等级保护2.0解决方案

01、等级保护概述02、等级保护法律法规03、等级保护2.0解读04、等保2.0解决方案 Part01 等级保护概述 等级保护的基本概念 对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。 《中国人民共和国计算机信息系统安全保护条例》（中办发[1994]147号）第一次提出了“计算机分等级保护”的概念 对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 等级保护的5个级别 《GB17859-1999计算机信息系统安全保护等级划分准则》中定义了5个系统级别： 开展等级保护的必要性 国家法律法规和政策规范要求开展等级保护工作，如《中国人民共和国网络安全法》、《信息安全等级保护管理办法》等。 国家要求 各行业监管部门在等级保护方面均有相关的监管要求和政策文件要求，部分行业存在等级保护行业标准，以指导行业开展等级保护工作。 行业监管 等级保护制度体系是目前我国唯一成体系化的信息安全政策和标准，通过开展等级保护工作，能够提升信息安全保障能力，保障信息系统安全稳定运行。 安全能力提升 网络安全法落地后，等级保护工作已经上升到法律层面，网络运营者不开展等级保护工作违法并追究网络运营者及主管人员的法律责任。04规避法律风险 Part02 等级保护法律法规 网络安全法之等级保护 第三十一条 第五十九条 网络安全等级保护条例 条例主要要求 第二条【适用范围】在中华人民共和国境内建设、运营、维护、使用网络，开展网络安全等级保护工作以及监督管理，适用本条例。个人及家庭自建自用的网络除外。 第六条【网络运营者责任义务】网络运营者应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作，采取管理和技术措施，保障网络基础设施安全、网络运行安全、数据安全和信息安全，有效应对网络安全事件，防范网络违法犯罪活动。 第十二条【绩效考核】行业主管部门、各级人民政府应当将网络安全等级保护工作纳入绩效考核评价、社会治安综合治理考核等。 关键信息基础设施安全保护条例 下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围： 第十八条 （一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；（二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；（三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；（四）广播电台、电视台、通讯社等新闻单位；（五）其他重点单位 运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障关键信息基础设施免受干扰、破坏或者未经授权的访问，防止网络数据泄漏或者被窃取、篡改。 第二十三条 Part03 等级保护2.0解读 等级保护2.0修订背景 新技术 新监管 新风险 新形势 等级保护1.0缺少对云计算、移动互联、工业控制、大数据、物联网等一系列新技术应用的安全要求和管控措施。 APT、钓鱼邮件、虚拟机逃逸、物联感知设备挟持等新的安全威胁和新的攻击手段带来了新的安全风险。 “斯诺登”等安全事件的发生说明网络安全的威胁已经上升到影响国家安全层面，面临更加复杂的网络空间安全形势。 《网络安全法》、《关键信息基础设施安全保护条例》、《网络安全等级保护条例》提出了新的监管要求。 等级保护2.0安全体系 等保2.0安全框架核心内容 依据国家网络安全法律法规和等级保护政策标准开展等级保护工作；1 2 确定等级保护对象； 3依然采用“一个中心、三重防护”的理念； 4建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系。 5开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。 