等级保护2.0时代网络安全防护体系(等保2.0)课件

1、等级保护2.0时代 网络安全防护体系第1页，共84页。网络安全形势变化123等保2.0安全目标等保2.0的新变化目 录Contents4等保2.0安全防护体系第2页，共84页。网络安全形势变化第3页，共84页。网络安全新形势新技术云计算 大数据 物联网 移动互联工业控制新挑战APT特种木马高危漏洞新战略网络强国战略 网络安全法第4页，共84页。新型安全攻击层出不穷棱镜门事件心脏滴血漏洞索尼影业被黑twitter3200万 账号密码泄漏永恒之蓝震网乌克兰电网美国西海岸Struts2漏洞Continue第5页，共84页。新型安全攻击层出不穷 APT攻击日益剧增具备国家和组织背景的APT攻击日益增多

2、，APT结合了社会工 程学（内部威胁）、挂马、0day漏洞、深层渗透、长期潜伏、 隐蔽等特点，非常具有破坏性，是未来网络战的主要手段，也 是对网络空间安全危害最大的一种攻击方式。APT特点：高级型：组织高级、投入高级、技术高级持续威胁性：深层渗透、长期潜伏、隐蔽 典型案例：震网事件、美国总统大选被黑事件、乌克兰电网被黑事件第6页，共84页。新型安全攻击层出不穷特种木马最近几年，类似有针对性的超级病毒层出不穷，而传统以 特征值为防护策略的安全软件已不在能够有效的进行安全 防护，信息安全及国家安全面临着巨大挑战。Stuxnet蠕虫病毒（超级工厂病毒）是世界上首个专门针对工 业控制系统编写的破坏性病

3、毒，能够利用对windows系统和 西门子SIMATIC WinCC系统的7个漏洞进行攻击。BlackEnergy（黑暗力量）利用西门子WinCC系统已修复的 漏洞发动攻击。第7页，共84页。心脏出血破壳系统漏洞中间件漏洞日益增强的攻击手段高危漏洞随着OpenSSL、Bash等软件相继被爆出高危漏洞，这些漏洞都可直接导致信息系统重要数据被窃 取或导致信息系统遭受恶意攻击和破坏。第8页，共84页。日益增强的攻击手段“黑客玩家”转为“国家力量”“单打独斗”转为“集体做战”“短期获利”转为“长期经营” 趋势变化第9页，共84页。网络安全受到空前重视国外网络安全战略2011年7月美国公布了网络空间行动

4、战略，首次将网络空间列为与陆、海、空、太空 并列的第五大行动领域。信息和网络已成为国家经济和社会发展的新的重要战略资源,属国 家主权领域。美、英、德、法等国先后制定了本国的网络空间安全战略，成立了专门机构推进相关体制 机制的完善，将网络空间安全由“政策”、“计划”提升为国家战略，并宣布了国际战略 和作战战略。各国之间在网络空间的对抗日趋激烈，近年爆发的震网、火焰等新型网络攻击手段都对对 方国家安全造成了威胁。信息安全保障工作已成为维护国家安全、社会稳定，促进信息化 深入发展，构建社会主义和谐社会的重要保障。第10页，共84页。信息技术变化越来越快，过去分散独立的网络变得高度关联、相互依赖，网络

5、安全的威胁来源和攻击手段不断 变化，那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜，需要树立动态、综合的防护理念。金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中 之重，也是可能遭到重点攻击的目标。我们必须深入研究，采取有效措施，切实做好国家关键信息基础 设施安全防护。（要）全天候全方位感知网络安全态势。知己知彼，才能百战不殆。没有意识到风险是最大的风险。网络安 全具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏几年都发现不了，结果是“谁进来了不知道、是敌 是友不知道、干了什么不知道”，长期“潜伏”在里面，一旦有事就发作了。要建立政府

6、和企业网络安全信息共享机制，把企 业掌握的大量网络安全信息用起来，龙头企业要 带头参加这个机制。网络安全受到空前重视第11页，共84页。网络安全受到空前重视 国家网络安全法国家网络安全等级保护制度（基本制度、基本国策，上升为法律）第二十一条 国家实行网络安全等级保护制度。网络运营者应当按 照网络安全等级保护制度的要求，履行下列安全保护义务第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破 坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、 公共利益的关键信息基础设施，在网络安全等级保护制度的基础上， 实行重点保护。第12

7、页，共84页。网络安全领域基本法国家安全五个领域（海、陆、空、天、网）目标：网际空间自主可控安全可靠总体牵头：中央网信办总体牵头监管单位：公安/工信/广电/国办（非密领域管理指导监管检查）国M/国A/保M/机要/中B/科工委（涉密领域管理指导监督检查）互联网 安全领域刚性需求上升国产化替代 安全领域试点推进础设施安重要系统基全领域需求伴随十三五涉及国家MM 安全领域需求伴随N网第13页，共84页。关键信息基础设施保护金融银行运营证券期货交易 清算支付保险运营能源电力石油石化 煤炭工业制造企业运营管理智能制造系统存储管控 高风险工业设施运行管控水利市政水、暖、气供应管理 城市轨道交通 、污水处理

