新版《网络安全等级保护定级指南》解读 PPT
- 格式:ppt
- 大小:800.00 KB
- 文档页数:27
下载文档原格式
合集下载
网络安全等级保护-主打PPT
✓ 有效抵御未知病毒、勒索病毒
本地化智能-页面展示
Web应用防护-业务自学习、自适应
数据库特征模型
源IP地址、应用程序 操作系统主机名、用户名 数据库与schema 表格与数据查询等表操作 特权操作 学习偏好选项
Web特征模型
URL模式 Cookie模式 HTTP方法与参数
SOAP 关联查询 已学习的主机
黑客开始成为产业
防攻击、防僵木蠕……
高强度、极具耐心
防社工、 防高强度定向渗透……
2005
间谍软件
2005–Today
2010
渗透攻击
Today +
2015
社工攻击
Today +
2020
APT网络攻击
Today +
未知威胁横行于网络空间
未知威胁
未知威胁
0day 漏洞
…
0day 漏洞
0day 漏洞
…
网端联动-威胁闭环处置
深信服AF产品系列
1600W 800W
AF-2000-J448
2U,8个接口扩展槽位,双电源 吞吐:80Gbps 并发:1600万
AF-2000-J444
2U,8个接口扩展槽位,双电源 吞吐:40Gbps 并发:1200万
AF-2000-I482
2U,4个接口扩展槽位,双电源 吞吐:20Gbps 并发:800万
97.85%
病毒检出率 病毒误报率
61.4%
32%
0.1%
Sangfor SAVE 引擎
0.04%
开源 杀毒引擎
0.09%
业界厂商
本地化智能-SAVE引擎
传 统引擎
特征
1. 固定算法 2. 人工提取特征 3. 样本收集受限
本地化智能-页面展示
Web应用防护-业务自学习、自适应
数据库特征模型
源IP地址、应用程序 操作系统主机名、用户名 数据库与schema 表格与数据查询等表操作 特权操作 学习偏好选项
Web特征模型
URL模式 Cookie模式 HTTP方法与参数
SOAP 关联查询 已学习的主机
黑客开始成为产业
防攻击、防僵木蠕……
高强度、极具耐心
防社工、 防高强度定向渗透……
2005
间谍软件
2005–Today
2010
渗透攻击
Today +
2015
社工攻击
Today +
2020
APT网络攻击
Today +
未知威胁横行于网络空间
未知威胁
未知威胁
0day 漏洞
…
0day 漏洞
0day 漏洞
…
网端联动-威胁闭环处置
深信服AF产品系列
1600W 800W
AF-2000-J448
2U,8个接口扩展槽位,双电源 吞吐:80Gbps 并发:1600万
AF-2000-J444
2U,8个接口扩展槽位,双电源 吞吐:40Gbps 并发:1200万
AF-2000-I482
2U,4个接口扩展槽位,双电源 吞吐:20Gbps 并发:800万
97.85%
病毒检出率 病毒误报率
61.4%
32%
0.1%
Sangfor SAVE 引擎
0.04%
开源 杀毒引擎
0.09%
业界厂商
本地化智能-SAVE引擎
传 统引擎
特征
1. 固定算法 2. 人工提取特征 3. 样本收集受限
新版《网络安全等级保护定级指南》解读教学提纲28页PPT
解读教学提纲
1、 舟 遥 遥 以 轻飏, 风飘飘 而吹衣 。 2、 秋 菊 有 佳 色,裛 露掇其 英。 3、 日 月 掷 人 去,有 志不获 骋。 4、 未 言 心 相 醉,不 再接杯 酒。 5、 黄 发 垂 髫 ,并怡 然自乐 。
谢谢你的阅读
❖ 知识就是财富 ❖ 丰富你的人生
71、既然我已经踏上这条道路,那么,任何东西都不应妨碍我沿着这条路走下去。——康德 72、家庭成为快乐的种子在外也不致成为障碍物但在旅行之际却是夜间的伴侣。——西塞罗 73、坚持意志伟大的事业需要始终不渝的精神。——伏尔泰 74、路漫漫其修道远,吾将上下而求索。——屈原 75、内外相应,言行相称。——韩非
1、 舟 遥 遥 以 轻飏, 风飘飘 而吹衣 。 2、 秋 菊 有 佳 色,裛 露掇其 英。 3、 日 月 掷 人 去,有 志不获 骋。 4、 未 言 心 相 醉,不 再接杯 酒。 5、 黄 发 垂 髫 ,并怡 然自乐 。
谢谢你的阅读
❖ 知识就是财富 ❖ 丰富你的人生
71、既然我已经踏上这条道路,那么,任何东西都不应妨碍我沿着这条路走下去。——康德 72、家庭成为快乐的种子在外也不致成为障碍物但在旅行之际却是夜间的伴侣。——西塞罗 73、坚持意志伟大的事业需要始终不渝的精神。——伏尔泰 74、路漫漫其修道远,吾将上下而求索。——屈原 75、内外相应,言行相称。——韩非
新版《网络安全等级保护定级指南》解读
适用于基础信息网络和云计算平台等定级对象。
数据资源类定级方法
对于大数据等定级对象,应综合考虑数据规模、数据价值等因素根 据 其在国家安全、经济建设、社 会生活中的重要程度,以及数据资 源 遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和 其 他组织的合法权益的危害程度等因素确定其安全保护等级。
1. 确定定级对象 2. 初步确定等级
自主定级 专 家评审 主管部门审 批 公安机关 监督
定级流程
