等级保护2.0讲解PPT学习课件.ppt

资源描述

1、,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2,#,等级保护,2.0,介绍,1,2025/1/5 周日,什么是等级保护？,网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。,2,2025/1/5 周日,等级保护的划分,第一级信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益,第二级信息系统受到破坏后，会对公民、法人和其他组织

2、的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全,第三级信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害,第四级信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害,第五级信息系统受到破坏后，会对国家安全造成特别严重损害,3,2025/1/5 周日,等级保护工作主要的流程,一是定级,二是备案（二级以上的信息系统）,三是系统建设、整改,四是开展等级测评,五是信息安全监管部门定期开展监督检查,4,2025/1/5 周日,等级保护的对象演变,5,2025/1/5 周日,标准名称的变化,等保,2.0,将原来

3、的标准,信息安全技术信息系统安全等级保护基本要求,改为,信息安全技术网络安全等级保护基本要求,，与,中华人民共和国网络安全法,中的相关法律条文保持一致,6,2025/1/5 周日,标准内容的变化,等级保护标准体系,定级指南,基本要求,通用要求,云计算,物联网,移动互联,工业控制,设计要求,测评要求,7,2025/1/5 周日,控制结构的变化,8,2025/1/5 周日,等级保护,1.0,等级保护,2.0,结构图,旧标准,技术要求,物理安全,网络安全,主机安全,应用安全,数据安全及备份恢复,管理要求,安全管理制度,安全管理机构,人员安全管理,系统建设管理,系统运维管理,新标准,物理和环境安全

4、,技术要求,网络和通信安全,设备和计算安全,应用和数据安全,安全策略和管理制度,管理要求,安全管理机构和人员,安全建设管理,安全运维管理,9,2025/1/5 周日,控制点对比,10,2025/1/5 周日,基本要求大类,1.0,基本要求子类,信息系统安全等级保护级别,等保二级,等保三级,技术要求,物理安全,10,10,网络安全,6,7,主机安全,6,7,应用安全,7,9,数据安全,3,3,管理要求,安全管理制度,3,3,安全管理机构,5,5,人员安全管理,5,5,系统建设管理,9,11,系统运维管理,12,13,合计,/,66,73,基本要求大类,2.0,基本要求子类,信息系统安全等级保护级

5、别,等保二级,等保三级,技术要求,物理和环境安全,10,10,网络和通信安全,7,8,设备和计算安全,6,6,应用和数据安全,9,10,管理要求,安全策略和管理制度,4,4,安全管理机构和人员,9,9,安全建设管理,10,10,安全运维管理,14,14,合计,/,69,71,11,2025/1/5 周日,要求项对比,12,2025/1/5 周日,基本要求大类,1.0,基本要求子类,信息系统安全等级保护级别,等保二级,等保三级,技术要求,物理安全,19,32,网络安全,18,33,主机安全,19,32,应用安全,19,31,数据安全,4,8,管理要求,安全管理制度,7,11,安全管理机构,9,2

6、0,人员安全管理,11,16,系统建设管理,28,45,系统运维管理,41,62,合计,/,175,290,基本要求大类,2.0,基本要求子类,信息系统安全等级保护级别,等保二级,等保三级,技术要求,物理和环境安全,15,22,网络和通信安全,16,33,设备和计算安全,17,26,应用和数据安全,22,34,管理要求,安全策略和管理制度,6,7,安全管理机构和人员,16,26,安全建设管理,25,34,安全运维管理,30,48,合计,/,147,230,13,2025/1/5 周日,总体上看，等保,2.0,通用要求在技术部分的基础上进行了一些调整，但控制点要求上并没有明显增加，通过合并整合后

7、相对旧标准略有缩减。,14,2025/1/5 周日,原控制点,要求项数,新控制点,要求项数,物理安全,1,物理位置的选择,2,物理和环境安全,1,物理位置的选择,2,2,物理访问控制,4,2,物理访问控制,1,3,防盗窃和防破坏,6,3,防盗窃和防破坏,3,4,防雷击,3,4,防雷击,2,5,防火,3,5,防火,3,6,防水和防潮,4,6,防水和防潮,3,7,防静电,2,7,防静电,2,8,温湿度控制,1,8,温湿度控制,1,9,电力供应,4,9,电力供应,3,10,电磁防护,3,10,电磁防护,2,15,2025/1/5 周日,原控制项,新控制项,物理位置的选择,b),机房场地应避免设在建筑

8、物的高层或地下室，以及用水设备的下层或隔壁。,物理位置的选择,b),机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施,防静电,无,防静电,b),应采取措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等。,(,新增,),16,2025/1/5 周日,原控制点,要求项数,新控制点,要求项数,网络安全,1,结构安全,7,网络和通信安全,1,网络架构,5,2,访问控制,8,2,通信传输,2,3,安全审计,4,3,边界防护,4,4,边界完整性检查,2,4,访问控制,5,5,入侵防范,2,5,入侵防范,4,6,恶意代码防范,2,6,恶意代码防范,2,7,网络设备防护,8,7,安全审计

