当前位置:文档之家 › 等保2.0安全管理中心四级对比

等保2.0安全管理中心四级对比

  • 格式:pdf
  • 大小:91.27 KB
  • 文档页数:2

下载文档原格式

  / 2

合集下载

等保2.0基本要求-各级对比

等保2.0基本要求-各级对比
6.1.3 安全区域边界 6.1.3.1 边界防护
应保证跨越边界的访问和数据流 通过边界设备提供的受控接口进 行通信。
a) 应划分不同的网络区域,并按 照方便管理和控制的原则为各网 络区域分配地址;
a) 应保证网络设备的业务处理能力满 足业务高峰期需要; b) 应保证网络各个部分的带宽满足业 务高峰期需要;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访 问控制规则数量最小化;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访问 控制规则数量最小化;
b) 应删除多余或无效的访问控制规 则,优化访问控制列表,并保证访问 控制规则数量最小化;
c) 应对源地址、目的地址、源端 口、目的端口和协议等进行检 查,以允许/拒绝数据包进出。
7.1.1.10 电磁防护
8.1.1.10 电磁防护
d)应提供应急供电设施。 9.1.1.10 电磁防护
电源线和通信线缆应隔离铺设, 避免互相干扰。
a)电源线和通信线缆应隔离铺设,避 免互相干扰;
a)电源线和通信线缆应隔离铺设,避 免互相干扰;
b)应对关键设备实施电磁屏蔽。
b)应对关键设备或关键区实施电磁屏 蔽。
c)应划分不同的网络区域,并按照方 便管理和控制的原则为各网络区域分 配地址;
a) 应保证网络设备的业务处理能力满 足业务高峰期需要; b) 应保证网络各个部分的带宽满足业 务高峰期需要;
c)应划分不同的网络区域,并按照方 便管理和控制的原则为各网络区域分 配地址;
b) 应避免将重要网络区域部署在 边界处,重要网络区域与其他网 络区域之间应采取可靠的技术隔 离手段。
c) 应安装对水敏感的检测仪表或元 件,对机房进行防水检测和报警。

关键信息基础设施等保2.0解决方案

关键信息基础设施等保2.0解决方案

关键信息基础设施等保2.0解决方案等保2.0近年来,信息化技术和应用的发展突飞猛进,以云计算、移动网络、物联网、大数据、智能化和工业互联网、区块链等等为代表的各项新技术新应用将我们推到了一个全新的数字化网络化的世界。

等级保护也步入了一个新的阶段——等级保护2.0时代。

等级保护标准2.0是根据当前的网络安全的形势变化、任务要求和整个技术的发展,重新审视等级保护制度,从四个方面提出了新的政策和要求。

等保2.0的特点第二,等级保护2.0网络安全等级保护监管的对象进行了很大的扩充,以前更多的是面向传统的信息系统,现在是关注包括云平台、移动网络、物联网、大数据、工业控制系统等所有新应用的全面安全。

等保2.0的特点第三,完善了网络安全等级保护的措施,这是等级保护2.0的核心。

原来《信息安全等级保护管理办法》是由四部委经国务院批准颁布的法规,执行上重视的是等级保护的定级、备案、测评、整改等工作。

2.0时代,公安部牵头制定《网络安全等级保护条例》,经中央网信办协调保密局、密码局达成一致并征求社会各界意见后报国务院和国家有关机构进入立法程序。

一经国家依法审批即将作为网络安全法的下位法颁布执行。

等保2.0的特点第四,修订了2008年出台的包括等级保护的基本要求,安全设计技术要求,等级保护的测评要求等一系列标准。

2.0的标准涵盖了云计算、大数据、物联网、移动互联工业控制系统等安全等级保护的标准。

制定了全新的工作机制,包括等级保护协调机制,密切跟行业主管部门的沟通协作的相应的机制,并强调充分发挥测评机构、服务机构、科研院所等方面的作用和力量,推动整个网络安全等级保护制度的落实,进一步加强整体的安全防护。

