等保论坛全情投入践行网络安全等级保护2.0

全情投入，践行网络安全等级保护2.0深信服智安全面向未来有效保护等级保护战略意义对等保2.0落地工作的思考对等级保护2.0标准的理解我们的理念、方案与实践01020304网络安全等级保护制度发展回顾等保2.0系列标准刷新二十多年的发展历程GB/T25070GB/T22239GB/T28448信息安全技术网络安全等级保护基本要求信息安全技术网络安全等级保护安全设计技术要求信息安全技术网络安全等级保护测评要求信息安全技术网络安全等级保护测评过程指南信息安全技术网络安全等级保护测评机构能力要求与评估规范《网络安全法》之等级保护

第二十一条

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

第三十一条

国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

第五十九条

网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致后果的，处十万元以上一百万元以下罚款，对直接负责主管人员处一万元以上十万元以下罚款。十二届全国人大常委会第十五次会议公开征求意见十二届全国人大常委会第二十一次会议十二届全国人大常委会第二十四次会议2015.6.262016.8.42016.11.72016.10.312016.7.5公开征求意见发布一审三审二审2015.7.62015.8.52016.6.28总则网络安全支持与促进网络运行安全网络信息安全法律责任附则监测预警与应急处置第一章第二章第五章第四章第三章第六章第七章不做等保，就是违法！违法案例医疗行业违法案例企业单位违法案例政府事业单位违法案例国内教育行业违法案例等保建设带动安全事业发展有效推动安全保障建设等保为安全建设提供了体系化的有效指导大力促进安全产业发展我国网络安全产业快速增长实施等级保护的意义明确责任和工作方法，让安全防护更加规范改变以往单点防御方式，让安全建设更加体系化提高安全思路和意识，合理分配网络安全投资等级保护战略意义对等保2.0落地工作的思考对等保2.0标准的理解我们的理念、方案与实践02010304等保2.0落地工作中面临的困难对制度缺乏理解技术方面缺乏实践安全形势相对严峻理解实践落实等保2.0需要各级单位的协同配合监管

指导监督测评

效果评判厂商

建设支撑用户

责任主体全情投入，大力支撑是网络安全厂商义不容辞的责任厂商在落地等保2.0的工作宣贯落地政策和内容宣贯知识和技术培训分析和解决问题有效交付保障新场景效果研发新产品落地采用新技术创新通力协作提供预警上报共享技术实践共建整体方案厂商在落地等保2.0的工作-有效交付保障新场景效果云计算大数据物联网移动互联工业控制系统研发新产品落地可信计算安全产品态势感知采用新技术创新微隔离软件定义安全大数据/机器学习用户行为分析厂商在落地等保2.0的工作-通力协作厂商与监管部门主动上报安全预警积极参与标准建设积极参与检查应急厂商与测评机构同步标准指标解读同步实践建设经验加强双方技术交流厂商与厂商融入可信3.0生态开放共享威胁情报统一日志开放API等级保护战略意义对等保2.0落地工作的思考对等级保护2.0标准的理解我们的理念、方案与实践02040301等保2.0的典型变化两个全覆盖一是覆盖各地区、各单位、各部门、各企业、各机构，也就是覆盖全社会。除个人及家庭自建网络的全覆盖。二是覆盖所有保护对象，包括网络、信息系统，以及新的保护对象，云平台、物联网、工控系统、大数据、移动互联等各类新技术应用。三个特点等级保护2.0基本要求、测评要求、安全设计技术要求框架统一，即：安全管理中心支持下的三重防护结构框架。通用安全要求+新型应用安全扩展要求，将云计算、移动互联、物联网、工业控制系统等列入标准规范。把可信验证列入各级别和各环节的主要功能要求。等级保护2.0主要变化信息系统信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等《信息安全技术信息系统安全等级保护基本要求》

《信息安全技术网络安全等级保护基本要求》安全要求安全通用要求+安全扩展要求名称变化名称变安全要求变化定级对象变化等级保护2.0主要变化（续）等保五个规定动作五个规定动作+新的安全要求技术（物理、网络、主机、应用、数据）+管理技术（物理环境、一中心三防护）+管理技术要求等保2.0安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心管理要求安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理等保1.0技术要求物理安全网络安全主机安全应用安全数据安全管理要求安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理•定级

