当前位置:文档之家 › 等保2.0详细解读

等保2.0详细解读

  • 格式:ppt
  • 大小:1.42 MB
  • 文档页数:5

下载文档原格式

  / 5

合集下载

等保2.0新标准解读

等保2.0新标准解读

等保2.0新标准解读5月13日下午,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度2.0标准正式发布,包括网络安全等级保护的基本要求、测评要求、安全设计技术要求三个部分,实施时间为2019年12月1日。

《网络安全法》出台后,等级保护进入2.0时代,这意味着2007年四部门建立的“信息安全等级保护体系”已全面升级到“网络安全等级保护2.0体系”。

网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。

开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的提现。

网络安全等级保护虽然依旧按照定级、备案、建设整改、等级测评、监督检查等五个阶段进行,同时,等级保护的“五个等级”及“主体职责”没有变化。

但是,等保2.0已经从法规条例“国务院147号令”上升到《网络安全法》的法律层面;《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予处罚。

总而言之,等保2.0实施后,不开展等级保护等于违反《网络安全法》,可以根据法律规定进行处罚。

传统等级保护(暂时叫等保1.0)主要强调物理安全、主机安全、网络安全、应用安全、数据安全及备份恢复等通用要求,而等保2.0标准在对等保1.0标准基本要求进行优化的同时,针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。

也就是说,使用新技术的信息系统需要同时满足“通用要求安全扩展”的要求。

并且,针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。

通用要求方面,等保2.0标准的核心是“优化”。

删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。

等保2.0主要标准-解释说明

等保2.0主要标准-解释说明

等保2.0主要标准-概述说明以及解释1.引言1.1 概述概述随着信息技术的不断发展和日益普及,网络空间安全问题已经成为了一个全球性难题。

为了提高国家网络安全水平,我国推出了一系列的信息安全等级保护(等保)标准。

等保标准旨在规范和指导各类网络系统、设备和服务的安全建设与管理,以保护国家的核心信息基础设施和重要信息资源的安全。

在等保标准的演进过程中,等保2.0标准应运而生。

等保2.0标准是在等保1.0标准的基础上进一步完善和提升的,以适应网络安全形势的发展和应对新的威胁挑战。

本文将从等保2.0标准的角度,对其主要内容、应用与实施以及重要性进行深入探讨。

另外,还将对等保2.0标准存在的局限性进行分析,并展望其未来的发展方向。

通过阅读本文,读者可对等保2.0标准有一个全面的了解,从而更好地理解和应用这一标准,提升网络安全保障水平,推动我国网络安全事业的健康发展。

1.2 文章结构文章结构部分的内容可以包括以下几个方面:首先,简要介绍本文的组织结构。

本文主要分为三个部分,分别是引言、正文和结论。

每个部分都涵盖了等保2.0主要标准相关的内容,通过逐步展开的方式,从整体和细节两个层面深入探讨等保2.0主要标准的方方面面。

其次,详细说明引言部分的内容。

引言部分将提供该篇文章的背景信息以及对等保2.0主要标准的整体概述。

包括等保2.0标准的定义、由来和发展背景等内容,以便读者能够对本文所述的主题有一个基本的了解。

接着,阐述正文部分的内容和结构。

正文部分是本文的核心,将对等保2.0主要标准进行详细介绍。

主要分为两个子节:等保2.0标准的介绍和等保2.0标准的主要内容。

等保2.0标准的介绍将给出更具体的详细信息,包括标准的制定机构、标准的适用范围和目标等。

而等保2.0标准的主要内容将对标准的具体要求和指导进行详细解读,包括网络安全风险评估与等级划分、网络安全保护等级与技术要求等方面。

最后,简要说明结论部分的内容和意义。

等保2.0标准体系详细解读-培训课件

等保2.0标准体系详细解读-培训课件

访问控制:加强对基于应用协议和应用内容的访问控制 入侵防范:加强对关键网络节点处检测、防止或限制从内/外部发起的网络攻击
行为;新增实现对网络攻击特别是新型网络攻击行为的分析 恶意代码和垃圾邮件防范:新增垃圾邮件防护 安全审计:新增对远程访问的用户行为、访问互联网的用户行为等单独进行行为
资源控制
7
数据完整性
2
数据安全及 备份恢复
数据保密性
2
备份和恢复
4
安全计算环境
控制点
要求项
身份鉴别
4
访问控制
7
安全审计
4
入侵防范
6
恶意代码防范
1
可信验证
1数据Biblioteka 整性2数据保密性2
数据备份恢复
3
剩余信息保护
2
个人信息保护
2
合计
34
变化列举
身份鉴别:加强用户身份鉴别,采用两种或两种以上鉴别方式,且其中 一种鉴别技术至少应使用密码技术来实现
安全审计 数据完整性 个人信息保护
入侵防范 数据保密性
安全区域边界
边界防护
访问控制
恶意代码和垃圾邮件防范
入侵防范 安全审计
可信验证
安全通信网络 网络架构
通信传输
可信验证
安全物理环境
物理位置选择 防雷击
温湿度控制
物理访问控制 防火
电力供应
防盗窃和防破坏
防水和防潮
防静电
电磁防护
通用要求-安全管理要求的变化
信息安全保障纲领 性文件,明确指出 “实行信息安全等 级保护“主要任务
进一步明确了信息 安全等级保护制度 的职责分工和工作 的要求等基本内容
明确了信息安全等 级保护的五个动作, 为开展等级保护工 作提供了规范保障
等级保护2.0标准解读

