等级保护基本要求培训ppt课件

• 2003年，中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。
• 2004-2006年，公安部联合四部委开展涉及65117家单位，共115319个信息系统的等级保护基础 调查和等级保护试点工作，为全面开展等级保护工作奠定基础。
GA/T 1390.2—2017《信息安全技术 网络安全等级保护基本要求 第 2 部分：云计算安全扩展要求》
针对云计算架构的特点，对云计算环境下的物理位置、虚拟化网络、虚拟机、云服务方、云租户、虚拟镜像等技术保护要求，以及 云服务商选择、SLA协议、云安全审计等安全管理要求进行了规定。
GA/T 1390.3—2017 《信息安全技术 网络安全等级保护基本要求 第 3 部分：移动互联安全扩展要求》
针对移动互联网系统中移动终端、移动 应用和无线网络等三个关键要素，明确了无线接入设备的安装选择、无线接入网关处理能 力、非授权移动终端接入等技术保护要求，以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进行了规定。
GA/T 1390.5—2017 《信息安全技术 网络安全等级保护基本要求 第 5 部分：工业控制系统安全扩展要求》
长 的 时 间 隧 道，袅
等级保护新标准(2.0)介绍--ppt课件
1
等级保护发展历程与展望
√
2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
ppt课件
2
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
• 1994年，国务院颁布《中华人民共和国计算机信息系统安全保护条例》，规定计算机信息系统实 行安全等级保护。

密码管理
备份与恢复管理
变更管理
安全事件处置 应急预案管理 外包运维管理
技术要求
三级
技术要求
安全物理环境
• 机房出入口应配置电子门禁系统
• 应设置机房防盗报警系统或设置有专人值守的视频监控系统
• 应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等
• 应对机房划分区域进行管理，区域和区域之间设置隔离防火措施
等级保护的基本要求、测 评要求和安全设计技术要 求框架统一，即：安全管 理中心支持下的三重防护 结构框架
通用安全要求+新型应用 安全扩展要求，将云计 算、移动互联、物联网、 工业控制系统等列入标 准规范
将可信验证列入各级别和 各环节的主要功能要求
定级对象
等保进入2.0时代，保护对象从传统的网络和信息系统，向“云移物工大”上扩展，基 础网络、重要信息系统、互联网、大数据中心、云计算平台、物联网系统、移动互联 网、工业控制系统、公众服务平台等都纳入了等级保护的范围。
分 级 保 护
国家保密工
作部门
国家保密标
涉密 信息系统
（国家保密 局、各省保
密局、各地
准 （BMB，强
制执行）
地市保密局）
3个级别 秘密级 机密级（一般、增强） 绝密级
信息的重要性，以 信息最高密级确定 受保护的级别。
单项：保密局发的涉密单项资质 安全产品：保密局发的涉密检测报告 密码产品：国密局发的密码资质 防病毒软件：公安部的检测报告 军队：军用安全产品检测报告
✓ 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间， 在发生严重入侵事件时应提供报警。
添加标题
4、恶意代码和垃圾邮件防护
添加标题

1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、有勇气承担命运这才是英雄好汉。——黑塞 4、与肝胆人共事，无字句处读书。——周恩来 5、阅读使人充实，会谈使人敏捷，写作使人精确纪律是自由的第一条件。——黑格 尔 7、纪律是集体的面貌，集体的声音， 集体的 动作， 集体的 表情， 集体的 信念。 ——马 卡连柯
8、我们现在必须完全保持党的纪律， 否则一 切都会 陷入污 泥中。 ——马 克思 9、学校没有纪律便如磨坊没有水。— —夸美 纽斯
10、一个人应该：活泼而守纪律，天 真而不 幼稚， 勇敢而 鲁莽， 倔强而 有原则 ，热情 而不冲 动，乐 观而不 盲目。 ——马 克思

机房应设置火灾自动消防系 统，能够自动检测火情、自 动报警，并自动灭火；
机房及相关的工作房间和辅 助房应采用具有耐火等级的 建筑材料；
机房应采取区域隔离防火措 施，将重要设备与其他设备 隔离开。
标准理解
（1）机房的火灾自动消防系统具 备自动报警和灭火功能，并通过当 地公安消防部门的验收；
（2）机房的设备区域应采取气体 灭火装置；
标准理解
（1）应有设备接入授权控制管理 过程。
（2）限制或禁止内部人员使用电 话拨号、adsl拨号、手机、pda等 连接到外部网络。
- 19 -
All rights reserved © 2007
入侵防范（G3）
标准要求
应在网络边界处监视以下攻 击行为：端口扫描、强力攻 击、木马后门攻击、拒绝服 务攻击、缓冲区溢出攻击、 IP碎片攻击和网络蠕虫攻击 等；
（5）应有IP/VLAN/MPLS地址分 配方案文档；
- 14 -
All rights reserved © 2007
结构安全（G3） ----2
标准要求
应避免将重要网段部署在网 络边界处且直接连接外部信 息系统，重要网段与其他网 段之间采取可靠的技术隔离 手段；
应按照对业务服务的重要次 序来指定带宽分配优先级别 ，保证在网络发生拥堵的时 候优先保护重要主机。
（9）对不同用户建立一个授权访 问列表，控制粒度为单个用户；
（10）禁止使用拨号或互联网对网 络设备进行管理和维护；
（11）拨号访问服务器限制用户数 量和权限。
- 17 -
All rights reserved © 2007
安全审计（G3 ）
标准要求
应对网络系统中的网络设备 运行状况、网络流量、用户 行为等进行日志记录；

