级,重要,系统,社会秩序和公共利益,严重损害,监督检查,国家安全,损害,第四级,社会秩序和公共利益,特别严重损害,强制监督检查,国家安全,严重损害,第五级,极端重要系统,国家安全,特别严重损害,专门监督检查,27,2025/4/28 周一,管理办法,规定的五个等级：,第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但,不损害国家安全、社会秩序和公共利益,。,第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但,不损害国家安全,。,等级保护,-,定级,28,2025/4/28 周一,第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者,对国家安全造成损害,。新修订定级指南对公民、法人和其他组织的合法权益造成特别严重损害。,第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者,对国家安全造成严重损害,。,第五级，信息系统受到破坏后，会对,国家安全造成特别严重损害,。,等级保护,-,定级,29,2025/4/28 周一,实际操作中参考确定信息系统等级：,第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。,第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。,等级保护,-,定级,30,2025/4/28 周一,第三级信息系统：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络系统等。,第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全，影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。,等级保护,-,定级,31,2025/4/28 周一,测评目标,需要实施安全等级保护的信息系统为：,-,党政系统,(,党委、政府,),；,-,金融系统,(,银行、保险、证券,),；,-,财税系统,(,财政、税务、工商,),；,-,经贸系统,(,商业贸易、海关,),；,-,电信系统,(,邮电、电信、广播、电视,),；,-,能源系统,(,电力、热力、燃气、煤炭、油料,),；,-,交通运输系统,(,航空、航天、铁路、公路、水运、海运,),；,-,供水系统,(,水利及水源供给,),；,-,社会应急服务系统,(,医疗、消防、紧急救援,),；,-HIS,、,LIS,、,PACS,、,EMR,、门户网站、,OA,系统（医院）,32,2025/4/28 周一,系统定级,定级,依据,依据如下标准：,GA/T 13892017,：,信息安全技术网络安全等级保护定级指南,GB 17859-1999,：,计算机信息系统安全保护等级划分准则,33,2025/4/28 周一,信息系统定级依据,教育行业信息系统安全等级保护定级指南,（,2014,年）（教育部办公厅）,学校信息系统可分为：,重点建设类高等学校信息系统（I 类）、,高等学校信息系统（类）、,中小学校（含中职中专院校）信息系统（类）；,一类信息系统的部分系统，定义为三级等保，,（学校门户网站、财务管理系统、校园一卡通系统、教务管理系统）,二类信息系统，均定义为二级等保，,三类信息系统，均定义为一级等保，,电力行业信息系统安全等级保护定级工作指导意见,（国家电力监管委员会）,34,2025/4/28 周一,信息系统定级依据,卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知,（卫生部办公厅）,1,、,HIS,系统,2,、,LIS,系统,3,、,EMR,系统,4,、,PACS,系统,5,、办公系统,6,、门户网站系统,信息安全技术 信息安全等级保护基本要求,GB/T 22239-2008,（国家标准管理委员会）,1,、门户网站,2,、电子政务网络,3,、邮件系统,4,、应急管理系统,5,、数字城管系统,6,、公共资源交易系统,7,、大数据云计算中心,35,2025/4/28 周一,信息系统定级依据,其他行业标准：,证券期货业信息系统安全等级保护基本要求,JR/T 0060-2010,（中国证券监督管理委员会公告）,金融行业信息系统信息安全等级保护实施指引,JR/T 0071-2012,（,中国人民银行发布,）,烟草行业信息系统安全等级保护实施规范,YC/T 495-2014,（国家烟草专卖局）,税务系统信息安全等级保护基本要求,（试行）,（国家税务总局）,36,2025/4/28 周一,测评流程,资产调研,现场评估,对测评对象的网络架构、系统构成、主要业务、管理制度进行前期调研。,启动会议,报告交付,末次会议,报告交付,整改加固,对管理制度及措施、人员组织、网络架构、系统配置、安全漏洞进行全面评估。,提供整改加固建议，协助对信息系统整改加固的有效性进行判断。,召开现场测评启动会议，为现场评估工作的顺利展开提供帮助。,召开现场测评末次会议，总结现场测评发现的问题。,交付,正式的等级保护测评报告，测评工作宣告结束。