等级保护2.0标准解读

等级保护2.0标准解读随着互联网技术的不断发展,人们对于个人信息保护的关注程度逐渐提升。

为此,我国相继出台了多项保护个人信息的法规和标准。

其中,等级保护2.0标准是其中重要的一项。

一、等级保护2.0标准的背景等级保护2.0标准是我国信息安全领域的一项重要标准,它的出台主要是针对当前信息环境下的数据泄露、跨界收集等问题,以及对于个人敏感信息保护的需要。

本标准对于政府、企业和个人都有一定的指导意义,是希望通过技术和管理手段来维护信息安全和保护用户个人信息。

二、等级保护2.0标准的主要内容1.等级分类等级保护2.0标准将信息系统按照不同的等级分类,具体分为四个等级。

通过等级分类,可以让用户直观地了解自己的信息系统安全等级,从而更好地保障个人信息的安全。

2.安全控制要求不同等级的信息系统,其保护措施的要求也不同。

等级保护2.0标准中详细列出了四个等级的信息系统所需要的安全控制要求,包括安全管理、物理安全、网络安全、数据安全、应用安全等方面。

其中每一个安全控制要求都有详细的说明和操作指南。

3.风险评估根据等级保护2.0标准,用户需要对自己所属的信息系统进行风险评估,并根据评估结果来采取相应的安全保护措施。

这个过程需要基于实际情况,适当评估信息系统的风险程度,以便在安全措施上精准地投入精力。

4.日志管理等级保护2.0标准要求对于信息系统的运行情况进行日志管理,以便及时发现异常情况并采取相应的措施。

同时,对于重要信息系统,需要开展安全监视和重要事件和安全事件的应急响应工作。

三、等级保护2.0标准实施的意义等级保护2.0标准的出台,对于保护个人信心和保障信息安全具有重要的意义。

它能够有效地帮助用户改善信息安全,保护个人信息的私密性和完整性。

同时,对于企业和政府也具有重要的指导意义,可以指导其科学地进行信息系统的规划和设计,保障信息安全。

四、等级保护2.0标准在实践中的运用等级保护2.0标准已经在我国得到广泛的应用,是保障信息安全方面的重要举措。

三级等保2.0标准

三级等保2.0标准

三级等保2.0标准
三级等保2.0标准是指我国信息安全管理制度中的一项重要标准,是对信息系统安全等级保护的升级和完善。

相比于之前的等保1.0标准,等保2.0标准更加注重信息系统的风险评估和管理、安全保障措施的科学性和有效性、安全管理的持续性和动态性等方面。

以下是三级等保2.0标准的一些主要内容:
1.安全保障目标:明确信息系统的安全保障目标,包括保密性、完整性和可用性等方面。

2.安全等级划分:对信息系统进行安全等级划分,根据安全等级制定相应的安全保障措施和管理要求。

3.安全保障措施:根据信息系统的安全等级,制定相应的安全保障措施,包括物理安全、网络安全、系统安全、数据安全等方面。

4.安全管理要求:制定信息系统的安全管理要求,包括安全管理制度、安全培训、安全检查等方面。

5.安全风险评估:对信息系统进行安全风险评估,制定相应的安全风险应对措施。

6.安全保障评估:对信息系统进行安全保障评估,评估安全保障措施的有效性。

7.安全管理绩效评估:对信息系统的安全管理绩效进行评估,评估安全管理的有效性和持续性。

8.安全管理改进:根据安全管理绩效评估结果,对信息系统的安全管理进行改进和优化。

以上是三级等保2.0标准的一些主要内容,具体的实施细节和要求可能会因不同行业和领域而有所不同。

等保2.0政策规范解读(63页 PPT )

等保2.0政策规范解读(63页 PPT )

c) 应能够对内部用户非授权联到外部网络的行为进行限制或检 查;
d) 应限制无线网络的使用,确保无线网络通过受控的边界防护设备 接入内部网络。
入侵防范
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行 为; (新增)
设计要求
测评要求
通用要求
云计算
物联网
移动互联
工业控制
7
。 share
等保2.0标准解读
勇 share
等级保护1.0和2.0对比
旧标准(等级保护1.0)
技术要求
物理安全 网络安全 主机安全 应用安全
管理要求
数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
9
新标准(等级保护2.0)
无 入侵防范

a) 应采用校验码技术或密码技术保证通信过程中数据的完整性;
通信传输 b) 应采用密码技术保证通信过程中敏感信息字段或整个报文的保密 性。
a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接 口进行通信;
边界防护
b) 应能够对非授权设备私自联到内部网络的行为进行限制或检 查;
3
4
6 防水和防潮
3
2
7 防静电
2
1
8 温湿度控制
1
4
9 电力供应
3
3
10 电磁防护
2
。 share
物理位置的选择
原控制项
新控制项
b)机房场地应避免设在建筑物的高层或 地下室,以及用水设备的下层或隔壁。 物理位置的选择
b)机房场地应避免设在建筑物的顶层或地下室, 否则应加强防水和防潮措施
防静电
等级保护2.0标准解读

