等级保护新标准(2.0)介绍PPT课件

介绍新等级保护标准(2.0)，1，2，等级保护的发展历史和前景，等级保护标准体系2.0，3，等级保护基本要求分析2.0，4，等级保护扩展要求分析2.0，一、等级保护的发展历史和前景1994年，国务院颁布了中华人民共和国计算机信息系统安全保护条例，规定计算机信息系统实行安全等级保护。2003年，中央办公厅、国务院办公厅发布国家信息化领导小组关于加强信息安全保障工作的意见(中共中央办公厅200327号)，明确提出“实行信息安全等级保护”。2004年至2006年，公安部联合开展了涉及65117个单位和115319个信息系统的等级保护基础调查和试点工作，为等级保护的全面发展奠定了基础。2007年6月，四个部门联合发布信息安全等级保护管理办法。2007年7月，四个部门联合发布关于开展全国重要信息系统安全等级保护定级工作的通知。2007年7月20日，全国重要信息系统安全分类工作部署专题电话会议召开，标志着信息安全分类保障体系正式实施。2010年4月，公安部发布了关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知，规定了等级保护的阶段性目标。2010年12月，公安部和国务院国有资产监督管理委员会联合发布关于进一步推进中央企业信息安全等级保护工作的通知，要求中央企业实施等级保护。等级保护2.0时代等级保护的发展历程和前景，将根据信息技术的发展应用和网络安全形势，不断丰富系统内涵，扩大保护范围，完善监管措施，逐步完善网络安全等级保护系统的政策、标准和支撑体系。保护水平已经上升到法律。中华人民共和国网络安全法第21条规定“国家实行网络安全等级保护制度”，要求“网络经营者应当按照网络安全等级保护制度的要求履行安全保护义务”。第31条规定，对于国家重点信息基础设施，重点保护应在网络安全等级保护系统的基础上实施。随着云计算、移动互联网、大数据、物联网和人工智能等新技术的不断涌现，计算机信息系统的概念已经不能涵盖所有这些技术。特别是，互联网的迅速发展给大数据带来了巨大的价值，并且这种受保护对象的范围将继续扩大。在分级、归档、施工整改、分级评估、监督检查等具体行动的基础上，2.0时代风险评估、安全监控、通报预警、案例调查、数据保护、灾难备份、应急响应、自我控制、供应链安全、效果评估、综合评估等与网络安全密切相关的措施将全部纳入分级保护体系并实施。在2.0时代，主管部门将继续制定和发布一系列政策、法规和技术标准，形成顺畅的工作机制。在现有体系的基础上，建立和完善政策体系、标准体系、评价体系、技术体系、服务体系、关键技术研究体系、教育培训体系等。1，2，等级保护的发展历史和前景，等级保护2.0标准体系，3，等级保护基本要求分析2.0，4，等级保护扩展要求分析2.0，、等级保护2.0标准体系，GB 17859-1999 计算机信息系统安全保护等级划分准则，信息系统安全等级保护定级指南，信息系统安全等级保护基本要求，信息系统等级保护安全设计技术要求，信息系统安全等级保护实施指南，信息系统安全等级保护测评过程指南，信息系统安全等级保护测评要求，等级保护2.0标准系统，正式更名为网络安全等级保护标准；云计算、移动互联网、物联网和工业控制系统的安全需求已经横向扩展。对等保险评估机构的规范化管理得到纵向拓展。(注：基于2017等级保护标准系列征求意见稿)，增加不变修改。等级保护2.0标准系统，GB17859-1999 计算机信息系统安全保护等级划分准则，信息系统安全等级保护定级指南，第1部分：安全的一般要求，网络安全等级保护实施指南，网络安全等级保护测评过程指南，网络安全等级保护基本要求，第2部分：云计算安全扩展的要求。第3部分：移动互联网安全扩展要求，第4部分：物联网安全扩展要求，第5部分：工业控制系统安全扩展要求，网络安全等级保护安全设计技术要求，第1部分：一般安全要求，第2部分：云计算安全扩展要求，第3部分：移动互联网安全扩展要求，第4部分：物联网安全扩展要求，第5部分：工业控制系统安全扩展要求，网络安全等级保护测评要求，第1部分：一般安全要求，第2部分：云计算安全扩展要求，第3部分：移动互联网安全扩展要求，第4部分：物联网安全扩展要求，第4部分、等级保护2.0标准系统，正式编号1390.5-2017 网络安全等级保护安全管理中心技术要求。