网络安全等级保护解决方案（52页 PPT）

微信扫码，打开到小程序

1 1 网络安全等级保护 解决方案 2 主要 内容 三 测评介绍 一  二 等保必要性 等保介绍 四 解决方案 3 • 三个分等级 等级保护的定义： 是指对国家秘密信息、法人或其他组织及 公民专有信息以及公开信息和存储、传输、 处理这些信息的信息系统分等级实行安全保 护，对信息系统中使用的安全产品实行按等 级管理，对信息系统中发生的信息安全事件 分等级进行响应、处置。等级保护，即分等 级保护，分等级监管。 系统重要程度有多高，安全保护就应当有多 强，既不能保护不足，也不能过度保护。 三个 分等级 信息系统 安全产品 安全事件 4 等级保护发展历程 等保 1.0 发展情况 1994-2003 政策环境营造 1994 年，国务院颁布《中 华人民共和国计算机信息 系统安全保护条例》，规 定计算机信息系统实行安 全等级保护。 2003 年， 中央办公厅、国务院办公 厅颁发《国家信息化领导 小组关于加强信息安全保 障工作的意见》（中办发 [2003]27 号）明确指出“实 行信息安全等级保护”。 2004-2006 工作开展准备 2004-2006 年，公安 部联合四部委开展涉 及 65117 家单位，共 115319 个信息系统的 等级保护基础调查和 等级保护试点工作， 为全面开展等级保护 工作奠定基础。 2007-2010 工作正式启动 2007 年 6 月，四部门联 合出台《信息安全等级保 护管理办法》。 2007 年 7 月，四部门联合颁布 《关于开展全国重要信息 系统安全等级保护定级工 作的通知》。 2007 年 7 月 20 日，召开全国重要 信息系统安全等级保护定 级工作部署专题电视电话 会议，标志着信息安全等 级保护制度正式开始实施。 2010-2016 工作规模推进 2010 年 4 月，公安部出 台《关于推动信息安全 等级保护测评体系建设 和开展等级测评工作的 通知》，提出等级保护 工作的阶段性目标。 2010 年 12 月，公安部 和国务院国有资产监督 管理委员会联合出台 《关于进一步推进中央 企业信息安全等级保护 工作的通知》，要求中 央企业贯彻执行等级保 护工作。 5 等级保护发展历程 等保 2.0 发展情况 修订等保 1.0 2016 年 10 月公安部网络安 全保卫局组织对原有国家标 准 GB/T 22239-2008 等系列 标 准进行了修订。 2.0 系列标准 编制工作 2017 年 1 月至 2 月，全国信息 安全标准化技术委员会发布《 网络安全等级保护基本要求》 系列标准、《 网络安全等级保 护测评要求 》系列标准等“征求 意见稿”。 2017 年 5 月，国家公安部发布 《 GA/T 1389—2017 网络安 全等级保护定级指南》、 《 GA/T 1390.2—2017 网络 安全等级保护基本要求 第 2 部分：云计算安全扩展要求》 等 4 个公共安全行业等级保护 标准。 等保 2.0 《网络安全等级保护条例》征 求意见稿发布。 7 月再次调整 分类结构和强化可信计算。充 分体现一个中心，三重防御的 思想（和 GB/T 25070 保持一 致）充分强化可信计算技术使 用的要求（和 GB/T 25070 保 持一致），等保 2.0 标准在 2019 年 5 月 13 号正式发布， 12 月 1 号正式实施，进入等 保 2.0 时代。 6 7 等级保护依据的法律、法规  《网络安全法》第二十一条明确要求：“国家实行网络安全等级保护制度”。  《网络安全等级保护条例》第三条【确立制度】国家实行网络安全等级保护制度，对网络 实施分等级保护、分等级监管（征求意见稿）。  《关键信息基础设施安全保护条例》（征求意见稿）。  《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安 [2009] 1429 号）。  中央关于加强社会治安防控体系建设的意见、公安改革若干重大问题的框架意见要求“健全 完善信息安全等级保护制度”。  中央领导批示要求：健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保 护制度。 8 等级保护 2.0 的法规、标准体系 •网络安全等级保护条例（制订中 - 征求意见稿）（总要求 / 上位文件） •计算机信息系统安全保护等级划分准则（ GB 17859-1999) （上位标准） •网络安全等级保护 基本要求 (GB/T 22239-2019) •网络安全等级保护 安全设计技术要求 (GB/T 25070-2019) •网络安全等级保护 测评要求 (GB/T 28448-2019) •网络安全等级保护 测评过程指南 (GB/T 28449-2018) •网络安全等级保护 定级指南 (GB/T 22240) （修订） •网络安全等级保护 实施指南 (GB/T 25058) （修订） 9 等级保护等级划分 第一级 自主保护级： 此类信息系统受到破坏后， 会对公民、法人和其他组织的合法权益造成 一般损害，不损害 国 家安全、社会秩序和公共利益。 