8、 智慧城市运行及管控民航公路 交通 水运广播电视Key Information Foundational Facilities电信与互联网音、数据、互联网基础网络及枢纽 域名解析服务和国家顶级域注册管理 数据中心/云服务水利枢纽运行及管控电视播出管控长距离输水管控广播播出管控城市水源地管控医疗卫生政府部门医院等卫生机构运行信息公开疾病控制向公众服务急救中心运行办公业务系统关键信息基础设施的安全保护等级不低于第三级。第14页，共84页。新时代的网络安全观辩证思维网络安全上升为国家战略，成为总体国家安全观的重要组成部分国家战略统一体合作共赢新时代的网络安全观以人为本将网络安全和信息化工作视为一个统

9、一体，形成了一体两翼、驱动双轮的 网络安全观针对网络安全新形势、新特点，提出了整体、动态、开放、相对、共同的 辩证网络安全观针对全球互联网领域发展不平衡、规则不健全、秩序不合理等问题，提出 了在相互尊重、相互信任基础上合作共赢的网络安全观将以人民为中心的发展思想贯穿到网络安全领域，形成了“网络安全为人 民，网络安全靠人民”的以人为本的网络安全观没有网络安全就没有国家安全第15页，共84页。网络安全形势变化 法律支撑：计算机信息系统安全等级 保护条例提升为“网络安全法”中的 网络安全等级保护制度。云计算、大数据、工控系统、移动 互联、物联网网络安全法APT、特种 木马、高危 漏洞科学技术：由分层

10、被动防护到科学安 全框架下的主动免疫防护. 工程应用：由传统的信息系统防护转 向新型业务应用环境下的主动防御体 系建设.等级保护2.0第16页，共84页。等级保护发展历程回顾中华人民共和国计算机信息 系统安全保护条例 (1994年2 月18日中华人民共和国国务 院令147号发布)2003年9月中办国办颁发关 于加强信息安全保障工作的 意见（中办发200327号）2004年11月四部委会签关 于信息安全等级保护工作的 实施意见（公通字200466号）2006年1月四部委会签 关 于印发信息安全等级保护 管理办法的通知 （公通字20067号）2007年6月公安部、保密局、国密局、国 信办联合印发信

11、息安全等级保护管理办 法（公通字200743号 ）2007年7月关于开展全国重 要信息系统安全等级保护定 级工作的通知 （公信安2007861号）2008年发布GB/T 222392008 信息系统安全等级保 护基本要求、GB/T222402008 信息系统安 全等级保护定级指南2009年公安部发文关于开 展信息系统等级保护安全建 设整改工作的指导意见（公信安20091429号）2010年3月公安部发文关于 推动信息安全等级保护测评 体系建设和开展等级测评工作的通知（公信安303号）2016年10月公安部网络安全保卫 局组织对原有国家标准 GB/T 22239-2008等系列标准进行了修 订，

12、新的国家标准（简称新国标） 将适时发布。2019年5月10日，发布等保2.0， GB/T22239-2019基本要求、 GB/T22448-2019测评要求、 GB/T25070-2019安全设计技术要 求，2019年12月1日实施。起步阶段发展阶段2005年9月国信办文件 关 于转发电子政务信息安全 等级保护实施指南的通知 （国信办200425号）推行阶段新等保阶段信息安全等级保护是基本制度、基本国策、基本方法信息安全等级保护是党中央国务院决定在信息系统安全领域实施的基本国策信息安全等级保护是国家信息安全保障工作的基本制度信息安全等级保护是国家信息安全保障工作的基本方法正式进入2.0时代第1

13、7页，共84页。等保2.0安全目标第18页，共84页。等保2.0安全目标重建主动免疫可信体系适应新技术新应用云计算工业控 制物联网移动互 联云计算、大数据、物联网、移动互联网、虚拟动 态异构计算环境更需要可信度量、识别和控制体系结构可信 操作行为可信 资源配置可信 数据存储可信 策略管理可信合法合规第19页，共84页。等保2.0安全目标 被动防御主动防 护国家实行网络安全等级保护制度。 网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保 护义务，保障网络免受干扰、破坏 或者未经授权的访问，防止网络数 据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操 作规程，确定网络安全负责人，

14、落 实网络安全保护责任；（二）采取防范计算机病毒和网络 攻击、网络侵入等危害网络安全行为的技术措施；违 规 外 联介 质 管 控特 征 码 扫 描规则匹配行 为 分 析场 景 研 判决 策 支 撑实时感知场景式控制 过程导向智能分析静态策略机械式控制 结果导向ACL状 态 感 知第20页，共84页。等保2.0的新变化第21页，共84页。等保2.0的新变化网 络 安 全 等 级 保 护 2.0-主要标准网络安全等级保护条例（总要求/上位文件）计算机信息系统安全保护等级划分准则（GB17859-1999）（上位标准）网络安全等级保护实施指南（GB/T25058）（正在修订）网络安全等级保护定级指南