公安部牵头发布了网络安全等级保护测试评估技术指南、网络安全等级测评机构能力要求和评估规范等4个行业标准。2017年5月。GA/T 1389-2017 信息安全技术网络安全等级保护基本要求第5部分：工业控制系统安全扩展要求、GA/T 1390.3-2017 网络安全等级保护定级指南、GA/T 1390.2-2017 网络安全等级保护基本要求第5部分：工业控制系统安全扩展要求，在国家标准信息安全技术网络安全等级保护定级指南的基础上细化和优化客体侵权的定义和侵权程度。确定了基础信息网络、工业控制系统、云计算平台、物联网、移动互联技术信息系统、大数据等对象的分级原则，进一步明确了分级过程中专家评审、主管部门评审、公安机关备案评审等节点的管理要求。根据云计算架构的特点，规定了物理位置、虚拟化网络、虚拟机、云服务提供商、云租户、虚拟映像等技术保护要求，以及云服务提供商选择、SLA协议、云安全审计等安全管理要求。根据移动互联网系统中移动终端、移动应用和无线网络三个关键要素，规定了无线接入设备的安装选择、无线接入网关的处理能力、移动终端的非授权接入等技术保护要求，以及应用软件分发运营商的选择、移动终端应用软件恶意代码的防范等管理要求。分析了工业控制系统的层次模型和区域模型，提出了工业控制系统安全域划分和保护的主要原则。并从物理提示标志、网络不必要的通信控制、系统时间戳等技术方面，以及工业控制系统管理员/工业控制网络管理员/工业控制安全管理员的岗位设置、工业控制设备版本号漏洞控制等管理方面进行了详细说明。等级保护2.0的等级要求分析，注：基于ga/t1389-2017 信息安全技术网络安全等级保护基本要求第3部分：移动互联安全扩展要求和GB/t22240-2008 信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求的对比分析。根据分级要求，对部分内容的顺序进行了调整，使其整体上更加合理。增加了新的内容和流程，如扩展了分类对象，包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。新增加的流程是“定级通用流程”，旧版本的“定级通用流程”更名为“定级方法流程”。第三，破坏信息系统将对社会秩序和公共利益造成严重损害或损害国家安全。第三级，一级保护对象受到损害，会对公民、法人和其他组织的合法权益产生特别严重的损害，或者对社会秩序和公共利益造成严重损害，或者损害国家安全；分级的一般过程；1.0要求，2.0要求，重命名为“分级方法过程”。添加“分级工作一般流程”。等级保护2.0的等级要求分析，注：基于ga/t1389-2017 信息安全等级保护定级指南和GB/t22240-2008 网络安全等级保护定级指南的对比分析。等级保护2.0的等级要求分析，注：基于ga/t1389-2017 信息系统安全等级保护定级指南和GB/t22240-2008 网络安全等级保护定级指南的对比分析。添加“分级流程”，包括基础信息网络、工业控制系统、云计算平台分级对象的运营使用单位应当组织信息安全专家和业务专家对初步分级结果的合理性进行审查，并出具专家评审意见。分级对象的经营使用单位应将初步分级结果报行业主管部门或上级主管部门审查。定级对象的经营和使用单位应当按照有关管理规定将初步定级结果报送公安机关备案审查。考核不合格的，运营使用单位应当组织重新评分；经审批后，最终确定被评级对象的安全防护等级。等级保护2.0的等级要求分析，注：基于ga/t1389-2017 信息系统安全等级保护定级指南和GB/t22240-2008 网络安全等级保护定级指南的对比分析。放坡对象，重新调整放坡对象，并相应地引入它们。2.0评级对象分为基础信息网络、信息系统和其他信息系统，其中信息系统又细分为工业控制系统、物联网、大数据、移动互联和云计算平台。