等保2.0（公有云等保）解决方案（122页PPT）

微信扫码，打开到小程序

基于公有云的等保 2.0 解决方案 等保 2.0 情况介绍 行业政策政策 1 2 公有云等保 2.0 解决方 案 3 等保安全产品介绍 4 目录 CONTENTS 5 等保 2.0 实践案例 第 3页 政策背景 国务院 147 号令 第一次提出等级 保护的概念； 第九条：计算机 信息系统实行安全 等级保护 1994 1999 GB 17859 强制性标准：规定 了我国计算机信息 系统安全保护能力 的五个等级。 2004 公通字 [2004]66 号文 进一步明确了信息 安全等级保护制度 的基本内容 2007 公通字［ 2007 ］ 43 号 等级保护管理办法发布， 明确如何建设、如何监管 和如何选择服务商等； 为开展信息安全等级保 护工作提供了规范保障 2017 网络安全法 第二十一条“国家 实行网络安全等 级保护制度”，深 化等保制度重要 举措。 2003 中办发 27 号文 信息安全保障纲 领性文件； 第二条：实行信 息安全等级保护。 2019 等保 2.0 相关标准系 列 《通用要求》 《测评要求》 。。。 等级保护发展历程 针对日益严峻的网络安全形势，为贯彻落实习主席关于推进全球互联网治理体系变革的“四项原则”和构建网络空间命运共 同体的“五点主张”，经中央网络安全和信息化领导小组批准，国家互联网信息办公室于 2016 年 12 月 27 日发布。 《国家网络空间安全战 略》 由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于 2016 年 11 月 7 日通过，现予公布， 自 2017 年 6 月 1 日起施行。 《中华人民共和国网络安全 法》 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改 正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由 有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负 责的主管人员处一万元以上十万元以下罚款。 不履行 = 违法 政策解读 第 4页 序 标准号 标准名称 标准性质 状态 发布日期 1 JR/T 0071.1—2020 金融行业网络安全等级保护实施指引 第 1 部分：基础和术语 推荐性行业标准 现行 2020-11-11 2 JR/T 0071.2—2020 金融行业网络安全等级保护实施指引 第 2 部分：基本要求 推荐性行业标准 现行 2020-11-11 3 JR/T 0071.3—2020 金融行业网络安全等级保护实施指引 第 3 部分：岗位能力要求和评价指引 推荐性行业标准 现行 2020-11-11 4 JR/T 0071.4—2020 金融行业网络安全等级保护实施指引 第 4 部分：培训指引 推荐性行业标准 现行 2020-11-11 5 JR/T 0071.5—2020 金融行业网络安全等级保护实施指引 第 5 部分：审计要求 推荐性行业标准 现行 2020-11-11 6 JR/T 0071.6—2020 金融行业网络安全等级保护实施指引 第 6 部分：审计指引 推荐性行业标准 现行 2020-11-11 7 JR/T 0072—2020 金融行业网络安全等级保护测评指南 推荐性行业标准 现行 2020-11-11  《国家卫生计生委办公厅关于印发远程医疗信息系统建设技术指南的通知》 国卫办规划发〔 2014 〕 69 号  《国务院办公厅关于印发全国医疗卫生服务体系规划纲要（ 2015—2020 年）的通知》 国办发〔 2015 〕 14 号  《关于印发电子病历应用管理规范（试行）的通知》 国卫办医发〔 2017 〕 8 号  《国家卫生计生委办公厅关于印发医院信息化建设应用技术指引（ 2017 年版）的通知》 国卫办规划函〔 2017 〕 1232 号  《全国医院信息化建设标准与规范（试行）》 2018 年 4 月 行业等保 2.0 政策 金 融 行 业 等 保 政 策 医 疗 等 保 政 策 教 育 行 业 — 等 保 政 策 《教育部办公厅关于开展信息系统安全等级保护工作的通知》（教办厅函 [2009]80 号） 1 《教育部办公厅关于开展教育系统信息安全等级保护工作专项检查的通知》（教办厅函 [2010]80 号） 2 《关于加强教育行业网络与信息安全工作的指导意见》（教技 [2014]4 号） 3 《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》（教技 [2015]2 号） 4 教育部办公厅关于印发《教育行业网络安全综合治理行动方案》的通知 （教技厅〔 2017 〕 3 号） 5 教育部关于印发《教育信息化 2.0 行动计划》的通知 （教技〔 2018 〕 6 号） 6 教育部办公厅关于印发《 2019 年教育信息化和网络安全工作要点》的通知（教技厅〔 2019 〕 2 号） 7 第 5页 目前已有行业出现了刚性政策文件 医疗行业，卫建委明确要求如要申报三级医院资质，医院 HIS ， LIS 等关键 信息系统必须过三级等保。 