当前位置:文档之家 › 等级保护发展历程共26页文档

等级保护发展历程共26页文档

  • 格式:pptx
  • 大小:1.76 MB
  • 文档页数:26

下载文档原格式

  / 26

合集下载

网络安全等级保护详细全面介绍共73页文档

网络安全等级保护详细全面介绍共73页文档
网络安全等级保护详细全面介绍
21、没有人陪你走一辈子,所以你要 适应孤 独,没 有人会 帮你一 辈子, 所以你 要奋斗 一生。 22、当眼泪流尽的时候,留下的应该 是坚强 。 23、要改变命运,首先改变自己。
24、勇气很有理由被当作人类德性之 首,因 为这种 德性保 证了所 有其余 的德性 。--温 斯顿. 丘吉尔 。 25、梯子的梯阶从来不是用来搁脚的 ,它只 是让人 们的脚 放上一 段时间 ,以便 让别一 只脚能 够再往 上登。
56、书不仅是生活,而且是现在、过 去和未 来文化 生活的 源泉。 ——库 法耶夫 57、生命不可能有两次,但许多得清如许,为有源头活水来 。—— 朱熹 59、我的努力求学没有得到别的好处, 只不过 是愈来 愈发觉 自己的 无知。 ——笛 卡儿

60、生活的道路一旦选定,就要勇敢地 走到底 ,决不 回头。 ——左

等级保护创新和发展

等级保护创新和发展

对系统资源、人员授权、审计追踪进行全面管理。 实现人、技术、管理的纵深防御。具有预警、应 急处理能力
整理课件
28
四 做好新型计算环境下信息安全等级保护工作
整理课件
29
云计算、物联网、工业控制、移动互联网、大数据 等,都是通过网络以服务的方式提供给用户的计算 模式,组成了新的计算环境和信息系统,都可以用 等级保护制度进行安全防护体系建设
整理课件
节点子系统: 节点子系统通过在操作系统核心层、 系统层设置以了一个严密牢固的防护 层,通过对用户行为的控制,可以有 效防止非授权用户访问和授权用户越 权访问,确保信息和信息系统的保密 性和完整性安全,从而为典型应用子 系统的正常运行和免遭恶意破坏提供 支撑和保障
21
2、区域边界
区域边界子系统: 区域边界子系统通过对进入 和流出安全保护环境的信息 流进行安全检查,确保不会 有违背系统安全策略的信息 流经过边界,是信息系统的 第二道安全屏障
构建三重安全防护结构框架
划分为节点、典型应用、区域边界、通信 网络、安全管理、审计管理和系统管理等子
系统。
安全管理中心
保护整环理课境件 框架图
20
1、计算环境
典型应用子系统: 安全保护环境为应用系统(如安全OA 系统等)提供安全支撑服务。通过实 施三级安全要求的业务应用系统,使 用安全保护环境所提供的安全机制, 为应用提供符合要求的安全功能支持 和安全服务
统的控制中枢,主要实施 枢,安全审计员通过制定审
标记管理、授权管理及策 计策略,强制节点子系统、
略管理等。安全管理子系 区域边界子系统、通信网络
统通过制定相应的系统安 子系统、安全管理子系统、
全策略,并且强制节点子 系统管理子系统执行,从而

了解网络安全等级保护发展历程 解读网络安全等级保护2.0背景及变化

了解网络安全等级保护发展历程 解读网络安全等级保护2.0背景及变化

了解网络安全等级保护发展历程解读网络安全等级保护2.0背景及变化一、首先跟大家讲讲什么是网络安全等级保护?网络安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

二、了解网络安全等级保护发展历程●1994-2007 网络安全等级保护起步与探索1994年2月18日《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)2004年9月15日《关于信息安全等级保护工作的实施意见》2007年6月22日《信息安全等级保护管理办法》(公通字[2007]43号)2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)●2007-2016 网络安全等级保护标准化与发展GB/T 22239—2008 基本要求;22240、25070、28448、28449等保国标系列标准。