运行在信息系统单元中的信息系统可能相对较大。为了体现密钥保护的重要部分，有效控制信息安全建设成本，优化信息安全资源配置的分级保护原则，一个大型信息系统可以划分为若干个较小的分级对象，这些分级对象可能具有不同的安全保护级别。基础信息网对于电信网、广播电视传输网、互联网等基础信息网，应根据服务类型、服务区域、安全责任主体等因素划分不同的分级对象。跨省的全国服务专网可以划分为一个整体对象，也可以按地区划分为若干个分类对象。要求1.0和2.0。工业控制系统的工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层组成。其中，生产管理层定级对象的确定原则见(其他信息系统)。设备层、现场控制层和过程监控层应作为一个整体进行评级，各层的要素不应单独评级。对于大型工业控制系统，可根据系统功能、控制对象、制造商等因素将其分为多个分级对象。云计算平台在云计算环境中，云服务侧的云计算平台应被评级为单独的评级对象，云租户侧的等级保护对象也应被评级为单独的评级对象。对于大型云计算平台，云计算基础设施和相关辅助服务系统应划分为不同的分级对象。物联网应被视为一个整体对象，主要包括感知层、网络传输层和处理应用层。对于使用移动互联技术的信息系统，使用移动互联技术的保护对象应作为一个整体进行分类，主要包括移动终端、移动应用、无线网络及相关应用系统。大数据应具有统一的安全责任单位对大数据作为一个整体的对象进行评级，或者它与同一相关支持平台的责任主体进行统一评级。其他信息系统作为分级对象，其他信息系统应具备以下基本特征：a)已确定主要安全责任单位。作为分级对象的信息系统应当能够识别其主要安全责任单位；b)承载相对独立的业务应用。作为评级对象的信息系统应承载相对独立的业务应用，完成不同业务目标或支持不同单位或部门功能的多个信息系统应划分为不同的评级对象；具有信息系统的基本要素。作为评价对象的信息系统应该是由相关的和支持的设备和设施按照一定的应用目标和规则组成的多资源集合。单一设备(如服务器、终端、网络设备等。)没有单独评级。1，2，等级保护的发展历史和前景，等级保护2.0级保护一般要求分析，注：基于信息系统安全等级保护定级指南意见稿和GB/T22239 网络安全等级保护定级指南三级要求。安全控制要求的一些条款被合并，一些条款被删除，同时一些新的要求被增加，因此总体数量大大减少。总体安全要求的比较(以三级系统为例)，各控制域安全要求的比较(以三级系统为例)。等级保护2.0一般要求分析，注：基于信息系统安全等级保护定级指南征求意见稿与GB/T22239 网络安全保护基本要求第一部分：通用安全要求三级要求的对比分析。就整体内容而言，过于详细的内容被细化或合并，一些要求被删除，一些要求被增加。在操作和实施方面，它更加灵活，同时整体安全要求比1.0有所降低。例如：集成内容、网络安全身份认证a)应提供专用的登录控制模块来识别和认证登录用户；c)应提供用户身份唯一性和认证信息复杂性检查功能，以确保应用系统中不存在重复的用户身份，身份认证信息不易被冒用；一、网络与通信安全身份认证a)登录用户应被识别和认证，身份识别是唯一的，认证信息具有复杂性要求并定期更换；对于删除的内容，安全管理机构应配备人c)关键岗位应由多人共同管理。例如：添加内容、网络和通信安全边界完整性检查d)应限制无线网络的使用，以确保无线网络通过受控边界保护设备连接到内部网络。设备和计算安全安全审计e)生成审计记录的时间应由全系统唯一的时钟生成，以确保审计分析的正确性。等级保护一般要求分析2.0，注：基于信息安全等级保护基本要求征求意见稿和GB/T22239 网络安全保护基本要求第一部分：通用安全要求三级要求的对比分析。物理和环境安全已进行了实质性更改，以降低物理位置选择要求。机房可以设置在建筑物的顶部或地下室，但相应的防水防潮措施需要加强。物理访问控制要求降低，人员不再需要在出入口值班，计算机房不再需要内部隔断，人员进出计算机房不再需要特殊要求。供电需求减少，不再需要备用发电机。电磁保护的要求降