等级保护2.0标准解读

等级保护2.0标准解读引言等级保护是指对信息系统根据其重要程度和承载的信息类型进行分类,并根据其分类确定相应的技术和管理措施,以达到保护信息系统安全的目的。

等级保护2.0标准(以下简称标准)是中国国家信息安全等级保护测评中心(以下简称测评中心)发布的信息安全评价标准,通过对信息系统进行评估,为政府和企事业单位提供安全等级保护的指导和借鉴。

标准内容等级划分标准对信息系统安全分为5个等级,分别为A、B、C、D和E等级,等级越高,要求越严格。

根据应用场景和信息系统的特点,使用方可根据需要选择相应的等级进行评估和保护。

技术要求标准对于不同等级的信息系统,提出了相应的技术要求。

技术要求包括网络安全、系统安全、数据安全等方面的要求,并且对不同等级的信息系统要求不同。

例如,在网络安全方面,标准要求高等级信息系统采用多层次防护措施,包括网络入侵检测系统、防火墙、流量监测等;而低等级信息系统则要求基本的网络防护措施,如杀毒软件、防火墙等。

管理要求标准对等级保护的管理要求进行了明确。

管理要求包括安全管理组织、安全策略和规范、安全培训和意识教育等方面的要求。

管理要求的关键在于对等级保护的全生命周期和全链条进行管理,确保信息系统的安全保护工作得到有效的执行。

测评规程标准对信息系统的测评规程进行了详细描述。

测评规程包括等级划分、测评方案、测评方法、测评程序等方面的内容,确保测评工作的规范和有效性。

测评结果被用于评估信息系统的安全等级,并为信息系统提供相应的加固和改进建议。

使用指南标准的使用指南主要包括等级划分、技术要求、管理要求和测评规程的解读和应用。

使用方可根据自身信息系统的特点和需要,按照标准的要求进行评估和保护工作。

标准还提供了一些实施细则和指导,为使用方提供了实际操作的参考。

等级保护2.0标准是一项重要的信息安全评价标准,通过对信息系统的评估和保护,可以有效提高信息系统的安全性和可靠性。

标准的发布为政府和企事业单位提供了参考和指导,帮助其建立健全的信息安全管理体系,保护重要信息资产的安全。

等保2.0的主要变化_概述说明以及解释

等保2.0的主要变化_概述说明以及解释

等保2.0的主要变化概述说明以及解释1. 引言1.1 概述等保2.0是指国家互联网信息办公室发布的《信息系统安全等级保护管理规定》,也被称为“网络安全等级保护2.0”。

随着互联网技术的发展和网络威胁形势的不断演变,等保2.0作为对原有等级保护制度的一次重大改革,旨在解决现有制度存在的问题,并提供更加科学、灵活和有效的网络安全管理要求。

本文将介绍等保2.0主要变化以及对企业和组织带来的影响。

1.2 文章结构本文共分为五个部分。

第一部分是引言,简要介绍了等保2.0的概述、文章结构和目的。

第二部分将详细讨论等保2.0主要变化,包括背景介绍、主要变化概述以及解释这些变化的意义。

第三部分将深入探讨等保2.0所采取的具体改进措施,包括政策法规的更新、安全等级核定标准的调整以及技术要求的升级与完善。

第四部分将重点讨论等保2.0对企业和组织带来的影响与挑战,包括对企业安全管理体系的要求提升、对IT基础设施建设的影响以及对人员培训和意识提升的要求。

最后一部分是结论,总结本文内容。

1.3 目的本文旨在全面介绍等保2.0的主要变化,并解释这些变化对企业和组织产生的影响和挑战。

通过深入了解等保2.0的改革内容,读者可以更好地理解新制度背后的原因和意义,并为相应的安全管理工作做好准备。

同时,本文也为相关领域从业人员提供了一份详尽清晰的参考资料,在实践中能够更加有效地推进等保2.0标准的落地实施。

2. 等保2.0主要变化2.1 背景介绍等保2.0是中国国家网络安全宣传周的重要内容之一,旨在进一步提升我国信息系统安全保护水平,适应新形势下信息化发展对网络安全的新挑战和新需求。