,工期：,30-60,天,37,2025/4/28 周一,交付成果,XX,信息系统信息安全等级保护测评报告,共,3,份,（用户单位、测评机构、公安部门）,XX,单位,信息系统信息安全等级保护建设整改方案,38,2025/4/28 周一,主要内容,三,测评介绍,一,二,等保政策,延时符,四,解决方案,等保介绍,测评介绍,39,2025/4/28 周一,网络安全等级保护基本要求,（安全通用要求）,技术要求,安全物理环境,物理位置选择,物理访问控制,防盗窃和防破坏,防雷击,防火,防水和防潮,防静电,温湿度控制,电力供应,电磁防护,安全通信网络,网络架构,通信传输,可信验证,安全区域边界,边界防护,访问控制,入侵防范,恶意代码和垃圾邮件防范,安全审计,可信验证,安全计算环境,身份鉴别,访问控制,安全审计,入侵防范,恶意代码防范,可信验证,数据完整性,数据保密性,数据备份恢复,剩余信息保护,个人信息安全,安全管理中心,系统管理,审计管理,安全管理,集中管控,管理要求,安全管理制度,安全策略,管理制度,制定发布,评审和修订,安全管理机构,岗位设置,人员配置,授权和审批,沟通和合作,审核和检查,安全管理人员,人员录用,人员离岗,安全意识教育和培训,外部人员访问管理,安全建设管理,定级和备案,安全方案设计,产品采购和使用,自行软件开发,外包软件开发,工程实施,测试验收,系统交付,等级测评,服务供应商选择,安全运维管理,环境管理,资产管理,介质管理,设备维护管理,漏洞和风险管理,网络和系统安全管理,恶意代码防范管理,配置管理,密码管理,变更管理,备份与恢复管理,安全事件处置,应急预案管理,外包运维管理,40,2025/4/28 周一,网络安全解读,网络安全,结构,安全,访问,控制,安全,审计,边界安,全检查,入侵,防范,恶意代,码防范,设备,防护,要点：,主要设备冗余空间、安全路径控制、整体网络带宽、带宽优先级、重要网段部署,要点：,端口控制、防地址欺骗,协议过滤、会话控制,最大流量数及最大连接数,要点：,审计记录,审计报表,审计记录的保护,要点：,非授权设备接入,非授权网络联出,要点：,记录、报警、阻断,要点：,记录、报警、阻断,要点：,组合鉴别技术,特权用户权限分离,41,2025/4/28 周一,网络安全解读,分类,基本要求,说明及技术方案,产品部署,网络安全,结构安全（,G3,）,a),应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；,主要设备、部件冗余,方案及网络设备保证,b),应保证网络各个部分的带宽满足业务高峰期需要；,带宽预留,方案及网络设备保证,c),应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；,策略路由、静态路由、动态路由协议认证,方案及网络设备保证,d),应绘制与当前运行情况相符的网络拓扑结构图；,根据实际情况绘制、更新拓扑图（纸质或管理软件生成）,e),应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；,合理划分网段,整体方案保证,f),应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；,防火墙策略,防火墙,g),应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。,辅助防火墙设备部署,QOS,策略,防火墙、流控系统,42,2025/4/28 周一,网络安全解读,分类,基本要求,说明及技术方案,产品部署,网络安全,访问控制（,G3,）,a),应在网络边界部署访问控制设备，启用访问控制功能；,防火墙做边界访问控制,防火墙,b),应能根据会话状态信息为数据流提供明确的允许,/,拒绝访问的能力，控制粒度为端口级；,防火墙策略,防火墙,c),应对进出网络的信息内容进行过滤，实现对应用层,HTTP,、,FTP,、,TELNET,、,SMTP,、,POP3,等协议命令级的控制；,IPS,实现,4-7,层协议安全控制,下一代防火墙,/WAF,d),应在会话处于非活跃一定时间或会话结束后终止网络连接；,防火墙会话老化，设置会话超时时间,防火墙,e),应限制网络最大流量数及网络连接数；,防火墙策略,防火墙,f),重要网段应采取技术手段防止地址欺骗；,ip、mac,绑定,防火墙、交换机组合方案保证,g),应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；,第一层次基于,IP,的访问控制，基本防火墙能力第二层次基于用户身份的访问控制，下一代防火墙支持，配合,AAA,系统使用,防火墙,h),应限制具有拨号访问权限的用户数量。,拨号接入设备控制（可能包括,PPTP,等,VPN,方式）,防火墙,/VPN,43,2025/4/28 周一,网络安全解读,分类,基本要求,说明及技术方案,产品部署,网络安全,安全审计（,G3,）,a),应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；,技术点解析：审计网络设备操作记录，提供有效展示，并确保日志安全存储。应对方案：通过流量分析系统、运维管理系统配合实现,网络审计、日志审计、堡垒机,b),审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；,c),应能够根据记录数据进行分析，并生成审计报表；,d),应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。