网络安全等级保护2.0合规解读课件

1、网络安全安全等级保护合规解读1网络安全的态势简介1234目录Contents网络安全等级保护相关法律法规网络安全等级保护有啥好处？网络安全等级保护谁来做？5网络安全等级保护怎么做？26网络安全等级保护2.0要求解析网络安全的态势简介1Part3没有意识到的风险才是最大的风险2018年4月21日，习近平同志强调：没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。 习近平同志认为：要树立正确的网络安全观，加强信息基础设施网络安全防护，加强网络安全信息统筹机制、手段、平台建设，加强网络安全事件应急指挥能力建设，积极发展网络安全产业，做到关口前移，防患于未然。要落实关

2、键信息基础设施防护责任，行业、企业作为关键信息基础设施运营者承担主体防护责任，主管部门履行好监管责任。4没有意识到的风险才是最大的风险中国互联网络信息中心（CNNIC）于2018年1月发布第41次中国互联网络发展状况统计报告5没有意识到的风险才是最大的风险6没有意识到的风险才是最大的风险7没有意识到的风险才是最大的风险8安全事件案例9安全事件案例10安全事件案例钓鱼网站真正的中国工商银行网站 假冒的中国工商银行网站 11安全事件案例清华大学校园网站被篡改16年1月清华大学教学门户遭受黑客攻击。部分页面点击后伴有音乐，内容为阿拉伯XXX教经文，大意为“XX伟大，我不惧死亡，牺牲是我最终的目标”1

3、2安全事件案例*市城乡建设局网站(www.*/)13安全事件案例1414安全事件案例2017年11月4日，*海区移动图书馆15网络安全事件广州一父亲希望确切地知道自己女儿小学报名情况是否通过，利用自己从事系统维护工作的经验，通过简单密码及系统用户名侵入后台，造成广州市2015年小学生网上报名近3.5万条数据全部外泄，数据的字段包括姓名、身份证号、出生日期、户籍地址等隐私信息16成都被打女司机 1、根据女司机的网络开房记录 2、按照常理如果她不是变态的话，一般不会经期开房 3、一般女性经期是5-7天，鉴于她私生活有点丰富，可能激素有点紊乱，因此初步判断她是7天 以上是基本假设 根据开房记录，选取

4、样本连续的2014年1月和4月作为样本 1月有四次，1、7、15、22根据上述信息，可以排除1-7号（间隔5天），7-15号有可能（间隔7天），15-22号可能很小（间隔6天），那么最大可能就是23-30号这8天！ 我们再来看4月的样本，刚好也是4次，4、9、10、21，根据1月样本的推算，并结合1月的成果可基本确定是23-30号 再用2014年6月和7月的几个零星样本检验一下，基本上是合适的。至于2010.2011.2013年的样本，由于时间久远，不具备推算最近经期的参考价值，故不予选取计入样本。 因此初步推算此女经期是每月23号到30号,安全期在1-5号19-23号，排卵期在9-15号。1

5、7网络安全等级保护相关法律法规2Part18换位思考4 or 3 ？ 为什么要做网络安全等级保护？中华人民共和国网络安全法没有意识到风险才是最大的风险-全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。第七十六条 本法下列用语定义：（三）网络运营者，是指网络的所有者、管理者和网络服务提供者。（四）网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。（五）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。20第二十一条 国

6、家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。法律明确 基本国策 基本制度第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施

7、报送相关负责关键信息基础设施安全保护工作的部门。为网络安全保驾护航2122 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改： （一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任； （二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施； （三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月； （四）采取数据分类、重要数据备份和加密等措施； （五）法律、行政法规规定的其

8、他义务。网络安全等级保护制度是国家网络安全保障工作的基本制度、基本策略和基本方法。网络安全法违法处罚措施总结逐步加强由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上一百万元以下罚款，对直接负责的主管人员处五千元以上十万元以下罚款。可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可。尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员

9、，终身不得从事网络安全管理和网络运营关键岗位的工作。23网络安全法违法处罚措施总结 第六十三条： 违反本法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。24违法处罚-个人信用： 第七十一条 有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。25中华人民共和国刑法（九）修正案2015： 第二百八十六条之一【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，