拉
60、生活的道路一旦选定，就要勇敢地 走到底 ，决不 回头。过 去和未 来文化 生活的 源泉。 ——库 法耶夫 57、生命不可能有两次，但许多人连一 次也不 善于度 过。— —吕凯 特 58、问渠哪得清如许，为有源头活水来 。—— 朱熹 59、我的努力求学没有得到别的好处， 只不过 是愈来 愈发觉 自己的 无知。 ——笛 卡儿
信息安全等级保护制度的主要内容和 要求
11、用道德的示范来造就一个人，显然比用法律来约束他更有价值。—— 希腊
12、法律是无私的，对谁都一视同仁。在每件事上，她都不徇私情。—— 托马斯
13、公正的法律限制不了好的自由，因为好人不会去做法律不允许的事 情。——弗劳德
14、法律是为了保护无辜而制定的。——爱略特 15、像房子一样，法律和法律都是相互依存的。——伯克

络安全设备列表及销售许可证等）。 • 公安机关审核后颁发备案证明。
3.风险评估，差距分析（锐捷安全服务部门可提供此服务）
• 风险评估
① 资产评估 ② 威胁评估 ③ 脆弱性评估 ④ 安全措施评估 ⑤ 综合风险分析
• 差距分析
按照等级保护基本要求每一条进行对比分析，查看是否满足对应等级的要求。 ① 技术差距分析 ② 管理差距分析
安全产品事业部 安全服务中心
等级保护2.0
等保实施流程
锐捷安全服务
等级保护相关标准在调整中，等保2.0新标准即将落地，除了传统信息系统的安全防护 外，新标准增加了云计算、移动互联、物联网、工业控制等新兴领域的安全要求。
信息系统安全等级保护
网络安全等级保护
安全保护等级定义的变化
受侵害的客体
公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全
b) 应定期开展安全测评，形成安全测评报告，采取措施应对 发现的安全问题。
等级保护2.0
等保实施流程
锐捷安全服务
将网络系统按照重要性 和遭受损坏后的危害性 分成五个安全保护等级
系统 定级
等级保护规定动作
根据信息系统安全等级， 按照国家政策、标准开
展安全建设整改
建设 整改
等级确定后，第二级（含）以 上信息系统到公安机关备案， 公安机关审核后颁发备案证明
d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能 力，控制粒度为端口级；
e) 应限制网络最大流量数及网络连接数；
e) 应在关键网络节点处对进出网络的信息内容进行过滤，实现对内容 的访问控制。
f) 重要网段应采取技术手段防止地址欺骗；
g) 应按用户和系统之间的允许访问规则，决定允许或拒绝 用户对受控系统进行资源访问，控制粒度为单个用户；

2009年
《关于开展信息系统等级
（发改高技
发改委
[2008]2071号） 公安部
国家保密局
（公信安
5
公安部
规定了公安机关受理信息系统运营使用单位信息系统 备案工作的内容、流程、审核等内容
规定了公安机关开展信息安全等级保护检查工作的内 容、程序、方式以及相关法律文书等，使检查工作规 范化、制度化。
明确了项目验收条件：公安机关颁发的信息系统安全 等级保护备案证明、等级测评报告和风险评估报告。
▪ 对信息系统中使用的信息安全产品实行按等 级管理；
▪ 对信息系统中发生的信息安全事件实行分等 级响应、处置。
精选课件ppt
4
1.2等级保护基本概念-政策体系
等级保护政策体系
颁布时间
文件名称
文号
颁布机构
1994年 2月18日 2003年 9月7日
2004年 9月15日 2007年 6月22日
2007年 7月16日
记录活动实行以符合等级1,2,和3的文件 要求的客观证据，阐明所取得的结果或 提供完成活动的证据
运行记录
精选课件ppt
20
1.9等级保护基本概念-实施步骤-
完善管理制度
一级
二级
岗位说明书
岗位说明书
安全管理机构
安全管理制度
人员安全 系统建设管理
人员安全管理规定
等级保护安全管理规范 风险评估管理规范 软件开发管理规定 IT外包管理规定
网 络 层
区域 混乱
协议 攻击
信息 泄露
中间 人攻 击
带宽 资源 滥用
非法 接入
非法 外联
计区网 算域络 环边通 境界信
物 理

