等级保护2.0解决方案（36页 PPT）

微信扫码，打开到小程序

等级保护 2.0 解决方案 目录 CONTENTS 01 、等级保护概述 02 、等级保护法律法规 03 、等级保护 2.0 解 读 04 、等保 2.0 解决方案 Part01 等级保护概述 等级保护的基本概念 目标 5 核心 4 思想 3 由来 2 定义 1 对国家安全、法人和其他组织及公民的专有信息以及公开信 息和存储、传输、处理这些信息的信息系统分等级实行安全 保护，对信息系统中使用的信息安全产品实行按等级管理， 对信息系统中发生的信息安全事件分等级响应、处置。 《中国人民共和国计算机信息系统安全保 护条例》（中办发 [1994]147 号）第一次 提出了“计算机分等级保护”的概念 对信息安全实行等级化保护和 等级化管理。 对信息系统特别是对业务应用 系统安全分等级、按标准进行 建设、管理和监督。 突出重点，保障重要信息资源 和重要信息系统的安全。 等级保护的 5 个级别 《 GB 17859-1999 计算机信息系统安全保护等级划分准则》中定义了 5 个系统级别： 第五级 访问验证保护级 第四级 结构化保护级 第三级 安全标记保护级 第二级 系统审计保护级 第一级 用户自主保护级 信息系统定级 备案 安全建设整改 等级测评 监督检查 等级保护的 5 个规定动作 等级保护相关法律法规 《国家信息化领导小组关于加 强信息安全保障工作的意见》 （中办发 [2003]27 号 ） 国务院第 147 号令《中华人民 共和国计算机信息系统安全保 护条例》（ 1994 年 2 月 18 日） 《关于信息安全等级保护工作的实施意见》（公通字 [2004]66 号 ） 《信息安全等级保护管理办法》（公通字 [2007] 43 号） 定级 备案 安全建设整改 等级测评 监督检查 关于开展全国重 要信息系统安全 等级保护定级工 作的通知》 《信息安全等级 保护备案实施细 则》 《关于开展信息 安全等级保护安 全建设整改工作 的指导意见》 《关于加强国家电 子政务工程建设项 目信息安全风险评 估工作的通知》 关于印发《信息系统 安全等级测评 报告模 版（试行）》的通知 关于推动信息安全等 级保护测评体系建设 和开展等级测评工作 的通知 公安机关信息安 全等级保护检查 工作规范》 公 信 安 [2007]861 号 公 信 安 [2007]1360 号 公信安 [2009]1429 号 发改高技 [2008]2071 号 公信安 [2009]1487 号 公信安 [2010]303 号 公 信 安 [2008]736 号 《关键信息基础设施安全 保护条例》（征求意见 稿） 《网络安全等级保护条 例》（征求意见稿） 《中国人民共和国网络安全法》（ 2017 年 6 月 1 日） 开展等级保护的必要性 国家法律法规和政策规范要求开展等级保护工作，如《中国人民共 和国网络安全法》、《信息安全等级保护管理办法》等。 国家要求 各行业监管部门在等级保护方面均有相关的监管要求和政策文件要求，部 分行业存在等级保护行业标准，以指导行业开展等级保护工作。 行业监管 等级保护制度体系是目前我国唯一成体系化的信息安全政策和标准，通过开 展等级保护工作，能够提升信息安全保障能力，保障信息系统安全稳定运行。 安全能力提升 网络安全法落地后，等级保护工作已经上升到法律层面，网络运营者不开展 等级保护工作违法并追究网络运营者及主管人员的法律责任。 04 规避法律风险 Part02 等级保护法律法规 网络安全法之等级保护 第二十一条 • 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护 制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经 授权的访问，防止网络数据泄露或者被窃取、篡改。 第三十一条 • 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子 政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露， 可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网 络安全等级保护制度的基础上，实行重点保护。 第五十九条 • 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务 的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安 全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五 千元以上五万元以下罚款。 