网络安全等级保护2.0基础知识培训（84页 PPT）

微信扫码，打开到小程序

网络安全等级保护 2.0 基础知识培训课件 网络安全形势及政策解析 • 抽样监测发现，境外有近 4.7 万个 IP 地址作为木马或僵尸网络控制服务器参与控制我国境内主机，其控制 的境内主机数量已由近 500 万增加至近 890 万，呈现大规模化趋势。其中位于日本（ 22.8% ）、美国 （ 20.4% ）和韩国（ 7.1% ）的控制服务器 IP 数量居前三位。 • 在网站安全方面，境外黑客对境内 1116 个网站实施了网页篡改；境外 11851 个 IP 通过植入后门对境内 10593 个网站实施远程控制；仿冒境内银行网站的服务器 IP 有 95.8% 位于境外，其中美国仍然排名首位— —共有 481 个 IP （占 72.1% ） 仿冒了境内 2943 个银行网站的站点，中国香港（占 17.8% ）和韩国（占 2.7% ）分列二、三位。 总体来看，近年位于美国、日本和韩国的恶意 IP 地址对我国的威胁最为严重。另据工业和信息化部互联网网 络安全信息通报成员单位报送的数据，在我国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名约有 65% 在境外注册。 这些情况表明我国面临的境外网络攻击和安全威胁越来越严重。 我国遭受境外的网络攻击持续增多 乌克兰电网遭黑客攻击导致大面积瘫痪 • 2015 年 12 月底，乌克兰电力公司网络系统遭到 黑客攻击，影响乌克兰西部地区数百户家庭的供 电，这也乌克兰有史以来首次由于网络攻击导致 的停电。 • 这是一个典型的 APT （高级可持续性威胁）攻 击的手法，攻击者利用含有恶意程序的社会工程 学邮件诱骗员工打开附件，从而利用应用软件的 0day 漏洞或者高威漏洞实现远程入侵，再进行 横向传播，最终达到破坏目的。 美国超市 TARGET 安全事件， CEO 遭撤职 2013 年年底，美国零售巨头塔吉特 (Target) 宣布公司被黑客入侵， 7000 万的用户个人信息和 4000 万的信用卡数据被盗，涉及用户名、电话号 码、电子邮箱和信息卡信息等隐私数据。据估计塔吉特的损失可能达到 10 亿美元。 同时塔吉特还将向个人受害者支付最高 10000 美元的的损害赔 偿，并将增加数据安全保护措施。 因此安全事件，塔吉特辞退了时任 CEO 并重新任命一位首席信息安全官。 瞄准企业网络弱点 “水坑攻击”让人防不胜防 在 TARGET 的泄露事件中，黑客通过研究其供应链的各个环节，选定了 TARGET 的一家第三方供应商为跳板，使用社交工程钓鱼 邮件窃取了该供应商的用户凭证，从而获得进入 TARGET 网络系统的权限。随后，黑客通过在 POS 系统中植入软件，感染了所 有刷卡机，截取了刷卡机上的信用卡信息，最后成功入侵数据中心，窃走了所有的用户信息。 希拉里邮件门影响美国大选 2009 年至 2013 年，希拉里任国务卿期间利用私人电子邮 箱和位于家中的私人服务器收发公务邮件，其中包括一些涉 及国家机密的绝密邮件，这批邮件一共约 6 万封。邮件系统 被黑客侵入，大量邮件外泄，影响国家安全。邮件门事件成 为希拉里败选的关键因素之一。 国内某研究所文件泄密，后果严重 黄宇，向境外间谍机关提供 15 万余份资料，其中 绝密级国家秘密 90 项，机密级国家秘密 292 项， 秘密级国家秘密 1674 项，对我国党、政、军、金 融等多个部门的密码通信安全造成难以估量的损 失。 案告破后，该单位若干资质被取消，严重影响正常 工作，给单位造成无法估量的损失，原单位有 29 人受到不同程度的处分。 中兴通讯遭美方“制裁”—重要文件泄密 2018 年 3 月 7 日，中国最大的通信设备上市公司——中兴通讯，被 美国商务部工业与安全局（ BIS ）宣布制裁，中兴通讯随即在深港两 地交易所申请股票停牌，中兴通讯 4 月 7 日在香港复牌后出现暴 跌，一度下跌 14% ，公司董事长和总裁引退。 BIS 将中兴通讯及其三家关联公司列入“制裁名单”的决定是基于其 获得的两份中兴通讯的内部机密文件而做出的，这两份分别名为《关于 全面整顿和规范公司出口管制相关业务的报告》与《进出口管制风险规避方案》的机 密文件描述了中兴通讯通过设立、控制和使用一系列“隔断”公司而不需经过授权就可向 受美国制裁国家非法地再出口受控产品的计划方案。 BIS 还将这两份中兴通讯机密文 件的中文扫描件和英文翻译件放在官方网站上以供查看和下载。 