●2016-2019 网络安全等级保护行业深耕落地2017年6月1日《中华人民共和国网络安全法》2018年6月27日《网络安全等级保护管理条例(征求意见稿)》●2019——进入网络安全等级保护2.0时代2019年5月13日《信息安全技术网络安全等级保护基本要求》2020年7月22日《贯彻落实网络安全等保制度和关保制度的指导意见》(公安部1960号)2020年11月1日《信息安全技术网络安全等级保护定级指南GB/T22240-2020》正式实施三、了解网络安全等级保护2.0的背景自1994年第“147号令”,我国开始实施信息系统等级保护。

十几年来,在金融、能源、电信、医疗卫生等多个行业都已深耕落地,但是随着云计算、大数据、物联网、移动互联以及人工智能等新技术的发展,等级保护1.0已无法有效的应对新技术带来的信息安全风险,为了满足新的技术挑战,有效防范和管理各种信息技术风险,提升国家层面的安全水平,等级保护2.0应时而生。

等级保护标准(2.0)介绍.ppt

等级保护标准(2.0)介绍.ppt
针对移动互联网系统中移动终端、移动 应用和无线网络等三个关键要素,明确了无线接入设备的安装选择、无线接入网关处理能 力、非授权移动终端接入等技术保护要求,以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进展了规定。
GA/T 1390.5—2021 ?信息平安技术 网络平安等级保护根本要求 第 5 局部:工业控制系统平安扩展要求?
设备〔如效劳器、终端、网络设备等〕不单独定级
精选

14
注:基于GA/T 1389—2021?网络平安等级保护定级指南?及GB/T 22240—2021?信息系统平安等级保护定级指南?内容比照分析。
1
等级保护开展历程与展望
2
等级保护2.0标准体系
3
等级保护2.0通用要求解析

4
等级保护2.0扩展要求解析
物联网
可以分区域划分为假设干个定级对象。
1.0 要 求
信息系统
一个单位内运行的信息系统可能比 较庞大,为了表达重要局部重点保 护,有效控制信息平安建立本钱, 优化信息平安资源配置的等级保护 原那么,可将较大的信息系统划分 为假设干个较小的、可能具有不同 平安保护等级的定级对象。
2.0 要 求
物联网应作为一个整体对象定级,主要包括 感知层、网络传输层和处理应用层等要素。
纵向扩展了对 等保测评机构 的标准管理。
〔注:基于 2021年等级保 护标准系列征 求意见稿〕
未变化
修订内容
新增
精选
8
等级保护2.0标准体系
等保1.0
等保2.0
公安部已于2021年5月率先发布?网络平安等级保护定级指南?、?网络平安等级保护根本要求 第5局部:工业控制 系统平安扩展要求?等4个行业标准。

《等级保护培训》课件

《等级保护培训》课件
意义
通过实施等级保护,可以有效地 保障国家安全、社会秩序和公共 利益,维护公民、法人和其他组 织的合法权益。
等级保护的重要性
保障国家安全
等级保护制度能够确保关键信息 基础设施的安全,防止敌对势力 、间谍机构等对国家安全造成威
胁。
维护社会秩序
通过实施等级保护,可以防止网络 犯罪、网络攻击等行为,维护社会 秩序的稳定。
提出了加强宣传教育、开展培训等措施,以提高全社会的等级保护意识和能力。
完善法律法规和标准体系,加强监督检查和评估
提出了完善相关法律法规和标准体系、加强监督检查和评估等措施,以保障等级保护工作 的有效实施。
加强技术研发和创新,提高安全防护能力
提出了加强技术研发和创新、推广新技术应用等措施,以提高安全防护能力和应对新威胁 的能力。
THANKS
谢谢
等级保护标准的实施
等级保护标准的实施需要采取一系列的安全措施和技术手段,包括 物理安全、网络安全、应用安全等方面的防护措施。
等级保护政策
等级保护政策定义
01
等级保护政策是国家为了保障信息安全而制定的一系列政策,
用于规范不同等级的信息系统安全保护工作。
等级保护政策的主要内容
02
包括信息系统定级、备案、安全监测、通报预警等方面的政策
安全体系实施
按照安全体系设计的要求,实施安全设备和安全控制措施。 对实施过程进行监督和检查,确保安全设备和控制措施的有效性和合规性。
安全体系运行与维护
对信息系统的安全体系进行日常运行 和维护,包括安全监控、日志审计、 漏洞扫描等方面的操作。
对发现的安全问题和隐患进行及时处 理和修复,确保信息系统的安全性得 到持续保障。
安全策略制定

