等保2.0解读

等保1.0&等保2.0标准对比等级保护发展历程简介第九条：计算机信息系统实行安全等级保护。1994年-国务院147号令信息安全保障纲领性文件。第二条：实行信息安全等级保护。2003年-中办发27号文强制性标准：规定了我国计算机信息系统安全保护能力的五个等级。1999年-GB17859第二十一条：国家实行网络安全等级保护制度。2017年-《网络安全法》等保与《网络安全法》及应对思路第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。关键信息基础设施的安全保护等级不低于第三级违反《网络安全法》需承担相关法律责任第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款；对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款；对直接负责的主管人员处一万元以上十万元以下罚款。《网络安全法》部分执法案例信息来源：“公安三所网络安全法律研究中心”微信公众号等级保护工作实施流程1.确定信息系统的安全防护等级，形成定级报告。2.持定级报告和备案表到当地公安机关网监部门进行备案。3.参照信息系统当前等级要求和标准，对信息系统进行整改加固。4.委托具备测评资质的测评机构对信息系统进行等级测评，形成正式的测评报告。5.向当地公安机关网监部门提交测评报告，配合完成对信息安全等级保护实施情况的检查。定级备案建设整改等级测评监督检查信息来源：中国网络安全等级保护网来了，业界重新洗牌，大家都在同一起跑线上！等保2.0标准发布情况介绍•信息安全技术网络安全等级保护定级指南GA/T1389-2017•信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求GA/T1390.2-2017•信息安全技术网络安全等级保护基本要求第3部分：移动互联安全扩展要求GA/T1390.3-2017•信息安全技术网络安全等级保护基本要求第5部分：工业控制系统安全扩展要求GA/T1390.5-2017已发布（公安行标）•信息安全技术网络安全等级保护基本要求（送审稿）GB/T22239-20XX•信息安全技术网络安全等级保护安全设计技术要求（送审稿）GB/T25070-20XX•信息安全技术网络安全等级保护测评要求（送审稿）GB/T28448-20XX•信息安全技术网络安全等级保护实施指南（送审稿）GB/T25058-20XX未发布（国标）1等保2.0核心变化介绍等级保护2.0时代2016年10月10日，第五届等级保护大会在昆明召开，业界一致认为，本次大会的召开，标志着等级保护进入2.0时代。＝＝＝标准历程＝＝＝＝＝＝＝2014年初，公安部牵头组织信息技术新领域等级保护标准申报工作。2015年初，标委会批准立项，建议形成基本要求和测评要求的系列标准。2015年中，标委会批准设计要求修订立项，形成设计要求系列标准。2017年初，草案经信安标委会投票通过，成为公开征求意见稿。4月推进为送审稿核心变化：重点保障关键信息基础设施等级保护1.0网站信息系统传统IT环境等级保护2.0关键信息基础设施公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域云计算、物联网、移动互联、工控、大数据等新IT环境2020/7/27面对关键信息基础设施，等级保护《基本要求》需要创新发展：适应新型的系统形态和网络架构面对新技术新应用的扩展使基本指标具有动态、可扩展性从合规测评到CIIP安全状态评价管理策略的变化围绕关键信息基础设施保护特点，信息安全等级保护的管理策略也将发生相应变化。自主定级、自主保护、监督指导明确等级、增强保护、常态监督保护方法的变化通用要求中的基本指标行业标准的增加、增强指标新技术、新应用的扩展指标定级对象的特殊安全需求指标从基本安全-到相对安全从统一基线-到针对性保护等级保护2.0围绕关键信息基础设施保护，信息安全等级保护制度进入新的历史阶段！等级保护2.0时代•2.0时代,等级保护空前重要（我们要顺势而为）2.0时代,等级保护制度上升为法律2.0时代,等级保护对象大扩展2.0时代,等级保护内容大不同2.0时代,等级保护体系大升级2020/7/27定级对象信息系统业务处理类对象信息系统、工业控制系统、物联网系统等基础服务类对象网络、云服务平台、大数据分析平台等数据资源类对象《定级指南》修订定级对象的扩展定级方法的变化定级方法的变化云服务方的云平台与云租户的应用系统应分别定级，平台等级不低于所承载的应用系统的安全保护等级。移动互联应用、物联网应用和工业控制系统依据业务系统重要性确定等级。2020/7/272020/7/27等级保护1.0定级备案建设整改等级测评监督检查等级保护2.0五个规定动作风险评估安全检测通报预警案事件调查数据防护灾难备份应急处置……与时俱进的等级保护工作监督检查定级备案建设整改等级测评监督检查·定级备案建设整改信息共享态势感知应急演练。。。等级测评按需定制线上线下攻防对抗。。。