某政府 & 企业网站被篡改 安全形势复杂化 • 蠕虫 中等 影响 重大 影响 • APT • 特定目标恶意软件 小麻烦 攻击手段快速演进 攻击研究 攻击利益 复杂动机 • 混合型蠕虫 • DDOS • 协同攻击 • 后门木马 • 病毒 • 间谍软件 • 钓鱼攻击 • 垃圾邮件 • 僵尸网络 云计算安全的问题与需求 • 随着云计算兴起，物理网络隔离为主体思想的传统信息安全在新的 IT 云计算架构中已经日益难以应 对。新技术引入带来了新的安全问题，云计算的开放、共享与“高速、互联、互通”的特性，为安全控 制带来了新的挑战。 云安全问题 身份与访问管理：缺乏统一、集中、标准的访问控制 数据集中控制：系统、租户的数据安全防护难度加大 云与虚拟化：攻击从终端转向云端，安全边界趋于模糊 自动化安全管理：安全自动化管理要求更高、防护盲点 数据泄漏威胁：数据集中、共享与多样化加大了泄漏风险 安全监管合规：国家标准、行业规范、监管要求 云安全新需求 1. 纵深防御（ DiD ）、软件定义信息安全 （ SDIS ）、安全设备虚拟化（ SDV ），结合 后形成更安全、敏捷、经济的云平台安全体 系。 2. 云访问安全代理、多点联动防御、入侵容忍 和 Docker 自带的安全机制等技术将会成为未 来云安全发展的新趋势。 可靠云防护体系 健康云 硬件基 础设施 机房 线路 IaaS 服务 虚拟资源 池化 服务管理与 平台服务 服务目录 服务门户 云安全架构 专业服务 基础服务 Web 门户 统一通讯 邮箱存储 政务云 服务器 存储 网络 安全 其它 虚拟机 资源池 (CPU 、 MEM 、 DISK 、 NIC) 虚拟网络 虚拟 IO 虚拟存储 虚拟安全 软件资源 操作系统 数据库 中间件 其他组件 服务流程 资源调度与 管理自动化 弹性扩展 负载均衡 动态迁移 按需供给 决策支持 平台优化 容灾 身份认证 访问控制 管理报表 安全评估 PaaS 服务 企业云 交通云 教育云 虚机应用 SaaS 服务 私有云应用 公共云应用 混合云应用 云租户安全 云自身安全： 虚拟环境安全平台 数据中心安全基础设施 云的安全服务 数据安全管控 4A 安全平台 云堡垒机 Hyper-V Vmware KVM Xen 跨平台能力 防恶意代码 / 垃圾邮件 云 VPN Web 安全防护 URL 过滤 网络访问控制 防恶意代码 / 垃圾邮件 APT 虚拟网络审计 应用交付 认证授权 防火墙 运维审计 抗 DDoS APT 治理 日志审计 VPN IDS 流量控制 防火墙 桌面 APT 防御 等保 ITIL 运维 堡垒机 风评 加固 应急 运营 合规 咨询 服务 软件 服务 合规 咨询 渗透 测试 接口 安全 评估 安全 开发 咨询 云计算架构 虚拟安全接入 SOC 安全平台 智能分析中心 流量审计平台 用户行为分析 面向云服务 架构提供全 方位、可靠 云安全防护 体系 云计算安全体系 APT 安全 控制阶段 攻击阶段 内部扩散阶段 夹带恶意附件的社交工程邮件 建立 C&C 通讯渠道 内部网络攻击与扩散 安装后门程序 攻击软件漏洞 APT 入侵三阶段 威胁态势感知 — 大数据与人工智能分析平台 主机病毒 探针 主机威胁 取证 网络未知 威胁探针 网络已知 威胁探针 沙盒分析 设备 系统日志 记录 其他探针 大数据分析平台 威胁情报可视化 国家高度重视信息安全问题 政策密集出台 安全等级保护的由来 国家对信息安全保障的政策演变 网络空间安全战略提出 内涵概念的变化，从网络、系统和信息的安全改变为网络空间安全。 保障原则的变化，从谁主管谁负责，改变为强调共建共享共治 保证策略的变化，从合规驱动，以防御为主，改变为强调业务为主、攻防兼备，变被动为主动 保障重心的变化，从保障网络和信息系统为主，改变为强调业务、应用和数据的保障 保障模式的变化，从单纯依靠自己力量，改变为强调专业化，依靠平台和更强大的服务团队 《网络安全法》 • 标志着我国网络安全立法取得了重大突破，是中央网络安全和信息化领导小组成立后我国“网络强 国”最重要的战略部署。可以预见，在 2017 年 6 月 1 日起正式实施之前，国务院及相关的部门会制 定和颁布一系列的配套法律法规 • 彰显确立了网络安全与信息化、网络空间主权、开展国际合作、网络安全管理体制等方面国家网络 安全的基本原则。 • 标志着我国关键信息基础设施保护工作进入正轨，在关键基础设施的保护范围、保护要求、保护责 任等方面做出了系统性的要求。 • 体现了全面加强了对公民个人信息的保护。 • 保障网络数据安全进入了国家网络安全的视野。 背景 网络安全等级保护基本要求 （ 2.0 ）将于 2019 年 12 月 1 日实 施。 