等级保护配套标准:
《计算机信息系统安全保护等级划分准则》（GB 17859-1999）； 《信息系统通用安全技术要求》（GB/T20271）；
《网络基础安全技术要求》（GB/T20270）；
《操作系统安全技术要求》（GB/T20272）； 《数据库管理系统安全技术要求》（GB/T20273）； 《终端计算机系统安全等级技术要求》（GA/T671）； 《信息系统安全管理要求》（GB/T20269）； 《信息系统安全工程管理要求》（GB/T20282）。
标准（三）
分级保护标准:
《涉及国家秘密的信息系统分级保护技术要求》（BMB17-2006）； 《涉及国家秘密的信息系统工程监理规范》（BMB18-2006）；
《涉及国家秘密的信息系统分级保护管理规范》（BMB20-2007）；
《涉及国家秘密的信息系统分级保护测评指南》（BMB22-2007）； 《涉及国家秘密的信息系统分级保护方案设计指南》（BMB23-2008）。
在分级保护方面，国家保密局发布了《涉及国家秘密的信息系统分级保护管理
办法》（国保发[2005]16号），之后陆续发布了《涉及国家秘密的信息系统分 级保护技术要求》、《涉及国家秘密的信息系统分级保护管理规范》、《涉及 国家秘密的信息系统分级保护方案设计指南》、《涉及国家秘密的信息系统分 级保护测评指南》等一系列分级保护的国家保密标准。
标准（一）
等级保护主要标准:
《信息系统安全等级保护定级规范》”（国标报批稿）；
《信息系统安全等级保护基本要求》（国标报批稿）；
《信息系统安全等级保护实施指南》（国标报批稿）； 《信息系统安全等级保护测评规范》（国标报批稿）； 《电子政务信息安全等级保护实施指南》（试用稿）。

等级保护体系将进行重大升级20时代主管部门将继续制定出台一系列政策法规和技术标准形成运转顺畅的工作机制在现有体系基础上建立完善等级保护政策体系标准体系测评体系技术体系服务体系关键技术研究体系教育训练体系等级保护发展历程与展望等级保护20标准体系等级保护20基本要求解析等级保护20扩展要求解析等保10等保10等保20等保20gb178591999计算机信息系统安全保护等级划分准则等保10等保10等保20等保20正式更名为网络安全等级保护标准
等保1.0 等保2.0
正式更名为网 络安全等级保 护标准；
横向扩展了对 云计算、移动 互联网、物联 网、工业控制 系统的安全要 求； 纵向扩展了对 等保测评机构 的规范管理。
（ 注 ： 基 于 2017 年等级保护标准系 列征求意见稿） 未变化 修订内容 新增
ppt课件
8
等级保护2.0标准体系
等级保护新标准（2.0）介绍
1
2 3
等级保护发展历程与展望
等级保护2.0标准体系
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
ppt课件
2
等级保护发展历程与展望
等保1.0时代 等保2.0工作
• 1994-2003 政策环境营造 •
展望
1994年，国务院颁布《中华人民共和国计算机信息系统安全保护条例》，规定计算机信息系统实 行安全等级保护。 2003年，中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。
等级保护体系将进行重大升级
2.0时代，主管部门将继续制定出台一系列政策法规和 技术标准，形成运转顺畅的工作机制，在现有体系基础上 ，建立完善等级保护政策体系、标准体系、测评体系、技 术体系、服务体系、关键技术研究体系、教育训练体系等 。

网络安全等级保护2.0高风险指引
序号 层面
1
2 3
4
安全
计算
环境
5
6 7
8
控制点
控制项
对应案例
身份鉴别
a)应对登录的用户进行身份标识和鉴别， 设备存在弱口令、应用系统
身份标识具有唯一性，身份鉴别信息具有 口令策略缺失、应用系统存
复杂度要求并定期更换；
在弱口令
b)应具有登录失败处理功能，应配置并启 用结束会话、限制非法登录次数和当登录 连接超时自动退出等相关措施；
设备未开启安全审计措施、 应用系统无安全审计措施
适用范围
所有系统 3级及以上系统
所有系统 3级及以上系统
所有系统 所有系统 所有系统 3级及以上系统
等保2.0测评结论谢谢!ຫໍສະໝຸດ 应用系统无登录失败 处理机制
c)当进行远程管理时，应采取必要措施防 止鉴别信息在网络传输过程中被窃
设备鉴别信息无防窃取措施
d)应采用口令、密码技术、生物技术等两 种或两种以上组合的鉴别技术对用户进行 身份鉴别，且其中一种鉴别技术至少应使 用密码技术来实现。
设备未实现双因素认证、互 联网可访问系统未实现双因
安全通用要求和安全扩展要求
等级保护2.0为1+N模式，1为通用要求，适用各个行业和各个领域，N指 具体的一个领域内的扩展要求，目前N为5，分别是云计算、移动互联、物联 网、工业控制、大数据。未来随着技术的发展，N会不断扩展。
分类结构的变化
安全通用要求要求项变化
充分强化可信计算技术使用的要求
➢ 增加:从一级到四级均在“安全通信网络”、“安全区域边界” 和“安全计算环境”中增加了“可信验证”控制点(和GB/T 25070设计要求保持一致)。