第二级 指导保护级： 此类信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成 严重损害，会对社会秩 序、公共利益造成 一般损害， 不损害 国家安全。 第三级 监督保护级： 此类信息系统受到破坏后，会对国家安全、社会秩序造成 损害 , 对公共利益造成 严重损害， 对公民、法人和其他组织的合法权益造成 特别严重的损害。 无需备案，对测评周期无要求 无需备案，对测评周期无要求 公安部门备案，建议两年测评一次 公安部门备案，建议两年测评一次 公安部门备案，要求每年测评一次 公安部门备案，要求每年测评一次 10 等级保护等级划分 第四级 强制保护级： 此类信息系统受到破坏后，会对国家安全造成 严重损害，对社会秩序、公共 利益造成 特别严重损害 。 第五级 专控保护级： 此类信息系统受到破坏后会对国家安全造成 特别严重损害 。 公安部门备案，要求半年一次 公安部门备案，要求半年一次 公安部门备案，依据特殊安全需求进行 公安部门备案，依据特殊安全需求进行 11 我国关键信息基础设施是指关系国家核心利益、人民群众生命 财产安全和社会生产生活秩序，一旦遭到破坏、丧失功能或数据泄 露，可能严重危害国家安全、国计民生和公共利益的网络基础设施、 重要业务系统和生产控制系统以及重要数据资源。 关键信息基础设施 关键信息基础设施的安全保护等级 不低于三级 12 等级保护政策内容  由测评公司、咨询公司提供预测评服务，根据技术要求与测 评要求提出整改意见与方案  物理安全，由院方根据预测评整改意见进行机房建设与整改  网络安全，主机安全、应用安全、数据安全，由专业安全厂 商根据预测评整改意见提供相关安全产品与部署方案，由集 成商实现安全产品部署与现有操作系统、数据库等系统的安 全设置。  管理要求，由院方根据预测评整改意见完善管理方面的建设， 其中涉及必要的技术手段由安全厂商提供  对信息系统中使用的信息安全产品实行按等级管理  对信息系统中发生的信息安全事件分等级响应、处置 13 主要 内容 三 怎么做等保 一  二 等保必要性 什么是等保 四 解决方案 14 开展等保的最重要原因是为了通过等级保护测评工作，发现单位系统内、外部存在的安 全风险和脆弱性，通过整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻 击的风险。 梳理出了不同等级的系统后，我们就要对不同系统进行不同等级的安全防护建设，保证 重要的信息系统在有攻击的情况下能够很好地抵御攻击或者被攻击后能够快速的恢复应用， 不造成重大损失或影响。 降低信息安全风险，提高信息系统的安全防护能力； 1  15 等级保护是我国关于信息安全的基本政策 2007 年 6 月发布的关于印发《信息安全等级保护管理办法》的通知（公通字 [2007]43 号）规定 了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安 全等级保护工作的操作办法。 2016 年 11 月 7 日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网 络安全法》，网络安全法第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当 按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授 权的访问，防止网络数据泄露或者被窃取、篡改。 简单总结下就是国家法律法规、相关政策制度要求我们去开展等级保护工作，不做就不合规，就违 法。 满足国家相关法律法规和制度的要求； 2  16 很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有： 金融、电力、广电、医疗、教育等行业，还有一些主管单位发过相关文件或通知要求去做。 另外信息安全主管单位要求我们去开展等级保护工作，主要有：公安、网信办、经信 委、通管局等行业主管单位。 所以不做等保的话，没法向相关主管单位和行业领导们交待。 满足相关主管单位和行业要求； 3  17 每年都会出现一些的信息安全事件，一旦发生比较大的安全事件，主管单位就要去现场调查，首 先就会看我们到底有没开展等级保护工作，那么如果你没有，最直接的一个结论就是你的信息安全工 作没有开展好，没有开展到位，国家最基本的信息安全等级保护工作都没做，你说你买了很多防火墙， 很多安全设备，都不如你实实在在拿出备案证明，拿出测评报告说服力强。 