等保2.0-资料课件

运营管理中心等保2.01994200720172019等级保护管理办法发布，明确如何建设、如何监管和如何选择服务商等；为开展信息安全等级保护工作提供了规范保障公通字［2007］43号第一次提出等级保护的概念；第九条：计算机信息系统实行安全等级保护国务院147号令《通用要求》《测评要求》。。。等保2.0相关标准系列第二十一条“国家实行网络安全等级保护制度”，深化等保制度重要举措。网络安全法发展历程适用对象主管部门标准体系等级级别定级依据资质要求测评周期等级保护非涉密信息系统公安机关国家标准（GB、GB/T）5个级别第一级（自主保护）第二级（指导保护）第三级（监督保护）第四级（强制保护）第五级（专控保护）重要业务系统与承载业务运行的网络、设备、系统及单位属性、遭到破坏后所影响的主、客体关系等。测评：公安部备案的具有测评资质的机构。安全产品：等保三级以上系统，应优先考虑国内安全产品，除非国外安全产品无法使用国内产品替代时，才允许使用国外安全产品。二级→每2年（建议）三级以上→每年分级保护涉密信息系统国家保密工作部门（国家保密局、各省保密局、各地地市保密局）国家保密标准（BMB，强制执行）3个级别秘密级机密级（一般、增强）绝密级信息的重要性，以信息最高密级确定受保护的级别。集成：保密局发的涉密集成资质单项：保密局发的涉密单项资质安全产品：保密局发的涉密检测报告密码产品：国密局发的密码资质防病毒软件：公安部的检测报告军队：军用安全产品检测报告全部禁止使用国外安全产品秘密、机密→每2年绝密→每年等级保护与分级保护区别受侵害的客体对响应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级《网络安全等级保护条例》2.0等级保护安全框架等级保护的基本要求、测评要求和安全设计技术要求框架统一，即：安全管理中心支持下的三重防护结构框架通用安全要求+新型应用安全扩展要求，将云计算、移动互联、物联网、工业控制系统等列入标准规范将可信验证列入各级别和各环节的主要功能要求定级对象等保进入2.0时代，保护对象从传统的网络和信息系统，向“云移物工大”上扩展，基础网络、重要信息系统、互联网、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等都纳入了等级保护的范围。定级对象其他有信息系统顶级需求的行业与单位定级备案建设整改等级测评步骤：确定定级对象，初步确认定级对象，专家评审，主管部门审核、公安机关备案审查。持定级报告和备案表到当地公安机关网监部门进行备案。参照信息系统当前等级要求和标准，对信息系统进行整改加固。委托具备测评资质的测评机构进行等级测评，形成正式的测评报告。监督检查向当地公安机关网监部门提交测评报告，配合完成对网络安全等级保护实施情况的检查。工作流程工作流程定级名称变化《信息安全技术信息系统安全等级保护基本要求》《信息安全技术网络安全等级保护基本要求》上升到网络空间安全层面定级对象变化安全要求变化信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、

