网络安全等级保护解读
- 格式:pptx
- 大小:1005.74 KB
- 文档页数:39


安全通信网络
随着现代信息化技术的不断发展,等级保护对象通常通过网络实现资源共享和数据交互。当大量的设备联成网络后,网络安全成为最受关注的问题。按照“一个中心,三重防御”的纵深防御思想,在网络边界外部通过广域网或城域网通信的安全是首先需要考虑的问题,网络边界内部的局域网网络架构设计是否合理、内部通过网络传输的数据是否安全也在考虑范围之内。
安全通信网络针对网络架构和通信传输提出了安全控制要求,主要对象为广域网、城域网、局域网的通信传输及网络架构等,涉及的安全控制点包括网络架构、通信传输、可信验证。
1 网络架构
网络架构是业务运行所需的重要部分,如何根据业务系统的特点构建网络是非常关键的。首先应关注整个网络的资源分布、架构是否合理,只有架构安全了,才能在其上实现各种技术功能,达到保护通信网络的目的。下面重点对网络设备的性能、业务系统对网络带宽的需求、网络区域的合理划分、区域间的有效防护、网络通信线路及设备的冗余等要求进行解读。
1.1 应保证网络设备的业务处理能力满足业务高峰期需要
为了保证主要网络设备具备足够的处理能力,应定期检查设备的资源占用情况,确保设备的业务处理能力具备冗余空间。
1.2 应保证网络各个部分的带宽满足业务高峰期需要
为了保证业务服务的连续性,应保证网络各个部分的带宽满足业务高峰期需要。如果存在带宽无法满足业务高峰期需要的情况,则要在主要网络设备上进行带宽配置,以保证关键业务应用的带宽需求。 1.3 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
应根据实际情况和区域安全防护要求,在主要网络设备上进行VLAN划分。VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成不同子网从而实现虚拟工作组的技术。不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其他VLAN内的用户直接通信。如果要在不同的VLAN之间进行通信,则需要通过路由器或三层交换机等三层设备实现。
信息安全技术网络安全等级保护基本要求
信息安全技术是指保护信息系统中的信息不受未经授权的访问、使用、披露、破坏、修改、复制、移动或者泄露的技术和管理措施。网络安全等级保护是指为了保护信息系统和网络安全而实施的技术和管理措施。在当前信息化社会中,信息安全技术和网络安全等级保护已经成为企业和个人必须重视和加强的重要工作。为了确保信息系统和网络的安全,我们需要遵循一些基本的要求。
首先,信息安全技术网络安全等级保护的基本要求包括对系统的物理安全、网络安全、数据安全、应用软件安全等方面的要求。在物理安全方面,需要对信息系统进行严格的进出控制,防止未经授权的人员进入系统内部。此外,还需要对服务器、存储设备等重要设备进行安全防护,防止被盗或者被损坏。在网络安全方面,需要建立完善的防火墙、入侵检测系统等网络安全设备,确保网络的安全稳定。对于数据安全,需要加密存储重要数据,确保数据不被泄露或者篡改。在应用软件安全方面,需要对软件进行严格的安全审查,确保软件不含有恶意代码,不会对系统造成安全威胁。
其次,信息安全技术网络安全等级保护还需要建立完善的安全管理制度。安全管理制度包括安全策略、安全标准、安全流程、安全规范等,这些制度可以帮助企业建立起一套完整的安全管理体系,确保信息系统和网络的安全。安全管理制度还包括安全培训和安全意识教育,通过培训和教育可以提高员工的安全意识,减少安全事故的发生。
另外,信息安全技术网络安全等级保护还需要进行安全漏洞的及时修复和安全事件的快速响应。安全漏洞修复是指对系统和软件中发现的安全漏洞进行及时修复,避免被黑客利用造成损失。安全事件的快速响应是指对发生的安全事件进行快速的定位和处理,减少安全事件对系统和网络的影响。
最后,信息安全技术网络安全等级保护还需要进行安全检测和安全评估。安全检测是指对系统和网络进行定期的安全检测,发现安全隐患和问题并及时解决。安全评估是指对信息系统和网络进行全面的安全评估,发现安全风险并提出改进建议,确保系统和网络的安全性。
了解网络安全等级保护发展历程 解读网络安全等级保护2.0背景及变化
一、首先跟大家讲讲什么是网络安全等级保护?
