等级保护新标准(2.0)介绍.ppt
《等级保护新标准(2.0)介绍.ppt》由会员分享,可在线阅读,更多相关《等级保护新标准(2.0)介绍.ppt(57页珍藏版)》请在三一办公上搜索。
1、等级保护新标准(2.0)介绍,1,2,等级保护发展历程与展望,等级保护2.0标准体系,3,等级保护2.0基本要求解析,4,等级保护2.0扩展要求解析,等级保护发展历程与展望,1994年,国务院颁布中华人民共和国计算机信息系统安全保护条例,规定计算机信息系统实行安全等级保护。2003年,中央办公厅、国务院办公厅颁发国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出“实行信息安全等级保护”。,2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作,为全面开展等级保护工作奠定基础。,2007年6月,四
2、部门联合出台信息安全等级保护管理办法。2007年7月,四部门联合颁布关于开展全国重要信息系统安全等级保护定级工作的通知。2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信息安全等级保护制度正式开始实施。,2010年4月,公安部出台关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知,提出等级保护工作的阶段性目标。2010年12月,公安部和国务院国有资产监督管理委员会联合出台关于进一步推进中央企业信息安全等级保护工作的通知,要求中央企业贯彻执行等级保护工作。,等级保护发展历程与展望,等级保护发展历程与展望,等级保护2.0时代,将根据信息技术发展应
3、用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。,等级保护上升为法律,中华人民共和国网络安全法第21条规定“国家实行网络安全等级保护制度”,要求“网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。,等级保护对象将不断拓展,随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,等保保护对象的外延将不断拓展。,等级保护工作内容将持续扩展,在定级
4、、备案、建设整改、等级测评和监督检查等规定动作基础上,2.0时代风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。,等级保护体系将进行重大升级,2.0时代,主管部门将继续制定出台一系列政策法规和技术标准,形成运转顺畅的工作机制,在现有体系基础上,建立完善等级保护政策体系、标准体系、测评体系、技术体系、服务体系、关键技术研究体系、教育训练体系等。,1,2,等级保护发展历程与展望,等级保护2.0标准体系,3,等级保护2.0基本要求解析,4,等级保护2.0扩展要求解析,等级
5、保护2.0标准体系,GB 17859-1999 计算机信息系统安全保护等级划分准则,信息系统安全等级保护定级指南,信息系统安全等级保护基本要求,信息系统等级保护安全设计技术要求,信息系统安全等级保护实施指南,信息系统安全等级保护测评过程指南,信息系统安全等级保护测评要求,等级保护2.0标准体系,正式更名为网络安全等级保护标准;横向扩展了对云计算、移动互联网、物联网、工业控制系统的安全要求;纵向扩展了对等保测评机构的规范管理。(注:基于2017年等级保护标准系列征求意见稿),未变化修订内容新增,等级保护2.0标准体系,GB 17859-1999 计算机信息系统安全保护等级划分准则,信息系统安全等
6、级保护定级指南,第1部分:安全通用要求,网络安全等级保护实施指南,网络安全等级保护测评过程指南,网络安全等级保护基本要求,第2部分:云计算安全扩展要求,第3部分:移动互联安全扩展要求,第4部分:物联网安全扩展要求,第5部分:工业控制系统安全扩展要求,网络安全等级保护安全设计技术要求,第1部分:安全通用要求,第2部分:云计算安全扩展要求,第3部分:移动互联安全扩展要求,第4部分:物联网安全扩展要求,第5部分:工业控制系统安全扩展要求,网络安全等级保护测评要求,第1部分:安全通用要求,第2部分:云计算安全扩展要求,第3部分:移动互联安全扩展要求,第4部分:物联网安全扩展要求,第5部分:工业控制系统
7、安全扩展要求,网络安全等级保护安全管理中心技术要求,网络安全等级保护测试评估技术指南,网络安全等级测评机构能力要求和评估规范,等级保护2.0标准体系,GA/T 1390.52017 信息安全技术 网络安全等级保护基本要求 第 5 部分:工业控制系统安全扩展要求,公安部已于2017年5月率先发布网络安全等级保护定级指南、网络安全等级保护基本要求 第5部分:工业控制系统安全扩展要求等4个行业标准。,GA/T 13892017信息安全技术 网络安全等级保护定级指南,GA/T 1390.32017 信息安全技术 网络安全等级保护基本要求 第 3 部分:移动互联安全扩展要求,GA/T 1390.2201
8、7信息安全技术 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求,在国标信息安全等级保护定级指南的基础上细化优化了对客体侵害事项、侵害程度的定义,确定了对基础信息网络、工业控制系统、云计算平台、物联网、采用移动互联技术的信息系统、大数据等对象的定级原则,进一步明确了定级过程中专家审查、主管部门审核、公安机关备案审查等节点的管理要求。,针对云计算架构的特点,对云计算环境下的物理位置、虚拟化网络、虚拟机、云服务方、云租户、虚拟镜像等技术保护要求,以及云服务商选择、SLA协议、云安全审计等安全管理要求进行了规定。,针对移动互联网系统中移动终端、移动 应用和无线网络等三个关键要素,明确了无线
9、接入设备的安装选择、无线接入网关处理能力、非授权移动终端接入等技术保护要求,以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进行了规定。,分析了工业控制系统的层次模型、区域模型,提出了工业控制系统安全域划分和保护的主要原则。并从物理提示标志、网络非必要通信控制、系统时间戳等技术方面,以及工控系统管理员/工控网络管理员/工控安全管理员岗位设置、工控设备的版本号漏洞控制等管理方面进行了规定。,等级保护2.0定级要求解析,注:基于GA/T 13892017网络安全等级保护定级指南及GB/T 222402008信息系统安全等级保护定级指南内容对比分析。,定级要求,重新对部分内容的顺序