第五十九条（续） • 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十 六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正， 给予警告；拒不改正或者导致后果的，处十万元以上一百万元以下罚款， 对直接负责主管人员处一万元以上十万元以下罚款。 网络安全等级保护条例 网络安全保护等级 条例主要要求 第二条【适用范围】在中华人民共和国境内建设、运营、维护、使用网络，开展网络安全等级保护工作以及监督管理，适 用本条例。个人及家庭自建自用的网络除外。 第六条【网络运营者责任义务】网络运营者应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作，采取管 理和技术措施，保障网络基础设施安全、网络运行安全、数据安全和信息安全，有效应对网络安全事件，防范网络违法犯 罪活动。 第十二条【绩效考核】行业主管部门、各级人民政府应当将网络安全等级保护工作纳入绩效考核评价、社会治安综合治理 考核等。 受侵害的客体 对响应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第三级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 关键信息基础设施安全保护条例 第十八条 下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者 数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键 信息基础设施保护范围： （一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境 保护、公用事业等行业领域的单位； （二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据 和其他大型公共信息网络服务的单位； （三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位； （四）广播电台、电视台、通讯社等新闻单位； （五）其他重点单位 第二十三条 运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保 障关键信息基础设施免受干扰、破坏或者未经授权的访问，防止网络数据泄 漏或者被窃取、篡改。 Part03 等级保护 2.0 解读 等级保护 2.0 修订背景 01 02 03 04 新形势 “ 斯诺登”等安全事件的发 生说明网络安全的威胁已 经上升到影响国家安全层 面，面临更加复杂的网络 空间安全形势。 新风险 APT 、钓鱼邮件、虚拟 机逃逸、物联感知设备 挟持等新的安全威胁和 新的攻击手段带来了新 的安全风险。 新技术 等级保护 1.0 缺少对云 计算、移动互联、工业 控制、大数据、物联网 等一系列新技术应用的 安全要求和管控措施。 新监管 《网络安全法》、 《关键信息基础设施安 全保护条例》、《网络 安全等级保护条例》提 出了新的监管要求。 等级保护 2.0 安全体系 国家网络安全等级保护制度 总体安全策略 定级备案 安全建设 等级测评 安全整改 监督检查 网络安全综合防御体系 安全管理中心 通信网络 区域边界 计算环境 风险管理体系 安全技术体系 安全管理体系 网络信任体系 等级保护对象 网络基础设施、信息系统、云计算平台、大数据平台、物联网、工业控制系统等 国 家 网 络 安 全 法 律 法 规 政 策 体 系 国 家 网 络 安 全 等 级 保 护 政 策 标 准 体 系 组 织 管 理 机 制 建 设 安 全 规 划 安 全 监 测 通 报 预 警 安 全 可 控 队 伍 建 设 教 育 培 训 经 费 保 障 应 急 处 置 态 势 感 知 能 力 建 设 技 术 检 测 网络安全战略规划目标 等保 2.0 安全框架核心内容 依据国家网络安全法律法规和等级 保护政策标准开展等级保护工作； 1 2 3 4 确定等级保护对象； 依然采用“一个中心、三重防护” 的 理念； 建立安全技术体系和安全管理体系， 构建具备相应等级安全保护能力的 网络安全综合防御体系。 5 开展组织管理、机制建设、安全规划、 通报预警、应急处置、态势感知、能 力建设、监督检查、技术检测、队伍 建设、教育培训和经费保障等工作 。 