3. 专家评审 4. 主管部门审核 5. 公安机关备案审查
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应组织信息 安 全专家和业务专家,对初步定级结果 的合 理性进行评审, 出具专家评审意见。
为不同 的定级对象。
物联网应作为一个整体对象定级,主要包括感知层、网 络 传输层和处理应用层等要素。
区别在于:移动终端可以通过无线方 式 接入网络。
移动终端可以远程通过运营商基站或公共Wi-Fi 接入等级保护对象,也可以在本地通过本地无 线接 入设备接入等级保护对象;
系统通过移动管理系统的服务端软件向客户端 软件发送管理策略,并由客户端软件执行实现 系统 的安全管理。
基
传统信息系 统
等级保护对象
信息系统
云计算平台
础信息网络 大数据
采用移动互联 工业控制系统
物联网系统 技术信息系统
基础信息网 络
为信息流通、信息系统运行等起基础支撑作用的信息网络,包括电信网、广 播电视传输网、互联网、 业务专网等网络设备设施。
信息系统
由计算机和类计算机的软硬件及其相关的和配套的设备、设施构成的,按照 一定的应用目标和规则 进行信息处理或过程控制的资源集合。 注:资源可以是物理设备,也可以是虚拟设备。
数据资源类定级方法
对于大数据等定级对象,应综合考虑数据规模、数据价值等因素根 据 其在国家安全、经济建设、社 会生活中的重要程度,以及数据资 源 遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和 其 他组织的合法权益的危害程度等因素确定其安全保护等级。
1. 确定定级对象 2. 初步确定等级
自主定级 专 家评审 主管部门审 批 公安机关 监督
定级流程
3. 专家评审 4. 主管部门审核 5. 公安机关备案审查
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应组织信息 安 全专家和业务专家,对初步定级结果 的合 理性进行评审, 出具专家评审意见。
为不同 的定级对象。
物联网应作为一个整体对象定级,主要包括感知层、网 络 传输层和处理应用层等要素。
区别在于:移动终端可以通过无线方 式 接入网络。
移动终端可以远程通过运营商基站或公共Wi-Fi 接入等级保护对象,也可以在本地通过本地无 线接 入设备接入等级保护对象;
系统通过移动管理系统的服务端软件向客户端 软件发送管理策略,并由客户端软件执行实现 系统 的安全管理。
基
传统信息系 统
等级保护对象
信息系统
云计算平台
础信息网络 大数据
采用移动互联 工业控制系统
物联网系统 技术信息系统
基础信息网 络
为信息流通、信息系统运行等起基础支撑作用的信息网络,包括电信网、广 播电视传输网、互联网、 业务专网等网络设备设施。
信息系统
由计算机和类计算机的软硬件及其相关的和配套的设备、设施构成的,按照 一定的应用目标和规则 进行信息处理或过程控制的资源集合。 注:资源可以是物理设备,也可以是虚拟设备。
新版《网络安全等级保护定级指南》解读.ppt
…
产厂商等因素
… 划分为多个定
级对象。
…
146 SP 800-
IaaS组件栈和控制范围
GB/T 31168 : 2014
云计算模式与控制范围
云计算典型模型
ISO/IEC17789-2014 云计算层次框架
? 运维服务系统 ? 业务运营系统 ? 安全系统 ? 集成 ? 开发
在云计算环境中,应将云服务方侧的 云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单 独的定级对象定级。
等级保护对象基础Leabharlann 息网络信息系统大数据
传统信息系统
工业控制系统
云计算平台
物联网系统
采用移动互联 技术信息系统
基础信息网络
? 为信息流通、信息系统运行等起基础支撑作用的信息网络,包括电信播网电、视广 传输网、互联网、业务专网等网络设备设施。
信息系统
? 由计算机和类计算机的软硬件及其相关的和配套的设备、设施构成的,按照 一定的应用目标和规则 进行信息处理或过程控制的资源集合。
数据资源类定级方法
? 单一设备(如服务器、终端、网络设备等)不单独定级。
层 级 4 企 业 资 源 层 该 层 级 主 要 通 过 ERP 系 统 为 企 业决策层及员工提供 决策运行手段。 层 级 3 生 产 管 理 层 该 层 级 主 要 通 过 M ES 系 统 为 企业提供包括制造数 据管理、计划排程管理、 生产调度管理等管理模 块。
? 应将具有统一安全责任单位的大数据作为一个整体对象定级。
确定安全保护等级
? 业务处理类定级方法
? 适用于传统信息系统、工业控制系统、物联网、和采用移动互联 技术的信息系统等定级对象。
? 数据资源类定级方法:适用于大数据等定级对象。 ? 基础支撑类定级方法
网络安全等级保护定级指南解读
网络安全等级保护定级指南解读《信息安全技术网络安全等级保护定级指南》是《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)的修订版主要内容一.基本概念和定级要素二.定级方法三.工作流程•定级是开展网络安全等级保护工作的“基本出发点”•定级结果应当成为系统安全保护的总体安全需求之一•定级过程是找到系统最大风险的过程•《信息安全等级保护管理办法》(公通字[2007]43号“第七条信息系统的保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