随着互联网技术的迅猛发展及信息化水平的不断提高,我国网络空间面临着日益复杂多变的威胁与风险,原有的等级保护制度已经无法满足现代网络环境下的安全需求。

因此,等保2.0作为更新版的等级保护制度,在政策法规、核定标准以及技术要求方面都进行了重大调整和改进。

2.2 主要变化概述等保2.0相对于原有的等级保护制度,在以下方面进行了主要变化:首先,在政策法规层面上,等保2.0进行了修订和更新。

等保2.0标准介绍

等保2.0标准介绍


等保定级对象(以云计算中心为例)
系统定 级对象
云上系 统安全 由客户
负责
平台定 级对象
云平台 安全由 云服务 商负责
云服务方和云租户对计算资源拥有不同的控制范围,控 制范围则决定了安全责任的边界。
云计算系统与传统信息系统保护对象差异
层面
云计算系统保护对象
传统信息系统保护对象
物理和环境安全 机房及基础设施
GB/T25070.1-XXXX 安全通用要求 GB/T25070.2-XXXX 云计算安全要求 GB/T25070.3-XXXX 移动互联安全要求 GB/T25070.4-XXXX 物联网安全要求 GB/T25070.5-XXXX 工业控制安全要求
等保2.0由一个单一标准演变为一个系列标准
等级保护安全框架
技术要求
安全通信 网络
网络架构
安全区域 边界
访问控制
入侵防范
安全审计
安全计算 环境
身份鉴别
访问控制
入侵防范 镜像和快照
保护 数据完整性和
保密性 数据备份恢复
剩余信息保护
GB/T 22239.2云计算安全扩展要求细则
安全管理中心 集中管控
管理要求
安全建设管理 云服务商选择
供应链管理
安全运维 管理
云计算环境 管理
应用和数据安全
应用系统、云应用开发平台、中间件、 应用系统、中间件、配置文 云业务管理系统、配置文件、镜像文件、件、业务数据、用户隐私、 快照、业务数据、用户隐私、鉴别信息 鉴别信息等 等
系统安全建设管 云计算平台接口、云服务商选择过程、 N/A

SLA、供应链管理过程等
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求
等保2.0解读

等保2.0解读

等保2.0解读等保2.0解读信息安全等级保护 1.0:以GB17859-1999《计算机信息系统安全保护等级划分准则》为根标准;以GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》为基础标准;习惯将《基本要求》的2008版本及其配套规范标准称为等保1.0。

⽹络安全等级保护 2.0:2014年开始制定2.0标准,修订了通⽤安全要求,增加了云计算、移动互联、⼯控、物联⽹等安全扩展要求。

2019年5⽉13⽇发布;2019年12⽉1⽇开始实施。

名称变化:原来:《信息系统安全等级保护基本要求》改为:《信息安全等级保护基本要求》再改为:(与《⽹络安全法》保持⼀致)《⽹络安全等级保护基本要求》主要标准⽂件:⽹络安全等级保护条例(总要求/上位⽂件)计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准)⽹络安全等级保护实施指南(GB/T25058)(正在修订)⽹络安全等级保护定级指南(GB/T22240)(正在修订)★⽹络安全等级保护基本要求(GB/T22239-2019)★⽹络安全等级保护设计技术要求(GB/T25070-2019)★⽹络安全等级保护测评要求(GB/T28448-2019)★⽹络安全等级保护测评过程指南(GB/T28449-2018)等保2.0的“变与不变”:“不变”:等级保护“五个级别”不变:1⾃主保护级;2 指导保护级;3 监督保护级;4 强制保护级;5 转控保护级等级保护“五个阶段”不变:1定级;2备案;3安全建设和整改;4信息安全等级测评;5信息安全检查等级保护“主体职责”不变:公安机关;国家保密⼯作部门;国家密码管理部门;⼯业和信息化部门为职能部门“变”:法律法规变化:不开展等级保护等于违法!并要承担相应的法律后果标准要求变化:使⽤新技术的信息系统需要同时满⾜“通⽤要求+安全扩展”的要求“优化”通⽤要求,删除了过时的测评项(增加云计算、⼯控、移动互联、物联⽹安全要求)安全体系变化:从被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变实施环节变化:系统定级必须经过专家评审和主管部门审核测评达到75分以上才算基本符合要求对象变化:原来:信息系统改为:等级保护对象(⽹络和信息系统)安全等级保护的对象包括⽹络基础设施(⼴电⽹、电信⽹、专⽤通信⽹络等)、云计算平台/系统、⼤数据平台/系统、物联⽹、⼯业控制系统、采⽤移动互联技术的系统等.安全要求变化:原来:安全要求改为:安全通⽤要求和安全扩展要求安全通⽤要求是不管等级保护对象形态如何必须满⾜的要求,针对云计算、移动互联、物联⽹和⼯业控制系统提出了特殊要求,称为安全扩展要求.章节结构的变化:8 第三级安全要求8.1 安全通⽤要求8.2 云计算安全扩展要求8.3 移动互联安全扩展要求8.4 物联⽹安全扩展要求8.5 ⼯业控制系统安全扩展要求分类结构变化:结构和分类调整为:(2017试⽤稿)技术部分:物理和环境安全、⽹络和通信安全、设备和计算安全、应⽤和数据安全;管理部分:安全策略和管理制度、安全管理机构和⼈员、安全建设管理、安全运维管理技术部分:(正式发布稿)安全物理环境、安全通信⽹络、安全区域边界、安全计算环境、安全管理中⼼管理部分:安全管理制度、安全管理机构、安全管理⼈员、安全建设管理、安全运维管理新等级保护的特点:1.基本要求、测评要求和技术要求框架统⼀,安全管理中⼼⽀持下的三重防护结构框架2.通⽤安全要求+新型应⽤安全扩展要求,将云计算、移动互联、物联⽹、⼯业控制等列⼊标准规范3.把基于可信根的可信验证列⼊各级别和各环节的主要功能要求新等级保护建设的核⼼思想:信息系统的安全设计应基于业务流程⾃⾝特点,建⽴“可信、可控、可管”的安全防护体系,使得系统能够按照预期运⾏,免受信息安全攻击和破坏。