运营使用单位/厂商测评机构监管机构受侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公司、法人和其他组织的合法利益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级信息系统重要程度危害程度网络基础设施、信息系统、大数据、云计算、物联网、移动互联、工控系统等第三级项控制点类方面信息系统信息安全等级保护基本要求技术要求物理安全类控制点10具体要求项33网络安全类控制点7具体要求项32主机安全类控制点9具体要求项36应用安全类控制点11具体要求项36数据安全及备份恢复类控制点3具体要求项11管理要求安全管理制度类控制点3具体要求项14安全管理机构类控制点5具体要求项20人员安全管理类控制点5具体要求项18系统建设管理类控制点11具体要求项48系统运维管理类控制点13具体要求项70方面控制点项类保护对象网络安全等级保护基本要求（1）安全通用要求技术要求物理和环境安全控制点10具体要求项24网络和通信控制点8具体要求项34设备和计算安全控制点6具体要求项28应用和数据安全控制点10具体要求项29管理要求安全策略和管理制度控制点4具体要求项8安全管理机构和人员控制点9具体要求项27安全建设管理控制点10具体要求项35安全运维管理控制点14具体要求项50方面控制类二级三级四级技术要求物理安全101010网络安全677主机安全679应用安全7911数据安全及备份恢复333管理要求安全管理制度333安全管理机构555人员安全管理555系统建设管理91111系统运维管理121313合计/667377级差//74方面控制类二级三级四级技术要求物理和环境安全101010网络和通信安全688设备和计算安全666应用和数据安全91010管理要求安全策略和管理制度344安全管理机构和人员999系统安全建设管理91010系统安全运维管理141414合计/667171级差//5/方面控制类二级三级四级技术要求物理安全193233网络安全183332主机安全193236应用安全193136数据安全及备份恢复4811管理要求安全管理制度71114安全管理机构92020人员安全管理111618系统建设管理284548系统运维管理426270合计/175290318级差//11528方面控制类二级三级四级技术要求物理和环境安全162124网络和通信安全143334设备和计算安全172828应用和数据安全213529管理要求安全策略和管理制度578安全管理机构和人员162427系统安全建设管理253435系统安全运维管理334950合计/147231235级差//8442等保2.0核心标准介绍•等保2.0标准解读2020/7/272020/7/27要求项变化内容解读物理位置的选择降低要求,以前明确要求不得在顶层戒者地下室,现在是可以,只要有加强措施即可。物理访问控制降低要求,原三级丏人职守和电子门禁等其他很多内容,新要求都取消了值要求配置电子门禁即可。防盗窃和防破坏取消要求:不再要求介质安全,不再要求光电报警、监控报警等防雷击取消要求,取消建筑物的避雷要求,这方面要求对于IT部门往往不好实现。防火表述方式调整,更加精准可实施,基本内容不变。防水和防潮取消要求,取消水管安装不得穿过机房屋顶和活劢地板下的要求。防静电新增要求,提出需要静电消除器、防静电手环等。温湿度控制无变化电力供应增强要求:原备用电力供应(UPS)只要求支持关键设备,现在要求支持所有设备。取消要求:取消备用供电系统(发电机)的要求电磁防护取消要求:取消电磁屏蔽要求,电磁屏蔽对三级来讲要求过高。2020/7/27要求项变化内容解读网络结构---网络架构增强要求:原要求保障关键设备业务高峰期冗余,变化为所有设备的业务高峰期冗余要求。取消要求:不再要求应绘制与当前运行情况相符的网络拓扑结构图提出避免讲重要网络区域部属在网络边界处并丐没有防护。取消要求:不再要求按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。新增通信传输要求项新增要求:应采用校验码技术保证通信过程中数据的完整性。应对通信过程中的敏感信息字段戒整个报文进行加密。边界完整性该要求项取消新增边界防护要求项新增要求:应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信。新增要求:对接入和外联设备进行限制戒检查新增要求:对无线网络提出边界防护要求2020/7/27要求项变化内容解读入侵防范增强要求:以前只要求网络边界处进行入侵防范,现在改为关键节点处要进行入侵防范。新增要求:提出要检测进行从内到外的攻击行为。新增要求:提出要针对未知威胁进行检测;安全审计新增要求:提出要建立统一时钟,保证审计结果精准。新增要求:提出对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。(数据中心必须有互联网审计AC)网络设备防护该要求项取消恶意代码防范增强要求:原有的网络边界处进行恶意代码检测,变为关键节点处;取消要求:病毒库异构要求取消新增要求:要求在关键节点对垃圾邮件进行过滤;新增资源控制要求项新增要求:要求有单独管理区域,并建立安全管理通道新增要求:应对链路和设备的运行状态进行统一监测(网管监控平台)新增要求:对所有审计数据进行汇总和统一分析(综合日志审计系统)新增要求:对安全策略、恶意代码、补丁升级等进行集中管理;新增要求:对网络中的各种安全亊件进行识别、报警和分析;2020/7/27要求项变化内容解读身份鉴别表述方式调整,更加精准可实施,基本内容不变。访问控制表述方式调整,更加精准可实施,基本内容不变。安全审计新增要求:提出要建立统一时钟,保证审计结果精准。入侵防范增强要求:应能发现可能存在的漏洞,并在经过充分测试