运营管理中心刘晓峰等保2.01994200720172019等级保护管理办法发布,明确如何建设、如何监管和如何选择服务商等;为开展信息安全等级保护工作提供了规范保障公通字[2007]43号第一次提出等级保护的概念;第九条:计算机信息系统实行安全等级保护国务院147号令《通用要求》《测评要求》。。。等保2.0相关标准系列第二十一条“国家实行网络安全等级保护制度”,深化等保制度重要举措。网络安全法发展历程适用对象主管部门标准体系等级级别定级依据资质要求测评周期等级保护非涉密信息系统公安机关国家标准(GB、GB/T)5个级别第一级(自主保护)第二级(指导保护)第三级(监督保护)第四级(强制保护)第五级(专控保护)重要业务系统与承载业务运行的网络、设备、系统及单位属性、遭到破坏后所影响的主、客体关系等。测评:公安部备案的具有测评资质的机构。安全产品:等保三级以上系统,应优先考虑国内安全产品,除非国外安全产品无法使用国内产品替代时,才允许使用国外安全产品。二级→每2年(建议)三级以上→每年分级保护涉密信息系统国家保密工作部门(国家保密局、各省保密局、各地地市保密局)国家保密标准(BMB,强制执行)3个级别秘密级机密级(一般、增强)绝密级信息的重要性,以信息最高密级确定受保护的级别。集成:保密局发的涉密集成资质单项:保密局发的涉密单项资质安全产品:保密局发的涉密检测报告密码产品:国密局发的密码资质防病毒软件:公安部的检测报告军队:军用安全产品检测报告全部禁止使用国外安全产品秘密、机密→每2年绝密→每年等级保护与分级保护区别等级保护测评周期受侵害的客体对响应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级《网络安全等级保护条例》2.0等级保护安全框架等级保护的基本要求、测评要求和安全设计技术要求框架统一,即:安全管理中心支持下的三重防护结构框架通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制系统等列入标准规范将可信验证列入各级别和各环节的主要功能要求定级对象等保进入2.0时代,保护对象从传统的网络和信息系统,向“云移物工大”上扩展,基础网络、重要信息系统、互联网、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等都纳入了等级保护的范围。定级对象其他有信息系统顶级需求的行业与单位定级备案建设整改等级测评步骤:确定定级对象,初步确认定级对象,专家评审,主管部门审核、公安机关备案审查。持定级报告和备案表到当地公安机关网监部门进行备案。参照信息系统当前等级要求和标准,对信息系统进行整改加固。委托具备测评资质的测评机构进行等级测评,形成正式的测评报告。监督检查向当地公安机关网监部门提交测评报告,配合完成对网络安全等级保护实施情况的检查。工作流程工作流程定级名称变化《信息安全技术信息系统安全等级保护基本要求》《信息安全技术网络安全等级保护基本要求》上升到网络空间安全层面定级对象变化安全要求变化信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等安全通用要求与安全扩展要求安全要求信息系统2.0版主要变化控制措施分类结构变化技术(物理、网络、主机、应用、数据)+管理技术(物理环境、一中心三防护)+管理安全要求变化五个规定动作+新的安全要求等保五个规定动作2.0版主要变化1.物理安全2.网络安全3.主机安全4.应用安全5.数据安全1.安全物理环境2.安全通信网络3.安全区域边界4.安全计算环境5.安全管理中心1.02.01.安全管理制度2.安全管理机构3.人员安全管理4.系统建设管理5.系统运维管理1.安全管理制度2.安全管理机构3.安全管理人员4.安全建设管理5.安全运维管理1.02.02.0版主要变化2.0版主要变化1.可信计算等保2.0增加了可信计算的相关要求。可信计算贯穿等保2.0从一级到四级整个标准,在安全通信网络、安全区域边界与安全计算环境中均有明确要求。2.0版主要变化2.安全监测能力以信息安全事件为核心,通过对网络和安全设备日志、系统运行数据等信息的实时采集,以关联分析等方式,实现对监测对象进行风险识别、威胁发现、安全事件实时报警及可视化展现。包含系统、设备、流量、链路、威胁、攻击、审计等维度。2.0版主要变化3.通报预警能力《网络安全法》及《关键信息基础设施安全保护条例》同时要求建立网络安全监测预警和信息通报制度,及时掌握本行业、本领域关键信息基础设施运行状况和安全风险。2.0版主要变化4.应急处置能力网络安全事件发生时,亟需将损失及影响降到最低的一系列措施。业务系统需要具备的能力包括但不限于以下内容:(1)快速识别及定位问题的能力;(2)系统遭受持续攻击的应急措施;(3)业务不可用时的应急措施;(4)内容信息被篡改后的应急措施。2.0版主要变化5.态势感知能力(1)海量数据采集•以全流量数据采集为主•以各类设备日志收集为辅(2)精准监测能力•机器学习算法监测•UEBA检测•横向威胁检测(3)全局可视能力•宏观可视辅助决策•微观可视辅助运维(4)协同响应能力•多设备协同联动•一键封堵、一键查杀基本要求安全技术安全管理安全物理环境安全通信网络安全区域边界安全计算环境安全管理制度安全管理机构安全管理人员安全建设管理网络架构通信传输可信验证岗位设置人员配备…审查和检查安全控制层面安全控制点要求项a)要求项b)…要求项a)要求项b)...