网络安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
二、了解网络安全等级保护发展历程
●1994-2007 网络安全等级保护起步与探索
1994年2月18日《中华人民共和国计算机信息系统安全保护条例》 (国务院第147号令)
2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
2004年9月15日《关于信息安全等级保护工作的实施意见》
2007年6月22日《信息安全等级保护管理办法》(公通字[2007]43 号)
2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》 (公信安[2007]861号)
●2007-2016 网络安全等级保护标准化与发展
GB/T 22239—2008 基本要求;22240、25070、28448、28449等保国标系列标准。
●2016-2019 网络安全等级保护行业深耕落地
2017年6月1日《中华人民共和国网络安全法》
2018年6月27日《网络安全等级保护管理条例(征求意见稿)》
●2019—— 进入 网络安全等级保护2.0时代
2019年5月13日《信息安全技术网络安全等级保护基本要求》
2020年7月22日《贯彻落实网络安全等保制度和关保制度的指导意见》(公安部1960号)
2020年11月1日《信息安全技术 网络安全等级保护定级指南 GB/T22240-2020》正式实施
三、了解网络安全等级保护2.0的背景
自1994年第“147号令”,我国开始实施信息系统等级保护。十几年来,在金融、能源、电信、医疗卫生等多个行业都已深耕落地,但是随着云计算、大数据、物联网、移动互联以及人工智能等新技术的发展,等级保护1.0已无法有效的应对新技术带来的信息安全风险,为了满足新的技术挑战,有效防范和管理各种信息技术风险,提升国家层面的安全水平,等级保护2.0应时而生。网络安全进入新的发展阶段,很多行业主管单位要求行业客户开展等级保护工作,合理地规避风险。资料显示网络安全相关公司有北京时代新威、启明星辰、蓝盾股份等,其中时代新威是国家等保办推荐测评机构(证书编号:DJCP2019110192)。作为网络安全等级保护行业的先锋,时代新威等网络安全公司需要为保障信息安全贡献自己的力量!
深度剖析⽹络安全等级保护2.0的意义
深度剖析⽹络安全等级保护2.0意义LOGO时代新威等级保护组前⾔⾃《⽹络安全法》颁布实施
之后,等级保护的变化和差异较之前相⽐还是⾮常明显的。
以前我们感受最深的是⽀撑等级保护的都是政令、条例等形式的⾏政管理规范和标准,现如
今,等级保护上升到了法律层⾯,也是从政府层⾯上升到
国家层⾯的⼀个跃升。今天时代新威为您带来⽹络安全等级保护系列国家标准的解读,帮助⼤
家将⽹络安全⼯作落到实处。《信息系统安全等级保护
基本要求》(GB/T22239-2008)、《信息系统安全等级保护测评要求》(GB/T22239-2008)、《信息系统安全等
级保护设计技术要求》(GB/T25070-2010)在我国推⾏信息安全等级保护制度的过程中起到了
⾮常重要的作⽤,被⼴泛应⽤于各个
⾏业或领域指导⽤户开展信息系统安全等级保护的建设整改、等级测评等⼯作。但是随着信息
技术的发展,采⽤新技术、新应⽤构建的云计算平台、
移动互联接⼊、物联⽹、⼯业控制系统和⼤数据应⽤等系统的⼤量出现,已有10年历史的这三
项标准在时效性、易⽤性、可操作性上需要进⼀步修
订完善。同时,2017年6⽉1⽇,《⽹络安全法》正式实施,进⼀步明确了⽹络安全等级保护制
度的法律地位,⽹络安全等级保护对象、保护措
施要求、范围等都发⽣了很⼤的变化,需要修订原来的标准,以适应⽹络安全等级保护制度要
求。⽬录1⽹络安全等级保护基本要求01022⽹
络安全等级保护测评要求3⽹络安全等级保护安全设计技术要求等级保护主要内容等级保护⽬的
意义等级保护⽬的意义《⽹络安全法》明确了“国家
实⾏⽹络安全等级保护制度”、“关键信息基础设施,在⽹络安全等级保护制度的基础上,实⾏重
点保护”等内容,为⽹络安全等级保护⼯作赋予了
新的内涵。为配合《⽹络安全法》的实施和落地,指导⽹络运营者按照⽹络安全等级保护制度
的要求,履⾏⽹络安全保护义务,重新调整和修订等级
保护系列标准意义重⼤。尤其是等级保护对象已经从狭义的信息系统,扩展到⽹络基础设施、