等级保护 2.0 实施的变化 实施的变化 等保 1.0 等保 2.0 名称的变化 《信息系统安全等级保护基本要求》 《网络安全等级保护基本要求》（与《网络安全法》保持一致） 定级对象的变化 ■ 信息系统 ■ 信息系统 ■基础信息网络 ■ 云计算平台 ■工业控制系统 ■ 物联网系统 ■移动互联网 ■大数据平台 测评周期的变化  第三级系统每年一次  第四级系统每半年一次  第三级以上系统每年一次 测评结果的变化  60 分以上基本符合  75 分以上基本符合 等级保护控制层面的变化  安全控制层面划分上有较大变化 , 从传统 IT 防护变为体系化防护。 物理安全 网络安全 主机安全 应用安全 数据安全 安全制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 1.0 2.0 安全物理环境 安全通信网络 安全区域边界 安全计算环境 安全管理中心 安全管理制度 安全管理机构 安全管理人员 安全建设管理 安全系统运维 技 术 管 理 技 术 管 理 充分体现“一个中心，三重防御”的安全保护体系 云计算安全扩展要求解读 应用平台 软件平台 虚拟化计算资源 资源抽象控制 硬件 设施 范围和控制 云服务客户 Iaa S Paa S SaaS IaaS Paa S Saa S  不同的云计算服务模式对应不同的安 全责任边界  安全责任一分为二，云服务商和云服 务客户责任共担  云计算平台不得承载安全高于其安全 保护等级的业务应用系统  云计算平台和云上信息系统分别定级、 备案、测评  虚拟化网络、虚拟机、云业务管理系 统等虚拟化产品也作为等级保护测评 对象 云服务商 等级保护 2.0 总结 等级保护 2.0 为应对新技术对传统安全和传统等保的冲 击，通过安全扩展要求提出了新的安全要求，以保障云 计算、大数据等新技术下安全合规。 应对新技术提出新要求 增强了对未知威胁的防范要求，针对邮件攻击威胁提出 邮件安全要求，提出统一管控，要求能够对攻击进行溯 源和取证。 增强未知威胁防范和攻击溯源能力 感知预警、安全分析、动态防护、全面检测、应急处置 兵种，打造主动安全保障体系，提高信息系统网络抗攻 击能力。 建立主动安全保障体系 更加注重数据安全保障和个人信息保护，数据是 IT 的核 心和生命，个人信息保护在互联网时代被无限放大。 注重数据安全和个人信息保护 Part04 等保 2.0 解决方案 自适应主动安全保障体系 防御 检测 大数据 响应 预测 威胁情报 态势感知 可信众测 明御 NGFW 明御 APT 明御数据库审计 明鉴漏洞扫描 明鉴安全监测 明鉴等保工具箱 应急处置工具箱 全生命周期安全咨询 全生命周期安全服务 等级保护基本要求框架（三级） 安全管理中心 安全通信网络 安全物理环境 物理位置选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 安全区域边界 安全计算环境 温湿度控制 电力供应 电磁防护 系统管理 审计管理 安全管理 集中管控 网络架构 通信传输 可信验证 边界防护 访问控制 入侵防范 安全审计 可信验证 恶意代码和垃圾邮件防范 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 可信验证 数据完整性 数据保密性 数据备份恢复 剩余信息保护 技术要求 个人信息保护 安全管理制度 安全策略 管理制度 制定和发布 评审和修订 安全管理机构 岗位设 置 人员配 备 授权和审批 沟通和合作 审查和检查 安全管理人员 人员录 用 人员离 岗 安全意识教育和培训 外部人员访问管理 安全建设管理 定级和备案 安全方案设计 产品采购和使用 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 等级测评 服务供应商选择 安全运维管理 环境管理 资产管理 介质管理 设备维护管理 漏洞和风险管理 网络和系统安全管理 恶意代码防范管理 配置管理 密码管理 备份与恢复管理 安全事件处置 应急预案管理 外包运维管理 管理要求 变更管理 等级保护安全保障体系框架 等级保护 2.0 安全体系全景图 安恒专家服务 合 理 控 制 风 险 提 升 安 全 效 能 有效安全防护，保障核心资产和数据 制度管理 安全管理机构 安全管理制度 安全管理人员 安全运维管理 安全技术体系 通用技术 扩展技术 天池云 安全 工控安 全系列 物联网 安全系 列 玄武盾 运营管理 资产梳理分析 安全风险发现 安全漏洞加固 安全分析处置 安全运营管理 咨询顾问 等保加固 应急响应 情报分析 人才培养 事前感知预警 事中防护响应 事后取证优化 持续监测分析 态势感知平台 AiPLHA 大数据智能安全平台 威胁情报中心 安全建设管理 安全计算环境 安全区域边界 安全通信网络 安全物理环境 物理位置 防水防盗 温湿度 电力供应 明御安 全网关 明御 DPI 明御 APT 邮件 安全 明御 NTA 明御 WAF 数据库 审计 日志 审计 EDR 数据库 防火墙 