教育行业，明确要求全面推行信息安全等保工作。 财政明确做好信息系统安全等级保护定级、测评、整改以及网络安全保障 等工作。 交通行业，根据等保技术要求，按照等保二级标准进行整改、建设。 公安网安总队每年有等保通过数量考核任务。 网络安全等级保护建设将覆盖所有关键信息基础设施， 12 月 20 日，公 安部召开 2020 中国网络安全等级保护和关键信息基础设施保护大会，推进关 键信息基础设施安全保障体系建设。 关键信息基础设施主要涵盖 14 大行业： （ 1 ）能源；（ 2 ）金融；（ 3 ）交通；（ 4 ）水利；（ 5 ）医疗卫生；（ 6 ）环境保护； （ 7 ）工业制造（原材料、装备、消费品、电子制造）；（ 8 ）市政；（ 9 ）电信与互联网； （ 10 ）广播电视；（ 11 ）教育；（ 12 ）新闻网站；（ 13 ）商业平台；（ 14 ）政府部门。 意味着以上行业必须要做 “等保” 网络安全等级保护政策要求 国家、部委要求 行业要求 随着等保 2.0 等政策强驱动，以及“云大物移工”等新兴业态、模式创新的带动， 2019 年中国网络安全市场将达到 608.1 亿元， 2019-2021 年复合增 速为 23.24% ，增速远高于全球水平 9.1% ，到 2021 年，中国网络安全市场规模将增长至 926.8 亿元。等保 2.0 带来的新增需求达到百亿量级，产 品端：新增安全产品市场空间 193 亿元。服务端：等保咨询服务体量将暴增，新增市场空间 59 亿元。 市 场 分 析 国内安全市场洞察分析 第 6页 行业 行业指导意见 重点突破单位 优先级 医疗卫生 《卫生行业信息安全等级保护工作的指导意见》《三级综合医院 评审标准考评办法》 卫健委、医院、医疗 单位 ★★★★★ 政府单位 《电子政务信息安全等级保护实施指南 ( 试行 ) 》 政府单位、公检法司 ★★★★★ 教育 《教育行业信息系统安全等级保护定级工作指南（试行）》 教育局、学校 ★★★★★ 财政 省财政厅关于进一步做好财政信息化网络安全保障工作的通知 财政局 ★★★★ 交通 《关于进一步开展交通运输行业信息安全等级保护工作的通知》 交通运输局、公路局、 机场 ★★★★ 水利 《水利网络安全管理办法（试行）》（ 2019 ） 水利局、水文站 ★★★ 新闻媒体 广播电视播出相关信息系统安全等级保护定级指南 广播电视台、报社 ★★★ 工业制造 制定工业信息安全领域的配套法规政策 - 工信部 工厂、制造业 ★★ 新闻网站、商 业平台 环境保护、市政、电信与互联网、新闻网站、商业平台 互联网接入单位、网 站经营 ★★ 能源 《电力行业信息安全等级保护管理办法》 电力公司，发电站 ★ 金融 《金融行业信息系统信息安全等级保护实施指引》 银行、保险单位 ★ 贵阳 毕节 黔东南 黔南 遵义 贵安新区 铜仁 安顺 50 23 19 15 10 0 3 3 17 2 4 5 6 11 1 0 25% 8% 17% 25% 38% 100% 25% 0% 教育行业集团单位等级保护覆盖情况 未作等级保护集团数 已做等级保护集团数 已做等保占比 遵义 黔东南 毕节 六盘水 黔南 安顺 贵阳 黔西南 铜仁 43 43 33 30 18 11 4 2 24 15 12 12 17 19 20 10 2 36% 26% 27% 29% 49% 63% 83% 100% 50% 医疗行业集团单位等级保护覆盖情况 未作等级保护集团数 已做等级保护集团数 已做等保占比 项目名称 预算 公告日期 荔波县人民医院网络安全等级保护建设设备及软件 165 万元 2021-01-08 荔波县中医院网络安全等级保护建设采购项目 165 万元 2021-01-08 贵阳市第一人民医院内网终端威胁防御系统及医院 网络安全加固、三级等保建设采购项目 217.6 万元 2020-12-29 长顺县医疗集团中心医院信息系统安全等级保护测 评软件和硬件设备采购项目 152 万元 2020-12-29 正安县卫生健康局采购信息平台三级等保项目 100 万元 2020-12-21 湄潭县财政局网络安全三级等级保护项目 110 万元 2020-12-18 云岩区人民医院网络安全等级保护采购项目 66 万元 2020-12-17 贵州经贸职业技术学院网络安全等级保护 2.0 整改 建设项目 187 万元 2020-12-16 思南县人民医院网络安全等级保护 ( 三级等保 ) 整 改项目 105.35 万 元 2020-12-16 安顺市西秀区人民法院网络安全建设 160 万元 2020-12-03 近期公开招标的等保项目近 10 个中，主要集中在医疗、财政、法 院、教育等行业，预算金额超过 1428 万元。