10、处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：(一)致使违法信息大量传播的(二)致使用户信息泄露，造成严重后果的(三)致使刑事案件证据灭失，情节严重的(四)有其他严重情节的。 单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。 有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。26中华人民共和国刑法（九）修正案2015： 第二级以上计算机信息系统的运营、使用单位计算机信息系统投入使用前未经符合国家规定的安全等级测评机构测评合格的 ，由公安机关责令限期改正，给予警告； 逾期不改的，对单位的主管人员、其他直接责任人员可以处五千元以下罚

11、款，对单位可以处一万五千元以下罚款。有违法所得的，没收违法所得； 广东省计算机信息系统安全保护条例规定： 情节严重的，并给予六个月以内的停止联网、停机整顿的处罚；必要时公安机关可以建议原许可机构撤销许可或者取消联网资格。27中华人民共和国刑法（九）修正案2015： 计算机信息网络国际联网安全保护管理办法第五条 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息：（一）煽动抗拒、破坏宪法和法律、行政法规实施的；（二）煽动颠覆国家政权，推翻社会主义制度的；（三）煽动分裂国家、破坏国家统一的；（四）煽动民族仇恨、民族歧视，破坏民族团结的；（五）捏造或者歪曲事实，散布谣言，扰乱社会秩序的；（

12、六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；（七）公然侮辱他人或者捏造事实诽谤他人的；（八）损害国家机关信誉的；（九）其他违反宪法和法律、行政法规的。 第二十条违反法律、行政法规，有本办法第五条、第六条所列行为之一的，由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处五千元以下的罚款，对单位可以并处一万五千元以下的罚款；情节严重的，并可以给予六个月以内停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格；构成违反治安管理行为的，依照治安管理处罚条例的规定处罚；构成犯罪的，依法追究刑事责任。28网络安全等级保护有啥好处？3Par

13、t2930落实网络安全等级保护有啥好处不是我不想做，而是嘿嘿，你懂的完成网络安全等级保护工作的好处：01严格按照相关法律法规及标准执行评估，满足主管单位和行业安全要求02梳理业务系统重要资产信息，了解信息资产面临的外部威胁和自身弱点03明确系统安全现状，防患于未然，对于未来系统建设和投入有指导意义04完善和规范的服务流程，享受专家技术支持服务06极大提高技术人员的安全意识和技术水平，有助降低运维成本，提高效率05通过安全专家核查及提出整改建议，并督促企业整改，降低系统被入侵风险31网络安全等级保护系统的、全面的解决您的问题！32网络安全等级保护系统的、全面的解决您的问题！ 物理安全网络安全主机

14、系统安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理信息系统网络安全等级保护内容技术要求管理要求全面不全面？、系统不系统？、放心不放心？：33不落实网络安全等级保护或定级偏低：1、上级领导的重视程度自然减弱；2、经费保障也不到位；3、出了安全问题个人承担责任 。34网络安全等级保护谁来做？4Part35网络安全等级保护谁来做？网络安全等级保护谁来做？1、产权归谁谁来做等保；2、谁使用谁负责。37网络安全等级保护谁来做？1、从事计算机安全服务的公司可以参与整改2、有资质的第三方测评公司负责验收测评38网络安全等级保护谁来做？上市公司，信心的源泉悠久历史、品质的保证

15、实力雄厚、安全的象征股票代码：870971企业使命：服务国家安全发展战略，构筑中国特色的网络安全防护体系全面的安全服务及信息化解决方案39竞远安全企业精神 竞远安全企业精神 专业可靠 做事专业，做人可靠；技术专业，服务可靠；过程专业，结果可靠；企业专业，企品可靠。在这个精神的指导下，竞远安全所有的努力都是为了达成这个结果：让安全更安全，从而成为客户安心、主管部门放心的专业性安全服务机构。40广泛而又持续支持的客户群政府 广东省委组织部 中共广东省委党校 广东省司法厅 广东省国土资源厅 广东省地方税务局 广东省统计局 广东省水利厅 广东省民政厅 广东省地震局 广东省气象局 广东省审计厅 广东省气