”•解决了:信息系统根据什么定级?定什么级?•从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息系统被破坏后造成危害的严重性角度对信息系统确定的等级-重要性定级•没有解决:定级的方法、流程•《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)•《信息安全技术网络安全等级保护定级指南》(GB/T 22240-20**)(前者的修订版)——主要关注等级保护定级工作开展的流程及定级的方法•概念解释•安全保护等级•等级保护对象•客体•安全保护等级等级的确定是不依赖于安全保护措施的,具有一定的“客观性”,即该系统在存在之初便由其自身所实现的使命的重要程度决定了它的安全保护等级,而非由“后天”的安全保护措施决定。
•等级保护对象•网络安全等级保护工作的作用对象,主要包括基础网络设施、信息系统(如工业控制系统、云计算平台、物联网、使用移动互联技术的系统、其他系统)以及数字资源等。
网络安全等级保护定级指南
网络安全等级保护定级指南网络安全是当今社会发展中的一个重要议题,随着互联网的普及和信息技术的飞速发展,网络安全问题日益突出。
为了有效保护网络安全,各国纷纷制定了相关的网络安全等级保护定级指南,以便对网络安全进行科学、系统的评估和管理。
本文将就网络安全等级保护定级指南进行详细介绍,以便读者对网络安全等级保护定级有更深入的了解。
首先,网络安全等级保护定级指南是针对不同的网络系统和信息系统进行评估和定级的指导性文件。
它主要包括了网络安全等级保护的基本概念、评估方法和等级划分标准。
通过对网络系统和信息系统的风险分析和安全性能评估,将其划分为不同的等级,以便对其进行分类管理和保护。
其次,网络安全等级保护定级指南的主要内容包括了网络系统和信息系统的基本要素、安全保护等级的划分标准、安全性能评估方法和等级保护管理要求。
在网络系统和信息系统的基本要素中,主要包括了系统的功能、结构、数据和业务特征等方面的描述,以便对系统进行全面的了解。
而安全保护等级的划分标准则是根据系统的安全需求和安全风险进行划分,以便对系统进行等级保护。
安全性能评估方法则是通过对系统的安全性能进行全面的评估,以便确定系统的安全等级。
而等级保护管理要求则是对系统进行等级保护管理的具体要求,包括了等级保护的组织管理、技术管理和安全保护措施等方面的要求。
最后,网络安全等级保护定级指南的实施对于保障网络安全具有重要的意义。
通过对网络系统和信息系统进行科学、系统的评估和管理,可以有效地提高网络系统和信息系统的安全性能,减少网络安全风险,保护国家的网络安全。
因此,各国都应该高度重视网络安全等级保护定级指南的实施,加强网络安全等级保护工作,共同维护网络安全。
综上所述,网络安全等级保护定级指南是对网络系统和信息系统进行评估和定级的指导性文件,它具有重要的意义。
通过对网络系统和信息系统的科学、系统的评估和管理,可以有效地提高网络系统和信息系统的安全性能,减少网络安全风险,保护国家的网络安全。
等保2.0标准介绍ppt课件
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
选择
安全运维 管理
环境管理
资产管理
介质管理
设备维护管理 漏洞和风险 管理 网络和系统 安全管理
恶意代码防范 管理
配置管理
密码管理
变更管理 备份与恢复
管理 安全事件处置 应急预案管理
外包运维管理
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
新增领域标准
云计算安全
物联网安全
工业控制安全
大数据安全
移动互联安全
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
数据完整性 数据保密性 数据备份恢复 剩余信息保护 个人信息保护
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
GB/T 22239.1等级保护安全通用要求
安全管理中心 系统管理 审计管理 安全管理 集中管控
网络安全等级保护定级指南解读
15
一、基本概念和定级要素
• 社会秩序 • 国家机关的工作秩序; • 各类经济活动秩序; • 各行业科研、生产秩序; • 公众正常生活秩序等。
16
一、基本概念和定级要素
• 公共利益 • 不特定社会成员所共同享有的,维持其生产、生活、 教育、卫生等方面的利益,表现为: • 社会成员使用公共设施 • 社会成员获取公开信息资源 • 社会成员获取公共服务等
4
一、基本概念和定级要素-等级定义
• 《信息安全等级保护管理办法》(公通字[2007]43号“第七条 信息系统的保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他 组织的合法权益造成损害,但不损害国家安全、社会秩 序和公共利益;