网络安全等级保护解读

网络安全等级保护解读

《网络安全等级保护定级指南》、 《网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》 等 4个公共安全行业等级保护标准。
刑法-条款
第二百八十 六条之一
【拒不履行信息网络安全管理义务罪】网络服务提供者不履 行法律、行政法规规定的信息网络安全管理义务,经监管部 门责令采取改正措施而拒不改正,有下列情形之一的,处三 年以下有期徒刑、拘役或者管制,并处或者单处罚金。
第二百五十 三条之一
【侵犯公民个人信息罪】违反国家有关规定,向他人出售或 者提供公民个人信息,情节严重的,处三年以下有期徒刑或 者拘役,并处或者单处罚金;情节特别严重的,处三年以上 七年以下有期徒刑,并处罚金。
等级保护标准政策-修订背景
⚫ 2001年国家标准GB/T 18336《信息技术 安全技术 信息技术安全性评估准则》 参照CC 即ISO/IEC 15408
2003年 中办发17号文件提出实行信息安全等级保护的任务 2004年 公通字66号文件 公安部、国家保密局、国家密码管理委员会办公室
、国务院信息办发布《关于信息安全等级保护工作的实施意见》 2007年 公通字[2007]43号文四部门发布《信息安全等级保护管理办法》
等级保护1.0标准政策
1994年 《中华人民共和国计算机信息系统安全保护条例》的发布 1999年 《计算机信息系统安全保护等级划分准则》 GB17859-1999发布 2001年 国家发改委“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护 平台建设项目”(1110)工程实施
2003年 中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》 2004年 四部委联合签发了《关于信息安全等级保护工作的实施意见 》

【2019年整理】等级保护标准体系简介共98页


1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、有勇气承担命运这才是英雄好汉。——黑塞 4、与肝胆人共事,无字句处读书。——周恩来 5、阅读使人充实,会谈使人敏捷,写作使人精成功越大,就越令人高兴 。野心 是使人 勤奋的 原因, 节制使 人枯萎 。 12、不问收获,只问耕耘。如同种树 ,先有 根茎, 再有枝 叶,尔 后花实 ,好好 劳动, 不要想 太多, 那样只 会使人 胆孝懒 惰,因 为不实 践,甚 至不接 触社会 ,难道 你是野 人。(名 言网) 13、不怕,不悔(虽然只有四个字,但 常看常 新。 14、我在心里默默地为每一个人祝福 。我爱 自己, 我用清 洁与节 制来珍 惜我的 身体, 我用智 慧和知 识充实 我的头 脑。 15、这世上的一切都借希望而完成。 农夫不 会播下 一粒玉 米,如 果他不 曾希望 它长成 种籽; 单身汉 不会娶 妻,如 果他不 曾希望 有小孩 ;商人 或手艺 人不会 工作, 如果他 不曾希 望因此 而有收 益。-- 马钉路 德。

信息安全等级保护PPT课件

20
应用安全整改要点
21
数据库安全及备份恢复整改要点
22
二级和三级等保具体要求对比
23
THANK YOU
By:cqvip - 张泽军
24
20
系统运维管理
18

85


4
8
7
11
9
20
11
16
28
45
41
62
175
290
90
115
14
安全策略体系
15
等级划分准则(GB 17859—1999)
16
等保要求(技术&管理)
物理安全;网络安全;主机安全; 应用安全;数据库安全及备份恢复
17
物理安全整改要点
18
网络安全整改要点
19
主机安全整改要点
等 级 保 张泽军 护
1
目录 CONTENTS
一、等级保护背景 二、等级保护要点 三、等级保护(技术&管理)
2
等级保护背景
信息安全作用和战略意义 信息安全保护发展历史 我国重要的信息安全保护标准
3
信息安全作用和战略意义
威胁事件
2012.7 雅虎服务器被黑 45万用户信息泄露 2013.10 慧达驿站软件漏洞导致连锁酒店数据库被拖库
2000万条开房记录泄露 2018.3 facebook数据外泄,被欧美等国问责调查,市
值蒸发360亿美元
2004 英国多家银行被“特洛伊木马”病毒攻击,约 10亿英镑被盗
2002.7 首都机场因计算机故障导致6000多人滞留,150 多架飞机延误
2016.10 美国Dyn DNS遭到DDoS攻击,造成大量网站一 度瘫痪,Twitter24小时0访问