16、象台 广东省信息中心 广东省信访局 广东省工商行政管理局 广东省工商业联合会 广东省统计局 广东省社会保险基金管理局 广东省人民政府侨务办公室 广东省人民政府法制办公室 广东省水利厅 广东省水文局 广东省科学技术协会 广东省粮食局 广东省储备粮管理总公司 中共广东省委南方杂志社 广州市人民政府办公厅 广州市公安局 广州市气象局 广州市地方税务局 广州市人力资源和社会保障局 广州市对外贸易经济合作局 广州公共资源交易中心 广州市人力资源和社会保障局 广州市住房和城乡建设委员会 广东省委组织部 中共广东省委党校（广东行政学院） 广东省司法厅 广东省国土资源厅 广东省地方税务局 广东省统计局 广东省

17、水利厅 广东省民政厅 广东省地震局 广东省气象局 广东省审计厅 广东省气象台 广东省信息中心 广东省信访局 广东省工商行政管理局 广东省工商业联合会 广东省统计局 广东省社会保险基金管理局 广东省人民政府侨务办公室 广东省人民政府法制办公室 广东省水利厅 广东省水文局 广东省科学技术协会 广东省粮食局 广东省储备粮管理总公司 中共广东省委南方杂志社 广州市人民政府办公厅 广州市公安局 广州市气象局 广州市地方税务局 广州市人力资源和社会保障局 广州市对外贸易经济合作局 广州公共资源交易中心 广州市人力资源和社会保障局 广东省教育厅 惠州市教育局 清远市教育局 汕头市教育局 云浮市教育局 江门教

18、育局 南方科技大学 深圳大学 暨南大学 华南农业大学 华南理工大学 星海音乐学院 广东药科大学 广东财经大学 广东开放大学 广东工业大学 五邑大学 广东海洋大学 仲恺农业工程学院 广州商学院 广州中医药大学 佛山市顺德区教育发展中心教育41广泛而又持续支持的客户群电力 中国南方电网有限责任公司 广东省电网有限责任公司 广州供电局有限公司 深圳供电局有限公司 中国南方电网有限责任公司超高压输电公司 中国南方电网有限责任公司调峰调频发电公司 广东电网有限责任公司电力调度控制中心 广东电网有限责任公司电力科学研究院 广东电网有限责任公司物流服务中心 广东电网有限责任公司输变电公司 广东电网有限责任公

19、司教育培训评价中心 广东电网有限责任公司电网规划研究中心 广东电网有限责任公司管理科学研究院 广东电网有限责任公司佛山供电局 广东电网有限责任公司东莞供电局 广东电网有限责任公司中山供电局 广东电网有限责任公司珠海供电局 广东电网有限责任公司江门供电局 广东电网有限责任公司清远供电局 广东电网有限责任公司惠州供电局 广东电网有限责任公司河源供电局 广东电网有限责任公司韶关供电局 广东电网有限责任公司汕头供电局 广东电网有限责任公司汕尾供电局 广东电网有限责任公司潮州供电局 广东电网有限责任公司揭阳供电局 广东电网有限责任公司梅州供电局 广东电网有限责任公司肇庆供电局 广东电网有限责任公司云浮供

20、电局 广东电网有限责任公司阳江供电局 广东电网有限责任公司茂名供电局 广东电网有限责任公司湛江供电局 广东省电力设计研究院 广西电网有限责任公司 广州发电厂有限公司 湛江电力有限公司 天生桥一级水电开发有限责任公司水力发电厂 广东省粤电集团有限公司太阳能分公司 华能国际电力股份有限公司海门电厂 广东省粤电集团有限公司珠海发电厂烟草 中国烟草总公司广东省公司/广东省烟草专卖局 广东中烟工业有限责任公司 中国烟草总公司深圳市公司/深圳市烟草专卖局 广东烟草湛江市有限公司/湛江市烟草专卖局 广东烟草梅州市有限公司/梅州市烟草专卖局 广东烟草汕尾市有限公司/汕尾市烟草专卖局 广东烟草江门市有限公司/江

21、门市烟草专卖局 广东烟草惠州市有限责任公司/惠州市烟草专卖局 广东烟草茂名市有限责任公司/茂名市烟草专卖局 广东烟草河源市有限责任公司/河源市烟草专卖局 广东烟草肇庆市有限责任公司/肇庆市烟草专卖局 广东烟草云浮市有限责任公司/云浮市烟草专卖局42广泛而又持续支持的客户群公共交通 中国民用航空中南地区空中交通管理局 中国民用航空珠海空中交通管理站 中国民用航空珠海进近管制中心 中国民用航空湛江空中交通管理站 广东省交通运输工程造价管理站 广东联合电子收费股份有限公司 广州白云国际机场股份有限公司 广东机场白云信息科技有限公司 广州白云国际机场商旅服务有限公司 广州市交通运输管理局卫生 广东省卫