5
一、基本概念和定级要素-等级定义
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生 严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
二、定级方法
• 系统识别 • 识别单位基本信息 • 识别管理框架 • 识别业务种类和业务流程 • 识别信息 • 识别网络结构 • 识别主要的软硬件设备 • 识别用户类型和分布
32
二、定级方法
• 系统划分 • 分析安全管理责任,确定管理边界 • 分析网络结构和已有内外部边界 • 分析业务流程和业务间关系
38
主要内容
一. 基本概念和定级要素 二. 定级方法 三. 定级流程
三、定级流程
1. 确定定级对象 2. 初步确定等级 3. 专家评审 4. 主管部门审核
5. 公安机关备案审查
三、定级流程
专家评审
定级对象的运营、 使用单位应组织信 息安全专家和业务 专家,对初步定级 结果的合理性进行 评审,出具专家评 审意见。
一、基本概念和定级要素
• 社会秩序 • 国家机关的工作秩序; • 各类经济活动秩序; • 各行业科研、生产秩序; • 公众正常生活秩序等。
16
一、基本概念和定级要素
• 公共利益 • 不特定社会成员所共同享有的,维持其生产、生活、 教育、卫生等方面的利益,表现为: • 社会成员使用公共设施 • 社会成员获取公开信息资源 • 社会成员获取公共服务等
4
一、基本概念和定级要素-等级定义
• 《信息安全等级保护管理办法》(公通字[2007]43号“第七条 信息系统的保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他 组织的合法权益造成损害,但不损害国家安全、社会秩 序和公共利益;
5
一、基本概念和定级要素-等级定义
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生 严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
二、定级方法
• 系统识别 • 识别单位基本信息 • 识别管理框架 • 识别业务种类和业务流程 • 识别信息 • 识别网络结构 • 识别主要的软硬件设备 • 识别用户类型和分布
32
二、定级方法
• 系统划分 • 分析安全管理责任,确定管理边界 • 分析网络结构和已有内外部边界 • 分析业务流程和业务间关系
38
主要内容
一. 基本概念和定级要素 二. 定级方法 三. 定级流程
三、定级流程
1. 确定定级对象 2. 初步确定等级 3. 专家评审 4. 主管部门审核
5. 公安机关备案审查
三、定级流程
专家评审
定级对象的运营、 使用单位应组织信 息安全专家和业务 专家,对初步定级 结果的合理性进行 评审,出具专家评 审意见。
网络安全等级保护定级指南
网络安全等级保护定级指南网络安全等级保护定级指南是一种根据网络系统的安全隐患程度将其等级分级的方法。
该指南可以帮助企业、组织或个人确定其网络安全等级,从而采取相应的保护措施。
下面是一个网络安全等级保护定级指南的简要示例,供参考。
1. 一级:一级安全等级适用于那些对安全要求不高的系统,主要用于非关键信息存储和处理。
这些系统通常采用较为简单的安全措施,包括基本防火墙、简单密码保护等。
2. 二级:二级安全等级适用于中等风险的系统,包括一些存储敏感信息的系统。
这些系统需要采用更加严格的安全措施,如入侵检测系统、身份验证、访问控制等。
3. 三级:三级安全等级适用于高风险的系统,包括一些重要的商业系统或涉及个人隐私的系统。
这些系统需要采用高级的安全措施,如数据加密、高级身份验证、安全审计等。
4. 四级:四级安全等级适用于极高风险的系统,比如国家安全或军事系统。
这些系统需要采用最高级的安全措施,如多重身份验证、严格的物理访问控制、应急响应系统等。
企业、组织或个人可以根据实际需求和资源情况来确定其网络系统的安全等级。
为此,可以进行以下步骤:1. 评估系统风险:对网络系统进行全面、系统的风险评估,确定系统的安全隐患和威胁。
2. 确定系统价值:评估系统对企业或个人的价值,包括与财务、声誉、隐私等相关的价值。
3. 确定安全等级:根据系统的风险和价值,结合预算和资源情况,确定系统的安全等级。
4. 制定保护措施:根据系统的安全等级,制定相应的保护措施,包括硬件、软件和人员方面的措施。
5. 实施保护措施:根据制定的保护措施,对系统进行安全配置和部署。
同时,建立相应的监测和响应机制,及时发现和应对安全威胁。
6. 定期检查和更新:定期对系统进行安全评估和演练,发现和修复安全漏洞。
同时,密切关注最新的安全威胁和技术发展,及时更新保护措施。
总之,网络安全等级保护定级指南可以帮助企业、组织或个人确定其网络系统的安全等级,从而采取相应的保护措施。
网络安全等级保护2.0解读 PPT精品课件
➢ 等保2.0 :《网络安全等级保护条例》第十八条规定,第 二级以上网络的运营者应当在安全保护等级确认后10个工 作日内,到县级以上公安机关备案 。
安全通信网络
安全建设
安全区域边界
安全计算环境
安全管理中心
测评周期的变化