安全要求项安全运维管理安全管理中心《基本要求》文本描述框架安全管理中心安全通信网络安全物理环境物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电安全区域边界安全计算环境温湿度控制电力供应电磁防护系统管理审计管理安全管理集中管控网络架构通信传输可信验证边界防护访问控制入侵防范安全审计可信验证恶意代码和垃圾邮件防范身份鉴别访问控制安全审计入侵防范恶意代码防范可信验证数据完整性数据保密性数据备份恢复剩余信息保护技术要求个人信息保护安全管理制度安全策略管理制度制定和发布评审和修订安全管理机构岗位设置人员配备授权和审批沟通和合作审查和检查安全管理人员人员录用人员离岗安全意识教育和培训外部人员访问管理安全建设管理定级和备案安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付等级测评服务供应商选择安全运维管理环境管理资产管理介质管理设备维护管理漏洞和风险管理网络和系统安全管理恶意代码防范管理配置管理密码管理备份与恢复管理安全事件处置应急预案管理外包运维管理管理要求变更管理《基本要求》框架技术要求添加标题添加标题添加标题安全物理环境•机房出入口应配置电子门禁系统•应设置机房防盗报警系统或设置有专人值守的视频监控系统•应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等•应对机房划分区域进行管理,区域和区域之间设置隔离防火措施•应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警•应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等•应设置冗余或并行的电力电缆线路为计算机系统供电•应对关键设备实施电磁屏蔽三级技术要求应保证网络各个部分的带宽满足业务高峰期需要应保证网络设备的业务处理能力满足业务高峰期需要重要网络区域与其他网络区域之间采取可靠的技术隔离手段应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性部署带宽控制设备并按照业务服务的重要程度配置并启用了带宽策略应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址技术要求安全通信网络应采用校验技术或密码技术保证通信过程中数据的完整性应采用密码技术保证通信过程中数据的保密性并在应用程序的关键执行环节进行动态可信验证网络架构通信传输可信验证三级技术要求安全区域边界1、边界防护端口级访问控制:网络边界处部署访问控制设备,指定端口进行跨越边界的网络通信,该端口配置并启用了安全策略;控制非法联入内网、非法联入外网:无线和有线的边界应该有边界防护设备防护。添加标题添加标题2、访问控制启用边界访问控制策略(网闸、防火墙、路由器和交换机等提供访问控制功能的设备;防火墙对应用识别,并对应用的内容进行过滤。三级技术要求3、入侵防范检测网络入侵行为(关键节点部署:入侵保护系统、入侵检测系统、抗APT攻击、抗DDoS攻击和网络回溯等系统或设备。当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。添加标题添加标题4、恶意代码和垃圾邮件防护应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。三级技术要求安全区域边界三级5、安全审计应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。技术要求安全区域边界6、可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。三级技术要求安全区域边界添加标题添加标题三级1、身份鉴别应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。技术要求安全计算环境安全计算环境添加标题添加标题三级1、身份鉴别----测评对象测评对象:终端和服务器等设备(包括虚拟设备)中的操作系统、网络设备、安全设备、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;主机和设备配置要求:1)设备设置登录认证功能;用户名不易被猜测,口令复杂度达到强密码要求;2)有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;3)当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听(使用SSH、HTTPS加密;VPN或运维堡垒主机);4)双因素或多因素认证,如用户名口令、动态口令、USBkey、生物技术和设备指纹等鉴别方式(其中一种鉴别技术至少应使用密码技术)解读技术要求添加标题添加标题三级2、访问控制1.应对登录的用户分配账户和权限;2.应重命名或删除默认账户,修改默认账户的默认口令;3.应及时删除或停用多余的、过期的账户,避免共享账户的存在;4.应授予管理用户所需的最小权限,实现管理用户的权限分离;5.应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;6.访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;7.应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。技术要求安全计算环境添加标题添加标题三级2、访问控制----要求1-4)对主机和应用等进行安全配置,对登录的用户分配账户和权限;禁用或限制匿名、默认账号的访问权限;重命名或删除默认账户,修改默认账户的默认口令;及时删除或停用多余的、过期的账户,避免共享账户的存在;授予管理用户所需的最小权限,实现管理用户的权限分离。5-6)授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则(可以使用安全设备辅助访问控制策