22、生和计划生育委员会 广东省人民医院 广东省妇幼保健院 广东省疾病预防控制中心 广东省结核病控制中心 广东省健康教育中心 东莞市第三人民医院 佛山市顺德区妇幼保健院 佛山市顺德区龙江医院 佛山市顺德区北滘医院 中山市坦洲医院 中山市大涌医院 中山市民众医院 中山市南朗医院 中山市港口医院 中山市黄圃镇人民医院 茂名市人民医院广电传媒 广东省广播电视网络股份有限公司 广东省广播电视网络股份有限公司汕头分公司 广东南方电视台 广东电视台 广州珠江数码集团有限公司其他行业 广东省广新控股集团有限公司 广东省广晟资产经营有限公司 海南新生信息科技有限公司 中国建筑第四工程局有限公司 中交第四航务工程勘察

23、设计院有限公司 中国铁建港航局集团有限公司43网络安全等级保护怎么做？5Part44网络安全等级保护实施流程45定级备案定级备案确定定级对象初步确定等级专家评审主管部门审核确定等级公安机关备案审查受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级1、确定业务信息安全受到破坏时所侵害的客体2、综合评定对客体的侵害程度3、业务信息安全等级4、确定系统服务安全受到破坏时所侵害的客体5、综合评定对客体的侵害程度6、系统服务安全等级7、定级对象的初步安全保护等级1、确定业务信息安全受到破坏

24、时所侵害的客体2、综合评定对客体的侵害程度4、确定系统服务安全受到破坏时所侵害的客体5、综合评定对客体的侵害程度6、系统服务安全等级定级要素与等级的关系定级方法定级备案流程46信息系统安全定级方法定级流程 47网络安全等级保护定级小技巧 一级信息系统：适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 二级信息系统：适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。 三级信息系统：适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省

25、）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。48等级概述等级保护工作的主要流程1、定级与审批；2、等级评审；3、备案；4、备案管理；5、系统建设；6、等级测评；7、自查自纠；8、监督检查。 局部调整信息系统定级总体安全规划安全设计与实施安全运行维护信息系统终止备案管理监督检查等级变更等级测评等级测评等级测评49工作流程等保工作流程50测评流程工作启动信息收集和分析工具和表单准备测评准备活动测评对象确定测评指标确定测评内容确定测评方案编制工具测试方法确定测评指导书开发方案编制活动现场测评准备现场测评和结果记录结果确认和资料

26、归还单项测评结果判定单元测评结果判定整体测评等级测评结论形成测评报告编制现场测评活动报告编制活动沟通与洽谈安全问题风险分析系统安全保障评估51Title in here工具测试利用漏洞扫描等技术工具，从网络的不同接入点对网络内的主机、服务器、数据库、网络设备、安全设备等进行脆弱性检查和分析Title in here文档审查通过文档审核与分析，检查制度、策略、操作规程、制度执行情况记录的完整性和内部一致性Title in here配置检查通过登陆系统控制台的方式，人工核查和分析主机、服务器、数据库、网络设备、安全设备、应用系统的安全配置情况Title in here实地查看通过现场查看人员行为、

27、技术设施和物理环境状况，检查人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况Title in here人员访谈通过交流、讨论的方式，对技术和管理方面进行脆弱性检查和分析测评方法及工具访谈：人员访谈检查：文档审查、实地查看、配置检查测试：工具测试52等保测评整体流程1 自主定级2 系统备案3 差距测评4 建设整改5 验收测评6 安全检查7 年度复评五级等保一般2-3级关键基础设施政府/公共金融/教育能源交通通信广电三类用户专线IDC云二级以上备案主管部门组织相关单位到公安机关备案网安推动备案广东网安逐步分区域和行业推动系统备案委托第三方机构差距测评技术要求管理要求主要测评机构竞远