➢ 等保1.0 :三级系统每年至少进行一次等级测评, 四级系统每半年至少进行一次等级测评。
网络安全等级保护2.0解读
网络安全等级保护相关法律法规
等级保护2.0措施进一步完善
➢ 等级保护2.0沿等用级了等保保护1.02的.0五措个规施定进动作一: 定步级完、备善案、
建设整改、等级测评和监督检查(《信息安全等级保护 管理办法》 公通字[2007]43号)规定的等级保护工作)。 ➢ 增加了风险评估、安全监测、通报预警、案(事)件调 查、数据防护、灾难备份、应急处置、自主可控、供应 链安全、效果评价、综合考核等内容,充分体现了变被 动防护为主动防护,变静态防护为动态防护,变单点防 护为整体防控的核心思想。
等级保护2.0定级流程
定级标准及对象的变化
➢ 1.标准的变化
✓ 1.0 《信息系统安全等级保护等级指南》(GB/T 22240-2008) ✓ 2.0 《网络安全等级保护等级指南》(GA/T 1389-2017)
➢ 2.等级保护对象的演变
1.0定级对象 ✓ 信息系统
2.0等级保护对象 ✓ 基础信息网络 ✓ 信息系统(如工业控制系统、云计算平
等级保护2.0工作流程
定级流程的变化
➢ 等保1.0 :自主定级 ➢ 等保2.0:《网络安全等级保护条例》
✓ 网络定级应按照网络运营者拟定网络等级、专家评审、主管部分核 准、公安机关审核的流程进行。
✓ 对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业 主管部门的,应当在评审后报请主管部门核准。
安全通信网络
安全建设
安全区域边界
安全计算环境
安全管理中心
测评周期的变化
➢ 等保1.0 :三级系统每年至少进行一次等级测评, 四级系统每半年至少进行一次等级测评。
网络安全等级保护2.0解读
网络安全等级保护相关法律法规
等级保护2.0措施进一步完善
➢ 等级保护2.0沿等用级了等保保护1.02的.0五措个规施定进动作一: 定步级完、备善案、
建设整改、等级测评和监督检查(《信息安全等级保护 管理办法》 公通字[2007]43号)规定的等级保护工作)。 ➢ 增加了风险评估、安全监测、通报预警、案(事)件调 查、数据防护、灾难备份、应急处置、自主可控、供应 链安全、效果评价、综合考核等内容,充分体现了变被 动防护为主动防护,变静态防护为动态防护,变单点防 护为整体防控的核心思想。
等级保护2.0定级流程
定级标准及对象的变化
➢ 1.标准的变化
✓ 1.0 《信息系统安全等级保护等级指南》(GB/T 22240-2008) ✓ 2.0 《网络安全等级保护等级指南》(GA/T 1389-2017)
➢ 2.等级保护对象的演变
1.0定级对象 ✓ 信息系统
2.0等级保护对象 ✓ 基础信息网络 ✓ 信息系统(如工业控制系统、云计算平
等级保护2.0工作流程
定级流程的变化
➢ 等保1.0 :自主定级 ➢ 等保2.0:《网络安全等级保护条例》
✓ 网络定级应按照网络运营者拟定网络等级、专家评审、主管部分核 准、公安机关审核的流程进行。
✓ 对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业 主管部门的,应当在评审后报请主管部门核准。
网络安全等级保护2.0解读 PPT精品课件
网络安全等级保护2.0高风险指引
序号 层面
1
2 3
4
安全
计算
环境
5
6 7
8
控制点
控制项
对应案例
身份鉴别
a)应对登录的用户进行身份标识和鉴别, 设备存在弱口令、应用系统
身份标识具有唯一性,身份鉴别信息具有 口令策略缺失、应用系统存
复杂度要求并定期更换;
在弱口令
b)应具有登录失败处理功能,应配置并启 用结束会话、限制非法登录次数和当登录 连接超时自动退出等相关措施;
设备未开启安全审计措施、 应用系统无安全审计措施
适用范围
所有系统 3级及以上系统
所有系统 3级及以上系统
所有系统 所有系统 所有系统 3级及以上系统
等保2.0测评结论谢谢!ຫໍສະໝຸດ 应用系统无登录失败 处理机制
c)当进行远程管理时,应采取必要措施防 止鉴别信息在网络传输过程中被窃
设备鉴别信息无防窃取措施
d)应采用口令、密码技术、生物技术等两 种或两种以上组合的鉴别技术对用户进行 身份鉴别,且其中一种鉴别技术至少应使 用密码技术来实现。
设备未实现双因素认证、互 联网可访问系统未实现双因
安全通用要求和安全扩展要求
等级保护2.0为1+N模式,1为通用要求,适用各个行业和各个领域,N指 具体的一个领域内的扩展要求,目前N为5,分别是云计算、移动互联、物联 网、工业控制、大数据。未来随着技术的发展,N会不断扩展。
分类结构的变化
安全通用要求要求项变化
充分强化可信计算技术使用的要求
➢ 增加:从一级到四级均在“安全通信网络”、“安全区域边界” 和“安全计算环境”中增加了“可信验证”控制点(和GB/T 25070设计要求保持一致)。
等级保护2.0讲解PPT课件
(一)制定内部安全管理制度和操作规程,确定网络安全 负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害 网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技 术措施,并按照规定留存相关的网络日志不少于六个月; 2021