精选-信息安全-等级保护2.0政策解读

精选-信息安全-等级保护2.0政策解读


等保定级
依据国家等级保护制度监管的十六字方案要求:自主定级、专家 评审、主管部门审批和公安机关监督,补充和完善后的定级流程 为:1、确定定级对象;2、初步确定等级;3、专家评审;4、主 管部门审核;5、公安机关备案审查
网络安全法的立法宗旨是为了保障网络安全、维护网络空间主权 和国家安全、社会公共利益、保护公民,法人和其他组织的合法 权益。因此修订后的定级指南,三级定义为:“等级保护对象受 到破坏后,会对公民、法人和其他组织的合法权益产生特别严重 损害,或者对社会秩序和公共利益造成严重损害,或者对国家安 全造成损害”
1)地市级以上政府机关面向公众服务的业务系统, 或与医疗、安防、消防、应急指挥、 生产调度、交 通指挥等相关的城市管理系统。 2)规模超过1500个标准机架的数据中心。 3)一旦发生网络安全事故,可能造成右边列影响 之一的。 4)其他应该认定为关键信息基础设施。
1) 影响单个地市级行政区30%以上人口的工作、生活; 2) 影响10万人用水、用电、用气、用油、取暖或交通出行等; 3) 导致5人以上死亡或50人以上重伤; 4) 直接造成5000万元以上经济损失; 5) 造成超过100万人个人信息泄露; 6) 造成大量机构、企业敏感信息泄露; 7) 造成大量地理、人口、资源等国家基础数据泄露; 8) 严重损害社会和经济秩序,或危害国家安全。
等级保护定级
等保定级
定级流程,GB/T22240-2008定级指南聚焦于如何从业务信息和 系统服务两个角度分析和确定定级对象的安全保护级别,并未完 整描述整个定级工作过程,在实际工作中可能导致备案单位缺漏 部分环节,影响定级结果的准确性
GB/T22240-2008定级指南中,将安全保护等级三级定义为:等 级保护对象受到破坏后,对社会秩序和公共利益造成严重损害, 或者对国家安全造成损害。因此,那些未对国家安全造成损害或 社会秩序和公共利益造成严重损害,但对法人或组织造成特别严 重损害的等级保护对象(如全国性集团公司的资金集中管理系统 ,大型互联网信息平台的统一运维管理系统等)将被确定为二级

等保2.0标准介绍

等保2.0标准介绍等保2.0标准介绍一、等保2.0标准概述等保2.0标准是中国国家信息安全等级保护推进委员会发布的新一代信息安全等级保护标准。

该标准主要针对网络安全领域的风险评估、安全等级评定和安全保障措施制定,提出了严格的要求和标准,是信息安全技术管理领域的重要规范。

二、等保2.0标准内容概述等保2.0标准共分为17个安全等级,分别涵盖了国家级、重要部门、重点领域和一般领域等四个等级。

同时,该标准还针对基础设施、应用系统和云计算三大类进行了详细的安全要求和控制措施规定,包括信息安全安全评估、安全管理、风险管理、安全技术、保密管理、安全事件管理等方面。

三、等保2.0标准实施意义等保2.0标准的发布,将有效提高我国网络安全的整体水平和保护能力,推动我国信息安全从单一技术手段防护向全方位综合防护转变。

对于增强我国信息安全防护能力,促进信息化发展和中国数字经济的高质量发展都具有重大的意义。

四、本文档涉及注释1. 等保:信息安全等级保护,是国家信息安全保护的一项重要制度。

该制度分为四个等级,包括国家级、重要部门、重点领域和一般领域。

2. 安全等级:根据风险评估的结果,对信息系统的安全等级进行划分,包括一级安全、二级安全、三级安全、四级安全。

五、本文档涉及的法律名词及注释1.《中华人民共和国网络安全法》:是中国于2016年颁布的网络安全法律法规,主要涉及网络安全的基本法律制度、网络安全保护的组织体系、网络安全的技术措施和安全事件的应急处理等方面。

2.《信息安全技术个人信息安全规范》:是国家信息安全标准化技术委员会发布的个人信息安全标准,主要涉及个人信息的标识、采集、使用、存储、共享、转移和销毁等方面。

等级保护2.0标准解读

《信息系统安全保护等级定级指南》GB/T22240-2008(有修订) 《信息系统安全等级保护基本要求》GB/T22239-2008(有修订) 《信息系统等级保护安全设计要求》GB/T25070-2010(有修订) 《信息系统安全等级保护测评要求》GB/T28448-2012 (有修订)
《信息系统安全等级保护测评过程指南》GB/T28449-2012(有修订)ຫໍສະໝຸດ 客户支持 和服务代表
跨云提供 者
云服务安 全和风险 管理者
网络提供 者
22
等保2.0-移动互联安全扩展要求
• 移动互联安全扩展要求章节针对移动互联的特点 提出特殊保护要求。对移动互联环境主要增加的 内容包括“无线接入点的物理位置”、"区域边 界安全"、“移动终端管控”、“移动应用管控 ”、“移动应用软件采购”和“移动应用软件开 发”等方面。
19
02 等级保护2.0 介绍 20
等保2.0-云计算安全扩展要求
• 云计算安全扩展要求章节针对云计算的特点提出 特殊保护要求。对云计算环境主要增加的内容包 括“基础设施的位置”、“虚拟化安全保护”、 “镜像和快照保护”、“云服务商选择”和“云 计算环境管理”等方面。
21
等保2.0-云计算安全扩展要求
12
等保2.0特点4-强化可信计算
从一级到四级均在“安全通信网络”、“安全区域边界”和“安全计算环境” 中增加了“可信验证”控制点。
设备的系统引导程序、系统程序等进行可信验证
增加重要配置参数和应用程序进行可信验证,并将 验证结果形成审计记录送至安全管理中心
增加应用程序的关键执行环节进行动态可信验证
• 管理部分: • 安全管理制度、安全管理机构、安全管理人员、安全建 设管理、安全运维管理