网络安全法、等保 2.0 正式实施后，市场需求较大。 省内安全市场洞察分析 第 7页  信安标委牵头，网信办、工信部、公安部等部委共同制定的针对网络安全等级保护安全设计技术要求的国家标准；  对网络安全分等级实行安全保护，针对不同等级的安全保护对象采用不同的合规标准；  公安机关（网安大队）负责信息安全等级保护工作的监督、检查、指导和行政处罚。 什么是等级保护 等级保护标准动作 等 级 保 护 网络安全法 2019 年 5 月 10 日《信息安全技术 - 网络安全等级保护基本要求》正式公布，并于 2019 年 12 月 1 日开始实施，这标志着等级保护工作正式步入新的阶段——等保 2.0 时代到来 等保 2.0 正式发布 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制 度的 要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防 止网络数据 泄露或者被窃取、篡改。 第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政 务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害 国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础 上，实行重点保护。 （新的阶段任务） 第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并 保证安全技术措施同步规划、同步建设、同步使用。 2017 年 6 月 1 日正式实施 2019 年 12 月 1 日正式实 施 第 8页 等级保护发展历程 第 9页 《网络安全法》之等级保护 十二届全国人大常委会第 十五次会议 公开征求 意见 十二届全国人大常委会第 十五次会议 十二届全国人大常委会第 十五次会议 2015.6.26 2016.8.4 2016.11.7 2016.10.31 2016.7.5 公开征求 意见 发布 一审 三审 二审 2015.7.6 2015.8.5 2016.6.28 2017.6.1 正式实施 第二十一条 • 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的 要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止 网络数据泄露或者被窃取、篡改。 第三十一条 • 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要 行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安 全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的 基础上，实行重点保护。 第五十九条 • 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关 主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元 以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。 第五十九条（续） • 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三 十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正 或者导致后果的，处十万元以上一百万元以下罚款，对直接负责主管人员处一万元以 上十万元以下罚款。 等级保护由基本制度、基本国策，上升为法律 网络安全支持与促进 网络运行安全 法律责任 附则 监测预警与应急处置 总则 第一章 网络信息安全 第四章 第二章 第五章 第三章 第六章 第七章 法律层面 网络安全基本国策 网络安全等级制度 上升 第三十三条 • 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全 技术措施同步规划、同步建设、同步使用。 