第三十四条 除本法第二十一条的规定外,关键信息基础设 施的运营者还应当履行下列安全保护义务:
5
2访问控制
8
2通信传输
2
3安全审计
4
3边界防护
4
网络安全
4边界完整性 检查
5入侵防范
2
4 访问控制
5
网络和通信安全
2
5 入侵防范
4
6 恶意代码防 范
2
7 网络设备防 护
8
6 恶意代码 防范
2
7 安全审计
5
8 集中管控
6
2021
原控制项
新控制项
a) 应采用校验码技术或密码技术保证通信过程中数据
的完整性;
25
34
安全运维管理
30
48
合计
/
147
230
2021
总体上看,等保2.0通用要求在技术部分的基础上进行了一 些调整,但控制点要求上并没有明显增加,通过合并整合 后相对旧标准略有缩减。
2021
原控制点 要求项数
新控制点 要求项数
1 物理位置的 选择
2
2 物理访问控 制
4
3 防盗窃和防 破坏
6
1 物理位置的 选择
物理位置的选择
或地下室,以及用水设备的下层或隔 壁。
物理位置的 选择
b) 机房场地应避免设在建筑物的顶层或 地下室,否则应加强防水和防潮措施
(二)采取防范计算机病毒和网络攻击、网络侵入等危害 网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技 术措施,并按照规定留存相关的网络日志不少于六个月; 2021
第三十四条 除本法第二十一条的规定外,关键信息基础设 施的运营者还应当履行下列安全保护义务:
5
2访问控制
8
2通信传输
2
3安全审计
4
3边界防护
4
网络安全
4边界完整性 检查
5入侵防范
2
4 访问控制
5
网络和通信安全
2
5 入侵防范
4
6 恶意代码防 范
2
7 网络设备防 护
8
6 恶意代码 防范
2
7 安全审计
5
8 集中管控
6
2021
原控制项
新控制项
a) 应采用校验码技术或密码技术保证通信过程中数据
的完整性;
25
34
安全运维管理
30
48
合计
/
147
230
2021
总体上看,等保2.0通用要求在技术部分的基础上进行了一 些调整,但控制点要求上并没有明显增加,通过合并整合 后相对旧标准略有缩减。
2021
原控制点 要求项数
新控制点 要求项数
1 物理位置的 选择
2
2 物理访问控 制
4
3 防盗窃和防 破坏
6
1 物理位置的 选择
物理位置的选择
或地下室,以及用水设备的下层或隔 壁。
物理位置的 选择
b) 机房场地应避免设在建筑物的顶层或 地下室,否则应加强防水和防潮措施
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
素不单独定级。
…
根据系统功能、
… OO控PPCC服制务对器
象产和厂生商等因素
划分为多个定 …
级对象。
…
SP 800146
GB/T 31168 2014
IaaS组件栈和控制范围
:
云计算模式与控制范围
云计算典型模型
ISO/IEC17789-2014 云计算层次框架
运维服务系统 业务运营系统 安全系统 集成 开发
采用移动互联技术的等级保护对象 应作 为一个整体对象定级,移动终端、 移动 应用和无线网络等要素不单独定级。
应将具有统一安全责任单位的大数据作为一个整体对象定级。
确定安全保护等级
业务处理类定级方法
适用于传统信息系统、工业控制系统、物联网、和采用移动互联 技 术的信息系统等定级对象。
数据资源类定级方法:适用于大数据等定级对象。 基础支撑类定级方法
网络安全等级保护定级指南解 读
支撑等级保护管理工作新思路和内容; 适应新形势下信息化新技术新应用的不断涌现; 针对标准使用过程中发现的一些问题进行修订:
降级躲避监管; 拍脑袋定级,流程不完整。
安全保护等级定义
第三级:对公民、法人和其他组织的合法权益产生特别严重损害。
等级保护对象
云计算平台、工业控制系统、物联网、大数据等
层级1 现场控制层 该层级主要通过PLC、DCS控制单元 和 R T U 等 进 行 生产过程的控制。
层级0 现场设备层 该层级主要通过传感器对实际生产过程的 数据进行 采集,同时,利用执行器对生产过程进行操作。
生产管理层 过程监控层 现场控制层 现场设备层
仓储管理系统
计划排产系统
现场设备层、现场控制层 工和程过师站程监控层应作为操作一员站个
物联网应作为一个整体对象定级,主要包括感知层、网 络 传输层和处理应用层等要素。
区别在于:移动终端可以通过无线方式 接入网络。
移动终端可以远程通过运营商基站或公共Wi-Fi 接入等级保护对象,也可以在本地通过本地无 线接 入设备接入等级保护对象; 系统通过移动管理系统的服务端软件向客户端 软件发送管理策略,并由客户端软件执行实现 系统 的安全管理。
信息安全等级保护工作直接作用的具体信息和信息系统。
网络安全等级保护工作的作用对象,主要包括基础信息网络、信息 系统(诸如传统信息系统、工业控制系统、云计算平台、物联网、 使 用移动互联技术的信息系统等)和大数据等。
基
传统信息系统
等级保护对象
信息系统
云计算平台
础信息网络 大数据
采用移动互联 工业控制系统