等保2.0的特点“网络安全法总结实践经验,对该制度的名称作了调整,改为网络安全等级保护制度,对其主要内容作了规定。

国务院有关部门应当根据本法完善相关配套规定,确保网络安全等级保护制度落到实处。

”等保2.0的特点第二,等级保护的对象大大扩展了:定级对象可以分为三类,第一类是网络/平台类,包括了电信网、广播电视网、互联网、行业专网、云计算服务平台、大数据服务平台等,这一类对象更关注其安全服务能力;第二类是信息系统类,包括了计算机信息系统、工业控制系统、移动互联系统、物联网系统等,这类系统中既关注业务信息安全也关注系统服务安全;第三类是数据类,包括大数据、数字资产、数据资源,这一类关注的是业务信息安全。

等保2.0安全区域边界四级对比

等保2.0安全区域边界四级对比

和 垃 圾 邮 件 防
b)应在关键网络节 b)应在关键网络节点 点处对垃圾邮件进 处对垃圾邮件进行 行检测和防护.并维 检测和防护,并维护 护垃圾邮件防护机 垃圾邮件防护机制 制的升级和更新。 的升级和更新。
a)应在网络边界. a)应在网络边界、 a) 应在网络边界、 重要网络节点进行 重要网络节点进行 重要网络节点进行 安全审计,审计覆盖 安全审计,审计覆盖 安全审计,审计覆盖 到每个用户,对重要 到每个用户,对重要 到每个用户,对重要 的用户行为和重要 的用户行为和重要 的用户行为和重要 安全事件进行审计; 安全事件进行审计: 安全事件进行审计;
d)应能根据会话状 d)应能根据会话状 d)应能根据会话状态 态信息为进出数据 态信息为进出数据 信息为进出数据流 流提供明确的允许/ 流提供明确的允许/ 提供明确的允许/拒 拒绝访间的能力。 拒绝访问的能力; 绝访问的能力;
e)应对进出网络的 e)应在网络边界通过
数据流实现基于应 通信协议转换或通
访 问 控 制
c)应对源地址.目 的地址、源端口 、目的端口和协 议等进行检查.以 允许/拒绝数据包 进出。
c)应对源地址.目的 地址、源端口、目 的端口和协议等进 行检查,以允许/拒 绝数据包进出
c)应对源地址,目的 地址、源端口、目 的端口和协议等进 行检查,以允许/拒 绝数据包进出;
c)应对源地址、日的 地址、源端口、目 的端口和协议等进 行检查,以允许/拒绝 数据包进出;
用协议和应用内容 信协议隔离等方式
的访间控制。
进行数据交换。
应在关键网络节点 处监视网络攻击行 为。
a)应在关键网络节 a)应在关键网络节点
点处检测.防止或限 处检测、防止或限
制从外部发起的网 制从外部发起的网

等保2.0安全计算环境四级对比

等保2.0安全计算环境四级对比

c)在可能涉及法律 责任认定的应用中, 应采用密码技术提 供数据原发证据和 数据接收证据,实现 数据原发行为的抗 抵赖和数据接收行 为的抗抵赖。
a)应采用密码技术 a)应采用密码技术
保证重要 数据在 保证重要数据在传
传输过程中的保密 输过程中的保密性,
9.1 .4.
性,包括但不限于 包括但不限于鉴别 鉴别数据.重要业 数据、重要业务数 务数据和重要个人 据和重要个人信息
并在检测到其可 键执行环节进行动 行动态可信验证,在
信性受到破坏后 态可信验证,在检 检测到其可信性受
进行报警,并将 测到其可信性受到 到破坏后进行报警,
验证结果形成审 破坏后进行报警, 并将验证结果形成
计记录送至安全 并将验证结果形成 审计记录送至安全
管理中心。
审计记录送至安全 管理中心,并进行
管理中心
认共享和高危 认共享和高危端
端口。
口;
b)应关闭不需要的 b)应关闭不需要的 系统服务、默认共 系统服务、默认共 享和高危端口: 享和高危端口;
9.1 .4.
e)应通过设定终 端接入方式或网 络地址范围对通 过网络进行管理 的管理终端进行 限制;.
c)应通过设定终端 c)应通过设定终端
接人方式或网络地 接人方式或网络地
a)应对登录的用 a)应对登录的用
户分配账户和 户分配账户和权
权限;
限;
n)应对 登录的用户 a)应对登录的用户 分配账户和权限: 分配账户和权限;
b)应重命名或删 b)应重命 名或删
除默认账户,修 除默认账户,修改
改默认账户的 默认账户的默认
默认口令;
口令;
b)应重命 名或删除 默认账户,修改默 认账户的默认口 令;

