等保2.0网络安全等级保护解决方案

1、等保网络安全等级保护解决方案2.0等保2.0安全管理规划等保2.0总体介绍等保2.0技术防护方案设计附录：网络安全违法案例等保2.0测评流程ontentsC12345目录网络安全相关法律第二十五条国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；中华人民共和国国家安全法中华人民共和国网络安全法第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改网

2、络安全等保及相关标准分等级实行安全保护对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护实行按等级管理 对信息系统中使用的信息安全产品实行按等级管理 分等级响应、处置对信息系统中发生的信息安全事件分等级响应、处置计算机信息系统安全保护等级划分准则（GB17859-1999）信息安全技术 网络安全等级保护基本要求（GB/T22239一2019）信息安全技术 网络安全等级保护安全设计技术要求（GB/T25070一2019）信息安全技术 网络络安全等级保护测评要求（GB/T28448-2019）信息安全技术 网络安全等级保护测评过程指南（

3、GB/T28449-2019)信息安全技术 信息糸统安全等级保护定级指南(GB/T22240-2008)信息安全技术 网络安全等级保护测试评估技术指南（GB/T36627-2018）信息安金技术 网络安全等级保护安全管理中心技术要求(GB/T36958一2018）信息安全技术 网络安全等级保护评机构能力要求和评估规范（GB/T36959-2018)网络安全等级保护1994年中华人民共和国计算机信息系统安全保护条例颁布实施1999年计算机信息系统安全等级保护划分准则（GB17859）发布。2008年 等级保护1.0元年信息安全技术信息系统安全等级保护基本要求相关标准发布实施。2016年发布中华人

4、民共和国网络安全法等级保护发展历程2019年 等级保护2.0元年5月13日正式发布等级保护2.0版本（信息安全技术网络安全等级保护基本要求等保2.0相对1.0的关键变化对象变化信息安全 网络安全，引入云计算、移动互联、工控、物联网等新领域结构调整一个中心、三重防御防御理念被动防御 主动防御等保2.0的特点及新变化等保2.0的特点及新变化对象范围扩大分类结构统一强调可信计算标准名称变化保护对象变化安全要求变化章节结构变化分类结构变化新增云计算安全扩展要求新增移动互联网安全扩展要求新增物联网安全扩展要求新增工业控制系统安全扩展要求增加应用场景要求三大特点十大变化等保2.0基本框架等保2.0基本框架

5、技术要求安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心管理要求安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理等保2.0充分体现了“一个中心三重防御“的思想，一个中心指“安全管理中心”，三重防御指“安全计算环境、安全区域边界、安全网络通信”，同时等保2.0强化可信计算安全技术要求的使用等保2.0涉及的行业政府单位各大部委、各省级政府机关、各地市县级政府机关、各事业单位等公共安全行业公安、司法、检察、监察等金融行业金融监管机构、各大银行、证券、保险公司等医疗行业医院、疫病控制中心、医疗卫生管理机构、医疗卫生研究机构等教育行业高校、职校、普教等电信行业各大电信运营商、各省

6、电信公司、各地市电信公司、各类电信服务商等能源行业电力公司、石油公司、天然气公司、煤碳公司等企业单位大中型企业、央企、上市公司等其他有信息系统定级需求的单位和行业等保建设的意义满足国家相关法律和制度的要求降低信息安全风险，提高定级对象的安全防护能力合理地规避或降低风险履行和落实网络信息安全责任义务 等保2.0保护对象等级划分等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；等级保护对象受到破坏后，会对公民、法人和其他

7、组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；等级保护对象受到破坏后，会对国家安全造成特别严重损害。第一级第二级第三级第四级第五级等保2.0实施工作流程定级、评审、备案需求分析总体设计建设方案规划整体实施方案设计安全产品和服务覆盖等保技术实现 等保管理实现等保合规自评等保2.0实施阶段运行管控 变更管控状态监控 服务商管控等保测评 检查改进信息处理设备处理存储介质处理对象定级与备案总体安全规划安全设计与实安全运行与维护定级对象终止等保2.0定级流程确定定级

8、对象初步确认等级专家评审主管部门审核公安机关备案审查最终确定的等级包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等包括确定受侵害的客体、侵害对客体的侵害程度以及综合判定侵害程度定级对象的运营、使用单位应组织信息安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核定级对象的运营、使用单位应按照相关管理规定，将初步定级结果提交公安机关进行备案审查，审查不通过，其运营使用单位应组织重新定级。审查通过后最终确定定级对象的安全保护等级。等保2.0总体安全规划总体安全策略国家网络安全等级