,边界完整性检查（,S3,）,a),应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；,接入认证、,IP/MAC,绑定,终端准入,b),应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。,防私接,终端准入,44,2025/4/28 周一,网络安全解读,分类,基本要求,说明及技术方案,产品部署,网络安全,入侵防范（,G3）,a),应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、,IP,碎片攻击和网络蠕虫攻击等；,攻击检测和防御,IDS,、,IPS,b),当检测到攻击行为时，记录攻击源,IP,、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。,恶意代码防范（,G3,）,a),应在网络边界处对恶意代码进行检测和清除；,攻击、病毒检测和防御,防毒墙,b),应维护恶意代码库的升级和检测系统的更新。,定期升级特征库,45,2025/4/28 周一,网络安全解读,分类,基本要求,说明及技术方案,产品部署,网络安全,网络设备防护（,G3,）,a),应对登录网络设备的用户进行身份鉴别；,网络运维人员身份管理,网络设备安全策略控制设定,+,堡垒机辅助,b),应对网络设备的管理员登录地址进行限制；,ACL、,安全策略,c),网络设备用户的标识应唯一；,堡垒机做双因素认证,d),主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；,堡垒机做双因素认证,e),身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；,设置复杂口令,f),应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；,设置策略控制非法登录次数和超时退出,g),当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；,远程管理使用加密协议，如,SSH,h),应实现设备特权用户的权限分离。,设备上设置用户权限,46,2025/4/28 周一,主机安全解读,主机安全,身份,鉴别,访问,控制,安全,审计,剩余信,息保护,入侵,防范,恶意代,码防范,资源,控制,要点：组合鉴别技术,要点：,管理用户权限分离,敏感标记的设置,要点：,审计记录,审计报表,审计记录的保护,要点：,空间释放,信息清除,要点：,记录、报警、阻断,要点：,记录、报警、阻断,与网络恶意代码库分离,要点：,监控重要服务器,最小化服务,检测告警,47,2025/4/28 周一,应用及数据安全,应用安全,身份鉴别,访问控制,安全审计,剩余信息保护,通信完整性,通信保密性,防抵赖,软件容错,资源控制,要点,身份鉴别,访问控制,安全审计,剩余信息保护,通信,完整性,通信保密,性,防,抵赖,软件容错,资源控制,组合鉴别技术,敏感标记的设置,审计报表及审计记录的保护,敏感信息清楚、存储空间释放,加密技术,整个报文及会话传输过程加密,原发证据的提供,出错校验、自动保护,资源分配、优先级、最小化服务及检测报警,数据安全,要点,数据完整性,数据保密性,备份和回复,数据完整性,数据保密性,备份和恢复,数据存储、传输，完整性检测和恢复,数据存储、传输，加密保护,冗余、备份,48,2025/4/28 周一,等级保护安全技术,方案,-,用户,互联网接入区,SSL VPN,网关,管理区,数据中心区,上网行为管理,边界,FW,Internet,DDoS,防御,运维审计系统,Web,服务器,Web,防火墙,网络管理系统,终端安全准入系统,日志审计系统,接入区,接入用户,接入用户,接入用户,IPS/AV,防火墙,漏洞扫描系统,态势感知,CIS,49,2025/4/28 周一,等级保护安全技术方案,-,通用,互联网接入区,SSL VPN,网关,管理区,数据中心区,管理区,FW,上网行为管理,边界,FW,核心,FW/IPS,Internet,DDoS,防御,运维审计系统,Web,服务区,Web,服务器,Web,防火墙,网络管理系统,终端安全准入系统,日志审计系统,接入区,接入用户,接入用户,接入用户,IPS/AV,防火墙,漏洞扫描系统,态势感知,CIS,50,2025/4/28 周一,三级等保实施方案（通用）,三级系统安全保护环境基本要求与对应产品,使用范围,基本要求,产品类型举例,安全通信网络,网络结构（,VLAN,划分）,三层交换机,MPLS VPN,访问控制（权限分离）,防火墙,入侵防范（检测告警）,主机入侵检测产品（,HIDS,）,备份恢复（数据备份）,设备冗余、本地备份（介质场外存储）,数据完整性、保密性,VPN,设备,剩余信息管理,终端综合管理系统,身份认证（双因素）,证书、令牌、密保卡,恶意代码防范（统一管理）,网络版主机防病毒软件,安全区域边界,区域边界访问控制（协议检测）,防火墙（,IPS）,资源控制（优先级控制）,带宽管理、流量控制设备,区域边界入侵检测,IDS,区域边界恶意代码防范,防病毒网关,区域边界完整性保护,终端综合管理系统,安全通信网络,通信网络安全审计,上网行为管理,数据传输完整性、保密性保护,VPN,设备,安全管理中心,集中管控,安全管理平台,审计管理（网络、主机、应用）,安全审计系统,51,2025/4/28 周一,做等保、找恒生！,一站式服务。,52,2025/4/28 周一,谢 谢！,53,2025/4/28 周一,