4. 主管部门审核 5. 公安机关备案审查
确定定级对象
对于电信网、广播电视传输网、互联网等基础信息网络,应分别依 据服务类型、服务地域和安全责 任主体等因素将其划分为不同的 定级对象。
跨省全国性业务专网可作为一个整体对象定级,也可以分区域划分 为若干个定级对象。
传统信息系统
具有唯一确定的安全责任单位;【 大切小 】 承载相对独立的业务应用;【 再切小 】 具有信息系统的基本要素。【 不能再小了 】
定级流程
流程完善 、定级方法细化。
安全保护等级
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或 者对国家安全造成损害。
第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的 合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重 损害,或者对国家安全造成损害。
等级保护对象
物联网系统 技术信息系统
基础信息网络
为信息流通、信息系统运行等起基础支撑作用的信息网络,包括电信网、广 播电视传输网、互联网、 业务专网等网络设备设施。
信息系统
由计算机和类计算机的软硬件及其相关的和配套的设备、设施构成的,按照 一定的应用目标和规则 进行信息处理或过程控制的资源集合。 注:资源可以是物理设备,也可以是虚拟设备。
原则上大数据安全 保护等级为第三级以上。
基础支撑类定级方法
对于基础信息网络、云计算平台等定级对象,应根据 其承载或 将要承载的等级保护对象的重要程度 确定其 安全保护等级,原 则上应不低于其承载的等级保护对 象的安全保护等级。
适用于基础信息网络和云计算平台等定级对象。
数据资源类定级数据规模、数据价值等因素根 据 其在国家安全、经济建设、社 会生活中的重要程度,以及数据资 源 遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和 其 他组织的合法权益的危害程度等因素确定其安全保护等级。
在云计算环境中,应将云服务方侧的 云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单 独的定级对象定级。
在云计算环境中,应将云服务方侧的 云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单 独的定级对象定级。
对于大型云计算平台,应 将云计算基础设施和有关 辅助服务系统划分为不同 的定级对象。
4. 主管部门审核 5. 公安机关备案审查
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应将初步定 级结果上报行业主管部门或上级主管部 门进行审核。
4. 主管部门审核 5. 公安机关备案审查
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应按照相关 管理规定,将初步定级结果提交公安机 关进行备案审查,最终确定定级对象的 安全保护等级。
单一设备(如服务器、终端、网络设备等)不单独定级。
层级4 企业资源层 该层级主要通过ERP系统为企业决策层及 员工提供 决策运行手段。 层级3 生产管理层 该层级主要通过MES系统为企业提供包括 制造数 据管理、计划排程管理、生产调度管理等管理模 块。
层级2 过程监控层 该层级主要通过分布式SCADA系统采集和 监控生产 过程参数,并利用HMI系统实现人机交互。
大家有疑问的,可以询问和交流
可以互相讨论下,但要小声点 9
1. 确定定级对象 2. 初步确定等级
自主定级 专 家评审 主管部门审批 公安机关监督
定级流程
3. 专家评审 4. 主管部门审核 5. 公安机关备案审查
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应组织信息 安 全专家和业务专家,对初步定级结果 的合 理性进行评审, 出具专家评审意见。
…
根据系统功能、
… OO控PPCC服制务对器
象产和厂生商等因素
划分为多个定 …
级对象。
…
SP 800146
GB/T 31168 2014
IaaS组件栈和控制范围
:
云计算模式与控制范围
云计算典型模型
ISO/IEC17789-2014 云计算层次框架
运维服务系统 业务运营系统 安全系统 集成 开发
采用移动互联技术的等级保护对象 应作 为一个整体对象定级,移动终端、 移动 应用和无线网络等要素不单独定级。
应将具有统一安全责任单位的大数据作为一个整体对象定级。
确定安全保护等级
业务处理类定级方法
适用于传统信息系统、工业控制系统、物联网、和采用移动互联 技 术的信息系统等定级对象。
数据资源类定级方法:适用于大数据等定级对象。 基础支撑类定级方法
网络安全等级保护定级指南解 读
支撑等级保护管理工作新思路和内容; 适应新形势下信息化新技术新应用的不断涌现; 针对标准使用过程中发现的一些问题进行修订:
降级躲避监管; 拍脑袋定级,流程不完整。
安全保护等级定义
第三级:对公民、法人和其他组织的合法权益产生特别严重损害。
等级保护对象
云计算平台、工业控制系统、物联网、大数据等