•备案

•安全建设•等级测评•监督检查内容变化等保1.0等保2.0控制措施分类结构变化名称变内容变化•定级

•备案

•安全建设•等级测评•监督检查•安全检测

•通报预警

•案事件调查•数据防护•灾难备份•应急处理•风险评估等级保护的战略意义对等级保护落地工作的思考对等级保护2.0标准的理解我们的理念、方案与实践04010203对等级保护2.0的价值认识采用可视化设计，提供多维度安全报表为安全决策提供数据支撑，提升组织安全管理效率。对企业核心资产、各类威胁与违规行为，网络东西向、南北向流量进行持续检测分析，提升网络整体安全保护能力。参照防御/检测/响应的安全模型，加强云防护/威胁情报的联动，构建本地协同、云端联动的动态保护体系。深信服安全建设智安全模型智能：智能化地增强防御、检测和响应，智能功能提供了以数据为驱动、以人工智能算法为基础的安全能力防御：保障关键服务的交付。防护功能提供对潜在网络安全事件进行限制或者控制其造成的影响的能力检测：识别网络安全事件的发生，检测功能提供持续的对网络安全事件进行发现的能力响应：对检测出的网络安全事件进行处置，响应功能提供对潜在网络安全风险事件所造成影响进行控制的能力运营：实现全天候的安全运营，运营功能提供监督、监控企业安全状况、入侵检测和响应网络安全事件的能力防御(P).Protect检测(D).Detect响应(R).Respond运营(O).Operate智能(A).ArtificialIntelligence深信服等级保护建设规划架构持续保护技术体系管理体系运营体系智能(A)防御(P)运营(O)智能流量分析智能文件分析日志关联分析安全数据基线安全云脑威胁情报知识图谱机器学习检测(D)响应（R）异常检测事件检测安全监控响应计划事件分析应急响应风险管理策略风险评估风险处置资产管理供应链风险管理事件管理业务连续性管理变更管理人员意识培训安全架构安全体系安全价值安全可视能力持续检测能力协同防御能力能力支撑安全保障安全物理环境物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护安全通信网络网络架构通信传输可信验证安全计算环境身份鉴别访问控制安全审计入侵防范恶意代码防范可信验证数据完整性数据保密性数据备份恢复剩余信息保护个人信息保护安全区域边界边界防护访问控制入侵防范恶意代码和垃圾邮件防范安全审计可信验证安全管理中心系统管理审计管理安全管理集中管控安全管理制度安全管理机构安全运维管理安全管理人员安全建设管理访问控制边界防护加解密加固零信任身份鉴别权限资产管理威胁检测预警安全评估漏洞管理威胁主动响应事件应急处置攻防演练深信服等保2.0通用方案设计思路分级分域——划分不同级别安全域通信网络——网络架构及通信传输区域边界——访问控制及检测防护计算环境——入侵防范及数据安全管理中心——集中管控及安全审计案例分享-政府一、项目背景

XX省安监，根据国家安监局下发的《关于印发全国安全生产“一张图”地方建设指导意见书的通知》的要求，建设“安监云”应用。二、需求分析1.安全设备使用年限长，侧重访问控制式的防御，无法发挥深度防御的价值，同时无法主动应对日益多样化的高级威胁；2.业务上云，缺乏灵活的保护措施；3.需要满足三级等保合规要求；三、结合等保2.0思想的方案设计

1.安全区域边界：在各重要网络节点将传统防火墙升级为下一代防火墙，提供应用级内外双向防护，构建主动防御体系。2.安全通信网络：应用商密SSLVPN，实现移动办公的端到端的安全接入，避免移动引入高级威胁，并符合等保2.0移动互联安全建设要求。3.云安全：应用了安全服务平台，实现按需申请、自由编排安全组件，不但合规，且充分适应了云的灵活性要求。4.安全运维管理：应用态势感知平台，不但实现全局运营，同事帮助用户实时监测高级威胁，实现发现、及时处置安全事件。“云安全服务平台（等保场景）”创新方案出口网络/安全设备云安全服务平台核心交换安全运营服务安全运营服务安全运营服务下一代防火墙下一代防火墙下一代防火墙上网行为管理日志审计系统上网行为管理数据库审计杀毒软件广域网优化日志审计系统数据库审计负载均衡杀毒软件负载均衡堡垒机SSLVPN流量编排等保二级合规模板出口边界安全模板等保三级合规模板VM数据库