15、（GB/T22240）（正在修订）网络安全等级保护基本要求（GB/T22239-2019）网络安全等级保护设计技术要求（GB/T25070-2019）网络安全等级保护测评要求（GB/T28448-2019）网络安全等级保护测评过程指南（GB/T28449-2018）第22页，共84页。等保2.0的新变化等保1.0等保2.0信息系统安全等级保护定级指南求南GB 17859-1999 计算机信息系统安全保护等级划分准则信信信信信息息息息息系系系系系统统统统统安安等安安全全级全全等等保等等级级护级级保保安保保护护全护护基实设测测本施计评评要指技要过求南术求程要指第23页，共84页。等保2.0的新变化

16、等保1.0等保2.0的规范管理。（ 基于2019 最近发布等级保护标准）未变化 修订内容新增GB 17859-1999 计算机信息系统安全保护等级划分准则信息正式更名为网络安全等级保系护标准；横向扩展了对 云计算、移动 互联网、物联 网、工业控制 系统的安全要 求；纵向扩展了对 等保测评机构统安等级保护定级指南网络全等级保护实施指南网络安级保护过程指网络安全等级保护基本要求求：安云移物工全计动联业通算互网控全用安联安制要全安全系求扩全扩统展扩展安要展要全求要求扩展要求网络安全等级保护安 全设计技术要求求安：安云移物工全计动联业通算互网控用安联安制要全安全系求扩全扩统展扩展安要展要全求要求扩展要

17、求网络安全等级保护测 评要求求：全计动联业通算互网控用安联安制要全安全系求扩全扩统展扩展安要展要全求要求扩展要求网络安全等级保护安全管理中心技术要求网络安安云移物工全全等等级保护测测评试评估技南术指南网络安全等级测评机构能力要求和评估规范第24页，共84页。等保2.0的新变化第25页，共84页。等保2.0的新变化第26页，共84页。等保2.0的新变化第27页，共84页。等保2.0的新变化-定级对象范围扩大 信息系统（计算机）等级保护 对象使用移动 互联技术 信息系统基础信息 网络物联网云计算 平台工业控制 系统大数据 特点：对象扩展第28页，共84页。等保2.0的新变化-级别调整受害的客体对客

18、体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级作为等保1.0时代的核心体系文件，管理办法并未在主文中规定当遭受破坏后对公民、法人和其他组织 合法权益产生特别严重损害的信息系统应当如何定级，只是在GB/T 22240-2008中，将其定义为二级；在2.0 时代，在等保条例与新GA/T 22240中，都明确定义为三级。 特点：级别变化第29页，共84页。等保2.0的新变化-定级4.公安机关审核确定定级对象专家评审主管部门审批 特点：自主定级审 核第30页，共84页。等保2.0的新变化-备案流程

19、流程管控更加严格第31页，共84页。等保2.0的新变化-监管第32页，共84页。等保2.0的新变化-监管第33页，共84页。等保2.0的新变化-监管第34页，共84页。等保2.0的新变化-监管第35页，共84页。等保2.0的新变化-监管 能力验证第36页，共84页。等保2.0的新变化-监管 项目抽查与飞行检查第37页，共84页。等保2.0的新变化-监管 测评机构整改和资质取消第38页，共84页。等保2.0的新变化等级保护2.0时代，将根据信息技术发展应用和网络安全态势，不断丰富制度内涵、拓展保护范围、完善监 管措施，逐步健全网络安全等级保护制度政策、标准和支撑体系。 等级保护上升为法律中华人民

20、共和国网络安全法第21条规定“国家实行 网络安全等级保护制度”，要求“网络运营者应当按照网络 安全等级保护制度要求，履行安全保护义务”；第31条规定“对于国家关键信息基础设施，在网络安全等级保护制度的 基础上，实行重点保护”。 等级保护对象将不断拓展随着云计算、移动互联、物联网、工业控制、人工智 能等新技术不断涌现，计算机信息系统的概念已经不能涵 盖全部，特别是互联网快速发展带来大数据价值的凸显， 等保保护对象的外延将不断拓展。 等级保护工作内容将持续扩展在定级、备案、建设整改、等级测评和监督检查等规定 动作基础上，2.0时代风险评估、安全监测、通报预警、案 事件调查、数据防护、灾难备份、应急

21、处置、自主可控、 供应链安全、效果评价、综治考核等这些与网络安全密切 相关的措施都将全部纳入等级保护制度并加以实施。 等级保护体系将进行重大升级2.0时代，主管部门将继续制定出台一系列政策法规和 技术标准，形成运转顺畅的工作机制，在现有体系基础上， 建立完善等级保护政策体系、标准体系、测评体系、技术 体系、服务体系、关键技术研究体系、教育训练体系等。第39页，共84页。等保2.0的新变化-1.0分类物 理 安 全技术要求管理要求基本要求网 络 安 全主 机 安 全应 用 安 全数 据 安 全 及 备 份 恢 复安 全 管 理 制 度安 全 管 理 机 构人 员 安 全 管 理系 统 建 设 管

