网络安全法及等保20解读

1、现行重要法律法规框架（网络安全）家政策法规框架目络安全法2021年10GB/T网络安全普级保护基本要求2019 年 12JJ10（关基单位：指关键基础设施单位）注：本图列举了当前我国在非涉密网络安全领域施行的几部重要法律和国家推荐标准；它们 构成了我们日常网络安全建设中的基础法律框架。在合法合规的前提下，我们所有的网络安 全建设都必须参照上述法律和标准进行。网络安全法重要建设内容解读网络安全法第二十一条明确规定“国家实行网络安全等级保护制度。各网络运营者 应当按照要求，开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。 除此之外，网络安全法中还从网络运行安全、关键信息基础设施

2、运行安全、网络信息安 全等对以下方面做了详细规定：网络日志留存：第二十一条还规定，网络运营者应当制定内部安全管理制度和操作规程， 确定网络安全负责人，落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等 危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施， 留存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密等措施。未履行上 述网络安全保护义务的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果 的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。漏洞处置：第二十五条规定，网络运营者应当制定网络安全事件应急预

3、案，及时处置系 统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时，立 即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。没有网络安全事 件应急预案的，没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的， 会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元 以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。容灾备份：第三十四条第三项规定/第二十一条第四项规定，关键信息基础设施/普通网 络运营者单位对重要系统和数据库进行容灾备份。没有对重要系统和数据库进行容灾备份的 会被依照此条款责令改正。应急演练：

4、第三十四条第四项规定，关键信息基础设施单位应当制定网络安全事件应急 预案，并定期进行演练。没有网络安全事件预案的，或者没有定期演练的，会被依照此条进 行责令改正。安全检测评估：第三十八条规定，关键信息基础设施的运营者应当自行或者委托网络安 全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评 估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。每年没有进行安全 检测评估的单位要被责令改正。关键信息基础设施的运营者网络安全保护义务：（一）建立健全网络安全管理、评价考 核制度，拟订关键信息基础设施安全保护计划；（二）组织推动网络安全防护能力建设，开 展网络安全

5、监测、检测和风险评估；（三）按照国家及行业网络安全事件应急预案，制定本 单位应急预案，定期开展应急演练，处置网络安全事件；（四）认定网络安全关键岗位，组 织开展网络安全工作考核，提出奖励和惩处建议；（五）组织网络安全教育、培训；（六）履 行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；（七）对关键信 息基础设施设计、建设、运行、维护等服务实施安全管理；（八）按照规定报告网络安全事 件和重要事项。中华人民共和国网络安全法对网络运营者的要求及建设对应表:序 号适 用 主 体单位 区分条款号要求网络安全建设 建议示例1.网 络 运 营 者非关 键信 息基 础设 施单 位二十一条国家

6、实行网络安全等级保护制度。 网络运营者应当按照网络安全等级 保护制度的要求，履行安全保护义 务。等级保护测评参照等级保护制度要求进行安全整改等保备案2.二十五条网络运营者应当制定网络安全事件 应急预案，及时处置系统漏洞、计 算机病毒、网络攻击、网络侵入等 安全风险；在发生危害网络安全的 事件时，立即启动应急预案，采取 相应的补救措施，并按照规定向有 关主管部门报告。制定网络安全事件应急 预案3.二十一条-第一项 规定制定内部安全管理制度和操作规 程，确定网络安全负责人，落实网 络安全保护责任；梳理管理制度，确定安 全组织架构，落实到人 员。注：参照关建基础设施 保护条例第十三条要 求，运营者的

7、主要负责 人对关键信息基础设施 安全保护负总责4.二十一条 -第三项 规定（二）米取防范计算机病毒和网络攻 击、网络侵入等危害网络安全行为 的技术措施；参照等级保护制度要求进行安全整改5.二十一条 -第四项 规定（四）米取数据分类、重要数据备份 和加密等措施；米用数据备份、机密等 技术手段，保障数据安 全。6.二十一条-第三项 规定（三）采取监测、记录网络运行状 态、网络安全事件的技术措施，并 按照规定留存相关的网络日志不少 于六个月；部署日志服务器或商业 日志审计系统7.关键 信息 基础 设施 单位三十四条 -第二项 规定（二）定期对从业人员进行网络安 全教育、技术培训和技能考核；定期安全技

8、能/安全意 识/安全认证培训8.三十四条 -第四项 规定（四）制定网络安全事件应急预案， 并定期进行演练；定期应急演练9.第三十八 条关键信息基础设施的运营者应当自 行或者委托网络安全服务机构对其 网络的安全性和可能存在的风险每定期风险评估及风险控 制年至少进行一次检测评估，并将检 测评估情况和改进措施报送相关负 责关键信息基础设施安全保护工作 的部门。网络安全等级保护制度（等保2.0）重 要建设内容解读3.1网络安全等级保护制度建设框架内容技术要求管理要求安全物理环境安全管理制度安全通信网络安全管理机构安全区域边界安全管理人员安全计算环境安全建设管理安全管理中心安全运维管理3.2等保2.0技