28、安全根据差距测评报告建设整改安全策略管理建设技术建设安全加固范围网络加固软硬件加固数据库加固业务加固异地备份委托第三方机构验收测评等级验收测评报告送公安机关备案运营单位和测评机构对报告结果负责公安机关组织定期安全检查运营单位按要求定期向公安机关提供材料按要求做好各类安全事件的预警和防范公安机关组织年度复评二级系统两年复评一次三级系统一年复评一次53网络安全安全等级保护2.0要求解析54整体变化等级保护2.0通用要求解析注：基于网络安全保护基本要求 第一部分：通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。安全控制域划分上有较大变化，原有十个安全域整合为八个

29、，定义上更精确，内涵更为丰富。物理安全网络安全主机安全应用安全数据安全安全制度安全管理机构人员安全管理系统建设管理系统运维管理物理和环境安全网络和通信安全设备和计算安全应用和数据安全安全策略和管理制度安全管理机构和人员安全建设管理安全系统运维管理技术管理技术1.02.0技术管理整体变化技术等级保护2.0通用要求解析注：基于网络安全保护基本要求 第一部分：通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。安全控制要求的部分条款被合并，部分条款被删除，同时也有部分新增要求，整体数量有较大降低。总体安全要求数量对比（以三级系统为例）各控制域安全要求数量对比（以三级

30、系统为例）管理整体变化等级保护2.0通用要求解析注：基于网络安全保护基本要求 第一部分：通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。整体内容上，对过于细节内容进行精炼或合并，对部分要求进行了删减，同时也新增了部分要求。在操作落实方面更灵活，同时与1.0相比整体安全要求有所降低。例：整合的内容网络安全身份鉴别a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别； c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；网络与通信安全身份鉴别a) 应对登录的用户进行身份标识和鉴别， 身份标识

31、具有唯一性， 鉴别信息具有复杂度要求并定期更换；例：删减的内容安全管理机构人员配备c) 关键事务岗位应配备多人共同管理。例：增加的内容网络和通信安全边界完整性检查d) 应限制无线网络的使用，确保无线网络通过受控的边界防护设备接入内部网络。设备和计算安全安全审计e) 审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计分析的正确性 。技术管理整体变化等级保护2.0通用要求解析注：基于网络安全保护基本要求 第一部分：通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。技术管理物理和环境安全实质性变更降低物理位置选择要求，机房可设置在建筑楼顶或地下室，但

32、需要加强相应防水防潮措施。降低了物理访问控制要求，不再要求人员值守出入口，不再要求机房内部分区，不再对机房人员出入进行具体要求。降低了电力供应的要求，不再要求必须配备后备发电机。降低了电磁防护的要求，不再要求必须接地。降低了防盗和防破坏要求，可部署防盗系统或视频监控系统b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员；b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；c) 应对机房划分区域进行管理，区域和区域之间设置物理

33、隔离装置，在重要区域前设置交付或安装等过渡区域；d) 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。机房出入口应 配置电子门禁系统，控制、鉴别和记录进入的人员。d) 应建立备用供电系统。1.0要求2.0要求a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；f)应利用光、电等技术设置机房防盗报警系统；g) 应对机房设置监控报警系统。c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统 。整体变化等级保护2.0通用要求解析注：基于网络安全保护基本要求 第一部分：通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。技术管理网络和通讯安全实质性变

34、更1强化了对设备和通信链路的硬件冗余要求。强化了网络访问策略的控制要求，包括默认拒绝策略、控制规则最小化策略和源目的检查要求。降低了带宽控制的要求，不再要求必须进行QOS控制。降低了安全访问路径、网络会话控制、地址欺骗防范、拨号访问权限限制等比较“古老”的控制要求。e) 应提供通信线路、关键网络设备的硬件冗余，保证系统可用性1.0要求2.0要求b) 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则， 默认情况下除允许通

35、信外受控接口拒绝所有通信；d) 应在会话处于非活跃一定时间或会话结束后终止网络连接；e) 应限制网络最大流量数及网络连接数；f) 重要网段应采取技术手段防止地址欺骗；g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；h) 应限制具有拨号访问权限的用户数量。c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；g) 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。整体变化等级保护2.0通用要求解析注：基于网络安全保护基本要求 第一部分：通用安全要求征求意见稿及GB/T 22239信息安全等

36、级保护基本要求三级要求对比分析。技术管理网络和通讯安全实质性变更2强化了安全审计的统一时钟源要求。强化了对网络行为审计的要求。强化了网络边界的安全控制，特别是无线网络与有线网络的边界控制。强化了对网络攻击特别是“未知攻击”的检测分析要求。强化了对恶意代码和垃圾邮件的防范要求，强调在“关键网络节点”。降低了对审计分析的要求，不再要求必须生成审计报表。1.0要求2.0要求d) 审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计分析的正确性 ；e) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。c) 应能够根据记录数据进行分析，并生成审计报表；a) 应保证