22、 理系 统 运 维 管 理第40页，共84页。等保2.0的新变化-2.0分类安 全 物 理 环 境技术要求管理要求基本要求安 全 通 信 网 络安 全 区 域 边 界安 全 计 算 环 境安 全 管 理 中 心安 全 管 理 制 度安 全 管 理 机 构安 全 管 理 人 员系 统 建 设 管 理系 统 运 维 管 理第41页，共84页。等保2.0的新变化注：基于基本要求2008、网络安全保护基本要求第一部分：通用安全要求征求意见稿及GB/T 22239-2019信息安全等级保护基本要求三级要求对比分析。 安全控制域划分上有较大变化，原有十个安全域征求意见整合为八个，正式版重新变为十个，定义上

23、更 精确，内涵更为丰富。网络安全主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理网络和通信安全设备和计算安全应用和数据安全安全策略和管理 制度安全管理机构和人员安全建设管理安全系统运维技 术管 理技术管 理等保1.0物理安全2.0正式安全物理环境安全通信网络安全计算环境安全管理中心安全管理制度安全管理人员安全建设管理安全系统运维2.0征求意见物理和环境安全安全区域边界安全管理机构第42页，共84页。信息系统安全等级保护基本要求构管 理 安 岗位设置全 人员配备授权和审批 沟通和合作机 审核和检查理安 全 人 人员录用员 人员离岗人员考核 教育和培训

24、管 人员访问管理理 制 度安 管理制度 全制定和发布 管 评审和修订系运 维 管 理 环境管理资产管理介质管理设备管理监控管理安全管理 中心统 网络安全管理系统安全管理恶意代码防范管理 密码管理变更管理备份与恢复管理安全事件处置应急响应统 建 设 管 定级备案安全方案设计产品采购使用系 自行软件开发外包软件开发 工程实施测试验收理系统交付安全服务选择等级测评物理位置选择防火防雷物 防水防潮安 全 理 防静电物理访问控制 防盗窃防破坏温湿度控制电力供应电磁防护主 身份鉴别访问控制安全审计入侵防范机 安 病毒防护全资源控制安全标记剩余信息保护区域划分边界防护 网 访问控制 络 安全审计 安 入侵防

25、范全病毒防护通信保护安 全 身份鉴别访问控制安全审计应 通信完整性用 通信保密性软件容错 资源控制安全标记剩余信息保护抗抵赖全 与 备 份 恢 复数 据 安 数据保密性 数据完整性 备份与恢复等保2.0的新变化-控制点变化-2008版安 全 管 理 要 求安 全 技 术 要 求第43页，共84页。等保2.0的新变化-控制点变化-征求意见版技术要求物理和环境安全应用 和 数据 安全身 访 安 软 资 份 问 全 件 源 鉴 控 设 容 控 别 制 计 错 制管理安全 建设 管理安全 管理 策略 和 管理 制度安 全 策 略管 理 制 度制 定 和 发 布评 审 和 修 订环 资 介 设安全境 产

26、 质 备运维管 管 管 维管理 要 求设 备 身 访 安 入 恶 意 资 和 份 问 全 侵 代 码 源 计 算 鉴 控 设 防 防 范 控 安全 别 制 计 范制网 络 网 通 边 访 入 恶 意 安 集 和 络 信 界 问 侵 代 码 全 中 通 信 架 传 防 控 防 防 范 审 管 安 全 构 输 护 制 范计 控身 访 安 软 资 数 份 问 全 件 源 据 鉴 控 设 容 控 完 别 制 计 错 制 整性数数据据保备密份性恢 复剩余信息保护个人信息保护安 全 岗 人 授 沟 审 人 人 安 全 外 部 管 理 位 员 权 通 核 员 员 意 识 人 员 机 构 设 配 和 和 和

27、录 离 教 育 访 问 和 置 备 审 合 检 用 岗 和 培 管 理 人员批 作 查训岗系安产自外工测系等服务 统全品行包程试统级供应 定方采软软实验交测商选 级案购件件施 收 付 评 择 和 设 和 开 开备计使发发 案用漏洞网络恶意配 密 密 变 备 安 应 外 和风和系险管统安理 理 理 护理全管管理理代 码 置 码 码 更 份 全 急 包 防 范 管 管 管 管 与 事 预 运 管 理 理 理 理 理 恢 件 案 维复 处 管 管管 理 理 理 理第44页，共84页。技术要求安全物理环境安全区 域边界安全通 信网络安全计 算环境防圾邮件网络 架构位 访 和 击 置 问 防选 控 破择