9、,5,8,集中管控,6,17,2025/1/5 周日,原控制项,新控制项,无,通信传输,a),应采用校验码技术或密码技术保证通信过程中数据的完整性；,b),应采用密码技术保证通信过程中敏感信息字段或整个报文的保密性。,边界完整性检查,a),应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；,边界防护,a),应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信；,b),应能够对非授权设备私自联到内部网络的行为进行限制或检查；,b),应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。,c),应能够对内部用户非授权联

10、到外部网络的行为进行限制或检查；,d),应限制无线网络的使用，确保无线网络通过受控的边界防护设备接入内部网络。,入侵防范,无,入侵防范,b),应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；,(,新增,),无,c),应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；,(,新增,),18,2025/1/5 周日,原控制项,新控制项,恶意代码防范,无,恶意代码防范,b),应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。,(,新增,),安全审计,无,安全审计,d),应确保审计记录的留存时间符合法律法规要求；,(,新增,),e),

11、应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。,(,新增,),无,集中管控,a),应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；,(,新增,),b),应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理；,(,新增,),c),应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；,(,新增,),d),应对分散在各个设备上的审计数据进行收集汇总和集中分析；,(,新增,),e),应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；,f),应能对网络中发生的各类安全事件进行识别、报警和分析。,(,新增,),19

12、,2025/1/5 周日,解读,1.,根据服务器角色和重要性，对网络进行安全域划分；,2.,在内外网的安全域边界设置访问控制策略，并要求配置到具体的端口；,3.,在网络边界处应当部署入侵防范手段，防御并记录入侵行为；,4.,对网络中的用户行为日志和安全事件信息进行记录和审计；,5.,对安全设备、网络设备和服务器等进行集中管理。,20,2025/1/5 周日,原控制点,要求项数,新控制点,要求项数,主机安全,1,身份鉴别,6,设备和计算安全,1,身份鉴别,4,2,访问控制,7,2,访问控制,7,3,安全审计,6,3,安全审计,5,4,剩余信息保护,2,4,入侵防范,5,5,入侵防范,3,5,恶意

13、代码防范,1,6,恶意代码防范,3,6,资源控制,4,7,资源控制,5,21,2025/1/5 周日,原控制项,新控制项,安全审计,无,安全审计,d),应确保审计记录的留存时间符合法律法规要求；（新增）,入侵防范,无,入侵防范,b),应关闭不需要的系统服务、默认共享和高危端口；,c),应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；,d),应能发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞；,22,2025/1/5 周日,解读,1.,避免账号共享、记录和审计运维操作行为是最基本的安全要求；,2.,必要的安全手段保证系统层安全，防范服务器入侵行为；,23,20

14、25/1/5 周日,原控制点,要求项数,新控制点,要求项数,应用安全,1,身份鉴别,5,应用和数据安全,1,身份鉴别,5,2,访问控制,6,2,访问控制,7,3,安全审计,4,3,安全审计,5,4,剩余信息保护,2,4,软件容错,3,5,通信完整性,1,5,资源控制,2,6,通信保密性,2,6,数据完整性,2,7,抗抵赖,2,7,数据保密性,2,8,软件容错,2,8,数据备份和恢复,3,9,资源控制,7,9,剩余信息保护,2,数据安全及备份恢复,9,数据完整性,2,10,个人信息保护,2,10,数据保密性,2,11,备份和恢复,4,24,2025/1/5 周日,原控制项,新控制项,安全审计,无

15、,安全审计,d),应确保审计记录的留存时间符合法律法规要求；（新增）,软件容错,无,软件容错,c),在故障发生时，应自动保存易失性数据和所有状态，保证系统能够进行恢复。（新增）,身份鉴别,无,身份鉴别,c),应强制用户首次登录时修改初始口令；（新增）,d),用户身份鉴别信息丢失或失效时，应采用技术措施确保鉴别信息重置过程的安全；（新增）,个人信息保护,无,个人信息保护,a),应仅采集和保存业务必需的用户个人信息；（新增）,b),应禁止未授权访问和非法使用用户个人信息。（新增）,25,2025/1/5 周日,解读,1.,应用是具体业务的直接实现，不具有网络和系统相对标准化的特点。大部分应用本身的

16、身份鉴别、访问控制和操作审计等功能，都难以用第三方产品来替代实现；,2.,数据的完整性和保密性，除了在其他层面进行安全防护以外，加密是最为有效的方法；,3.,数据的异地备份是等保三级区别于二级最重要的要求之一，是实现业务连续最基础的技术保障措施。,26,2025/1/5 周日,网络安全法与等级保护工作关系,27,2025/1/5 周日,第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：,（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护

17、责任；,（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；,（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于,六个月,；,（四）采取数据分类、重要数据备份和加密等措施；,（五）法律、行政法规规定的其他义务。,28,2025/1/5 周日,第三十四条,除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：,（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；,（二）定期对从业人员进行,网络安全教育、技术培训和技能考核,；,（三）对重要系统和数据库进行容灾,备份,；,（四）制定网络安全事件,应急预案,，并定期进行演练；,（五）法律、行政法规规定的其他义务。,29,2025/1/5 周日,谢谢,30,2025/1/5 周日,

展开阅读全文