网络结 构优化 安全策 略调整 通信传 输加密 安全管理中心 堡垒机 日志审计 漏洞扫描 EDR 管控 等级保护三级典型拓扑 NGFW Internet 路由器 联网区 NGFW 研 发 区 WAF 数据库 防火墙 数据库 审计 数 据 中 心 区 办 公 区 核心交换机 核心交换区 DMZ 区 NGFW NGFW NGFW NGFW 物联网安全心 视频准入引擎 安防设施区 前端 IPC 物联网监测 运维审计 APT DPI 远程评估 日志审计 大数据 EDR 中心 运维管理区 抗 DDoS 负载均衡 上网行为管理 WAF VPN 分支外联 NGFW 路由器 安全通信网络 安全通信网络 安全通信网络 安 全 区 域 边 界 安 全 区 域 边 界 安全区域边界 安全区域边界 安全计算环境 安全计算环境 安全计算环境 安全计算环境 安全计算环境 安全管理中心 安全通信网络设计 等保要求 控制点 对应产品和方案 安全通信网络 网络架构 网络设备性能冗余、链路带宽冗余、安全域划分、 QoS 、负载均衡、核心设备 / 主干链路冗余部署 通信传输 IPsec VPN/SSL VPN 可信验证 可信计算机制 NGFW Internet 路由器 联网区 NGFW 研 发 区 数 据 中 心 区 办 公 区 核心交换机 核心交换区 DMZ 区 NGFW NGFW NGFW NGFW 安防设施区 前端 IPC 运维管理区 负载均衡 VPN 分支外联 NGFW 路由器 移动办公 分支机构 SSL VPN IPSEC VPN 网络设计合理： 选择具有冗余性能的路由器、交换机、防火墙等设备； 链路带宽需要根据业务高峰期的峰值带宽进行设计。 1 2 3 4 网络分区： 根据不同的功能进行网络区域划分，区域内划分 VLAN ，区域之间通过防火墙进行区域隔离和访问 控制。 加密通信： 采用 SSL VPN 对移动办公用户数据进行加密； 采用 IPSEC VPN 对分支机构接入数据进行加密。 冗余架构： 网络出口区、核心交换区、数据中心区等提供设备 冗余、双链路冗余。 5 可信验证： 基于可信根对通信设备的系统引导程序、系统程序、 重要配置参数和通信应用程序等进行可信验证，报警、 审计。 安全区域边界设计 等保要求 控制点 对应产品和方案 安全区域边界 边界防护 下一代防火墙，身份认证与准入 访问控制 下一代防火墙， Web 应用防火墙，数据库防火墙 入侵防范 入侵检测与防御系统、 APT 防护、 DPI 流量分析 恶意代码和垃圾邮件防范 防病毒网关、垃圾邮件网关、邮件审计、下一代防火墙 安全审计 集中日志审计、上网行为管理 可信验证 可信计算机制 NGFW Internet 路由器 联网区 NGFW 研 发 区 WAF 数据库 防火墙 数 据 中 心 区 办 公 区 核心交换机 核心交换区 DMZ 区 NGFW NGFW NGFW 视频准入引擎 安防设施区 前端 IPC APT DPI 日志审计 运维管理区 抗 DDoS 上网行为管理 WAF VPN 分支外联 NGFW 路由器 NGFW 边界防护： 跨越边界的访问和数据流通过边界防火墙提供的受控接口 进行通信； 身份认证与准入对非授权设备、用户等进行检查与控制。 1 2 3 4 访问控制： 边界防火墙设置访问控制策略，进行受控通信； Web 应用防火墙实现应用协议和应用内容的访问控制； 数据库防火墙实现对访问数据库的访问控制。 入侵防范： 对外部 / 内部发起的攻击进行分析，限制； 对网络行为进行分析，告警； 对未知新型网络攻击进行分析，限制。 恶意代码和垃圾邮件防范： 边界防火墙开启病毒库，进行恶意代码查杀； 垃圾邮件网关、邮件审计对垃圾邮件进行检测防护。 5 安全审计： 集中日志审计对网络中所有的设备日志进行收集审计； 上网行为管理对内网访问互联网行为进行审计。 安全计算环境设计 等保要求 控制点 对应产品和方案 安全计算环境 身份鉴别 堡垒机，身份认证与准入 访问控制 身份认证与准入、堡垒机、数据库防火墙、应用系统本身实现 安全审计 堡垒机、数据库审计、日志审计 入侵防范 入侵防御系统、 APT 检测、日志审计、漏洞扫描、 WAF 、数据 库防火墙、 EDR 恶意代码防范 终端安全 EDR 可信验证 可信计算机制 数据完整性 VPN 、防篡改 数据保密性 VPN 、 SSL 加密 数据备份恢复 本地数据备份与恢复、异地数据备份、重要数据热备 剩余信息保护 敏感信息清除 个人信息保护 防泄密系统、个人信息保护系统 安全计算环境设计 Internet 路由器 联网区 研 发 区 WAF 数据库 防火墙 数据库 审计 数 据 中 心 区 办 公 区 核心交换机 核心交换区 DMZ 区 物联网安全心 安防设施区 前端 IPC 运维审计 APT 远程评估 日志审计 E