搜索
深信服等级保护2.0解决方案持续保护,不止合规深信服智安全一.网络安全法与等保2.0二.深信服对等保2.0的理解三.深信服等保2.0解决方案一、网络安全法与等保2.0网络安全法等保/关保条例违法案例《网络安全法》之等级保护第二十一条•国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。第三十一条•国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。第五十九条•网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。第五十九条(续)•关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致后果的,处十万元以上一百万元以下罚款,对直接负责主管人员处一万元以上十万元以下罚款。网络安全支持与促进网络运行安全法律责任附则监测预警与应急处置总则网络信息安全第四章十二届全国人大常委会第十五次会议公开征求意见十二届全国人大常委会第十五次会议十二届全国人大常委会第十五次会议2015.6.262016.8.42016.11.72016.10.312016.7.5公开征求意见发布一审三审二审2015.7.62015.8.52016.6.282017.6.1正式实施等级保护由基本制度、基本国策,上升为法律配套法规之《网络安全等级保护条例》受侵害的客体对响应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级保护等级法律效力测评周期信息安全等级保护管理办法第三级:每年至少一次第四级:每半年至少一次第五级:依据特殊安全需求测评网络安全等级保护条例第三级以上的网络运营者应当每年开展一次网络安全等级测评根据《行政法规制定程序条例》第五条:行政法规的名称一般称“条例”,国务院各部门和地方人民政府制定的规章不得称“条例”《信息安全等级保护管理办法》是依据行政法规制定的部门规范性文件,而《网络安全等级保护条例》属于依据国家法律制定的行政法规,自身法律效力或法律依据的效力位阶均高于等保1.0配套法规之《关键信息基础设施安全保护条例》第九条根据对经济社会运行的重要程度、信息化水平,以及遭到破坏后产生的危害影响,确定关键信息基础设施行业和领域范围如下:(一)公共通信和信息服务,包括电信、互联网、广播电视等;(二)金融,包括银行、证券、保险等;(三)能源,包括电力、石油、石化、天然气等;(四)交通,包括民航、铁路等;(五)水利;(六)公共服务,包括医疗卫生等;(七)国防科技工业;(八)国家机关。关键信息基础设施范围和认定运营单位责任义务附则法律责任总则保护和促进第四章第六条在网络安全等级保护制度基础上,进一步采取技术保护措施和其他必要措施,及时有效应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、可用性和保密性。识别认定安全防护检测评估监测预警应急处置(IDENTITY)(PROTECT)(DETECT)(MONITOR)(RESPOND)关键信息基础设施网络安全保护包括:识别认定、安全防护、检测评估、监测预警、应急处置五个环节习主席4·19讲话“没有网络安全,就没有国家安全”网络安全法网络安全等级保护条例(征求意见稿)等保2.0关键信息基础设施保护条例安全影响面更广安全建设深入各行各业,各种场景关基重点保护关键基础设施实行重点保护《网络安全法》带动安全建设上升到国家战略高度违法案例国内首例高校违法案例企业违法案例网安大检查政府事业单位违法案例等级保护实施的意义满足合法合规要求,清晰化责任和工作方法,让安全贯穿全生命周期明确组织整体目标,改变以往单点防御方式,让安全建设更加体系化提高人员安全意识,树立等级化防护思想,合理分配网络安全投资二、深信服对等保2.0的理解等级保护发展历程等保2.0变化等保五步工作流程等级保护发展历程国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。等级保护制度适用于在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,个人及家庭自建自用的网络除外。国务院147号令第一次提出等级保护的概念;第九条:计算机信息系统实行安全等级保护19941999GB17859强制性标准:规定了我国计算机信息系统安全保护能力的五个等级。2004公通字[2004]66号文进一步明确了信息安全等级保护制度的基本内容2007公通字[2007]43号等级保护管理办法发布,明确如何建设、如何监管和如何选择服务商等;为开展信息安全等级保护工作提供了规范保障2017网络安全法第二十一条“国家实行网络安全等级保护制度”,深化等保制度重要举措。2003中办发27号文信息安全保障纲领性文件;第二条:实行信息安全等级保护。2019等保2.0相关标准系列《通用要求》《测评要求》。。。等级保护2.0修订背景传统的安全思维需要拓展和转变“斯诺登事件”等安全事件的发生表明网络安全的威胁已经上升到国家层面。在这样的背景下,网络安全的保护体系需要全面升级,传统的安全思维已经难以有效保护网络空间安全,新技术不断涌现,也得传统信息安全的范畴需要进一步拓展。适应新型的系统形态和网络架构新技术、新业务下的产品与服务不断创新,物联网、云计算、工业控制系统、移动互联网等新兴网络形态使得传统信息安全的范畴需要进一步拓展,要求网络安全的保护体系也随之升级。现有等保体系需要完善升级为了配合《网络安全法》的实施,为了适应云计算、移动互联、工业控制、物联网、大数据等新技术、新应用情况下等级保护工作的开展。有必要对GB/T22239-2008进行修订,在适用性、时效性、易用性、可操作性上进一步完善。