28、 制 坏安 全 运 维 管 理安全 管理 人员安 全 建 设 管 理安全 管理 制度安全管理制定和 策略制度发布评审和 修订定级 和备 案环 资 介 设 境 产 质 备 管 管 管 维理 理 理 护管 理管理要求通信 传输可信 验证边 访 入 恶 意 代 安 可 防 问 侵 码 和 垃 全 信 护 控审 验别 制 范 防 范 计 证人人员员录离用岗安全外部意识人员教育访问和培管理 训安 全 产 品 自 外 工 测 系 等 服 务 方 案 采 购 行 包 程 试 统 级 供 应 设 计 和 使 软 软 实 验 交 测 商 选用件 件 施 收 付 评择 开 开发 发漏洞网络恶意配 密 变备份安 应

29、 外 和风与系代码置 码 更与恢全 急 包 险管统安防范管 管 管复管事 预 运 理全管管理理 理 理理件 案 维 理处 管 管理 理 理 物 防 防 防 防 防 温 电 电 理 理 盗 雷 火 水 静 室 力 磁和 电 控 供 防 防制 应 护 潮身 访 安 入 恶 数 数 数 可 剩 个 份 问 全 侵 意 据 据 据 信 余 人 鉴 控 审 防 代 完 保 备 验 信 信 别 制 计 范 码 整 密 份 证 息 息防性性恢保保范复护护安全管 理中心系统 管理审计 管理安全 管理集中 管控安全 管理 机构岗位 设置人员授权沟通审核 配备和审和合和检批作查等保2.0的新变化-控制点变化-发布

30、版第45页，共84页。等保2.0的新变化-安全扩展要求 云计算安全扩展要求序号控制点一级二级三级四级1基础设施位置11112网络架构24693访问控制12224入侵防范035556安全审计 集中管控002024247身份鉴别00118访问控制22229入侵防范003310镜像和快照保护023311数据安全性134412数据备份恢复024413剩余信息保护022214345515于服务商选择 供应链管理123316于计算环境管理0111第46页，共84页。等保2.0的新变化-安全扩展要求序号控制点一级二级三级四级1无线接入点的物理位置11112边界防护111134访问控制入侵防范10151+61

31、65移劢终端管控00236移劢应用管控12347移劢应用软件采购122+28移劢应用软件开发02229配置管理0011 移动互联安全扩展要求第47页，共84页。等保2.0的新变化-安全扩展要求 物联网安全扩展要求序号控制点一级二级三级四级1感知节点的物理防护22442入侵防范02223接入控制11114感知节点设备安全00335网关节点设备安全00556抗数据重放00227数据融合处理00128感知节点的管理1233第48页，共84页。等保2.0的新变化-安全扩展要求 工业控制系统安全扩展要求序号控制点一级二级三级四级1室外控制设备防护22222网络架构23333通信传输01114访问控制12

32、225拨号使用控制01236无线使用控制22447控制设备安全22558产品采购和使用01119外包软件开发011110安全事件处置0111第49页，共84页。注：基于网络安全保护基本要求第一部分：通用安全要求征求意见稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。例：整合的内容网络安全身份鉴别a) 应提供专用的登录控制模块对登录用 户进行身份标识和鉴别；c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存 在重复用户身份标识，身份鉴别信息不 易被冒用；网络与通信安全身份鉴别a) 应对登录的用户进行身份标识和鉴别， 身份标识具有唯一性， 鉴别信息具有复 杂

33、度要求并定期更换；整体内容上，对过于细节内容进行精炼或合并，对部分要求进行了删减，同时也新增了部分要求。在操作落实方面更灵活，同时与1.0相比整体安全要求有所降低。例：删减的内容安全管理机构人员配备c) 关键事务岗位应配备多人共同管 理。例：增加的内容网络和通信安全边界完整性 检查d) 应限制无线网络的使用，确保无线网络通过受控的边界防护设 备接入内部网络。设备和计算安全安全审计e) 审计记录产生时的时间应由系 统范围内唯一确定的时钟产生， 以确保审计分析的正确性。等保2.0的新变化-内容变化第50页，共84页。等保2.0的新变化-内容变化 安全物理环境实质性变更降低物理位置选择要求，机房可设

34、置在建筑楼顶或地下室，但需要加强相应防水防潮措施。降低了物理访问控制要求，不再要求人员值守出入口，不再要求机房内部分区，不再对机房人员出入纸质登记进行具体要求。降低了电力供应的要求，不再要求必须配备后备发电机。降低了电磁防护的要求，不再要求必须接地。降低了防盗和防破坏要求，可部署防盗系统或视频监控系统 b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的 下层或隔壁。b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强 防水和防潮措施。a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员；b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；c) 应对机房划

35、分区域进行管理，区域和区域之间设置物理隔离装置在重要区域前设置交付或安装等过渡区域；d) 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。机房出入口应配置电子门禁系统，控制、鉴别和记录进入的 人员。1.0要 求2.0要 求d) 应建立备用供电系统。a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；f)应利用光、电等技术设置机房防盗报警系统；g) 应对机房设置监控报警系统。注：基于网络安全保护基本要求发布稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。c) 应设置机房防盗报警系统或设置有专人值守的视频监控系统 。第51页，共84页。等保2.0的新变化-内容变化 安