10、作了调整,从整体显得更加的合理。增加了新的内容和流程,例如扩展了定级的对象,包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等;新增加的流程为“定级工作一般流程”,并对旧版本“定级一般流程”更名为“定级方法流程”。,第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。,第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;,定级一般流程;,1.0要求,2.0要求,更名为“定级方法流程”。,新增“定级工作一般流程”。,等级保护2.0定级要求解析,
11、注:基于GA/T 13892017网络安全等级保护定级指南及GB/T 222402008信息系统安全等级保护定级指南内容对比分析。,原标准,新标准,等级保护2.0定级要求解析,注:基于GA/T 13892017网络安全等级保护定级指南及GB/T 222402008信息系统安全等级保护定级指南内容对比分析。,新增“定级流程”,包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。,包括确定受侵害的客体、侵害对客体的侵害程度以及综合判定侵害程度。,定级对象的运营、使用单位应组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。,定级对象的运营、使用单位
12、应将初步定级结果上报行业主管部门或上级主管部门进行审核。,定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查,审查不通过,其运营使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级。,等级保护2.0定级要求解析,注:基于GA/T 13892017网络安全等级保护定级指南及GB/T 222402008信息系统安全等级保护定级指南内容对比分析。,定级对象,重新对定级对象进行调整,并进行相应的介绍。2.0定级对象分为基础信息网络、信息系统和其他信息系统,其中信息系统再细分为工业控制系统、物联网、大数据、移动互联以及云计算平台。,信息系统一个单位内运行的信息
13、系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。,基础信息网络对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象。跨省全国性业务专网可作为一个整体对象定级,也可以分区域划分为若干个定级对象。,1.0要求,2.0要求,工业控制系统工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成,其中:生产管理层的定级对象确定原则见(其他信息系统)。设备层、现场控制层和过程监控层应作为一个整体
14、对象定级,各层次要素不单独定级。对于大型工业控制系统,可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。,云计算平台在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。,物联网物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层等要素。,采用移动互联技术的信息系统采用移动互联技术的等级保护对象应作为一个整体对象定级,主要包括移动终端、移动应用、无线网络以及相关应用系统等。,大数据应将具有统一安全责任单位的大数据作为一个整体对象定
15、级,或将其与责任主体相同的相关支撑平台统一定级。,其他信息系统作为定级对象的其他信息系统应具有如下基本特征:a)具有确定的主要安全责任单位。作为定级对象的信息系统应能够明确其主要安全责任单位;b)承载相对独立的业务应用。作为定级对象的信息系统应承载相对独立的业务应用,完成不同业务目标或者支撑不同单位或不同部门职能的多个信息系统应划分为不同的定级对象;c)具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的多资源集合,单一设备(如服务器、终端、网络设备等)不单独定级。,1,2,等级保护发展历程与展望,等级保护2.0标准体系,3,等级保护
16、2.0通用要求解析,4,等级保护2.0扩展要求解析,等级保护2.0通用要求解析,注:基于网络安全保护基本要求 第一部分:通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。,安全控制域划分上有较大变化,原有十个安全域整合为八个,定义上更精确,内涵更为丰富。,管理,技术,管理,技术,1.0,2.0,等级保护2.0通用要求解析,注:基于网络安全保护基本要求 第一部分:通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。,安全控制要求的部分条款被合并,部分条款被删除,同时也有部分新增要求,整体数量有较大降低。,总体安全要求数量对比(
17、以三级系统为例),各控制域安全要求数量对比(以三级系统为例),等级保护2.0通用要求解析,注:基于网络安全保护基本要求 第一部分:通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。,整体内容上,对过于细节内容进行精炼或合并,对部分要求进行了删减,同时也新增了部分要求。在操作落实方面更灵活,同时与1.0相比整体安全要求有所降低。,例:整合的内容,网络安全身份鉴别a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别;c)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;,网络与通信安全身份鉴别a)应