工业控制系统、采用移动互联技术的网络

等安全通用要求与安全扩展要求安全要求信息系统2.0版主要变化控制措施分类结构变化技术（物理、网络、主机、应用、数据）+管理技术（物理环境、一中心三防护）+管理安全要求变化五个规定动作+新的安全要求等保五个规定动作2.0版主要变化物理安全网络安全主机安全应用安全数据安全安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理2.0版主要变化2.0版主要变化1.可信计算等保2.0增加了可信计算的相关要求。可信计算贯穿等保2.0从一级到四级整个标准，在安全通信网络、安全区域边界与安全计算环境中均有明确要求。2.0版主要变化2.安全监测能力以信息安全事件为核心，通过对网络和安全设备日志、系统运行数据等信息的实时采集，以关联分析等方式，实现对监测对象进行风险识别、威胁发现、安全事件实时报警及可视化展现。包含系统、设备、流量、链路、威胁、攻击、审计等维度。2.0版主要变化3.通报预警能力《网络安全法》及《关键信息基础设施安全保护条例》同时要求建立网络安全监测预警和信息通报制度，及时掌握本行业、本领域关键信息基础设施运行状况和安全风险。2.0版主要变化4.应急处置能力网络安全事件发生时，亟需将损失及影响降到最低的一系列措施。业务系统需要具备的能力包括但不限于以下内容:（1）快速识别及定位问题的能力;（2）系统遭受持续攻击的应急措施;（3）业务不可用时的应急措施;（4）内容信息被篡改后的应急措施。2.0版主要变化5.态势感知能力（1）海量数据采集以全流量数据采集为主以各类设备日志收集为辅（2）精准监测能力机器学习算法监测UEBA检测横向威胁检测（3）全局可视能力宏观可视辅助决策微观可视辅助运维（4）协同响应能力多设备协同联动一键封堵、一键查杀基本要求安全技术安全管理安全物理环境安全通信网络安全区域边界安全计算环境安全管理制度安全管理机构安全管理人员安全建设管理网络架构通信传输可信验证岗位设置人员配备…审查和检查安全控制层面安全控制点要求项a）要求项b）…要求项a）要求项b）...安全要求项安全运维管理安全管理中心《基本要求》文本描述框架安全管理中心安全通信网络安全物理环境物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电安全区域边界安全计算环境温湿度控制电力供应电磁防护系统管理审计管理安全管理集中管控网络架构通信传输可信验证边界防护访问控制入侵防范安全审计可信验证恶意代码和垃圾邮件防范身份鉴别访问控制安全审计入侵防范恶意代码防范可信验证数据完整性数据保密性数据备份恢复剩余信息保护技术要求个人信息保护安全管理制度安全策略管理制度制定和发布评审和修订安全管理机构岗位设置人员配备授权和审批沟通和合作审查和检查安全管理人员人员录用人员离岗安全意识教育和培训外部人员访问管理安全建设管理定级和备案安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付等级测评服务供应商选择安全运维管理环境管理资产管理介质管理设备维护管理漏洞和风险管理网络和系统安全管理恶意代码防范管理配置管理密码管理备份与恢复管理安全事件处置应急预案管理外包运维管理管理要求变更管理《基本要求》框架技术要求添加标题添加标题添加标题安全物理环境机房出入口应配置电子门禁系统应设置机房防盗报警系统或设置有专人值守的视频监控系统应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等应对机房划分区域进行管理，区域和区域之间设置隔离防火措施应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警应采取措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等应设置冗余或并行的电力电缆线路为计算机系统供电应对关键设备实施电磁屏蔽三级技术要求应保证网络各个部分的带宽满足业务高峰期需要应保证网络设备的业务处理能力满足业务高峰期需要重要网络区域与其他网络区域之间采取可靠的技术隔离手段应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性部署带宽控制设备并按照业务服务的重要程度配置并启用了带宽策略应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址技术要求安全通信网络应采用校验技术或密码技术保证通信过程中数据的完整性应采用密码技术保证通信过程中数据的保密性并在应用程序的关键执行环节进行动态可信验证网络架构通信传输可信验证三级技术要求安全区域边界1、边界防护端口级访问控制：网络边界处部署访问控制设备，指定端口进行跨越边界的网络通信，该端口配置并启用了安全策略;控制非法联入内网、非法联入外网：无线和有线的边界应该有边界防护设备防护。添加标题添加标题2、访问控制启用边界访问控制策略（网闸、防火墙、路由器和交换机等提供访问控制功能的设备；防火墙对应用识别，并对应用的内容进行过滤。三级技术要求3、入侵防范检测网络入侵行为（关键节点部署：入侵保护系统、入侵检测系统、抗APT攻击、抗DDoS攻击和网络回溯等系统或设备。当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。添加标题添加标题4、恶意代码和垃圾邮件防护应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新；应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。三级技术要求安全区域边界三级5、安全审计应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。技术要求安全区域边界6、可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。三级技术要求安全区域边界添加标题添加标题三级1、身份鉴别应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。技术要求安全计算环境安全计算环境添加标题添加标题三级1、身份鉴别----测评对象测评对象：终端和服务器等设备（包括虚拟设备）中的操作系统、网络设备、安全设备、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等；主机和设备配置要求：1）设备设置登录认证功能；用户名不易被猜测，口令复杂度达到强密码要求；2）有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；3）当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听（使用SSH、HTTPS加密；VPN或运维堡垒主机）；4）双因素或多因素认证，如用户名口令、动态口令、USBkey、生物技术和设备指纹等鉴别方式（其中一种鉴别技术至少应使用密码技术）解读技术要求添加标题添加标题三级2、访问控制应对登录的用户分配账户和权限；应重命名或删除默认账户，修改默认账户的默认口令；应及时删除或停用多余的、过期的账户，避免共享账户的存在；应授予管理用户所需的最小权限，实现管理用户的权限分离；应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。技术要求安全计算环境添加标题添加标题三级2、访问控制----要求1-4）对主机和应用等进行安全配置，对登录的用户分配账户和权限；禁用或限制匿名、默认账号的访问权限；重命名或删除默认账户，修改默认账户的默认口令；及时删除或停用多余的、过期的账户，避免共享账户的存在；授予管理用户所需的最小权限，实现管理用户的权限分离。5-6）授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则(可以使用安全设备辅助访问控制策略制定)；访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级。（基于应用的访问控制策略）7）设置安全标记（如水印系统），控制对有安全标记的信息资源的访问。技术要求安全计算环境解读3、安全审计应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；应对审计进程进行保护，防止未经授权的中断。添加标题添加标题4、入侵防范应遵循最小安装的原则，仅安装需要的组件和应用程序；应关闭不需要的系统服务、默认共享和高危端口；应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。三级技术要求安全计算环境5、恶意代码防范应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。添加标题添加标题6、可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。三级技术要求安全计算环境7、数据完整性应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。添加标题添加标题8、数据保密性应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。三级技术要求安全计算环境9、数据备份恢复应提供重要数据的本地数据备份与恢复功能；应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；应提供重要数据处理系统的热冗余，保证系统的高可用性。添加标题添加标题10、剩余信息保护应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。三级技术要求安全计算环境11、个人信息保护应仅采集和保存业务必需的用户个人信息；应禁止未授权访问和非法使用用户个人信息。三级技术要求安全计算环境1、系统管理应保证系统管理员通过管理工具或平台进行系统管理操作，并对这些操作进行审计；应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、资源配置、加载和启动、运行的异常处理、数据和设备的备份与恢复等。添加标题添加标题2、审计管理应保证审计管理员通过管理工具或平台进行安全审计操作，并对这些操作进行审计；应通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。三级技术要求安全管理中心3、安全管理应保证安全管理员通过管理工具或平台进行安全管理操作，并对这些操作进行审计；应通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等。。添加标题添加标题配备集中系统和设备管理功能的工具或平台，系统或平台需要有三权分立；配备安全管理员。三级解读技术要求安全管理中心添加标题添加标题三级4、集中管控应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理；应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求；应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；应能对网络中发生的各类安全事件进行识别、报警和分析。技术要求安全管理中心安全管理中心添加标题添加标题三级4、集中管控----要求1）划分安全管理运维区，对分布在网络中的安全设备或安全组件进行集中管控。（堡垒机等）2）网络中是否划分单独的管理VLAN用于对安全设备或安全组件进行管理；使用独立的带外管理网络对安全设备或安全组件进行管理（如运维堡垒机等）；3）部署具备运行状态监测功能的系统或设备，能够对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测（堡垒机、综合网管系统等）；4）部署日志审计系统，日志保留60天以上且不间断；5）部署网络版防病毒系统和补丁统一更新系统对；6）部署安全感知平台对对网络中发生的各类安全事件进行识别、报警和分析7）确保范围内统一使用了唯一确定的时钟源（如部署时钟服务器）解读技术要求运行记录方针策略实施细则与流程制度与管理办法体系化安全管理制度记录表单记录活动实行以符合等级3的文件要求的客观证据，阐明所取得的结果或提供完成活动的证据。流程细则细化的实施细则、管理技术标准等内容，用来支撑第二层对应的制度与管理办法的有效实施。制度办法在安全策略的指导下，制定的各项安全管理和技术制度、办法和准则，用来规范单位各部门处室安全管理工作。方针策略信息安全工作的纲领性文件。管理要求安全管理制度管理要求安全策略：制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。