37、跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信；d) 应限制无线网络的使用，确保无线网络通过受控的边界防护设备接入内部网络。c) 应采取技术措施对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析；b) 应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。a) 应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新；a) 应在网络边界处对恶意代码进行检测和清除；b) 应维护恶意代码库的升级和检测系统的更新。整体变化等级保护2.0通用要求解析注：基于网络安全保护基本要求 第一部分：通用安全要求征求意见稿及GB/T

38、 22239信息安全等级保护基本要求三级要求对比分析。技术管理网络和通讯安全实质性变更3特别增加了安全集中管控的要求，建设集中安全管理系统成为必要。将原有属于网络设备防护的内容移到了“设备和计算安全”部分。1.0要求2.0要求a) 应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；b) 应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理；c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析；e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；f) 应能对网络中发生的

39、各类安全事件进行识别、报警和分析。a) 应对登录网络设备的用户进行身份鉴别；b) 应对网络设备的管理员登录地址进行限制；c) 网络设备用户的标识应唯一；d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；e) 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；f) 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；g) 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；h)应实现设备特权用户的权限分离。整体变化等级保护2.0通用要求解析注：基于网络安全保护基本要求 第一部分：通用安全

40、要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。技术管理设备和计算安全实质性变更1强化了访问控制的要求，细化了主体和客体的访问控制粒度要求。强化了安全审计的统一时钟源要求。强化了入侵防范的控制要求，包括终端的准入要求、漏洞测试与修复。降低了对审计分析的要求，不再要求必须生成审计报表。降低了对恶意代码防范的统一管理要求和强制性的代码库异构要求。提出了采用可信计算技术防范恶意代码的控制要求。f) 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；1.0要求2.0要求c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；d) 应

41、能发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞；e) 审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计分析的正确性 。c) 应支持防恶意代码的统一管理。d) 应能够根据记录数据进行分析，并生成审计报表；b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；a)应采用免受恶意代码攻击的技术措施或采用可信计算技术建立从系统到应用的信任链，实现系统运行过程中重要程序或文件完整性检测，并在检测到破坏后进行恢复。整体变化等级保护2.0通用要求解析注：基于网络安全保护基本要求 第一部分：通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对

42、比分析。技术管理设备和计算安全实质性变更2强化了将网络设备本身安全看作整体设备和计算安全的一部分，突出了“重要节点”的概念 。b) 应提供重要节点设备的硬件冗余，保证系统的可用性；1.0要求2.0要求d) 应能够对重要节点的服务水平降低到预先规定的最小值进行检测和报警。c) 应对重要节点进行监视，包括监视 CPU 、硬盘、内存等资源的使用情况；c) 应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。整体变化等级保护2.0通用要求解析注：基于网络安全保护基本要求 第一部分：通用安全要求征求意见稿及G

43、B/T 22239信息安全等级保护基本要求三级要求对比分析。技术管理应用和数据安全实质性变更特别增加了个人信息保护的要求。强化了对软件容错的要求，保障故障发生时的可用性。强化了对账号和口令的安全要求，包括更改初始口令、账号口令重命名、对多余/过期/共享账号的控制。强化了安全审计的统一时钟源要求。降低了对资源控制的要求，包括会话连接数限制、资源监测、资源分配控制。降低了对审计分析的要求，不再要求必须生成审计报表。c) 应强制用户首次登录时修改初始口令；1.0要求2.0要求c) 应及时删除或停用多余的、过期的账号，避免共享账号的存在； b) 应重命名默认账号或修改这些账号的默认口令；d) 应提供对

44、审计记录数据进行统计、查询、分析及生成审计报表的功能。e) 审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计分析的正确性 。 d) 应能够对一个时间段内可能的并发会话连接数进行限制；f) 应能够对系统服务水平降低到预先规定的最小值进行检测和报警；g) 应提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。b) 在故障发生时，应能够继续提供一部分功能，确保能够实施必要的措施；应仅采集和保存业务必需的用户个人信息；应禁止未授权访问和使用用户个人信息。整体变化等级保护2.0通用要求解析注：基于网络安全保护基本要求 第一部分：通用安全要