36、全通信网络实质性变更强化了对设备和通信链路的硬件冗余要求。强化了网络访问策略的控制要求，包括默认拒绝策略、控制规则最小化策略和源目的检查要求。降低了带宽控制的要求，不再要求必须进行QOS控制。降低了安全访问路径、网络会话控制、地址欺骗防范、拨号访问权限限制等比较“古老”的控制要求。e) 应提供通信线路、关键网络设备的硬件冗余，保证系统的可用性。1.0要 求2.0要求b) 应删除多余或无效的访问控制规则，优化访问控制列表，并保证 访问控制规则数量最小化；c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查， 以允许/拒绝数据包进出；a) 应在网络边界或区域之间根据访问控制策略设置访问控制

37、规则， 默认情况下除允许通信外受控接口拒绝所有通信；d) 应在会话处于非活跃一定时间或会话结束后终止网络连接；e) 应限制网络最大流量数及网络连接数；f) 重要网段应采取技术手段防止地址欺骗；g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；h) 应限制具有拨号访问权限的用户数量。c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问 路径；g) 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。注：基于网络安全保护基本要求发布稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。第

38、52页，共84页。等保2.0的新变化-内容变化 安全区域边界实质性变更强化了系统的统一时钟源要求（四级）。强化了对网络行为审计的要求。强化了网络边界的安全控制，特别是无线网络与有线网络的边界控制。强化了对网络攻击特别是“未知攻击”的检测分析要求。（四级）强化了对恶意代码和垃圾邮件的防范要求，强调在“关键网络节点”。降低了对审计分析的要求，不再要求必须生成审计报表。 1.0要 求2.0要 求g)应保证系统范围内的时间由唯一确定的时钟产生，以保证各种数据的管理和分析 在时间上的 一致性。c) 应能够根据记录数据进行分析，并生成审计报表；a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接

39、口进行通信；d) 应限制无线网络的使用，确保无线网络通过受控的边界防护设备接入内部网络。c) 应采取技术措施对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻 击的检测和分析；（四级）b) 应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升 级和更新。a) 应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升 级和更新；应在网络边界处对恶意代码进行检测和清除；应维护恶意代码库的升级和检测系统的更新。注：基于网络安全保护基本要求发布稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。第53页，共84页。等保2.0的新变化-内容变化 安全管

40、理中心实质性变更特别增加了安全集中管控的要求，建设集中安全管理系统成为必要。将原有属于网络设备防护的内容移到了“安全计算环境”部分。1.0要 求2.0要 求a) 应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进 行管控；应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组 件进行管理；应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中 监测；应分散在各个设备商的审计数据进行收集汇总和集中分析，并保证审 计记录的留存时间符合法律法规要求；应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；应能对网络汇总发生的各类安全事件进行识别、报警和分析。a) 应对登录网

41、络设备的用户进行身份鉴别；应对网络设备的管理员登录地址进行限制；网络设备用户的标识应唯一；主要网络设备应对同一用户选择两种或两种以上组合的 鉴别技术来进行身份鉴别；身份鉴别信息应具有不易被冒用的特点，口令应有复杂 度要求并定期更换；应具有登录失败处理功能，可采取结束会话、限制非法 登录次数和当网络登录连接超时自动退出等措施；当对网络设备进行远程管理时，应采取必要措施防止鉴 别信息在网络传输过程中被窃听；应实现设备特权用户的权限分离。注：基于网络安全保护基本要求发布稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。第54页，共84页。等保2.0的新变化-内容变化 安全计算环境实质

42、性变更强化了访问控制的要求，细化了主体和客体的访问控制粒度要求。强化了入侵防范的控制要求，包括终端的准入要求、漏洞测试与修复。降低了对审计分析的要求，不再要求必须生成审计报表。降低了对恶意代码防范的统一管理要求和强制性的代码库异构要求。提出了采用可信计算技术防范恶意代码的控制要求。f) 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；1.0要 求2.0要求应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端 进行限制；应能发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞；应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供 报警。c) 应支持防

43、恶意代码的统一管理。d) 应能够根据记录数据进行分析，并生成审计报表；b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶 意代码库；a)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通 信应用程序进行可信验证，并在应用程序的关键执行环节进行动态可信验证， 在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安 全管理中心。注：基于网络安全保护基本要求发布稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。第55页，共84页。等保2.0的新变化-内容变化 安全管理制度实质性变更 降低了对安全管理制度的管理要求，包括版本控制、收发文管理等，其中不再

44、要求必须由信息安全领导小组组织制度的审定。2.0要 求b) 安全管理制度应具有统一的格式，并进行版本控制；1.0c) 应组织相关人员对制定的安全管理制度进行论证和审定；要e) 安全管理制度应注明发布范围，并对收发文进行登记。求a) 信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定；应指定或授权专门的部门或人员负责安全管理制度的制定；安全管理制度应通过正式、有效的方式发布，并进行版本控制。注：基于网络安全保护基本要求发布稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。第56页，共84页。等保2.0的新变化-内容变化 安全管理机构实质性变

