等保2.0 资料ppt课件

运营管理中心,刘晓峰,等保2.0,1994,2007,2017,2019,发展历程,等级保护与分级保护区别,网络安全等级保护条例,2.0等级保护安全框架,等级保护的基本要求、测评要求和安全设计技术要求框架统一，即：安全管理中心支持下的三重防护结构框架,通用安全要求+新型应用安全扩展要求，将云计算、移动互联、物联网、工业控制系统等列入标准规范,将可信验证列入各级别和各环节的主要功能要求,定级对象,等保进入2.0时代，保护对象从传统的网络和信息系统，向“云移物工大”上扩展，基础网络、重要信息系统、互联网、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等都纳入了等级保护的范围。,定级对象,其他有信息系统顶级需求的行业与单位,向当地公安机关网监部门提交测评报告，配合完成对网络安全等级保护实施情况的检查。,工作流程,工作流程,定级,名称变化,信息安全技术信息系统安全等级保护基本要求,信息安全技术网络安全等级保护基本要求,上升到网络空间安全层面,定级对象变化,安全要求变化,信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等,安全通用要求与安全扩展要求,安全要求,信息系统,2.0版主要变化,2.0版主要变化,2.0版主要变化,2.0版主要变化,1.可信计算,等保2.0增加了可信计算的相关要求。可信计算贯穿等保2.0从一级到四级整个标准，在安全通信网络、安全区域边界与安全计算环境中均有明确要求。,2.0版主要变化,2.安全监测能力,以信息安全事件为核心，通过对网络和安全设备日志、系统运行数据等信息的实时采集，以关联分析等方式，实现对监测对象进行风险识别、威胁发现、安全事件实时报警及可视化展现。包含系统、设备、流量、链路、威胁、攻击、审计等维度。,2.0版主要变化,3.通报预警能力,网络安全法及关键信息基础设施安全保护条例同时要求建立网络安全监测预警和信息通报制度，及时掌握本行业、本领域关键信息基础设施运行状况和安全风险。,2.0版主要变化,4.应急处置能力,网络安全事件发生时，亟需将损失及影响降到最低的一系列措施。业务系统需要具备的能力包括但不限于以下内容:（1）快速识别及定位问题的能力;（2）系统遭受持续攻击的应急措施;（3）业务不可用时的应急措施;（4）内容信息被篡改后的应急措施。,2.0版主要变化,5.态势感知能力,（1）海量数据采集以全流量数据采集为主以各类设备日志收集为辅（2）精准监测能力机器学习算法监测UEBA检测横向威胁检测（3）全局可视能力宏观可视辅助决策微观可视辅助运维（4）协同响应能力多设备协同联动一键封堵、一键查杀,基本要求,文本描述框架,基本要求框架,技术要求,添加标题,添加标题,添加标题,安全物理环境,机房出入口应配置电子门禁系统应设置机房防盗报警系统或设置有专人值守的视频监控系统应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等应对机房划分区域进行管理，区域和区域之间设置隔离防火措施应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警应采取措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等应设置冗余或并行的电力电缆线路为计算机系统供电应对关键设备实施电磁屏蔽,技术要求,网络架构,通信传输,可信验证,技术要求,安全区域边界,添加标题,添加标题,技术要求,添加标题,添加标题,技术要求,安全区域边界,5、安全审计应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。,技术要求,安全区域边界,技术要求,安全区域边界,添加标题,添加标题,1、身份鉴别应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。,技术要求,安全计算环境,安全计算环境,添加标题,添加标题,1、身份鉴别-测评对象测评对象：终端和服务器等设备（包括虚拟设备）中的操作系统、网络设备、安全设备、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等；主机和设备配置要求：1）设备设置登录认证功能；用户名不易被猜测，口令复杂度达到强密码要求；2）有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；3）当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听（使用SSH、HTTPS加密；VPN或运维堡垒主机）；4）双因素或多因素认证，如用户名口令、动态口令、USBkey、生物技术和设备指纹等鉴别方式（其中一种鉴别技术至少应使用密码技术）,解读,技术要求,添加标题,添加标题,2、访问控制应对登录的用户分配账户和权限；应重命名或删除默认账户，修改默认账户的默认口令；应及时删除或停用多余的、过期的账户，避免共享账户的存在；应授予管理用户所需的最小权限，实现管理用户的权限分离；应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。,技术要求,安全计算环境,添加标题,添加标题,2、访问控制-要求1-4）对主机和应用等进行安全配置，对登录的用户分配账户和权限；禁用或限制匿名、默认账号的访问权限；重命名或删除默认账户，修改默认账户的默认口令；及时删除或停用多余的、过期的账户，避免共享账户的存在；授予管理用户所需的最小权限，实现管理用户的权限分离。5-6）授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则(可以使用安全设备辅助访问控制策略制定)；访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级。（基于应用的访问控制策略）7）设置安全标记（如水印系统），控制对有安全标记的信息资源的访问。,技术要求,安全计算环境,解读,添加标题,添加标题,技术要求,安全计算环境,添加标题,添加标题,技术要求,安全计算环境,添加标题,添加标题,技术要求,安全计算环境,添加标题,添加标题,技术要求,安全计算环境,技术要求,安全计算环境,添加标题,添加标题,技术要求,安全管理中心,添加标题,添加标题,解读,技术要求,安全管理中心,添加标题,添加标题,4、集中管控应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理；应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求；应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；应能对网络中发生的各类安全事件进行识别、报警和分析。,技术要求,安全管理中心,安全管理中心,添加标题,添加标题,4、集中管控-要求1）划分安全管理运维区，对分布在网络中的安全设备或安全组件进行集中管控。（堡垒机等）2）网络中是否划分单独的管理VLAN用于对安全设备或安全组件进行管理；使用独立的带外管理网络对安全设备或安全组件进行管理（如运维堡垒机等）；3）部署具备运行状态监测功能的系统或设备，能够对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测（堡垒机、综合网管系统等）；4）部署日志审计系统，