Web服务杀软/EDRVM数据库

Web服务杀软/EDRVM数据库

Web服务杀软/EDRIT基础设施（云环境、物理环境）二级区域三级区域其他区域用户可根据实际业务需求情况，自定义模板或安全组件安全运营服务下一代防火墙入侵防御系统Web防火墙漏洞扫描自定义安全模板“云安全服务平台”界面展示云安全服务平台首页多场景模板选择第三方组件大融合安全组件自定义案例分享-医疗一、项目背景XX大学附属医院作为XX省重要公立医院，其在投资建设新院区，而其老院区已深受勒索病毒的侵袭。二、需求分析1.充分保障挂号、就诊、影像等所有核心系统不受勒索病毒侵袭。2.实现老院区到新院区的跨区安全，即使老院区出安全事件，也不能影响新院区；3.按照等保三级要求进行规划设计。三、结合等保2.0思想的方案设计1.两套网络，内外网两套逻辑隔离网络；2.分级分域，新老院区边界安全隔离防护；3.规划潜伏威胁探针加强检测能力、可视化能力，并借助EDR做终端检测响应，有效应对新型威胁。等保2.0关键技术要求-恶意代码防范安全计算环境恶意代码防范：应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。入侵防范：能够检测恶意代码感染及在虚拟机间蔓延的情况，并进行告警

（云安全扩展要求）安全管理中心集中管控：应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。《2018年我国互联网网络安全态势综述》2018年CNCERT捕获勒索软件近14万个，活跃勒索软件数量呈现快速增长势头，且更新频率和威胁广度都大幅度增加…

GandCrab全年出现了约19个版本。有效防范勒索病毒终端闭环预防、预测组织、防护响应、调查检测、监控基线系统Baseline

systems人工智能SAVE引擎预测攻击Predict

attacks系统漏洞检测主动风险分析Proactive

risk

analys阻止事件Prevent

issues一键隔离转移攻击者Divert

attacks勒索诱捕强化和隔离系统Harden

and

isolate

systems微隔离文件修复修复与进行变更Remediate/Make

change网端联动持续迭代设计/模式变更Design/Model

change溯源分析调查与取证Investigate

Forensics检测事件Detect

issues文件实时监控主动扫描抑制事件Contain

issues终端围剿式查杀确认风险并按优先级排列Confirm

and

prioritize

risk威胁等级分类安全基线核查案例分享-教育一、项目背景XX大学由教育部直属、中央直管，是中国著名顶级学府之一。二、需求分析1.需要满足等级保护相关要求；2.多校区全网威胁管理。

三、方案设计

1.安全区域边界：应用下一代防火墙：部署在数据中心出口，对不同分校接入到数据中心的数据进行安全防护。

2.安全管理中心：部署在运维管理区，对数据进行持续性检测，保障核心数据安全。3.应急分析与处置服务：配套安全服务，发现问题后实现快速响应。态势感知-新型网络攻击行为的分析特权账号冒用异常行为检测越权非法操作违规访问行为内部数据泄露绕过行为检测风险访问行为隐蔽通道检测高级威胁检测新型Webshell未知恶意文件DGA域名检测恶意流量行为可疑邮件行为时间序列分析二类分类多类分类聚类离群点检测DNSflow引擎HTTP

flow引擎SMTP

flow引擎POP3flow引擎IMAPflow引擎文件鉴定引擎ADflow引擎SMBflow引擎机器学习分析引擎场景建模算法集合专家规则异常行为分析建模流量行为用户行为操作行为长周期分析大数据分析原始数据网络行为数据文件Poayload终端行为数据态势感知-检测到对重点节点进行入侵的行为业务维度可视攻击链关联安全事件举证影响面分析攻击入口溯源元数据取证案例分享-企业一、项目背景某央企作为XX集团旗下的重点单位，随着网络安全法的实施，积极响应国家号召对于等级保护保持着空前关注，包含网站、项目管理系统等都纳入规划。二、需求分析1.业务调整和政策法规对安全提出了更高要求；2.缺乏快速发现潜在威胁的能力；3.运维能力弱，无法形成安全闭环；4.业务云化带来新的安全挑战。三、方案设计1.云上安全：采用云内安全方案，解决云内东西向流量可视及访问控制问题，对于云内流量状态进行实时展示。2.安全管理中心：部署安全感知平台，通过设备联动并结合“人机共智”安全运维，对告警进行及时响应。安全服务安全感知平台堡垒机网络防病毒漏扫应用服务器数据库服务器防火墙（利旧）汇聚交换机办公终端、AP办公区业务区运维区核心区互联网区负载均衡下一代防火墙上网行为管理负载均衡下一代防火墙上网行为管理下一