45、更 对安全管理机构的要求整体有所降低，一方面对过细的操作层面要求进行删减，例如记录和文档的操作要求、制度的制定要求 等。1.0要 求2.0要 求d) 应设立信息安全管理工作的职能部门，设立安全主管、安全管 理各个方面的负责人岗位，并定义各负责人的职责；c) 关键事务岗位应配备多人共同管理。d) 应记录审批过程并保存审批文档。e) 应聘请信息安全专家作为常年的安全顾问，指导信息安全建设 ，参与安全规划和安全评审等。d) 应制定安全审核和安全检查制度规范安全审核和安全检查工作 ，定期按照程序进行安全审核和安全检查活动。b) 应确保在外部人员接入网络访问系统前先提出书面申请，批准后由专人开 设账号、

46、分配权限，并登记备案；d) 获得系统访问授权的外部人员应签署保密协议，不得进行非授权操作，不 得复制和泄露任何敏感信息。c) 外部人员离场后应及时清除其所有的访问权限；注：基于网络安全保护基本要求发布稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。第57页，共84页。等保2.0的新变化-内容变化 安全管理人员实质性变更1.0要 求2.0要 求对岗位配备有所调整，对人员技能考核等要求也有实质性的删减。强化了对外部人员的管理要求，包括外部人员的访问权限、保密协议的管理要求。d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和 技能要求。关键事务岗位应配备多人共同管理。应记

47、录审批过程并保存审批文档。e) 应聘请信息安全专家作为常年的安全顾问，指导信息安全建设 ，参与安全规划和安全评审等。d) 应制定安全审核和安全检查制度规范安全审核和安全检查工作 ，定期按照程序进行安全审核和安全检查活动。应对被录用人员的身份、安全背景、专业资格和资质等进行审查，对其所 具有的技术技能进行考核；应与被录用人员签署保密协议，与关键岗位人员签署岗位责任协议。d) 获得系统访问授权的外部人员应签署保密协议，不得进行非授权操作，不 得复制和泄露任何敏感信息。b) 应办理严格的调离手续，并承诺调离后的保密义务后方可离开。应定期对各个岗位的人员进行安全技能及安全认知的考核；应对关键岗位的人员

48、进行全面、严格的安全审查和技能考核；应 对考核结果进行记录并保存；应对安全责任和惩戒措施进行书面规定并告知相关人员，对违 反违背安全策略和规定的人员进行惩戒；应对定期安全教育和培训进行书面规定；应对安全教育和培训的情况和结果进行记录并归档保存。注：基于网络安全保护基本要求发布稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。第58页，共84页。等保2.0的新变化-内容变化 安全建设管理实质性变更强化了对服务供应商管理、系统上线安全测试、工程监理控制的管理要求。强化了对自行软件开发的要求，包括安全性测试、恶意代码检测、软件开发活动的管理要求。强化上线前的安全性测试，安全测试报告中

49、应体现密码应用安全性测试相关内容。c) 应通过第三方工程监理控制项目的实施过程。1.0要 求e) 应保证在软件开发过程中对安全性进行测试，在软件安装前对可能存在的2.0c) 应定期监督、评审和审核服务供应商提供的服务，并对其变更服务内容加要以控制。求无恶意代码进行检测；g) 应保证开发人员为专职人员，开发人员的开发活动受到控制、监视和审查。b) 应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含 密码应用安全性测试相关内容。注：基于网络安全保护基本要求发布稿及GB/T 22239信息安全等级保护基本要求三级要求对比分析。第59页，共84页。等保2.0的新变化-内容变化 安全运维管

50、理实质性变更特别增加了漏洞和风险管理、配置管理、外包运维管理的管理要求。强化了对账号管理、运维管理、设备报废或重用的管理要求。a) 应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补；b) 应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题。a) 应记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组2.0件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等；b) 应将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及要时更新基本配置信息库。求应确保外包运维服务商的选择符合国家的有关规定；应与选定的外包运维

51、服务商签订相关的协议，明确约定外包运维的范围、 工作内容；应确保选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明确；应在与外包运维服务商签订的协议中明确所有相关的安全要求。如可能涉 及对敏感信息的访问、处理、存储要求，对IT基础设施中断服务的应急保障 要求等。b) 应指定专门的部门或人员进行账号管理，对申请账号、建立账号、删除账 号等进行控制；f) 应指定专门的部门或人员对日志、监测和报警数据进行分析、统计，及时 发现可疑行为；g）应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可更改的

52、审计日志，操作结束后应同步更 新配置信息库；h) 应严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据；i) 应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道， 操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道；j) 应保证所有与外部的连接均得到授权和批准， 应定期检查违反规定无线上网及其他违反网络安全策略的行为。d) 含有存储介质的设备在报废或重用前，应进行完全清除或被安全覆盖，确保该设备上的敏感数据和授权软件无法被恢复重用。注：基于网络安全保护基本要求发布稿及GB/T 22239信息安全等级

