网络安全等级保护

网络安全等级保护01目录CONTENTS网络安全等级保护02等级保护2.0变化03企业合规应对网络安全等级保护介绍01国务院颁布《中华人民共和国计算机信息系统安全保护条例》公安部标准《等级保护安全要求》《等级保护定级指南》《等级保护实施指南》《等级保护测评准则》四部委会签公通字[2006]7号文件（关于印发《信息安全等级保护管理办法（试行）》的通知）四部委会签公通字[2007]43号文件《信息安全等级保护管理办法》《安全通用要求以及云计算、移动互联、工业控制、物联网等扩展要求》征求意见稿发布《中华人民共和国网络安全法》正式实施19942005200620072016.11.12017.6.1最先作为“按等级保护”的工作思路提出形成等级保护的基本理论框架，制定了方法，过程和标准提出了等级保护的推进和管理办法扩展标准征求意见稿发布第二十一条配套标准发布测评过程指南、测评机构评估规范2018.12.282019年7月1日实施等级保护-发展历程等保1.0信息系统安全等级保护等保2.0即将到来《基本要求、测评要求》正式发布2019.5.132019年12月1日实施继承网络运营者义务：落实身份识别、防恶意代码、防攻击等技术措施；落实数据分类、重要数据备份和加密措施；落实事件监测、日志审计及留存措施；落实等保工作责任制、建立安全管理制度等保工作流程：规定了包括网络定级、定级评审、定级备案、备案审核、上线检测、等级测评、安全整改、定期自查等一系列工作流程细化境内建设、运营、维护、使用网络的运营者，均需开展网络安全等级保护工作；

适用范围更广、网络运营者皆受约束网络安全等保与网络安全法相结合，义务更加具体、操作性更强网络安全等级保护制度威慑力增强法律依据：违反网络安全保护条例要求，依据《网络安全法》进行处罚；管控云计算、大数据、人工智能、物联网、工控系统和移动互联网等新技术、新应用带来的安全风险。重大隐患处置：在责令整改的基础上，增加行业主管部门和同级网信部门的通报，可约谈法定代表人；事件调查：开展事件调查时可责令网络运营者阻断信息传输，暂停网络运营。主管部门、

各级政府将等级保护工作纳入绩效考核评价，社会治安综合治理考核。等保测评：统一调整为第三级以上网络的运营则每年开展一次；涵盖关键信息基础设施运营者义务：落实态势感知监测预警措施；落实重要设备、链路、系统的冗余、备份、恢复措施；确定管理机构，明确职责，重要事项逐级审批；对关键岗位进行背景审查，持证上岗；网络安全法第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。在《网络安全法》实施之后，网络安全等级保护制度与目前的信息系统安全等级保护制度相衔接和融合，而不会成为两个并行的制度体系。网络安全等级保护条例等级保护的政策依据等级保护核心思想对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护。01LEVEL用户自主保护级防护系统审计保护级防护、监测安全标记保护级防护、监测、恢复、策略结构化保护级防护、监测、恢复、策略、响应访问验证保护级防护、监测、恢复、策略、响应02LEVEL03LEVEL04LEVEL05LEVEL逐级增强相关等级网信部门统筹协调公安监督检查适度保护分等级保护和管理按需防护核心思想GB/T22239-2008GB/T22240-2008信息系统安全等级保护基本要求框架等级保护标准和内容-现行标准检查访谈测试物理安全网络安全主机安全应用安全数据备份与恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理系统识别与划分网安审核NY定级备案阶段建设整改阶段确定系统安全等级填写备案材料备案材料申报NY等级保护测评阶段测评准备出具报告系统安全规划方案评审与规划设计系统安全建设/加固安全建设差距分析测评结论方案编制现场测评等级保护实施流程等级保护实施流程-定级三级：1、核心信息系统（HIS、LIS、RIS、PACS、电子病历核心数据库等）2、区域核心业务系统（区域卫生公共交换平台、电子健康档案等人口健康信息平台等）3、承载公民个人信息（姓名、身份证号、个人生物识别、基因图谱等）4、承载核心业务信息（预约挂号、诊疗诊断、健康体检等）5、与核心信息系统双向数据交换的或业务协同（网上签约、问医用药、保险理赔等）6、其他重要信息系统（落实敏感信息保护-敏感疾病患者信息，医院对外宣传形象-门户网站、移动OA、移动APP等）二级：7、宣传类的网站系统（企业门户网站、微信公众号、微官网等）8、其他内部系统（内网OA等）初步