信息系统安全等级保护简介 什么是等级保护 • 信息安全等级保护是指：对国家 秘密信息、法人和其他组织及公 民的专有信息、公开信息分类分 级进行管理和保护； • 根据信息系统应用业务重要程 度及其实际安全需求，实行分 级、分类、分阶段实施保护，保 障信息安全和系统安全正常运 行，维护国家利益、公共利益和 社会稳定。 • 等级保护的核心是对信息系统 特别是对业务应用系统安全分等 级、按标准进行建设、管理和监 督。国家对信息安全等级保护工 作运用法律和技术规范逐级加强 监管力度。突出重点，保障重要 信息资源和重要信息系统的安 全。 等级保护的主要工作流程 自主定级和审批 评审 备案 系统建设 等级测评 监督检查 -信息系统运营使用单位按照等级保护管理办法和《信息系统安全等级保护定级指南》，确定 信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审核批准。跨省或者全国统 一联网运行的信息系统可以由其主管部门统一确定安全保护等级。 -在信息系统确定安全保护等级过程中，可以进行必要的业务和技术评估，组织专家进行咨询 评审。对拟确定为第四级以上的信息系统的运营、使用单位或主管部门应当邀请国家信息安全等 级保护专家评审委员会评审。 -第二级以上信息系统由其运营使用单位到所在地设区的市级以上公安机关办理备案手续。隶 属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管 部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系 统，应当向当地设区的市级以上公安机关备案。 -信息系统的安全保护等级确定后，运营使用单位应当按照国家信息安全等级保护管理规范和 划分准则、基本要求、操作系统、数据库、网络、服务器、终端等技术要求，使用符合本系统安 全保护等级要求的信息安全产品，同步建设符合本系统安全保护等级要求的信息安全设施。运营 使用单位应当按照安全管理要求、安全工程管理要求等管理规范，建立安全组织，制定并落实符 合本系统安全保护等级的安全管理制度。 -信息系统建设完成后，运营使用单位应当选择符合本系统安全保护等级要求的检测机构，依 据《信息系统安全等级保护测评指南》等技术标准对信息系统安全等级状况开展技术评测。三级 信息系统应当每年至少进行一次等级测评；四级信息系统应当每半年至少进行一次等级测评；五 级信息系统应当依据特殊安全需求进行等级测评。 -受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护 工作情况进行检查。三级信息系统每年至少检查一次，四级信息系统每半年至少检查一次。对跨 省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。 等级保护工作过程 等级保护基本框架 等级保护技术要求 - 网络安全 等级保护技术要求 - 物理安全 等级保护技术要求 - 主机系统安全 等级保护技术要求 - 应用安全 等级保护技术要求 - 数据安全 安全保护等级的划分 1 ）用户自主保护级 公民、法人和其它组织的合法权益：损害，国家安全、社会秩序和公共利益：不损害 2 ）系统审计保护级 公民、法人和其它组织的合法权益：损害，社会秩序和公共利益：损害，国家安全：不损 害 3 ）安全标记保护级 社会秩序和公共利益：严重损害，国家安全：损害 4 ）结构化保护级 社会秩序和公共利益：特别严重损害，国家安全：严重损害 5 ）访问验证保护级 国家安全：特别严重损害 定级要素与等级的关系 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他 组织的合法权益 第一级 第二级 第二级 社会秩序、公共利 益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 如何确定信息系统安全等级 确定等级流程 业务信息安全保护等级矩阵表 系统服务安全保护等级矩阵表 系统安全保护等级矩阵表 确定定级对象： 具有唯一确定的安全责任单位；满足信息系统的基本要素；承载相对独立的业务应用 安全保护等级定级参考 1 ）一级，小型私营、个体企业、中小学，乡镇所属信息系统，县级单位一般的信息系统 2 ）二级，县级某些单位重要信息系统；地市级以上国家机关、企事业单位内部一般信息系 统（例如非涉及工作、商业秘密，敏感信息的办公系统和管理系统） 3 ）三级，地市级以上国家机关、企事业单位内部重要信息系统（例如涉及工作、商业秘 密，敏感信息的办公系统和管理系统）。