等级保护2.0讲解


基本要求子类
信息系统安全等级保 护级别 等保二级 等保三级
物理安全 网络安全 主机安全 应用安全
10 6 6 7
物理和环境安全 网络和通信安全 设备和计算安全 应用和数据安全
10 7 6 9 4 9 10 14 69
10 8 6 10 4 9 10 14 71
数据安全
管理 要求 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 合计 /
谢谢
谢谢大家!
感谢您的观看!
入侵防范

入侵防范
原控制项 恶意代码防范 无
安全审计


新控制项 b) 应在关键网络节点处对垃圾邮件进行检测和防护, 恶意代码防范 并维护垃圾邮件防护机制的升级和更新。 (新增) d) 应确保审计记录的留存时间符合法律法规要求; (新增) 安全审计 e) 应能对远程访问的用户行为、访问互联网的用户 行为等单独进行行为审计和数据分析。 (新增) a) 应划分出特定的管理区域,对分布在网络中的安 全设备或安全组件进行管控; (新增) b) 应能够建立一条安全的信息传输路径,对网络中 的安全设备或安全组件进行管理; (新增) c) 应对网络链路、安全设备、网络设备和服务器等 的运行状况进行集中监测; (新增) 集中管控 d) 应对分散在各个设备上的审计数据进行收集汇总 和集中分析;(新增) e) 应对安全策略、恶意代码、补丁升级等安全相关 事项进行集中管理; f) 应能对网络中发生的各类安全事件进行识别、报 警和分析。 (新增)
7
2 2 4
2
2
原控制项 安全审计 软件容错 身份鉴别 个人信息保护 无 个人信息保护 无 无 安全审计 软件容错 身份鉴别

新控制项 d) 应确保审计记录的留存时间符合法律法规要求; (新增) c) 在故障发生时,应自动保存易失性数据和所有状 态,保证系统能够进行恢复。(新增) c) 应强制用户首次登录时修改初始口令; (新增) d) 用户身份鉴别信息丢失或失效时,应采用技术措 施确保鉴别信息重置过程的安全; (新增) a) 应仅采集和保存业务必需的用户个人信息; (新 增) b) 应禁止未授权访问和非法使用用户个人信息。 (新增)

干货!网络安全等保2.0一图知所有

网络安全等级保护2.0介绍网络安全建设需求分析政策驱动:ü《网络安全法》——第21条、第31条明确规定了网络运营者和关键信息基础设施运营者都应该按等级保护要求对系统进行安全保护;违者将面临暂停业务、停业整顿、吊销相关业务许可证或者吊销营业执照等处罚,最高处罚金额可达人民币100万元。

ü 2019年5月13日网络安全等级保护技术2.0版本正式公开发布,2019年12月底正式实施。

《等保2.0》的正式出台,减少了等保二、三级控制项,进一步完善优化等保建设标准体系;业务现状:ü各行各业都面临着勒索病毒、挖矿病毒泛滥的问题,医疗行业更是重灾区,有29%勒索软件的攻击目标是各类医疗相关机构,数据重要性强,his、pcas、LIS等重要数据,命中勒索病毒后,付费赎买几率较大;ü医疗行业也是黑客攻击主要目标,公民基础身份信息附加价值大,电信诈骗等黑产,对病患医疗信息重视,可以花比较大的价钱购买,刺激数据盗窃行为;ü安全问题处理效率低下,业务系统出现问题不能及时定位,事故处理效率低,影响正常业务进展,甚至造成医疗事故;核心诉求:Ø符合《网络安全法》和《等保2.0》相关法律标准要求Ø有效抵御外界安全攻击,避免医院和病患经济损失Ø提升业务系统安全问题处理效率,保障医院正常业务不中断等保2.0基本要求结构信息系统物理安全技术要求变化管理要求变化基本要求网络安全主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理物理和环境安全网络和通信安全设备和计算安全应用和数据安全安全策略和管理制度安全管理机构和人员安全建设管理安全运维管理安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理等保1.0等保2.0试行稿等保2.0最新稿一个中心三重防御围绕“一个中心三重防护”的等保方案设计防病毒防病毒防病毒防病毒互联网出口区NGFW电信出口路由器移动联通APT检测行为管理核心交换机运维审计身份认证流量探针大数据安全IT运维漏洞扫描VPNNGFW业务系统1业务系统2业务系统3WG入侵防御业务系统4动态防御NGFWNGFW动态防御动态防御防篡改防篡改防篡改防篡改数据库审计安全服务防病毒防病毒防病毒防病毒安全等保2.0典型拓扑大数据安全(流量+日志)IT运维管理堡垒机漏洞扫描下一代防火墙VPN 路由器交换机下一代防火墙(防病毒+垃圾邮件)入侵检测/防御上网行为管理安全沙箱动态防御系统身份认证管理流量探针WEB应用防护入侵检测/防御数据库审计网页防篡改漏洞风险评估(渗透+漏扫服务)动态防御系统杀毒软件等保建设咨询服务•对安全进行统一管理与把控•集中分析与审计•定期识别漏洞与隐患•构建安全的网络通信架构•保障信息传输安全•强化安全边界防护及入侵防护•优化访问控制策略•强调系统及应用安全•加强身份鉴别机制与入侵防范双因素认证等保2.0配置推荐表序号等保所需产品与服务必备/可选(等保二级)必备/可选(等保三级)1防火墙必备必备2入侵防御【IPS】必备必备3日志审计【BDS】必备必备4渗透测试服务可选可选5漏洞扫描服务必备必备6堡垒机【OAS】必备必备7上网行为管理【UAC】必备必备8WAF应用防火墙可选必备9终端准入系统可选必备10双因素认证可选可选11数据库审计【DBS】可选必备12等级保护建设咨询可选可选13安全事件处置服务可选可选14网站防篡改可选必备15机房运维管理软件可选可选16新型攻击防御可选可选17网络版杀毒软件必备必备18数据存储备份必备必备序号等保产品名称功能作用1防火墙网络安全的第一道防线,用于监控和控制进出网络的数据包,根据预设的安全规则允许或阻止网络流量。

