信息安全服务与等保2.0概述

1、信息安全服务与等保2.0概述等保实施流程信息安全服务目 录等级保护2.0等级保护相关标准在调整中，等保2.0新标准即将落地，除了传统信息系统的安全防护外，新标准增加了云计算、移动互联、物联网、工业控制等新兴领域的安全要求。信息系统安全等级保护网络安全等级保护等级保护2.0安全保护等级定义的变化等级保护2.0受侵害的客体对客体的侵害程度一般损害严重损害 特别严重损害 公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级受侵害的客体对客体的侵害程度一般损害严重损害 特别严重损害 公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共

2、利益第二级第三级第四级国家安全第三级第四级第五级信息系统物理安全技术要求变化管理要求变化基本要求网络安全主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理物理和环境安全网络和通信安全设备和计算安全应用和数据安全安全策略和管理制度安全管理机构和人员安全建设管理安全运维管理等级保护基本要求文档结构（1.0到2.0变化）控制点名称变更：4个新增控制点：7个（通信传输、集中管控、个人信息保护、安全策略、漏洞和风险管理 、配置管理、外包运维管理）删除控制点：5个合并控制点：4个等级保护2.0等保三级等保1.0等保2.0控制点73控制点71控制项290控制项23

3、1网络和通信安全访问控制原控制项新控制项 a) 应在网络边界部署访问控制设备，启用访问控制功能； a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信； b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； b) 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化； c) 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制； c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出； d) 应在

4、会话处于非活跃一定时间或会话结束后终止网络 连接； d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； e) 应限制网络最大流量数及网络连接数； e) 应在关键网络节点处对进出网络的信息内容进行过滤，实现对内容的访问控制。 f) 重要网段应采取技术手段防止地址欺骗； g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户； h) 应限制具有拨号访问权限的用户数量。集中管控原控制项新控制项 a) 应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控； b) 应能够建立一条安全的信息传输路径，对网络中

5、的安全设备或安全组件进行管理； c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测； d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析； e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理； f) 应能对网络中发生的各类安全事件进行识别、报警和分析。网络和通信安全安全建设管理集测试验收原控制项新控制项 a) 应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告； a) 在制订测试验收方案，并依据测试验收方案实施测试验收，形成测试收报告； b)在测试验收前应根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果

6、，并形成测试验收报告； b) 应进行上线前的安全性测试，并出具安全测试报告。 c) 应对系统测试验收的控制方法和人员行为准则进行书面规定； d) 应指定或授权专门的部门负责系统测试验收的管理，并按照管理规定的要求完成系统测试验收工作； e) 应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。漏洞和风险管理原控制项新控制项 a)应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补； b)应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题。安全建设管理等级保护2.0信息安全服务目 录等保实施流程将网络系统按照重要性和遭受损坏后

7、的危害性分成五个安全保护等级等级确定后，第二级（含）以上信息系统到公安机关备案，公安机关审核后颁发备案证明根据信息系统安全等级，按照国家政策、标准开展安全建设整改备案单位选择符合国家规定条件的测评机构开展等级测评公安机关定期开展监督、检查、指导等级保护实施过程等级保护规定动作系统定级备案建设整改等级测评监督检查系统定级备案风险评估差距分析安全规划设计安全整改等级测评安全运维等级保护的主要工作流程资产调查信息系统分析等级确定（将网络系统按照重要性和遭受损坏后的危害性分成五个安全保护等级）编制定级报告专家评审（三级及以上系统需要）定级一般由客户自主定级，或遵守上级主管部门指导意见（如有），信息安全

8、服务部门可提供定级咨询常见客户定级参考：三级医院的HIS、LIS、PACS等系统建议定为三级；教育行业非985、211的学校，一般建议定为二级，教育厅、教育局的门户网站，要求定为三级以上定级仅供参考1.系统定级等级保护的主要工作流程2.备案到当地公安机关的网安大队或安支队进行备案（第二级（含）以上信息系统）。需提供“定级报告、备案表”（如是三级系统还需要提供：拓扑图、组织结构图、系统安全方案、网络安全设备列表及销售许可证等）。公安机关审核后颁发备案证明。等级保护的主要工作流程等级保护的主要工作流程3.风险评估，差距分析（信息安全服务部门可提供此服务）风险评估资产评估威胁评估脆弱性评估安全措施评