45、求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。技术管理安全策略和管理制度实质性变更降低了对安全管理制度的管理要求，包括版本控制、收发文管理等，其中不再要求必须由信息安全领导小组组织制度的审定。1.0要求2.0要求b) 安全管理制度应具有统一的格式，并进行版本控制；c) 应组织相关人员对制定的安全管理制度进行论证和审定；e) 安全管理制度应注明发布范围，并对收发文进行登记。a) 信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定；无整体变化等级保护2.0通用要求解析注：基于网络安全保护基本要求 第一部分：通用安全要求征求意见稿

46、及GB/T 22239信息安全等级保护基本要求三级要求对比分析。技术管理安全管理机构和人员实质性变更对安全管理和机构人员的要求整体有所降低，一方面对过细的操作层面要求进行删减，例如记录和文档的操作要求、制度的制定要求等，另一方面对岗位配备、人员技能考核等要求也有实质性的删减。强化了对外部人员的管理要求，包括外部人员的访问权限、保密协议的管理要求。1.0要求2.0要求d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。c) 关键事务岗位应配备多人共同管理。d) 应记录审批过程并保存审批文档。e) 应聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等。

47、d) 应制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。b) 应确保在外部人员接入网络访问系统前先提出书面申请，批准后由专人开设账号、分配权限，并登记备案；d) 获得系统访问授权的外部人员应签署保密协议，不得进行非授权操作，不得复制和泄露任何敏感信息。c) 外部人员离场后应及时清除其所有的访问权限；a) 应定期对各个岗位的人员进行安全技能及安全认知的考核；b) 应对关键岗位的人员进行全面、严格的安全审查和技能考核；应对考核结果进行记录并保存；b) 应对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒； c) 应对

48、定期安全教育和培训进行书面规定；d)应对安全教育和培训的情况和结果进行记录并归档保存。整体变化等级保护2.0通用要求解析注：基于网络安全保护基本要求 第一部分：通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。技术管理安全建设管理实质性变更1对安全建设管理的要求整体有所降低，一方面对过细的操作层面要求进行删减，例如不再要求由专门部门或人员实施某些管理活动、不再对某些管理制度的制定作细化要求；另一方面对安全规划管理、测试验收管理也有实质性的删减。1.0要求a) 应指定专门的部门或人员负责管理系统定级的相关材料，并控制这些材料的使用；b) 应指定和授权专门的部门

49、对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划；e) 应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。c) 应指定或授权专门的部门负责产品的采购；d) 应指定或授权专门的部门或人员负责等级测评的管理。c) 应确保选定的安全服务商提供技术培训和服务承诺，必要的与其签订服务合同。c) 应制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则。a) 应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告；c) 应对系统测试验收的控制方法和人员行为准则进行书面规定；d) 应指

50、定或授权专门的部门负责系统测试验收的管理，并按照管理规定的要求完成系统测试验收工作；e) 应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。d) 应对系统交付的控制方法和人员行为准则进行书面规定；e) 应指定或授权专门的部门负责系统交付的管理工作，并按照管理规定的要求完成系统交付工作。整体变化等级保护2.0通用要求解析注：基于网络安全保护基本要求 第一部分：通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。技术管理安全建设管理实质性变更2强化了对服务供应商管理、系统上线安全测试、工程监理控制的管理要求。强化了对自行软件开发的要求，包括安全性测试

51、、恶意代码检测、软件开发活动的管理要求。c) 应通过第三方工程监理控制项目的实施过程。1.0要求2.0要求b) 应进行上线前的安全性测试，并出具安全测试报告。e) 应确保在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意代码进行检测；g) 应确保开发人员为专职人员，开发人员的开发活动受到控制、监视和审查c) 应定期监视、评审和审核服务供应商提供的服务，并对其变更服务内容加以控制。无整体变化等级保护2.0通用要求解析注：基于网络安全保护基本要求 第一部分：通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。技术管理安全运维管理实质性变更1对安全运维管