管理制度：建立安全管理制度；应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。

制定和发布：指定或授权专门的部门或人员负责安全管理制度的制定

；安全管理制度应通过正式、有效的方式发布，并进行版本控制

。评审和修订：应定期对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订。

安全管理机构管理要求岗位设置：网络安全工作的委员会或领导小组；安全主管、系统管理员、审计管理员和安全管理员等岗位，并定义相关职责。

人员配备：系统管理员、审计管理员和安全管理员等；配备专职安全管理员，不可兼任。授权和审批：岗位职责文档，明确各岗位审批事项；《授权审批制度》和记录。沟通和合作：组织内部各部分间、供应商、业界专家及安全组织的合作与沟通；建立外联单位联系列表。审核和检查：定期进行了常规安全检查和全面安全检查;安全检查报告及记录，检查结果通报。安全管理人员管理要求人员录用：专门部门或人员负责人员的录用工作；录用人员审查和考核；签署在岗人员保密协议，关键岗位人员签署岗位责任协议。人员离岗：及时终止离岗人员的所有访问权限；办理调离手续，签署离岗人员保密协议。安全意识教育和培训：安全意识教育和岗位技能培训；培训文档及记录。外部人员访问管理：受控区域访问申请表，批准后由专人全程陪同，并登记备案；离场后及时清除其所有的访问权限；获得系统访问授权的外部人员应签署保密协议。安全建设管理-1管理要求定级和备案：定级备案材料（表、报告、评审意见、备案证明）安全方案设计：安全整体规划和安全方案设计；方案评审、方案实施产品采购和使用：符合国家的有关规定；符合国家密码管理主管部门的要求；定期审定和更新候选产品名单；重要部位的产品委托专业测评单位进行专项测试（四级系统要求）。自行软件开发：开发环境与实际运行环境物理分开；制定软件开发管理制度和规程、开发规范、版本控制等；软件开发过程中对安全性进行测试。无自行软件开发的情况此项不适用。外包软件开发：交付前进行安全检测；提供软件设计文档和使用指南

；提供软件源代码

。安全建设管理-2管理要求工程实