9、估综合风险分析差距分析按照等级保护基本要求每一条进行对比分析，查看是否满足对应等级的要求。 技术差距分析 管理差距分析技术体系设计物理安全技术系统安全技术网络安全技术应用安全技术数据安全及备份恢复技术管理体系设计制度管理机构管理人员管理建设管理运维管理等级保护的主要工作流程4.安全规划设计（信息安全服务部门可提供此服务）安全技术整改物理安全系统安全网络安全应用安全数据安全及备份恢复安全管理整改制度管理机构管理人员管理建设管理运维管理等级保护的主要工作流程5.安全整改（信息安全服务部门可提供此服务）测评内容技术安全测评管理安全测评 测评方法配置检查人员访谈文档审查实地查看二级系统推荐每两年测评一

10、次，但标准没有明确要求三级系统每年测评一次四级系统每半年测评一次等级保护的主要工作流程6.等级测评（信息安全服务部门可提供此协助测评服务）安全巡检检查与加固设备维护应急保障安全培训安全监控等级保护的主要工作流程6.安全运维（正常业务的运维，可提供此类安全服务） 信息系统定级阶段总体安全规划阶段 安全设计与实施阶段 安全运行与维护阶段等级保护咨询服务安全调查信息系统分析等级保护定级咨询等保定级咨询服务风险评估差距分析总体安全规划设计等保风险评估服务安全服务渗透测试漏洞扫描安全事件处置专家安全分析安全监测及现状分析测评咨询服务等保安全建设服务安全方案详细设计安全整改建设协助测评及运维服务等级保护服

11、务目标（满足法律法规要求、满足业务安全要求、提升整体安全能力、增强人员安全意识）等级保护咨询服务等级保护2.0等保实施流程目 录信息安全服务010203由于网络安全的动态性特点，传统安全产品已不能帮助客户完全抵御各种风险，通过“工具+专业安服”来解决系统信息系统的安全问题，成为降低安全风险、提高信息系统安全水平的一个重要手段。网络安全法及各行业的监管政策要求各企事业单位对信息进行风险检测，提高信息系统安全水平迫在眉睫。验证信息系统现有安全措施的防护能力,发现深层次安全风险。施行原因信息安全服务网络安全服务系列产品，包含：风险检测服务、安全专家服务、等级保护建设服务三大类共八项专业服务产品。通过

12、专业、持续、系统的安全服务，安全将助力企事业单位解决各类信息系统的安全问题，从而降低安全风险、全面提高信息系统安全水平。信息安全服务分类服务名称风险检测服务安全检测评估渗透测试漏洞扫描RG-WMS网站安全监控安全专家服务WEB安全现状分析专家安全分析及策略优化安全事件处置等级保护服务等级保护建设服务xxx客户，通过安全检测评估服务,发现其内网存在：空口令、弱口令、跨站漏洞、目录遍历等20处严重漏洞。依据安全服务发现其内网未按照等级保护要求进行安全域划分、内网无严格安全防护、未采取安全服务措施及时主动评估安全风险，内网安全状况目前为严重状态案例案例对xxx互联网系统进行安全渗透测试，发现互联网系统存在：跨站、管理后台暴露且管理员口令可破解、敏感信息泄漏、测试脚本泄漏等漏洞。总体风险等级为严重状态*用户关注整体安全保障，希望主动发现安全风险，安服中心专业评估用户网络系统存在的漏洞，发现系统深层次安全风险，从而提供全方位专业的安全解决方案序号项目内容1渗透测试服务2漏洞扫描服务3上线前安全检查服务4应急响应服务5网站监控服务（WMS）6安全咨询服务7安全培训服务案例目前已经给客户输出236份报告，包含： 渗透测试报告 漏洞扫描报告 新系统上线前安全检查报告 信息系统等级保护定级划分建议报告 网站安全监控周报 IT