出了问题难免就会被通报批评，被勒令下线整改，那么开展了等级保护工作和没有开展等级保护 工作被通报的内容就显然不同了。最简单的例子：一个主观上重视安全工作但是因为技术还不够好而 被攻击造成破坏和一个主观上都不重视安全工作被攻击造成破坏的情况，孰轻孰重，一目了然。怎么 叫主观上重视呢？等保工作有没有开展就是衡量的一个重要标准，因为等级保护是国家基本信息安全 制度要求。 四、合理地规避或降低风险。 4  18 依据《中华人民共和国网络安全法》 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全 等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者 未经授权的访问，防止网络数据泄露或者被窃取、篡改。 第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全 保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网 络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五 千元以上五万元以下罚款。 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十 六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给 予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以 下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。 19 《网络安全法》执法案例 案例一：重庆永川某私立医院服务器突然陷入瘫痪，医院业务全面“停摆 重庆永川某医院未履行等级保护义务，被罚款 10000 元，医院业务全 面“停摆”，重庆永川公安接警后立即按照“净网 2019” 工作要求，启动网络 安全应急响应预案，组织网安刑侦民警、勘验民警、管理民警、技术支持 专家赶赴现场对该案件进行调查核实。经过民警和技术专家调查核实，该 私立医院因未按照网络安全等级保护制度的要求履行安全保护义务。 医院 HIS 、 LIS 、 PACS 、 EMR 等后台系统业务以及微信公众号后台、 医院网站等主要系统业务全部放置在同一套服务器中，医院未安装边界防 护设备、未安装日志行为审计设备，未设置数据安全备份策略等其他网络 安全技术措施，使医院业务在互联网上长期处于“裸奔”状态。黑客通过互 联网攻破医院系统后植入勒索病毒，导致医院业务全面“停摆”。 针对此案，公安部门按照公安部“一案双查”工作要求，对医院未按照网 络安全等级保护制度的要求履行安全保护义务的行为进行查处，并按照 《中华人民共和国网络安全法》第五十九条之规定，对医院处以罚款一万 元，对直接负责的主管人员处以罚款五千元的行政处罚。 20 案例二：新乡市封丘县图书馆致命网站遭受攻击 河南网警发布一条公告：新乡市封丘县图书馆未按《中国人 民共和国网络安全法》的要求，未采取防范计算机病毒和网络 攻击、网络入侵等危害网络安全行为的技术措施，致命网站遭 受攻击。 封丘县公安局依据《中华人民共和国网络安全法》第五十九 条第一款之规定，对封丘县图书馆给予罚款 2 万元、对直接责 任人海某给予罚款 5000 元的行政处罚；并建议依法依规追究相 关人员责任。 1 月 13 日，封丘县文化广电旅游局经研究决定， 给予负责网络安全工作的直接责任人海某行政警告处分。 《网络安全法》执法案例 21 案例三：山西忻州市某省直事业单位网站不履行网络安全保护义务被处罚 2017 年 6 月至 7 月间，山西忻州市某省直事业单位网站存在 SQL 注入漏洞， 严重威胁网站信息安全，连续被国家网络与信息安全信息通报中心通报。根据 《中华人民共和国网络安全法》第二十一条第二款之规定，网络运营者应当按 照网络安全等级保护制度的要求，采取防范计算机病毒和网络攻击、网络侵入 等危害网络安全行为的技术措施；第五十九条第一款之规定，网络运营者不履 行第二十一条规定的网络安全保护义务的，由有关主管部门责令改正，依法予 以处置。山西忻州市网警认为该单位之行为已违反《网络安全法》相关规定， 忻州市、县两级公安机关网安部门对该单位进行了现场执法检查，依法给予行 政警告处罚并责令其改正。 执法机构：山西忻州市、县两级公安机关网安部门 处罚行为：未按照网络安全等级保护制度的要求，采取防范计算机病毒和网络 攻击、网络侵入等危害网络安全行为的技术措施 处罚措施：警告并责令其改正 法律依据：《网络安全法》第 21 条、第 59 条 《网络安全法》执法案例 22 案例四：安徽网警依法查处一起违反网络安全等级保护制度案件 2017 年 8 月 12 日，蚌埠怀远县教师进修学校网站因网络安全防等级 保护制度落实不到位，遭黑客攻击入侵。