等保2.0建设方案

等保网络安全等级保护解决方案2.0等保2.0安全管理规划等保2.0总体介绍等保2.0技术防护方案设计附录：网络安全违法案例等保2.0测评流程C12345网络安全相关法律第二十五条国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；中华人民共和国国家安全法中华人民共和国网络安全法第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改网络安全等保及相关标准分等级实行安全保护对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护实行按等级管理对信息系统中使用的信息安全产品实行按等级管理分等级响应、处置对信息系统中发生的信息安全事件分等级响应、处置《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息安全技术网络安全等级保护基本要求》（GB/T22239一2019）《信息安全技术网络安全等级保护安全设计技术要求》（GB/T25070一2019）《信息安全技术网络络安全等级保护测评要求》（GB/T28448-2019）《信息安全技术网络安全等级保护测评过程指南》（GB/T28449-2019)《信息安全技术信息糸统安全等级保护定级指南》(GB/T22240-2008)《信息安全技术网络安全等级保护测试评估技术指南》（GB/T36627-2018）《信息安金技术网络安全等级保护安全管理中心技术要求》(GB/T36958一2018）《信息安全技术网络安全等级保护评机构能力要求和评估规范》（GB/T36959-2018)网络安全等级保护199419992008201620191994年《中华人民共和国计算机信息系统安全保护条例》颁布实施1999年《计算机信息系统安全等级保护划分准则》（GB17859）发布。2008年等级保护1.0元年《信息安全技术信息系统安全等级保护基本要求》相关标准发布实施。2016年发布《中华人民共和国网络安全法》等级保护发展历程2019年等级保护2.0元年5月13日正式发布等级保护2.0版本（《信息安全技术网络安全等级保护基本要求》等保2.0相对1.0的关键变化对象变化信息安全→网络安全，引入云计算、移动互联、工控、物联网等新领域结构调整一个中心、三重防御防御理念被动防御→主动防御等保2.0的特点及新变化等保2.0的特点及新变化对象范围扩大分类结构统一强调可信计算标准名称变化保护对象变化安全要求变化章节结构变化分类结构变化新增云计算安全扩展要求新增移动互联网安全扩展要求新增物联网安全扩展要求新增工业控制系统安全扩展要求增加应用场景要求三大特点十大变化等保2.0基本框架等保2.0基本框架技术要求安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心管理要求安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理等保2.0充分体现了“一个中心三重防御“的思想，一个中心指“安全管理中心”，三重防御指“安全计算环境、安全区域边界、安全网络通信”，同时等保2.0强化可信计算安全技术要求的使用等保2.0涉及的行业政府单位•各大部委、各省级政府机关、各地市县级政府机关、各事业单位等公共安全行业•公安、司法、检察、监察等金融行业•金融监管机构、各大银行、证券、保险公司等医疗行业•医院、疫病控制中心、医疗卫生管理机构、医疗卫生研究机构等教育行业•高校、职校、普教等电信行业•各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等能源行业•电力公司、石油公司、天然气公司、煤碳公司等企业单位•大中型企业、央企、上市公司等其他有信息系统定级需求的单位和行业等保建设的意义满足国家相关法律和制度的要求降低信息安全风险，提高定级对象的安全防护能力合理地规避或降低风险履行和落实网络信息安全责任义务等保2.0保护对象等级划分等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；等级保护对象受到破坏后，会对国家安全造成特别严重损害。第一级第二级第三级第四级第五级等保2.0实施工作流程定级、评审、备案需求分析总体设计建设方案规划整体实施方案设计安全产品和服务覆盖等保技术实现等保管理实现等保合规自评等保2.0实施阶段运行管控变更管控状态监控服务商管控等保测评检查改进信息处理设备处理存储介质处理对象定级与备案总体安全规划安全设计与实安全运行与维护定级对象终止等保2.0定级流程确定定级对象初步确认等级专家评审主管部门审核公安机关备案审查最终确定的等级包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等包括确定受侵害的客体、侵害对客体的侵害程度以及综合判定侵害程度定级对象的运营、使用单位应组织信息安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核定级对象的运营、使用单位应按照相关管理规定，将初步定级结果提交公安机关进行备案审查，审查不通过，其运营使用单位应组织重新定级。审查通过后最终确定定级对象的安全保护等级。