等保一级二级三级四级测评项对比

等保一级二级三级四级测评项对比

等保一级二级三级四级测评项对比今天咱们聊聊“等保”四个等级的事儿,啥叫等保呢?就是“等级保护”,全称叫做《信息安全技术网络安全等级保护基本要求》。

简单来说就是根据你单位、你网站、你系统的“重要程度”来划分的安全等级。

简单点说,就是你的网站有多重要,相关部门对你要求的安全防护就有多高。

等保的等级从一级到四级,四级就等于是“顶级防护”,一级呢,就是最基础的保护。

你看哈,就像是咱家的门锁一样,一星级门锁只能防止小偷偷东西,四星级门锁嘛,就算是黑客来也得瑟瑟发抖。

所以今天咱就来看看这四个等级有啥不一样,各自的测评项有哪些区别。

咱先从等保一级说起,基本上属于“随便打个防护墙也就够了”的级别,主要适用于一些没有啥敏感数据、对安全要求不高的小系统。

你想啊,像咱家的WiFi密码,可能也就不过是一个简单的“123456”,那啥,基本上是不会有黑客来攻破你家防线的。

这个级别的测评项主要是看你有没有做一些基本的安全措施,比如设置了防火墙没有、默认密码改了没、是不是有一些简单的入侵检测。

低调,简单,只要能防住一般的小问题就行了。

再说等保二级吧,哎呦,这就好像是换了个更结实的门锁,防盗网也加上了,不单单是防止普通的黑客攻击了,还得防止一些有点儿“水平”的攻击者。

这个级别的测评就多了,比如会看看你的系统有没有定期做漏洞扫描,系统的日志有没有记录,权限控制是不是合理。

这个就像你家门锁不光得结实,还得有个监控摄像头,看见有可疑的人就能报警。

简单说吧,二级安全还是比较基础的,差不多能防住那些不太专业的攻击了。

然后咱说说三级,这就厉害了,三级差不多就相当于家里换了带密码的智能锁,防盗网也升级为全自动的那种。

三级的测评项可就多了,不光得看防护能力,还得看管理、运维、数据保护等各方面。

比如有没有定期的安全巡检?系统的漏洞有没有及时打补丁?数据的备份是不是做好了?这个时候,系统的安全防护已经不只是看“有没有密码”,而是更侧重于“如何保护”了。

等保2.0测评项基本要求(二级 三级对比概述)

等保2.0测评项基本要求(二级 三级对比概述)