等级保护2.0安全框架和关键技术等级保护安全框架国家网络安全等级保护制度总体安全策略定级备案安全建设等级测评安全整改监督检查网络安全综合防御体系安全管理中心通信网络区域边界计算环境风险管理体系安全技术体系安全管理体系网络信任体系等级保护对象基础信息网络、信息系统、云计算平台、大数据平台、物联网、工业控制系统等国家网络安全法律法规政策体系国家网络安全等级保护政策标准体系组织管理机制建设安全规划安全监测通报预警安全可控队伍建设教育培训经费保障应急处置态势感知能力建设技术检测网络安全战略规划目标防护框架:根据“一个中心”管理下的“三重保护”体系框架,构建安全机制和策略,形成定级系统的安全保护环境。分别对计算环境、区域边界、通信网络体系进行管理,实施多层隔离和保护,以防止某薄弱环节影响整体安全。最终做到整体防御、分区隔离;积极防护、内外兼防;自身防御、主动免疫;纵深防御、技管并重部分关键安全预防措施理解:对于传统威胁,要做到快速、精准的防护;对于新型网络攻击,也要做到智能检测与分析。建设和加强入侵防护等技术检测与防护是网络安全防护的重要工作;维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓“聪者听于无声,明者见于未形”。感知网络安全态势是网络安全防护中最基本、最基础的工作。等级保护2.0主要变化名称变化定级对象变化《信息安全技术信息系统安全等级保护基本要求》上升到了网络空间安全层面《信息安全技术网络安全等级保护基本要求》信息系统信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等安全要求安全通用要求与安全扩展要求安全要求变化等级保护2.0主要变化(续)控制措施分类结构变化等保五个规定动作五个规定动作+新的安全要求内容变化技术(物理、网络、主机、应用、数据)+管理技术(物理环境、一中心三防护)+管理技术要求等保1.0等保2.0物理安全安全物理环境网络安全安全通信网络主机安全安全区域边界应用安全安全计算环境数据安全安全管理中心管理要求等保1.0等保2.0安全管理制度安全管理制度安全管理机构安全管理机构人员安全管理安全管理人员系统建设管理安全建设管理系统运维管理安全运维管理等级保护基本要求框架(以三级为例)安全管理中心安全通信网络安全物理环境物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电安全区域边界安全计算环境温湿度控制电力供应电磁防护系统管理审计管理安全管理集中管控网络架构通信传输可信验证边界防护访问控制入侵防范安全审计可信验证恶意代码和垃圾邮件防范身份鉴别访问控制安全审计入侵防范恶意代码防范可信验证数据完整性数据保密性数据备份恢复剩余信息保护技术要求个人信息保护安全管理制度安全策略管理制度制定和发布评审和修订安全管理机构岗位设置人员配备授权和审批沟通和合作审查和检查安全管理人员人员录用人员离岗安全意识教育和培训外部人员访问管理安全建设管理定级和备案安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付等级测评服务供应商选择安全运维管理环境管理资产管理介质管理设备维护管理漏洞和风险管理网络和系统安全管理恶意代码防范管理配置管理密码管理备份与恢复管理安全事件处置应急预案管理外包运维管理管理要求变更管理等级保护2.0差异变化安全要求项一级二级三级四级安全通用要求55135211228云计算安全扩展要求11294649移动互联安全扩展要求5141921物联网安全扩展要求472021工业控制系统安全扩展要求9152122等保2.0控制项的变化——扩展要求分类安全控制点备注安全物理环境物理位置选择取消限制机房场地不可在顶层或地下室物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护安全通信网络网络架构通信传输加强了通信传输的保密性要求(密码技术)可信验证新增要求,各个级别和层面增加了可信验证控制点。要求级别为“可”而非“应”安全区域边界边界防护防护要求加强明确提出从内到外的攻击检测;无线网络提出要求,要有边界防护设备;访问控制新增对信息内容进行过滤,实现对内容的访问控制入侵防范明确提出从内到外的攻击检测,新型网络攻击行为的分析恶意代码和垃圾邮件防范二级以下没有垃圾邮件防范要求安全审计可信验证新增要求,各个级别和层面增加了可信验证控制点。要求级别为“可”而非“应”分类安全控制点备注安全计算环境身份鉴别访问控制安全审计入侵防范恶意代码防范可信验证新增要求,各个级别和层面增加了可信验证控制点。要求级别为“可”而非“应”数据完整性数据保密性三四级要求数据备份恢复二、三、四级均要求异地备份(34级异地实时备份);三级及以上明确要求系统热冗余剩余信息保护个人信息保护相对等保1.0新增要求安全管理中心系统管理二级以上有要求审计管理二级以上有要求安全管理三四级要求集中管控三四级要求,相对等保1.0新增要求,明确提出集中监控、管理、日志统一分析等;日志6个月;防病毒和补丁统一推送;各类网络安全事件进行统一识别、报警和分析等保2.0通用要求变化等级保护2.0通用要求和产品对标(三级)分类安全控制点对标(辅助)产品技术措施安全物理环境物理位置选择机房选址物理访问控制电子门禁系统防盗窃和防破坏防盗报警系统/视频监控系统设备固定+设备标签;线缆铺设;视频监控系统+专人值守防雷击防盗报警系统/视频监控系统;防雷保安器或过压保护装置电路设计防火火灾自动消防系统机房建设-耐火材料;机房区域隔离防火防水和防潮防水检测、报警窗户、屋顶、墙壁的防水方法;排水沟防静电静电消除器、防静电手环防静电地板,并设备接地温湿度控制机房空调/精密空调电力供应稳压器+U