蚌埠市公安局网安支队调查案 件时发现，该网站自上线运行以来，始终未进行网络安全等级保护的定 级备案、等级测评等工作，未落实网络安全等级保护制度，未履行网络 安全保护义务。根据《网络安全法》第五十六条之规定，省公安厅网络 安全保卫总队约谈怀远县教师进修学校法定代表人、怀远县人民政府分 管副县长。蚌埠市局网安支队依法对网络运营单位怀远县教师进修学校 处以一万五千元罚款，对负有直接责任的副校长处以五千元罚款。 执法机构：安徽省公安厅网络安全保卫总队；蚌埠市局网安支队 处罚行为：网站因网络安全防等级保护制度落实不到位，遭黑客攻击入 侵。 处罚措施：约谈怀远县教师进修学校法定代表人、怀远县人民政府分管 副县长；对网络运营单位怀远县教师进修学校处以一万五千元罚款，对 负有直接责任的副校长处以五千元罚款。 法律依据：《网络安全法》第 21 条、 56 条、第 59 条第 1 款。 《网络安全法》执法案例 23 案例五 : 国内首例高校违法案例诞生，因未落实等保制度致学生信息泄露 2017 年 9 月 28 日，淮南市网络与信息安全信息通报中心接到国家网络与信息 安全信息通报中心通报：淮南职业技术学院系统存在高危漏洞，系统存储的 4000 余名学生身份信息已经造成泄露。经查，确认淮南职业技术学院招生信息管理系统 存在越权漏洞，后台登录密码弱口令，学院未落实网络安全管理制度，未建立网络 安全防护技术措施、网络日志留存少于六个月，未采取数据分类、重要数据备份和 加密措施，致使系统存储的 4353 名学生的身份信息泄露。 2017 年 10 月 12 日 , 安徽省淮南市网警巡查执法官方微博发布通报称，关于淮 南职业技术学院未落实网络安全等级保护制度，导致 4000 余名学生身份信息泄露 一事，淮南市公安局网安支队依法对该学院处以立即整改和行政警告的处罚措施。 执法机构：淮南市公安局网安支队 处罚行为：淮南职业技术学院招生信息管理系统存在越权漏洞，后台登录密码弱口 令，未落实网络安全管理制度，未建立网络安全防护技术措施、网络日志留存少于 六个月，未采取数据分类、重要数据备份和加密措施，致使系统存储的多名学生身 份信息泄露。 处罚措施：责令整改，警告 法律依据：《网络安全法》第 21 条、第 59 条第 1 款。 《网络安全法》执法案例 24 主要 内容 三 测评介绍 一  二 等保政策 等保介绍 测评介绍 四 解决方案 25 什么是等级测评？ 信息系统等级测评是指测评机构依据国家信息安全 等级保护制度规定，按照有关管理规范和技术标准，对 未涉及国家秘密的信息系统安全等级保护状况进行检测 评估的活动。 等级测评是标准符合性评判活动，即依据信息安全 等级保护的国家标准或行业标准，按照特定方法对信息 系统的安全保护能力进行科学公正的综合评判过程。 26 等保测评流程 一 定级 二 备案 三 建设整改 备案是等级保护的核心 建设整改是等级保护工作落实的关键 四 等级测评 等级测评是评价安全保护状况的方法 定级是等级保护的首要环节 27 重要行业关键信息系统划分及定级建议 等级 对象 侵害客体 侵害程度 监管强度 第一级 一般 系统 合法权益 损害 自主保护 第二级 合法权益 严重损害 指导 社会秩序和公共利益 损害 第三级 重要 系统 社会秩序和公共利益 严重损害 监督检查 国家安全 损害 第四级 社会秩序和公共利益 特别严重损害 强制监督检查 国家安全 严重损害 第五级 极端重要系统 国家安全 特别严重损害 专门监督检查 28 《管理办法》规定的五个等级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造 成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产 生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 等级保护 - 定级 29 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害， 或者对国家安全造成损害。 新修订定级指南对公民、法人和其他组织的合法 权益造成特别严重损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损 害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 等级保护 - 定级 30 实际操作中参考确定信息系统等级： 第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系 统、县级单位中一般的信息系统。 第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国 家机关、企事业单位内部一般的信息系统。例