人员配备
2
授权和审批
3
沟通和合作
3
审核和检查
3
二级
测评项数 2 1 2 1 2 2 1 1 2
1
2 1 1 1 4 1 1 1 3
3
4
3
1 5 1 1 0 2 1 2 2 2 0
0
1
2
2 1 2 1 2 3 1
人员录用
3
2
人员离岗
2
1
安全管理人员
安全意识教育和 培训
3
1
外部人员访问管 理
4
3
定级和备案
2
1
密码管理
2
2
并更管理
3
1
备份与恢复管理
3
3
安全事件处置
4
3
应急预案管理
4
2
外包运维管理
4
2
总计
211
135
云计算安全扩展 要求
安全技术要求
安全管理要求
分类 安全物理环境 安全通信网络 安全区域边界
安全计算环境
安全管理中心 安全建设管理 安全运维管理
三级
安全控制点 基础设施位置
网络架构 访问控制 入侵防范 安全审计 身份鉴别 访问控制 入侵防范 镜像和快照保护 数据完整性和保
安全技术要求
安全管理要求
分类 安全物理环境 安全区域边界
安全计算环境 安全运维管理
三级
安全控制点 感知节点设备物
理防护 接入控制 入侵防范 感知节点设备安 网关节点设备安 抗数据重放 数据融合处理 感知节点管理
测评项数
4
1 2 3 4 2 1 3
二级
测评项数

华为安全等保二、三级方案介绍


2
采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施
3
采取检测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月
4
采取数据分类、重要数据备份和加密等措施
5
法律、行政法规规定的其他义务
对不履行第二十一条规定的,将对运营者及直接负责的主管人员处以责令整改、警告、罚款等行政处罚,情节严 重的还将追究刑事责任
(二)铁路、银行、海关、税务、银 行、电力、证券、保险、外交、科技、 发展改革、国防科技、公安、人事劳 动和社会保障、财政、审计、商务、 水利、国土资源能源、交通、文化、 教育、统计、工商行政管理、邮政行 业部门的生产、调度、管理、办公等 重要信息系统
等级保护价值
满足监管要求
明确安全责任
体系化建设
社会秩序和公共利益。
第二级:信息系统受到破坏后,会对公民、法人和 其他组织的合法权益产生严重损害,或者对社会秩 序和公共利益造成损害,但不损害国家安全。
第三级:信息系统受到破坏后,会对社会秩序和公 共利益造成严重损害,或者对国家安全造成损害。
第四级:信息系统受到破坏后,会对社会秩序和公 共利益造成特别严重损害,或者对国家安全造成严 重损害。
集约化运营
优化安全收益
满足政策、法律与行 业要求,安全状况获
得公安机关认可
谁主管,谁负责 谁使用,谁负责 谁运营,谁负责
整体规划,分区域, 分层,分类,分级别,分 阶段进行建设,安 全建设更加体系化
利于企业集约化运 营,相同等级的信 息资产共享相同的
保护措施
根据信息资产价值 实施保护,平衡安
全投入与产出
由公安监督检查
•公安机关负责信息安全等级保护工作 的监督、检查、指导 •国家保密工作部门负责等级保护工作 中有关保密工作的监督、检查、指导 •国家密码管理部门负责等级保护工作 中有关密码工作的监督、检查、指导

新等保2.0机会点解读 - 安全管理中心 (3级)

GB/T 22239-2019等级保护安全通用要求——技术要求技术要求安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心物理位置选择网络架构物理访问控制通信传输防盗窃和防破坏可信验证防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护边界防护身份鉴别访问控制访问控制入侵防御安全审计恶意代码防范入侵防范安全审计恶意代码防范可信验证可信验证数据完整性数据保密性数据备份恢复剩余信息保护个人信息保护系统管理审计管理安全管理集中管控上一期介绍了“可信验证”,本期介绍“安全管理中心”等保1.0时期,“安全管理中心”是第三级及以上系统的要求。

位于“管理要求”-“系统运维管理”-“监控管理和安全管理中心”要求为:应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关的事项进行集中管理。