等级保护2.0实施的变化 等级保护控制层面的变化 云计算安全扩展要求解读 l不同的云计算服务模式对应不同的安全责任边界l安全责任一分为二，云服务商和云服务客户责任共担l云计算平台不得承载安全高于其安全保护等级的业务应用系统l云计算平台和云上信息系统分别定级、备案、测评l虚拟化网络、虚拟机、云业务管理系统等虚拟化产品也作为等级保护测评对象 应对新技术提出新要求 等级保护2.0为应对新技术对传统安全和传统等保的冲击，通过安全扩展要求提出了新的安全要求，以保障云计算、大数据等新技术下安全合规。 增强未知威胁防范和攻击溯源能力 增强了对未知威胁的防范要求，针对邮件攻击威胁提出邮件安全要求，提出统一管控，要求能够对攻击进行溯源和取证。 建立主动安全保障体系 感知预警、安全分析、动态防护、全面检测、应急处置兵种，打造主动安全保障体系，提高信息系统网络抗攻击能力。 注重数据安全和个人信息保护 更加注重数据安全保障和个人信息保护，数据是IT的核心和生命，个人信息保护在互联网时代被无限放大。 Part04 等保2.0解决方案 自适应主动安全保障体系 等级保护三级典型拓扑 网络出口区、核心交换区、数据中心区等提供设备冗余、双链路冗余。 安全区域边界设计 边界防护： 跨越边界的访问和数据流通过边界防火墙提供的受控接口进行通信；身份认证与准入对非授权设备、用户等进行检查与控制。 2访问控制：边界防火墙设置访问控制策略，进行受控通信；Web应用防火墙实现应用协议和应用内容的访问控制；数据库防火墙实现对访问数据库的访问控制。 3入侵防范：对外部/内部发起的攻击进行分析，限制；对网络行为进行分析，告警；对未知新型网络攻击进行分析，限制。 4恶意代码和垃圾邮件防范：边界防火墙开启病毒库，进行恶意代码查杀；垃圾邮件网关、邮件审计对垃圾邮件进行检测防护。 5安全审计：集中日志审计对网络中所有的设备日志进行收集审计；上网行为管理对内网访问互联网行为进行审计。 安全计算环境设计 安全计算环境设计 2访问控制：通过应用系统本身访问权限与账号设置、结合堡垒机、数据库防火墙、身份认证与准入实现对访问控制。 3安全审计：网络中所有的设备、操作系统等都应提供审计功能，记录用户行为和重要安全事件。 4入侵防范：最小组件安装、检测入侵行为、非使用端口关闭、管理终端权限、发现已知漏洞。 5恶意代码防范：采用主机EDR及时识别入侵和病毒行为,并将其有效阻断。 数据完整性与保密性：采用VPN对数据传输过程进行加密，使用HTTPS进行加密；采用数据加密技术对信息和数据进行加密。6 7数据备份恢复：本地数据备份与恢复、异地数据备份、重要数据热备等技术实现。 8剩余信息保护与个人信息保护：应用系统本身需要鉴别信息、对敏感信息缓存进行清除。个人信息最小采集存储原则，访问控制。 安全管理中心设计 系统管理：利用堡垒机对系统管理员进行身份鉴别，通过系统管 理员对系统的资源和运行进行配置、控制和管理，对系统管理员的操作进行审计。1 2审计管理：利用堡垒机对审计管理员进行身份鉴别，通过审计管理员对审计记录进行分析,并根据分析结果进行处理，对审计管理员的操作进行审计。 3安全管理：利用堡垒机对安全管理员进行身份鉴别，通过安全管理员对系统中的安全策略进行配置，对安全管理员的操作进行审计。 集中管控：设置单独的管理区域，带外管理网络，统一网管，日志采集和集中分析、漏洞管理和补丁管理、安全事件态势感知预警。 安全管理体系设计 安全管理人员 安全建设管理 安全运维管理 安全管理制度 安全管理机构 Ø设立相应领导、管理、审计、运维机构和岗位Ø配备系统管理、审计管理和安全管理员Ø明确授权和审批事项和制度Ø加强内部和外部安全专家沟通协作Ø定期审核和检查安全策略和安全管理制度 Ø考核录用人员专业技能，签署保密协议Ø离岗人员及时回收权限、证照等Ø加强安全意识和安全技能教育培训Ø定期进行安全技术考核 Ø等保定级和备案Ø安全方案设计Ø安全产品采购和使用Ø自主和外包软件开发管理Ø安全保护工程实施管理Ø安全防护测试验收Ø系统验收交付Ø定期等保测评Ø监督、评审和审核安全服务提供商 Ø运行环境管理Ø被保护资产管理Ø信息存储介质管理Ø设备维护管理Ø漏洞和风险管理Ø网络和系统安全管理Ø恶意代码防范管理Ø系统、变更配置和密码管理Ø备份与恢复管理Ø安全事件和应急预案管理Ø外包运维管理 Ø制定安全策略Ø建立安全管理制度Ø专人负责制定和发布管理Ø定期评审和修订管理制度 产品选型说明 产品选型说明 谢谢观看 Thankyou