等级保护知识介绍


《涉及国家秘密的信息系统分级保护管理办法》 (国保发[2005]16号)
《 等 级 划 分 准 则 》
《 等 级 保 护 基 本 要 求 》
《 通 用 安 全 技 术 要 求 》
《 网 络 基 础 安 全 技 术 要 求 》
《 操 作 系 统 安 全 技 术 要 求 》
《 数 据 库 安 全 技 术 要 求 》
《 服 务 器 安 全 技 术 要 求 》
《 终 端 安 全 等 级 技 术 要 求 》
《 分 级 保 护 技 术 要 求 》
《 分 级 保 护 管 理 规 范 》
《 分 级 保 护 测 评 指 南 》
《 分 级 保 护 方 案 设 计 指 南 》
BMB17-2006
BMB20-2007
BMB22-2007
标准(三)
分级保护标准:
《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2006); 《涉及国家秘密的信息系统工程监理规范》(BMB18-2006);
《涉及国家秘密的信息系统分级保护管理规范》(BMB20-2007);
《涉及国家秘密的信息系统分级保护测评指南》(BMB22-2007); 《涉及国家秘密的信息系统分级保护方案设计指南》(BMB23-2008)。
社会秩序和公共利益造成的影响程度来划分系统的安全等级。等级保护 制度充分体现了信息安全的国家意志。
政策背景(二)
等级保护与分级保护的分开管理
在66号文发布之后,等级保护按照信息系统的涉密情况分成两条线管理。非涉
密信息系统的等级保护由公安部负责监督、检查、指导,称为“信息系统安全 等级保护”;涉及国家秘密信息系统的等级保护由国家保密工作机构负责监督 、检查、指导,称为“涉及国家秘密的信息系统分级保护”。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