等保2.0是什么

等保2.0是什么等保2.0是相关法律规定的网络安全等级保护,以前规定是叫信息安全等级保护,不同时期执行的标准不一同,所以保护等级也会相应的改变,例如今天要提到的等级保护2.0将从2019年12月1日开始实行,相关单位应尽早做到等级测评,早点定级备案。

那么,什么是等保2.0呢?这个名称是相较于之前的等保1.0来称呼的。

等保2.0比之前的旧标准有突破性的进展,尤其在移动互联、云计算、物联网等新的业务环境均可以提供安全建设标准和指导。

除了文件名的变化之外在内容上有有一些调整,例如:将旧标准中的应用安全和数据安全及备份恢复整合为应用和数据安全;将安全管理机构和人员安全管理整合为安全管理机构和人员;在控制点要求上相比旧标准比虽然没有明显增加,但是通过合并整合后相对旧标准略有缩减;旧标准更偏重于对于防护的要求,而等保2.0标准更适应当前网络安全形势的发展。

下面给大家介绍一下等保2.0带来的5大变化。

1.对象的变化对象由原来的“信息系统”变为了“等级保护对象(网络和信息系统)”,除了等保1.0版本强调的物理主机、应用、数据与传输,等保2.0标准在此基础上注重全方位主动防御、全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等各类新技术应用的全覆盖。

2.安全要求的变化安全要求变为了安全通用要求和安全扩展要求两部分,安全通用要求是不管等级保护对象形态如何必须满足的要求,而安全扩展要求是针对云计算、移动互联网、物联网和工业控制系统等所提出的特殊要求。

其中,云计算安全扩展要求对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。

3.流程的变化除了等保1.0中定级、备案、建设整改、等级测评和监督检查这五个规定动作外,风险评估、安全监测、通报预警、事件调查、应急演练、灾难备份、自主可控、供应链安全、效果评价、综治考核等重点措施均纳入等保流程内。

等级保护2.0标准解读

等级保护2.0标准解读等级保护2.0标准解读1. 引言等级保护2.0标准是由国家信息安全评估标准化技术委员会(TC260)制定的,旨在规范和指导信息系统的等级保护工作。