52、理的要求整体有所降低，一方面对过细的操作层面要求进行删减，例如不再要求由专门部门或人员实施某些管理活动、不再对某些管理制度的制定作细化要求；另一方面对介质管理、设备管理也有实质性的删减。1.0要求b) 应建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理；d) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理，按操作规程实现主要设备（包括备份和冗余设备）的启动/停止、加电/断电等操作；b) 应指定专人对网络和主机进行恶意代码检测并保存检测记录；应建立密码使用管理制度，使用符合国家密码管理规定的密码技术

53、和产品。b) 应建立备份与恢复管理相关的安全管理制度；e)应定期执行恢复程序，检查和测试备份介质的有效性，确保可以在恢复程序规定的时间内完成备份的恢复。b) 应建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为；a) 应建立介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面作出规定； e) 应根据数据备份的需要对某些介质实行异地存储，存储地的环境要求和管理方法应与本地相同；f) 应对重要介质中的数据和软件采取加密存储，并根据所承载数据和软件的重要程度对介质进行分类和标识管理。d) 应对存储介质的使用过程、送出维修以及销毁等进行严格的管理，对带出工

54、作环境的存储介质进行内容加密和监控管理，对送出维修或销毁的介质应首先清除介质中的敏感数据，对保密性较高的存储介质未经批准不得自行销毁； b) 应建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为；整体变化等级保护2.0通用要求解析注：基于网络安全保护基本要求 第一部分：通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。技术管理安全运维管理实质性变更2将原有属于监控管理和安全管理中心的内容移到了“网络和通信安全”部分。将原有属于网络安全设备的部分内容移到了“漏洞和风险管理”部分。降低了对网络和系统管理的要求，包括安全事件

55、处置管理、实施某些网络管理活动、网络接入策略控制。1.0要求a) 应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作c) 应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份；e) 应实现设备的最小服务配置，并对配置文件进行定期离线备份；g) 应依据安全策略允许或者拒绝便携式和移动式设备的网络接入；a) 应根据业务需求和系统安全分析确定系统的访问控制策略；a) 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警，形成记录并妥善保存；b) 应组织相关人员定期对监测和报警记录进行分析、评审，发现可疑

56、行为，形成分析报告，并采取必要的应对措施；c) 应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。c) 应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对本系统计算机安全事件进行等级划分；d) 应制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及处理方法等；e) 制定防止再次发生的补救措施，过程形成的所有文件和记录均应妥善保存；d) 应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补；整体变化等级保护2.0通用要求解析注：基于网络安全保护基本要求 第一部分：通用安全要求征求意见

57、稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。技术管理安全运维管理实质性变更3特别增加了漏洞和风险管理、配置管理、外包运维管理的管理要求。强化了对账号管理、运维管理、设备报废或重用的管理要求。a) 应采取必要的措施识别安全漏洞和隐患， 对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补；b) 应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题2.0要求应记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等；b) 应将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及时更新

58、基本配置信息库a) 应确保外包运维服务商的选择符合国家的有关规定；b) 应与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、工作内容；c) 应确保选择的外包运维服务商在技术和管理方面均具有按照等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明确；d) 应在与外包运维服务商签订的协议中明确所有相关的安全要求。如可能涉及对敏感信息的访问、处理、存储要求 ，对 IT 基础设施中断服务的应急保障要求等。b) 应指定专门的部门或人员进行账号管理，对申请账号、建立账号、删除账号等进行控制；f) 应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应

59、保留不可更改的审计日志，操作结束后应同步更新配置信息库；g) 应严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据；h) 应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道，操作过程中应保留不可更 改的审计日志，操作结束后立即关闭接口或通道 ；d) 含有存储介质的设备在报废或重用前，应进行完全清除或被安全覆盖，确保该设备上的敏感数据和授权软件无法被恢复重用。12等级保护发展历程与展望等级保护2.0标准体系3等级保护2.0通用要求解析4等级保护2.0扩展要求解析定级等级保护2.0云计算扩展要求解析责任划分IaaSP

60、aasSaas云计算平台由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。软件即服务（ SaaS）在平台即服务模式下，云计算平台包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台；平台即服务（ PaaS）在平台即服务模式下，云计算平台包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台；基础设施即服务（ IaaS）在基础设施即服务模式下，云计算平台由设施、硬件、资源抽象控制层组成；云计算平台架构定级等级保护2.0云计算扩展要求解析责任划分IaaS在云计算环境中，应将云服务方侧的云计算平台单独作为定级对象定级。PaasSaas云租户侧的等级保护对象也应作为单独的定