层级1 现场控制层 该层级主要通过PLC、DCS控制单元 和 R T U 等 进 行 生产过程的控制。
层级0 现场设备层 该层级主要通过传感器对实际生产过程的 数据进行 采集,同时,利用执行器对生产过程进行操作。
生产管理层 过程监控层 现场控制层 现场设备层
仓储管理系统
计划排产系统
现场设备层、现场控制层 工和程过师站程监控层应作为操作一员站个
物联网应作为一个整体对象定级,主要包括感知层、网 络 传输层和处理应用层等要素。
区别在于:移动终端可以通过无线方式 接入网络。
移动终端可以远程通过运营商基站或公共Wi-Fi 接入等级保护对象,也可以在本地通过本地无 线接 入设备接入等级保护对象; 系统通过移动管理系统的服务端软件向客户端 软件发送管理策略,并由客户端软件执行实现 系统 的安全管理。
信息安全等级保护工作直接作用的具体信息和信息系统。
网络安全等级保护工作的作用对象,主要包括基础信息网络、信息 系统(诸如传统信息系统、工业控制系统、云计算平台、物联网、 使 用移动互联技术的信息系统等)和大数据等。
基
传统信息系统
等级保护对象
信息系统
云计算平台
础信息网络 大数据
采用移动互联 工业控制系统
4. 主管部门审核 5. 公安机关备案审查
确定定级对象
对于电信网、广播电视传输网、互联网等基础信息网络,应分别依 据服务类型、服务地域和安全责 任主体等因素将其划分为不同的 定级对象。
跨省全国性业务专网可作为一个整体对象定级,也可以分区域划分 为若干个定级对象。
传统信息系统
具有唯一确定的安全责任单位;【 大切小 】 承载相对独立的业务应用;【 再切小 】 具有信息系统的基本要素。【 不能再小了 】
定级流程
流程完善 、定级方法细化。
安全保护等级
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或 者对国家安全造成损害。
第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的 合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重 损害,或者对国家安全造成损害。
等级保护对象
物联网系统 技术信息系统
基础信息网络
为信息流通、信息系统运行等起基础支撑作用的信息网络,包括电信网、广 播电视传输网、互联网、 业务专网等网络设备设施。
信息系统
由计算机和类计算机的软硬件及其相关的和配套的设备、设施构成的,按照 一定的应用目标和规则 进行信息处理或过程控制的资源集合。 注:资源可以是物理设备,也可以是虚拟设备。
原则上大数据安全 保护等级为第三级以上。
基础支撑类定级方法
对于基础信息网络、云计算平台等定级对象,应根据 其承载或 将要承载的等级保护对象的重要程度 确定其 安全保护等级,原 则上应不低于其承载的等级保护对 象的安全保护等级。
适用于基础信息网络和云计算平台等定级对象。
数据资源类定级数据规模、数据价值等因素根 据 其在国家安全、经济建设、社 会生活中的重要程度,以及数据资 源 遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和 其 他组织的合法权益的危害程度等因素确定其安全保护等级。
在云计算环境中,应将云服务方侧的 云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单 独的定级对象定级。
在云计算环境中,应将云服务方侧的 云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单 独的定级对象定级。
对于大型云计算平台,应 将云计算基础设施和有关 辅助服务系统划分为不同 的定级对象。
4. 主管部门审核 5. 公安机关备案审查
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应将初步定 级结果上报行业主管部门或上级主管部 门进行审核。
4. 主管部门审核 5. 公安机关备案审查
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应按照相关 管理规定,将初步定级结果提交公安机 关进行备案审查,最终确定定级对象的 安全保护等级。
单一设备(如服务器、终端、网络设备等)不单独定级。
层级4 企业资源层 该层级主要通过ERP系统为企业决策层及 员工提供 决策运行手段。 层级3 生产管理层 该层级主要通过MES系统为企业提供包括 制造数 据管理、计划排程管理、生产调度管理等管理模 块。
层级2 过程监控层 该层级主要通过分布式SCADA系统采集和 监控生产 过程参数,并利用HMI系统实现人机交互。
大家有疑问的,可以询问和交流
可以互相讨论下,但要小声点 9
1. 确定定级对象 2. 初步确定等级
自主定级 专 家评审 主管部门审批 公安机关监督
定级流程
3. 专家评审 4. 主管部门审核 5. 公安机关备案审查
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应组织信息 安 全专家和业务专家,对初步定级结果 的合 理性进行评审, 出具专家评审意见。