第 10页 配套法规之《关键信息基础设施安全保护条例》 总则 关键信息基础设施范围和认定 运营单位责任义务 保护和促进 附则 法律责任 第一章 第二章 第五章 第四章 第三章 第六章 第二条 本条例所称关键信息基础设施，是指支撑国家经济社会运行，一旦 遭到破坏、丧失功能、数据泄露，会严重危害国家安全、国计民生 和公共利益的网络设施、信息系统、数字资产等 第九条 根据对经济社会运行的重要程度、信息化水平，以及遭到破坏后产 生的危害影响，确定关键信息基础设施行业和领域范围如下： （一）公共通信和信息服务，包括电信、互联网、广播电视等 （二）金融，包括银行、证券、保险等 （三）能源，包括电力、石油、石化、天然气等 （四）交通，包括民航、铁路等 （五）水利 （六）公共服务，包括医疗卫生等 （七）国防科技工业 （八）国家机关 第六条 在网络安全等级保护制度基础上，进一步采取技术保护措施和其他 必要措施，及时有效应对网络安全事件，防范网络攻击和违法犯罪 活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、 可用性和保密性。 关键信息基础 设施重点保护 网络安全等级保护 第 11页 配套法规之《网络安全等级保护条例》  根据《行政法规制定程序条例》第五条：行政法规的名称一般称“条例”，国务院各部门和地方人民政 府制定的规章不得称“条例”  《信息安全等级保护管理办法》是依据行政法规制定的部门规范性文件，而《网络安全等级保护条 例》属于依据国家法律制定的行政法规，自身法律效力或法律依据的效力位阶均高于等保 1.0 受侵害的客体 对响应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 信息安全等级保护管理办法  第三级：每年至少一次  第四级：每半年至少一次  第五级：依据特殊安全需求测评 网络安全等级保护条例  第三级以上的网络运营者应当每 年开展一次网络安全等级测评 保护 等级 法律 效力 测评 周期 第 12页 安全需求层级 第一层安全需求 基本合规  《网络安全法》  《等级保护条例》及系列标准  《关键基础设施保护条例》及系列标准  行业相关文件及标准 持续安全运营需求 第 一 层 第 二 层 第 三 层 安全 需求 第二层安全需求 业务刚需  系统覆盖范围广，设备数量及种类多， 需要强化集中安全运维 。  业务承载重要敏感数据多，数据安全隐 患突出，需要加强保护。 第三层安全需求 长治久安  系统上线后，进入运营期，需要建立安 全运维的长效机制  需要对事件快速发现及处置，迅速减少 损失，降低影响  需要满足网信、公安、上级主管部门定 期检查测评的安全要求。 互为基础，互相促进，持续提升 业务特定安全需求 合规安全需求 第 13页 2016 年至今未按规定定期开展等级测评。《网络安全法》第 21 条，网络运营者应当按 照网络安全等级保护制度的要求，履行安全保护义务。 支付宝、芝麻信用收集使用个人信息的方式，不符合《个人信息安全规范》。 《网络 安全法》第 41 条，明示收集、使用信息的目的、方式和范围，并经被收集者同意。 长沙医学院附属第一医院协同办公系统”存在越权及任意文件上传的网络安全隐患漏洞。 《网络安全法》第 21 、第 59 条，按照规定落实网络安全等级保护要求。 招生信息管理系统存在越权漏洞，后台登录密码弱口令，学院未落实网络安全等级保护 要求。《网络安全法》第 21 、第 59 条，按照规定落实网络安全等级保护要求。 山西忻州市某省直事业单位网站存在 SQL 注入漏洞，严重威胁网站信息安全，连续被 国家网络与信息安全信息通报中心通报。 《网络安全法》第 21 ，网络运营者应当按照 网络安全等级保护制度的要求，履行下列安全保护义务。 某电信企业机房用于出租服务的一台服务器存在接入赌博网站。被处以警告，责令限期 整改并没收违法所得的行政处罚。 汕头某公司未及时履行网络安全 义务 网警依据网安法责令改正 国家网信办网络安全协调约谈支 付宝、芝麻信用有关负责人 长沙医学院违反《网络安全法》 被依法行政警告 淮南职业技术学院 4000 余名学 生信息遭泄露 山西忻州市某省直事业单位网站 存在 SQL 注入漏洞 南宁公安对违规 IDC 企业开出广 西区内首张罚单 多行业未落实《网络安全法》被开“罚单” 教育 医疗 政府 企业 金融 罚单 IDC 《网络安全法》的颁布和网络安全等级保护制度核心标准体系的升级将安全监管要求推向了新高度 第 14页 未过等保的违法案例 国 内 首 例 高 校 违 法 案 例 医 疗 行 业 违 法 案 例 企 业 单 位 违 法 案 例 政 府 事 业 单 位 违 法 案 例 等保 2.0 情况介绍 行业政策政策 1 2 公有云等保