那么,此等保1.0时期的安全管理中心属于管理要求。

到2.0时则是安全技术要求。

等保2.0时期,第二级系统就开始要求建立安全管理中心。

在这里提醒大部分备案为二级的医疗教育行业客户注意。

如果你们原来二级系统没有建立安全管理中心的,现在也要开始着手建立了!等保2.0要求,第二级系统的安全管理中心包括系统管理和审计管理两方面。

第三级及以上的安全管理中心包括系统管理、审计管理、安全管理和集中管控。

2.0下的安全管理中心已不仅仅是1.0下仅对设备状态、恶意代码、补丁升级、安全审计等安全相关事项的集中管理。

2.0对安全管理中心有了更详细、严格的要求。

在2.0的安全通用要求下,第二级系统的安全管理中心控制点下共有4个要求项;第三级共计12个要求项;第四级共计13个要求项。

例如:第二级-安全管理中心系统管理:a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

干货:等保2.0安全架构介绍+建设要点

等保2.0安全架构介绍+建设要点
一、概述
基于“动态安全”体系架构设计,构筑“网络+安全”稳固防线“等级保护2.0解决方案”,基于“动态安全”架构,将网络与安全进行融合,以合规为基础,面对用户合规和实际遇到的安全挑战,将场景化安全理念融入其中,为用户提供“一站式”的安全进化。

国家网络安全等级保护工作进入2.0时代
国家《网络安全法》于2017年6月1日正式施行,所有了网络运营者和关键信息基础设施运营者均有义务按照网络安全等级保护制度的要求对系统进行安全保护。

随着2019年5月13日《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》标准的正式发布,国家网络安全等级保护工作正式进入2.0时代。

二、等级保护2.0关键变化
“信息安全”→“网络安全”
引入移动互联、工控、物联网等新领域
等保2.0充分体现了“一个中心三重防御“的思想。

一个中心指“安全管理中心”,三重防御指“安全计算环境、安全区域边界、安全网络通信”,同时等保2.0强化可信计算安全技术要求的使用。

被动防御→主动防御
等级保护2.0解决方案拓扑结构设计
1、安全管理中心
•大数据安全
(流量+日志)
•IT运维管理
•堡垒机
•漏洞扫描
•WMS
•等保建设咨询服务建设要点
对安全进行统一管理与把控集中分析与审计
定期识别漏洞与隐患
2、安全通信网络
•下一代防火墙•VPN
•路由器
•交换机
建设要点
构建安全的网络通信架构保障信息传输安全
3、安全区域边界。

等保测评标准2.0

等保测评标准2.0
等保测评标准2.0是网络安全领域中的一项重要标准,旨在评估信息系统安全等级保护的级别和安全性。

该标准由国家相关部门联合制定,是信息安全保护工作的基础。

相较于之前的等保测评标准,等保测评标准2.0更加注重信息系统的整体安全性和隐私保护。

在评估过程中,该标准不仅考虑了信息系统的技术层面,还涵盖了安全管理、安全审计、安全控制等多个方面。

此外,等保测评标准2.0还增加了一些新的安全要求和指标,例如对数据传输、数据存储、数据备份等方面的要求。

在等保测评标准2.0中,信息系统安全等级保护的级别被划分为五个等级,分别是:一级(基本安全)、二级(较为安全)、三级(安全)、四级(高级安全)和五级(最安全)。

每个等级都有相应的安全要求和指标,以确保信息系统的安全性和稳定性。

在评估过程中,等保测评标准2.0采用了多种方法和工具,包括漏洞扫描、渗透测试、安全审计等。

评估结果将被记录在测评报告中,该报告将详细说明信息系统的安全等级和需要改进的方面。

总之,等保测评标准2.0是信息安全保护工作的重要标准之一,有助于提高信息系统的安全性和稳定性。

对于企业和组织来说,开展等保测评工作是非常必要的,有助于及时发现和解决潜在的安全风险。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