云计算中心必须满足等级保护的政策要求
云计算中心仍然是一类信息系统,需要依照其重要 性不同进行分级保护。
云计算中心的安全工作必须依照等级保护的要求来 建设运维。
云安全还需要考虑虚拟化等新的技术和运营方式所 带来的安全问题。
常见的二级系统举例
地市政府办公自动化系统(内部使用的) 地市政府政务公开网站(外部信息发布) 地市政府间协同办公系统 企业电子商务网站 银行网站
目录
1 等级保护标准体系 2 等保要求下的云安全 3 云安全管理中心CloudFirm
等级保护发展历程
《中华人民共和国计算机信息 系统安全保护条例》(1994年 国务院147号令) 《国家信息化领导小组关于加 强信息安全保障工作的意见》 (中办发[2019]27号)
网监->网安 测评机构认证(100多家) 测评师培训认证
第四级
社会秩序和公共利益
国家安全
第五级 极端 国家安全 重要 系统
侵害程度
损害 严重损害 损害 严重损害 损害 特别严重损害 严重损害 特别严重损害
监管强度
自主保护 指导
监督检查
强制监督检查
专门监督检查
不同级别系统控制项的差异汇总
等级保护实施流程
目录
1 等级保护标准体系 2 等保要求下的云安全 3 云安全管理中心CloudFirm
安全管理平台
物理/虚拟安全设备管理 主机安全 数据安全
安全域隔离
安全运维平台
安全巡检、系统监控 事件管理、应急响应 备份管理、模拟演练
等保合规性平台
制度规范 系统设计文档 流程、运行记录
合规性检查
CloudFirm整体结构图
CloudFirm
安全技术 安全管理
位置选择 结构安全
访问控制 访问控制
物理安全
防盗系统
防静电
温湿度控制
网络安全
安全审计
边界完整性
入侵防范
主机安全
电磁防护 网络设备防护
身份鉴别
访问控制
安全审计 入侵防范
恶意代码防范
资源控制
应用安全
身份鉴别 访问控制 安全审计 通信完整性 通信保密性
容错
数据安全
资源控制
数据完整性
数据保密性
备份和恢复
制度管理
岗位设置
Байду номын сангаас
人员配置
制度安全管理
制定和发布
机构安全管理
授权和审批
沟通和合作
人员安全管理
评审和修订 审核和检查
• 传统安全产品虚拟化入云可以为虚拟化环境引入成熟的 安全技术,从而实现四到七层的应用安全。
虚拟网络隔离技术
网络隔离 QoS配置 流量监控 数据包分析
安全设备虚拟化入云
虚拟安全设备
各类安全设备虚拟化入云,可实现与虚拟机绑定的安全防护
目录
1 等级保护标准体系 2 等保要求下的云安全 3 CloudFirm云安全管理体系
CloudFirm的内涵
安全产品
安全技术
CloudFirm
安全管理
CloudFirm设计目标及指导思想
目标:
– 作为独立体系化产品严格参照等保要求设计、开发,力求达到合 规、实用的设计目标,满足等级保护二级要求。
– 考虑等保三级的扩展性。 – 做到等保成果的可视化。 – 做到等保成果的持久化。 – 暂时不考虑虚拟化问题。
等级保护基本安全要求
技术要求
某级系统 基本要求
管理要求
物网主应数 理络机用据 安安安安安 全全全全全
安安人系系 全全员统统 管管安建运 理理全设维 机制管管管 构度理理理
等级保护基本级别划分
等级 对象
侵害客体
第一级 一般 合法权益 第二级 系统 合法权益
社会秩序和公共利益
第三级 重要 社会秩序和公共利益 系统 国家安全
政策法规 1994-2019
等保标准体系 2019-2019
测评管理体系 2019-2019
落地实施 2019--
《计算机信息系统安全保护等级划分准则》GB 17859-2019 《信息系统安全等级保护实施指南》 定级:《信息系统安全保护等级定级指南》GB/T 22240-2019 建设:《信息系统安全等级保护基本要求》GB/T 22239-2019
特点:重要部门与核心业务密切相关的
云计算中心的虚拟化安全
• 虚拟化技术的大量使用,使得云计算中心的各种资源组 成了一个大的虚拟化世界,在这个世界里迫切需要建立 安全秩序。
• 分租户的新运营模式要求在虚拟化网络里实现安全隔离 。通过vSwitch等虚拟网络技术可以实现与物理环境相当 的网络层安全隔离防护。
特点:与核心业务无关
常见的三级系统举例
省政府办公自动化系统(内部使用的) 省政府政务公开系统(交互式) 省政府公文交换系统 企业ERP系统 银行生产网
特点:与业务密切相关的
常见的四级系统举例
国家电力调度系统(EMS) 中国人民银行官方网站 财政部财政支付系统 交通部应急指挥调度系统 银行生产系统
管理: 《信息系统安全管理要求》GB/T 20269-2019 《信息系统安全工程管理要求》GB/T 20282-2019
CloudFirm云安全体系架构
以等保为设计指导思想 为云计算中心量身订做
网络安全
物理安全
制度规范
安全巡检 系统监控
主机安全
安全技术 CloudFirm 管理运维
应用安全
数据安全 备份恢复
合规性 检查
事件管理 应急响应
CloudFirm的设计思路
1. 安全管理平台:云计算中心安全基础设施(设备、安全软件、网络)的配置 管理。包括对虚拟安全设备镜像的管理。
2. 安全运维平台:云计算中心的日常运维管理,对系统运行状态、异常事件等 各种安全事件进行监控、记录、维护。
3. 等保合规性平台:云计算中心管理制度的管理、文档记录,方便进行等保测 评及合规性检查工作。
指导思想:
– 贯穿云计算中心建设、整改、测评、运维全过程,全生命周期保 证系统符合等保要求。
CloudFirm设计依据
参考规范:
技术: 《信息系统安全等级保护基本要求》GB/T 22239-2019 《信息系统通用安全技术要求》GB/T 20271-2019 《信息系统等级保护安全设计技术要求》
《信息系统通用安全技术要求》GB/T 20271-2019 《信息系统等级保护安全设计技术要求》 测评:《信息系统安全等级保护测评要求》 《信息系统安全等级保护测评过程指南》 管理:《信息系统安全管理要求》GB/T 20269-2019 《信息系统安全工程管理要求》GB/T 20282-2019
二级系统:5万多个 三级系统:2万多个 四级系统:100多个 2019年三级系统增加100%