18、对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换;,例:删减的内容,安全管理机构人员配备c)关键事务岗位应配备多人共同管理。,例:增加的内容,网络和通信安全边界完整性检查d)应限制无线网络的使用,确保无线网络通过受控的边界防护设备接入内部网络。,设备和计算安全安全审计e)审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性。,等级保护2.0通用要求解析,注:基于网络安全保护基本要求 第一部分:通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。,物理和环境安全实质性变更,降低物理位置选择要求,机房可设
19、置在建筑楼顶或地下室,但需要加强相应防水防潮措施。降低了物理访问控制要求,不再要求人员值守出入口,不再要求机房内部分区,不再对机房人员出入进行具体要求。降低了电力供应的要求,不再要求必须配备后备发电机。降低了电磁防护的要求,不再要求必须接地。降低了防盗和防破坏要求,可部署防盗系统或视频监控系统,b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。,b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。,机房出入口应 配置电子门禁系统,控制、鉴别和记录进入的人员。,d)应建立备用供电系统。,1.0要求,2.0要求,a)应采用接地方式防止外界电磁干扰和设备寄生耦合
20、干扰;,c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。,等级保护2.0通用要求解析,注:基于网络安全保护基本要求 第一部分:通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。,网络和通讯安全实质性变更1,强化了对设备和通信链路的硬件冗余要求。强化了网络访问策略的控制要求,包括默认拒绝策略、控制规则最小化策略和源目的检查要求。降低了带宽控制的要求,不再要求必须进行QOS控制。降低了安全访问路径、网络会话控制、地址欺骗防范、拨号访问权限限制等比较“古老”的控制要求。,e)应提供通信线路、关键网络设备的硬件冗余,保证系统可用性,1.0要求,2.0要求,
21、b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;,a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;,c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;,g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。,等级保护2.0通用要求解析,注:基于网络安全保护基本要求 第一部分:通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。,网络
22、和通讯安全实质性变更2,强化了安全审计的统一时钟源要求。强化了对网络行为审计的要求。强化了网络边界的安全控制,特别是无线网络与有线网络的边界控制。强化了对网络攻击特别是“未知攻击”的检测分析要求。强化了对恶意代码和垃圾邮件的防范要求,强调在“关键网络节点”。降低了对审计分析的要求,不再要求必须生成审计报表。,1.0要求,2.0要求,d)审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性;e)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。,c)应能够根据记录数据进行分析,并生成审计报表;,a)应保证跨越边界的访问和数据流通过边界防护设备提供
23、的受控接口进行通信;,d)应限制无线网络的使用,确保无线网络通过受控的边界防护设备接入内部网络。,c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析;,b)应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。,a)应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;,a)应在网络边界处对恶意代码进行检测和清除;b)应维护恶意代码库的升级和检测系统的更新。,等级保护2.0通用要求解析,注:基于网络安全保护基本要求 第一部分:通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比
24、分析。,网络和通讯安全实质性变更3,特别增加了安全集中管控的要求,建设集中安全管理系统成为必要。将原有属于网络设备防护的内容移到了“设备和计算安全”部分。,1.0要求,2.0要求,a)应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;b)应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;c)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;d)应对分散在各个设备上的审计数据进行收集汇总和集中分析;e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;f)应能对网络中发生的各类安全事件进行识别、报警和分析。,a)应对登录网络设备的
25、用户进行身份鉴别;b)应对网络设备的管理员登录地址进行限制;c)网络设备用户的标识应唯一;d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;h)应实现设备特权用户的权限分离。,等级保护2.0通用要求解析,注:基于网络安全保护基本要求 第一部分:通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 等级 保护 新标准 2.0 介绍
链接地址:https://www.31ppt.com/p-6139291.html