跨省或全国联网运行的用于生产、调度、管理、控 制等方面的重要系统及在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要 网站 4 ）四级，国家重要领域、重要部门中的特别重要系统以及核心系统，电力、电信、广电、 税务等 5 ）五级 国家重要领域 重要部门中的极端重要系统 系统定级和备案流程 系统定级 • 定级报告 • 备案表 • 其它材料 专家评审 • 专家评审 系统定级 • 专家建议 申报网安 • 提交申报 材料 网安审核 • 10 工作日 内网安完 成审核 领取备案书 • 领取备案 书 • 准备等级 测评 信息系统安全等级保护解决方案 安全保障体系模型 安全保障体系设计 安 全 管 理 体 系 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 防护 检测 响应 恢复 物理安全 网络安全 主机安全 应用安全 数据安全 管理安全 安 全 技 术 体 系 物理安全技术 安全基础设施 网络安全技术 主机安全技术 应用安全技术 数据安全技术 安全管理技术 安 全 服 务 保 障 安全通告 安全加固 应急响应 安全巡检 安全培训 安全整改和集成 安全政策法规标准 安全策略 安 全 测 评 和 风 险 评 估 安全等级保护 技术安全要求 管理安全要求 差距分析 等级保护差距分析 •以信息系统为单位 •以基本要求为依据 •业务信息与系统服务关联分析 -根据系统所确定的安全等级从《基本 要求》中选择相应等级的基本安全需求 -根据系统所面临的威胁特点调整安全 要求，去掉不适用项 -基本要求中某些地 方的安全措施不能满足 本单位信息系统的保护 要求；没有提供所需要 的保护措施 -对比信息系统现状 和安全要求之间的差 距，确定不满足要求的 安全项 1 、确定信息系统的基本安全需求 2 、选择调整基本安全需求 3 、明确特殊安全需求 4 、根据各项安全要求进行逐项分析 确定不符合安全项 现状梳理 明确安全建设需求 1 2 3 等级保护设计方案 • 安全技术体系设计 • 物理安全设计 • 网络安全设计 • 主机安全设计 • 应用安全设计 • 数据安全设计 • 安全管理设计 • 安全管理体系设计 • 安全管理制度 • 安全管理机构 • 人员安全管理 • 系统建设管理 • 系统运维管理 • 安全服务保障设计 • 风险评估 • 安全加固 • 安全巡检 • 应急响应 • 安全培训 等级保护设计 • 安全的网络结构 • 安全的边界防护 • 安全的计算环境 政务专网 系统运行维护区域 业务服务器区域 办公系统服务器区域 办公终端区域 计算环境 通信网络 区域 边界 网络和基础设施保护 1 -关键网络设备进行安全加固 2 -采用双核心设计，确保网络的 容错能力；并通过核心交换机执 行 QOS ，保障关键应用的资源 3 -配置网络设备的日志审计， 并通过统一的网络日志审计平 台实现集中记录，同时也作为 安全管理平台的分析依据。 区域边界保护 区域边界保护 保护计算环境 保护计算环境 落实安全管理措施 三级系统安全管理措施 -建立全面的安全管理制度，并安排专人负责并监控执行情况； -建立全面的人员管理体系，制定严格的考核标准 -建设过程的各项活动都要求进行制度化规范，按照制度要求进行 活动的开展 -实现严格的保密性管理 -成立安全运维小组，对安全维护的责任落实到具体的人 -引入第三方专业安全服务 信息系统安全等级保护测评过程 测评依据  《中华人民共和国计算机信息系统安全保护条例》（国务院 147 号令）  《信息安全等级保护管理办法》（公通字 [2007]43 号）  GB 17859-1999 《计算机信息系统安全保护等级划分准则》  GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》  GB/T 28448-2012 《信息安全技术 信息系统安全等级保护测评要求》  GB/T 28449-2012 《信息安全技术 信息系统安全等级保护测评过程指南》  《信息安全等级保护测评报告模版（ 2015 年版）》（公信安 [2014]2866 号）  《信息系统安全等级测评合同》 测评方法 测评过程 • 信息收集 • 工具和表单 测评准备 • 确定对象和指 标 • 开发指导书 方案编制 • 测评实施 • 结果记录 • 问题确认 现场测评 • 整改后验证 问题验证 • 整体测评 • 风险分析 报告编制 需配合事项 备 份 • 测 评 开 始 前 请 提 前 备 份 重 要 数 据 、 程 序 、 配 置 文 件 等 ， 保 证 测 评 完 成 后 能 够 恢 复 系 统 的 正 常 运 行 测 评 过 程 • 测 评 过 程 中