53、保护基本要求三级要求对比分析。第60页，共84页。等保2.0的新变化在云计算环境中，应将云服务方侧的云 计算平台单独作为定级对象定级。云租户侧的等级保护对象也应作为单独的定级对象定级。云服务方云租户云计算环境大型云计算 平台应将云计算基础设施和有关辅助服务系 统划分为不同的定级对象。云计算扩展要求定级第61页，共84页。等保2.0的新变化应用软件软件平台虚拟化计算资源范围和控制应用软件软件平台虚拟化计算资源资源抽象控制硬件设施资源抽象控制硬件 设施云服务方Ia a SIa a S云租户Pa a S包 括 虚 拟 机 监 视 器 和 硬 件包 括 硬 件、虚 拟 机 监 视 器P、a操作a系S统

54、和 中 间 件件、 虚 拟 机 监 视 器、S操作a系a统S、中 间 件 和 应 用包 括 操 作 系 统、中 间 件 和 应 用 等应 用包 S括 a部分 a应 S用 职 责 及 用 户 使 用 职 责云计算扩展要求包 括 硬责任划分第62页，共84页。等保2.0的新变化 可信计算升级攻击防护没有根的防护机制是站不住脚的引导层硬件层应用层内核层注：条款描述为“可”而非“应” 应实事求是，根据业务需求第63页，共84页。等保2.0的新变化 可信计算可信计算保障系统主体、客体可信，构建可信框架：第64页，共84页。等保2.0的新变化信息，分析汇聚安全事件、网络攻击分析预判安全风险，挖掘信息安全趋

55、势应，主动聚焦一览无余安全症结隐患并协同处置智能关联因果关系，预知知采集各类安全状态态风险威胁实时感感 集中安全管理在大规模网络环境中，搜集影响区域/行业/企业安全运行的各项要素，进行关联分析，预测未来一段时间内的安全影响趋势，实现“威胁识别、精准监管、整体协同、预警响应”的一体化管理。第65页，共84页。等保2.0的新变化收集聚并查询追溯钻取多触点感知 网络空间的主动信息探测分析智能化 大数据技术安全智能分析态势可视化 安全态势的可视化呈现 集中安全管控检测全面化 安全信息的深度检测分析第66页，共84页。等保2.0的新变化网络安全保护技术框架第67页，共84页。等保2.0安全防护体系第68

56、页，共84页。等保2.0安全防护体系等保2.0网络安全防护体系信息 安全 技术 体系安全 防护 策略安全 防护 闭环 思路恢复防护检测响应策略可信可管可知可控安全计算环境用户身份认证自主访问控制标记与强制访问控制用户数据完整性保护 客体安全重用网络可信连接保护系统安全审计用户数据保密性保护 程序可信执行保护配置可信检查安全区域边界区域边界访问控制区域边界包过滤区域边界安全审计 区域边界完整性保护安全通信网路通信网络安全审计通信网络数据传输完整性保护通信网络数据传输保密性保护 通信网络可信接入保护安全管理安全管理中心系统管理审计管理安全物理环境第69页，共84页。等保2.0安全防护体系防护思想强

57、调基于统一策略的安全管理，以避免出现如下现象：1）有机制，无策略，安全机制形同虚设；2）各产品策略之间缺乏互相配合，也缺乏根据安全事件调整策略的响应流程，使得安全机制难以真正发挥作用；强调基于主动防御的控制保护机制，以避免出现如下现象：只重视对已知威胁的检测和漏洞的发现，不具备对新型攻击的防护能力，从而出现攻击防护滞后的现象。信息系统的安全设计应基于业务流程自身特点，建立“可信、可控、可管”的安全防护体系，使得系统 能够按照预期运行，免受信息安全攻击和破坏。第70页，共84页。等保2.0安全防护体系防护思想“可信”即以可信认证为基础，构建一个可信的业务系统执行环境，即用户、平台、程序都是可信的

58、， 确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预 期的方式执行，不会出现非预期的流程，从而保障了业务系统安全可信。“可控”即以访问控制技术为核心，实现主体对客体的受控访问，保证所有的访问行为均在可控范围之 内进行，在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系 统中的用户不会出现越权操作，永远都按系统设计的策略进行资源访问，保证了系统的信息安全可控。“可管”即通过构建集中管控、最小权限管理与三权分立的管理平台，为管理员创建一个工作平台，使 其可以进行技术平台支撑下的安全策略管理，从而保证信息系统安全可管。第71页，共84页。等保2.0安全防护体系 云计算安全防护技术框架第72页，共84页。等保2.0安全防护体系 工业控制系统安全防护技术框架第73页，共84页。等保2.0安全防护体系 物联网系统安全防护设计框架第74页，共84页。网络安全以等保为抓手等保以测评为抓手 注重综合安全服务 持续网络安全意识 注重安全人才培养等保2.0安全防护体系第75页，共84页。等保2.0安全防护体系