9.1.
操作进行审计: 审计:
计:
5.1

b)应通过系统管 b)应通过系统管理 )应通过系统管理

理员对系统的资 员对系统的资源和 员对系统的资源和

源和运行进行配 运行进行配置、控 运行进行配置、控

置、控制和管理, 制和管理,包括用 制和管理,包括用户
包括用户身份.系 户身份、系统资源 身份、系统资源配
一级
二级
三级
四级
a)应对系统管理 a)应对系统管理员 a)应对系统管理员
员进行身份鉴别, 进行身份鉴别,只 进行身份鉴别,只
只允许其通过特 允许其通过特定的 允许其通过特定的
定的命令或操作 命令或操作界面进 命令或操作界而进
界面进行系统管 行系统管理操作, 行系统管理操作,并
理操作,并对这些 并对这些操作进行 对这些操作进行审
f) 应能对网络中发 f) 应能对网络中发
生的各类安全事件 生的各类安全事件
进行识别、报警Leabharlann 进行识别报警和分分析。析;
g) 应保证系统范围 内的时间由唯一确 定的时钟产生,以 保证各种数据的管 理和分析在时间上 的一致性。
a) 应对安全管理员 进行身份鉴别,只 允许其通过特定的 命令或操作界面进 行安全管理操作, 并对这些操作进行 审计;
a)应对安全管理员 进行身份鉴别,只允 许其通过特定的命 令或操作界面进行 安全管理操作,并对 这些操作进行审计;




9.1.
5.3
安 全 管 理
b) 应通过安全管 理员对系统中的安 全策略进行配置, 包括安全参数的设 置,主体、客体进 行统- -安全标记, 对主体进行授权, 配置可信验证策略 等。
测;
测;
9.1. 5.4 集 中 管 控
d) 应对分散在各 个设备.上的审计 数据进行收集汇总 和集中分析,并保 证审计记录的留存 时间符合法律法规 要求;
d)应对分散在各合 法律法规要求;个设 备上的审计数据进 行收集汇总和集中 分析,并保证审计记 录的留存时间符
e) 应对安全策略、 e)应对安全策略 恶意代码、朴丁升 、恶意代码、补丁 级等安全相关事项 升级等安全相关事 进行集中管理; 项进行集中管理;
b) 应能够建立一 b)应能够建立一条
条安全的信息传输 安全的信息传输路
路径,对网络中的 径,对网络中的安全
安全设备或安全组 设备或安全组件进
件进行管理;
行管理;
c)应对网络链路.安 c)应对网络链路、
全设备.网络设备 安全设备、网络设
和服务器等的运行 备和服务器等的运
状况进行集中监 行状况进行集中监
统资源配置、系 配置、系统加载和 置、系统加载和启
统加载和启动.系 启动.系统运行的 动、系统运行的异
统运行的异常处 异常处理、数据和 常处理、数据和设
理.数据和设备的 设备的备份与恢复 备的备份与恢复等
备份与恢复等。 等。

9.1. 5.2
a)应对审计管理 员进行身份鉴别, 只允许其通过特 定的命令或操作 界面进行安全审 计操作,并对这些 操作进行审计:
a)应对审计管理员 进行身份鉴别,只 允许其通过特定的 命令或操作界面进 行安全审计操作, 并对这些操作进行 审计;
a) 应对审计管理员 进行身份鉴别,只允 许其通过特定的命 令或操作界面进行 安全审计操作,并对 这些操作进行审计:


b)应通过审计管 b)应通过审计管理 b)应通过审计管理

理员对审计记录 员对审计记录应进 员对审计记录应进
b)应通过安全管理 员对系统中的安全 策略进行配置,包括 安全参数的设置, 主体.客体进行统一 安全标记,对主体进 行授权.配置可信验 证策略等。
a) 应划分出特定的 a)应划分出特定的
管理区域,对分布 管理区域,对分布在
在网络中的安全设 网络中的安全设备
备或安全组件进行 或安全组件进行管
管控;
控;

进行分析,并根据 行分析,并根据分 行分析,并根据分析
分析结果进行处 析结果进行处理, 结果进行处理,包括
理,包括根据安全 包括根据安全审计 根据安全审计策略
审计策略对审计 策略对审计记录进 对审计记录进行存
记录进行存储、 行存储.管理和查 储、管理和查询等
管理和查询等。 询等。

9.1. 5.3