9、保护制度定级备案安全建设等级测评安全整改监督检查组织管理机制建设安全规划安全监测通报预警应急处置态势感知能力建设技术检测安全可控队伍建设教育培训经费保障网络安全综合防御体系风险管理体系安全管理体系安全技术体系网络信任体系安全管理中心通信网络区域边界计算环境等级保护对象网络基础设施、信息系统、大数据、物联网云平台、工控系统、移动互联网、智能设备等网络安全战略规划目标国家网络安全法律法规政策体系国家网络安全等级保护政策标准体系等保2.0技术保护方案规划安全管理中心大数据安全IT运维管理堡垒机漏洞扫描网站监测预警等保安全一体机等保建设咨询服务安全通信网络下一代防火墙VPN路由器交换机安全区域边界下一

10、代防火墙入侵检测/防御上网行为管理安全沙箱动态防御系统身份认证管理流量安全分析WEB应用防护准入控制系统安全计算环境入侵检测/防御数据库审计动态防御系统网页防篡改漏洞风险评估数据备份终端安全建设要点对安全进行统一管理与把控集中分析与审计定期识别漏洞与隐患建设要点构建安全的网络通信架构保障信息传输安全建设要点强化安全边界防护及入侵防护优化访问控制策略建设要点强调系统及应用安全加强身份鉴别机制与入侵防范等保2.0网络拓扑结构设计大数据安全IT运维管理堡垒机漏洞扫描网站监测预警等保一体机防篡改入侵检测动态防御系统数据库审计终端安全漏洞风险评估数据备份业务系统1业务系统2业务系统3业务系统4安全管理中

11、心安全区域边界安全计算环境安全通信网络电信移动联通等保建设咨询服务互联网接入区数据中心区安全管理区办公终端区防火墙行为管理核心交换区安全通信网络设计等保要求控制点对应产品和方案安全通信网络网络架构路由器、交换机、网络规划与配置优化、核心设备/主干链路冗余部署通信传输VPN可信验证可信计算机机制电信移动联通主干网络链路及设备均采用冗余部署基于业务管理和安全需求划分出明确边界的网络区域采用VPN或HTTPS等加密手段保护业务通信安全区域边界设计等保要求控制点对应产品和方案安全区域边界边界防护下一代防火墙、身份认证与准入系统访问控制下一代防火墙、WEB应用防火墙、行为管理系统入侵防范入侵检测与防御、

12、未知威胁防御、日志管理系统恶意代码和垃圾邮件防范防病毒网关、垃圾邮件网关、下一代防火墙安全审计行为审计系统、身份认证与准入系统、日志管理系统可信验证可信计算机机制区域边界部署必要的网络安全防护设备，启用安全防护策略建立基于用户身份认证与准入机制，启用安全审计策略采用行为模型分析等技术防御新型未知威胁攻击采集并留存不少于六个月的关键网络、安全及服务器设备日志安全计算环境设计等保要求控制点对应产品和方案安全计算环境身份鉴别身份认证与准入系统、堡垒机、安全加固服务访问控制身份认证与准入系统、安全加固服务安全审计堡垒机、数据库审计、日志审计系统入侵防范入侵检测防御、未知威胁防御、日志管理系统、渗透测试

13、、漏洞扫描、安全加固服务恶意代码防范终端安全系统、杀毒软件、沙箱可信验证可信计算机机制数据完整性VPN、防篡改系统数据保密性VPN、SSL等应用层加密机制数据备份恢复本地数据备份与恢复、异地数据备份、重要数据系统热备剩余信息保护敏感信息清除个人信息保护防泄密系统、个人信息保护系统身份认证鉴别面向业务多元身份聚合，一次登陆一网全通恶意代码防范深度融合反病毒+主动防御、未知文件动态分析数据完整保密建立安全的数据传输通道，对传输的数据完整性和保密性进行安全保护数据备份恢复基于持续数据保护技术、备份集技术，满足不同业务系统的RTO/RPO目标安全管理中心设计等保要求控制点对应产品和方案安全管理中心系统

14、管理堡垒机审计管理堡垒机安全管理堡垒机集中管理VPN、IT运维管理系统、安全态势感知平台、日志管理系统、等保一体机等安全建设管理测试验收上线前安全检测服务安全运维管理漏洞和风险管理渗透测试服务、漏洞扫描服务系统管理员、审计管理员、安全管理没权责清晰，三权分立设置独立安全管理区，采集全网安全信息，实施分析预警管理借力专业安服人员，提供渗透测试等高技术要求安全服务安全物理环境设计等保要求控制点对应产品和方案安全物理环境物理位置选择具有防风防雨防震的建筑、尽量避免顶层和地下室物理访问控制电子门禁系统防盗窃防破坏防盗报警系统和视频监控系统防火使用防火材料、自动气体消防系统防水防潮动环监控系统防雷击防雷