等保2.0总体安全规划总体安全策略国家网络安全等级保护制度定级备案安全建设等级测评安全整改监督检查组织管理机制建设安全规划安全监测通报预警应急处置态势感知能力建设技术检测安全可控队伍建设教育培训经费保障网络安全综合防御体系风险管理体系安全管理体系安全技术体系网络信任体系安全管理中心通信网络区域边界计算环境等级保护对象网络基础设施、信息系统、大数据、物联网云平台、工控系统、移动互联网、智能设备等网络安全战略规划目标国家网络安全法律法规政策体系国家网络安全等级保护政策标准体系等保2.0技术保护方案规划安全管理中心大数据安全IT运维管理堡垒机漏洞扫描网站监测预警等保安全一体机等保建设咨询服务安全通信网络下一代防火墙VPN路由器交换机安全区域边界下一代防火墙入侵检测/防御上网行为管理安全沙箱动态防御系统身份认证管理流量安全分析WEB应用防护准入控制系统安全计算环境入侵检测/防御数据库审计动态防御系统网页防篡改漏洞风险评估数据备份终端安全建设要点•对安全进行统一管理与把控•集中分析与审计•定期识别漏洞与隐患建设要点•构建安全的网络通信架构•保障信息传输安全建设要点•强化安全边界防护及入侵防护•优化访问控制策略建设要点•强调系统及应用安全•加强身份鉴别机制与入侵防范等保2.0网络拓扑结构设计大数据安全IT运维管理堡垒机漏洞扫描网站监测预警等保一体机防篡改入侵检测动态防御系统数据库审计终端安全漏洞风险评估数据备份业务系统1业务系统2业务系统3业务系统4安全管理中心安全区域边界安全计算环境安全通信网络电信移动联通等保建设咨询服务互联网接入区数据中心区安全管理区办公终端区防火墙行为管理核心交换区安全通信网络设计等保要求控制点对应产品和方案安全通信网络网络架构路由器、交换机、网络规划与配置优化、核心设备/主干链路冗余部署通信传输VPN可信验证可信计算机机制电信移动联通主干网络链路及设备均采用冗余部署基于业务管理和安全需求划分出明确边界的网络区域采用VPN或HTTPS等加密手段保护业务通信数据中心终端接入区安全管理区安全区域边界设计等保要求控制点对应产品和方案安全区域边界边界防护下一代防火墙、身份认证与准入系统访问控制下一代防火墙、WEB应用防火墙、行为管理系统入侵防范入侵检测与防御、未知威胁防御、日志管理系统恶意代码和垃圾邮件防范防病毒网关、垃圾邮件网关、下一代防火墙安全审计行为审计系统、身份认证与准入系统、日志管理系统可信验证可信计算机机制区域边界部署必要的网络安全防护设备，启用安全防护策略建立基于用户身份认证与准入机制，启用安全审计策略采用行为模型分析等技术防御新型未知威胁攻击采集并留存不少于六个月的关键网络、安全及服务器设备日志安全计算环境设计等保要求控制点对应产品和方案安全计算环境身份鉴别身份认证与准入系统、堡垒机、安全加固服务访问控制身份认证与准入系统、安全加固服务安全审计堡垒机、数据库审计、日志审计系统入侵防范入侵检测防御、未知威胁防御、日志管理系统、渗透测试、漏洞扫描、安全加固服务恶意代码防范终端安全系统、杀毒软件、沙箱可信验证可信计算机机制数据完整性VPN、防篡改系统数据保密性VPN、SSL等应用层加密机制数据备份恢复本地数据备份与恢复、异地数据备份、重要数据系统热备剩余信息保护敏感信息清除个人信息保护防泄密系统、个人信息保护系统身份认证鉴别•面向业务多元身份聚合，一次登陆一网全通恶意代码防范•深度融合反病毒+主动防御、未知文件动态分析数据完整保密•建立安全的数据传输通道，对传输的数据完整性和保密性进行安全保护数据备份恢复•基于持续数据保护技术、备份集技术，满足不同业务系统的RTO/RPO目标安全管理中心设计等保要求控制点对应产品和方案安全管理中心系统管理堡垒机审计管理堡垒机安全管理堡垒机集中管理VPN、IT运维管理系统、安全态势感知平台、日志管理系统、等保一体机等安全建设管理测试验收上线前安全检测服务安全运维管理漏洞和风险管理渗透测试服务、漏洞扫描服务系统管理员、审计管理员、安全管理没权责清晰，三权分立设置独立安全管理区，采集全网安全信息，实施分析预警管理借力专业安服人员，提供渗透测试等高技术要求安全服务安全物理环境设计等保要求控制点对应产品和方案安全物理环境物理位置选择具有防风防雨防震的建筑、尽量避免顶层和地下室物理访问控制电子门禁系统防盗窃防破坏防盗报警系统和视频监控系统防火使用防火材料、自动气体消防系统防水防潮动环监控系统防雷击防雷保护装置防静电静电地板、静电消除器温湿度控制恒温恒湿精密空调系统电力供应稳压系统和不间断电源（UPS）系统电磁防护关键设备使用电磁防护系统等保2.0网络安全设备配置建议序号等保所需产品与服务等保二级等保三级1防火墙必备必备2入侵防御必备必备3日志审计必备必备4漏洞扫描必备必备5上网行为管理必备必备6WFA应用防火墙可选必备7堡垒机可选必备8数据库审计可选可选9网站防篡改可选必备10运维管理系统可选可选11网络版杀毒软件必备必备12未知威胁防御可选可选序号等保所需产品与服务等保二级等保三级13安全流量分析可选可选14等保一体机可选可选15垃圾邮件网关可选必备16沙箱系统可选可选17态势感知可选可选18终端准入系统可选必备19VPN网关可选可选20虚拟化安全系统可选必备21网闸可选可选22动态防御系统可选可选23网站监测预警系统可选可选24备份与恢复系统可选必备等保2.0技术防护方案总结智能进化层动态分析层执行采集层威胁情报中心云端安全中心云安服中心沙箱安全大数据平台动态防御网站监控数据安全应用安全主机安全网络安全网络设备安全等保2.0安全管理规划安全管理制度制定安全策略建立安全管理制度专人负责制定和发布管理定期评审和修订管理制度安全管理机构设立相应领导、管理、审计、运维机构和岗位配备系统管理、审计管理和安全管理员明确授权和审批事项和制度加强内部和外部安全专家沟通协作定期审核和检查安全策略和安全管理制度安全管理人员考核录用人员专业技能，签署保密协议。离岗人员及时回收权限、证照等加强安全意识和安全技能教育培训定期进行安全技术考核安全建设管理等保定级和备案安