9、术架构图（一中心三防护）等级保护2.0技术架构安全首理中心安全通信朝在H安全区艇界安全计算环境注：网络安全等级保护制度是我国在信息系统安全领域实施的基本国策和基本保障体系；从合法合规层面来讲所有的网 络安全建设都必须参照网络安全等级保护制度的要求。换句话来讲等级保护建设的核心是对等级保护制度中控制点的差 距分析。3.3等保2.0技术控制项解析示例分类基本要求说明及技术方案建议措施安全通信网络网络架构a）应保证网络设备的业务 处理能力满足业务高峰期 需要；方案设计、设备选型要预 留性能空间方案及网络设备 保证b）应保证网络各个部分的 带宽满足业务高峰期需要；带宽预留、部署流控设备方案及网络设备

10、保证或带有此功能的设备c）应划分不同的网络区 域，并按照方便管理和控制 的原则为各网络区域分配 地址；网络规划设计时进行网 络区域划分。方案及网络设计 规划d）应避免将重要网络区域 部署在网络边界处且没有 边界防护措施；对重要区域边界安全隔 离、访问控制、入侵防范（互联网接入区、服务 器区、无线接入区等）防火墙、IPS、WEB 应用防火墙等进 行防护e）应提供通信线路、关键 网络设备的硬件冗余，保证 系统的可用性。线路及关键设备进行冗 余设计。方案及网络设备 保证通信传输a）应米用校验码技术或加 解密技术保证通信过程中 数据的完整性；Vpn、数字证书认证、加 密技术防火墙、vpnb）应米用加解

11、密技术保证 通信过程中敏感信息字段 或整个报文的保密性。Vpn、数字证书认证、加 密技术防火墙、vpn分类基本要求说明及技术方案建议措施安全区 域边界边界防 护a）应保证跨越边界的访问和 数据流通过边界防护设备提 供的受控接口进行通信对重要区域边界安全隔 离、访问控制、入侵防范防火墙、IPS、WEB 应用防火墙、vpn 等进行防护b）应能够对非授权设备私自 联到内部网络的行为进行限 制或检查；接入认证、IP/MAC绑定终端管理系统（准入控制）c）应能够对内部用户非授权 联到外部网络的行为进行限 制或检查；防私接非法外联检测、终端管理系统（准入控制）d）应限制无线网络的使用， 确保无线网络通过受

12、控的边 界防护设备接入内部往来；对重要区域边界安全隔离、访问控制、入侵防范防火墙、IPS、WEB 应用防火墙等进 行防护恶意代 码a）应在关键网络节点处对恶 意代码进行检测和清除，并维 恶意代码护防机制的升级和 更新；攻击、病毒检测和防御、 定期升级特征库部署防病毒网关 或带有此功能的 设备垃圾邮 件防范b）应在关键网络节点处对垃 圾邮件进行检测和防护，并维 护垃圾邮件防护机制的升级 和更新。垃圾邮件检测和防护、 定期升级特征库部署垃圾邮件网 关或带有此功能 的设备分类基本要求说明及技术方案建议措施安全区 域边界访问控制a）应在网络边界或区域之 间根据访问控制策略设置 访问控制规则，默认情况下

13、 除允许通信外受控接口拒 绝所有通信；防火墙做访问控制、防火 墙策略防火墙b）应删除多余或无效的访 问控制规则，优化访问控制 列表，并保证访问控制规则 数量最小化；人工优化定期运维、优化c）应对源地址、目的地址、 源端口、目的端口和协议等 进行检查，以允许/拒绝数 据包进出；访问控制、防火墙策略防火墙d）应能根据会话状态信息 为进出数据流提供明确的 允许/拒绝访问的能力，控 制粒度为端口级；访问控制、防火墙策略防火墙e）应对进出网络的数据流 实现基于应用协议和应用 内容的访问控制。访问控制、4-7层的协议 安全控制、及应用协议 控制防火墙、IPS、 WAF、上网行为管 理分类基本要求说明及技术方案建议措施安全管理中心集 中 管 控a）应划分出特定的管理区域，对 分布在网络中的安全设备或安全 组件进行管控划分安全管理区划分安全管理 区b）应能够建立一条安全的信息传 输路径，对网络中的安全设备或安 全组件进行管理采用堡垒机进行运维管理运维管理规定+ 堡垒机辅助c）应对网络链路、安全设备、网络 设备和服务器等的运行状况进行网络运维管理平台网络运维管理 平台集中监测