15、保护装置防静电静电地板、静电消除器温湿度控制恒温恒湿精密空调系统电力供应稳压系统和不间断电源（UPS）系统电磁防护关键设备使用电磁防护系统等保2.0网络安全设备配置建议序号等保所需产品与服务等保二级等保三级1防火墙必备必备2入侵防御必备必备3日志审计必备必备4漏洞扫描必备必备5上网行为管理必备必备6WFA应用防火墙可选必备7堡垒机可选必备8数据库审计可选可选9网站防篡改可选必备10运维管理系统可选可选11网络版杀毒软件必备必备12未知威胁防御可选可选序号等保所需产品与服务等保二级等保三级13安全流量分析可选可选14等保一体机可选可选15垃圾邮件网关可选必备16沙箱系统可选可选17态势感知可选可

16、选18终端准入系统可选必备19VPN网关可选可选20虚拟化安全系统可选必备21网闸可选可选22动态防御系统可选可选23网站监测预警系统可选可选24备份与恢复系统可选必备等保2.0技术防护方案总结智能进化层动态分析层执行采集层威胁情报中心云端安全中心云安服中心沙箱安全大数据平台动态防御网站监控数据安全应用安全主机安全网络安全网络设备安全等保2.0安全管理规划安全管理制度制定安全策略建立安全管理制度专人负责制定和发布管理定期评审和修订管理制度安全管理机构设立相应领导、管理、审计、运维机构和岗位配备系统管理、审计管理和安全管理员明确授权和审批事项和制度加强内部和外部安全专家沟通协作定期审核和检查安全

17、策略和安全管理制度安全管理人员考核录用人员专业技能，签署保密协议。离岗人员及时回收权限、证照等加强安全意识和安全技能教育培训定期进行安全技术考核安全建设管理等保定级和备案安全方案设计安全产品采购和使用自主和外包软件开发管理安全保护工程实施管理安全防护测试验收系统验收交付定期等保测评监督、评审和审核安全服务提供商安全运维管理运行环境管理被保护资产管理信息存储介质管理设备维护管理漏洞和风险管理网络和系统安全管理恶意代码防范管理系统、变更配置和密码管理备份与恢复管理安全事件和应急预案管理外包运维管理等保2.0测评流程测评准备活动工作启动信息收集和分析工具和表单准备方案编制活动测评对象确定测评指标确定

18、测评内容确定工具测试方法确定测评指导书开发测评方案编制现场测评活动现场测评准备现场测评和结记录结果确认和资料归还报告编制活动单项测评结果判定单元测评结果判定整体测评系统安全保障评估安全问题风险分析等级测评结论形成测评报告编制沟通与洽谈网络安全违法处罚案例医院服务器网络日志未保存6个月近日，邵阳县公安局网安大队民警对邵阳县人民医院信息系统进行网络安全执法检查时，发现邵阳县人民医院相关服务器网络日志未保存六个月、信息系统未进行安全等级保护测评，邵阳县人民医院未履行网络安全保护义务。处罚：根据中华人民共和国网络安全法第五十九条第一款之规定，邵阳县公安局依法对邵阳县人民医院予以警告，责令其限期改正，要

19、求该医院对服务器网络日志保存不少于6个月并落实网络安全等级保护工作。常德抗战网存在安全漏洞并被攻击6月17日，武陵公安网安大队在日常网络安全技术监测中发现，常德抗战文化研究会所属的常德抗战网存在网站后门，并有已遭受网络攻击的痕迹。网安民警很快分析发现了该网站后门的url，并开展调查工作。经查，该研究会于2015年开办常德抗战文化研究会官方网站，但因为对网络安全认识不足，平时疏于管理，网站未采取必要的防范网络攻击、网络侵入的技术措施，安全防护薄弱，导致网站存在安全漏洞并被攻击。处罚：武陵公安依法对常德抗战文化研究会予以行政警告，责令其限期整改，要求该研究会全面建立安全管理制度，采取安全保护技术措

20、施防止网站被攻击和被入侵并落实网络安全等级保护工作。洛阳市北控水务集团被罚款8万元河南省公安厅监测发现，洛阳市北控水务集团远程数据监测平台遭到黑客攻击，致使网页被篡改。事件发生后，洛阳警方第一时间派出网络安全应急处置小组到该中心网站所在地进行处置和调查。经查，洛阳市北控水务集团网络安全意识淡薄，网络安全管理制度不健全，网络安全技术措施落实不到位，未留存6个月以上的网络日志。处罚：针对此案，洛阳市公安局长春路分局依据网络安全法第五十九条第一款之规定，给予洛阳市北控水务集团80000元罚款的行政处罚，同时分别对三个部门相关责任人李某、张某、李某给予15000元、10000元、10000元罚款的行政处罚。网络安全违法处罚案例重庆