本文将对等级保护2.0标准进行解读,帮助读者更好地理解标准的相关内容。

2. 等级保护2.0简介等级保护2.0是对原等级保护1.0标准的升级和完善。

它采用了更加严格和全面的评估体系,同时注重信息系统的动态管理和持续改进。

等级保护2.0标准主要包括等级划分、安全需求、评估方法、安全控制和评估规范等内容。

3. 等级划分等级划分是等级保护2.0标准中的核心概念。

根据信息系统的重要性和敏感性,将其划分为5个等级,依次为一级(最高)、二级、三级、四级和五级(最低)。

等级划分的目的是为了提供不同等级信息系统的安全要求和评估依据。

4. 安全需求安全需求是等级保护2.0标准对各个等级信息系统的安全要求和技术控制的详细规定。

安全需求包括基本需求和增强需求两部分。

基本需求是每个等级信息系统必须满足的最低安全要求,而增强需求是在基本需求的基础上对特定等级信息系统提出的额外要求。

5. 评估方法等级保护2.0标准规定了针对不同等级信息系统的评估方法。

评估方法主要包括目标评估和技术评估两个层面。

目标评估是通过对信息系统的目标进行评估,判断其是否满足相应等级的安全需求。

技术评估则是通过对技术控制的实施情况进行评估,验证信息系统的安全性和合规性。

6. 安全控制安全控制是等级保护2.0标准中的重要内容。

标准给出了一套完整的安全控制措施,用于保护信息系统的机密性、完整性和可用性。

安全控制主要包括物理安全、网络安全、访问控制、加密保护、安全运维和应急响应等方面。

7. 评估规范评估规范是对等级保护2.0标准进行实施评估的指导文件。

它提供了评估流程、评估要求、评估指标和评估方法等详细内容,帮助评估机构和评估人员开展评估工作。

评估规范的制定旨在确保评估结果的准确性和一致性。

8. 总结等级保护2.0标准作为我国信息系统安全领域的重要标准,对于保护信息系统的安全性和可靠性起到了重要作用。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
精品课件
等级保护工作流程
• 定级 • 备案 • 差距分析 • 建设整改 • 验收测评 • 定期复查
系统定级 信息系统运营使用单位按照《信息系统信息 安全等级保护定级指南》,确定信息系统安 全等级。有主管部门的,报主管部门审核批 准。在申报系统新建、改建、扩建立项时须 同时向立项审批部门提交定级报告。
• 基线要求类 • GB/T22239-2008 《信息安全技术 信息系统安全等级保护基本要求》 • GB/T20271-2006《信息系统通用安全技术要求》 • GB/T21052-2007《信息系统物理安全技术要求》
精品课件
等保2.0主要标准
• 网络安全等级保护条例(总要求/上位文件) • 计算机信息系统安全保护等级划分标准(GB 17859-1999) (上位标准) • 网络安全等级保护实施指南(GB/TB25058)(修订中) • 网络安全等级保护定级指南(GB/TB22240)(修订中) • 网络安全等级保护基本要求(GB/T22239-2019) • 网络安全等级保护设计技术要求(GB/T25070-2019) • 网络安全等级保护测评要求(GBT28448-2019) • 网络安全等级保护测评过程指南(GBT28449-2018)
建设整改 根据需求制订建设整改方案,按照国家相关规范和技术 标准,使用符合国家有关规定,满足系统等级需 求,开展信息系统安全建设整改。
不合格
等保测评 选择第三方测评机构进行测评。其 中对于新建系统可在试运行阶段进
行测评。
提交报告 系统运营、使用单位向地级以上市公安机关报测评报告 。项目验收文档中也须含有测评报告。
公民、法人和其他组 织的合法权益
社会秩序、公共利益
国家安全
对客体的侵害程度
一般损 害
严重损害
特别严重损害
第一级ห้องสมุดไป่ตู้
第二级
第三级
第二级 第三级
第三级 第四级
第四级 第五级
•已运营(运行)或新建的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的 市级以上公安机关办理备案手续。
系统备案 已运行的系统在安全保护等级确定后30日内 ,由其运营、使用单位到所在地设区的市级 以上公安机关办理备案手续。新建的系统, 在通过立项申请后30日内办理。
材料不齐
公安机关审核
定级不准
材料齐、定级准
颁发证书 公安机关颁发系统等级保护备案证书。
分析安全需求 对照等保有关规定和标准分析系统安全建设整改需求,可委 托安全服务机构、等保技术支持单位分析。对于整改项目, 还可委托测评机构通过等保测评、风险评估等方法分析整改 需求。
• 等保1.0指的是2007年的《信息安全等级保护管理办法》和2008年的《信息安全技术信息系统安全等级保护基本要 求》。
• 等保2.0将原来的标准《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本 要求》,并对旧有内容进行调整
精品课件
等保相关国家标准族
• 安全等级类 • GB/T22240-2008 《信息安全技术 信息系统安全保护等级保护定级指南》
精品课件
等保2.0测评变化
• 测评 • 及格分从60分改为75分
• 安全要求 •由“安全要求”改为“安全通用要求和安全扩展要求” •新增扩展要求:云计算、移动互联网、物联网、工业控制、大数据安全
•评测周期
•由原先四级系统每半年需要复查一次改为三级以上系统一年复查一次
•要求分类精简
•把管理要求和通用要求纳入到技术要求中 •分类由10类改为8类
• 方法指导类 • GB/T25058-2010《信息安全技术 信息系统安全等级保护实施指南》 • GB/T25070-2010《信息系统等级保护安全设计技术要求》等
• 状况分析类 • GB/T28448-2012《信息安全技术 信息系统安全等级保护测评要求》 • GB/T28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》等
•控制点和要求项变化
精品课件
通用要求分类
精品课件
控制点对比
精品课件
详细要求项对比
精品课件
等保解决方案示例(深信服)
精品课件
精品课件
等保等级
• 第一级:用户自主保护级 • 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共 利益。
• 第二级:系统审计保护级 • 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成 损害,但不损害国家安全。
等保2.0
• 在此输入您的封面副标题
精品课件
什么是等保
• 根据《网络安全法》的规定,等级保护是我国信息安全保障的基本制度。 • 《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制 度的要求,履行下列全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃 取、篡改。
合格
精品课件
等保测评 定期选择第三方测评机构进行测评 。三级系统每年至少一次,四级系
统每半年至少一次。
不合格
定级、备案与复查
•信息系统安全保护等级的定级要素 • 确定受侵害的客体 • 公民 • 社会秩序、公共利益 • 国家安全 • 系统损害对客体的侵害程度 • 损害、严重损害、特别严重损害
保护对象受到破坏时 受侵害的客体
• 第三级:安全标记保护级 • 信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
• 第四级:结构化保护级 • 信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
• 第五级:访问验证保护级 • 信息系统受到破坏后,会对国家安全造成特别严重损害。