确定等级专家评审主管部门

审核公安机关

备案审查确定

定级对象根据基本特征和相关要求确定定级对象参照定级方法初步确定安全保护等级定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核定级对象的运营、使用单位应组织信息安全专家和业务专家等，对初步定级结果的合理性进行评审，出具专家评审意见（第二级及以上）定级对象的运营、使用单位应按照相关规定要求，将初步定级结果提交公安机关进行备案审查等级保护的目的和意义-网络安全合规底线满足法律法规中对于网络安全等级保护、应急、评估的要求全面评估机构内部现有的安全措施和存在的安全风险提高安全配置基线水平和安全防范意识为安全建设规划提供技术支撑，为完善安全管理体系提供依据发生网络安全事件，能够更好的进行处置，配合监管部门开展工作，降低事件对企业的影响系好安全带不能保证万无一失但不系安全带灾难面前后果不堪设想等级保护2.0变化03网络安全等级保护2.0正式出台安全物理环境安全通信网络安全区域边界安全计算环境安全管理机构安全管理人员安全建设管理安全运维管理安全管理中心安全管理制度基本要求技术要求管理要求扩展要求云计算安全测评移动互联安全测评物联网安全测评工业控制系统测评一个中心三重防护：“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”

新业务场景增加新业务场景的保护要求，等级保护对象范围扩大定级方式定级方式调整，强化专家评审和审核测评方法测评方法细化，测评力度加强，更加注重防护效果的检测测评内容测评架构和测评内容调整，充分体现一个中心，三重防御的思想等级保护2.0

VS等级保护1.0判定标准提升采用新的风险评估办法，量化了测评分数要求，70分以上为中，80分以上为良，90分以上为优等保1.0:安全测评通用要求。01等保2.0：安全通用要求和安全扩展要求（云计算、移动互联技术、物联网、工业控制）02新业务场景的保护要求安全保护对象：基础信息网络、信息系统（例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统以及其他信息系统）和大数据等。远程诊疗、物联网手术室、药品追溯、智能输液等物联网、移动互联网技术新场景将纳入等级保护测评范围04010203确定定级对象初步确定等级专家评审主管部门审核05公安机关备案审查一般程度的损害严重程度的损害特别严重的损害公民、法人和其他组织的合法利益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家利益第三级第四级第五级第三级自主定级初步定级/审核定级定级方式调整强化专家评审和审核1、针对公民、法人和其他组织的合法利益进行了重点加强，针对特别严重的伤害从第二级调整为第三级。2、强化专家评审、主管部门审核的相关要求专家评审：组织信息安全专家和业务专家等，对初步定级结果的合理性进行评审，出具专家评审意见（第二级及以上）主管部门审核：将初步定级结果上报行业主管部门或上级主管部门进行审核23测评方法旧版（现用版）新版（2.0版）测试利用技术工具对系统进行测试1、针对设备的漏洞扫描2、针对应用系统完整性和保密性要求进行协议分析3、基于一般脆弱性的内部和外部渗透攻击通过预定的方法/工具使测评对象产生特定的结果1、安全功能：验证访问控制功能2、安全操作：检验应急响应能力3、渗透测试核查1、采用上机验证的方式检查配置是否正确2、对文档审核的内容进行核实对测评对象进行观察、查验和分析1、安全文档：审核安全策略、机房巡检例程；分析软件需求分析和详细设计2、安全功能：核查、观察安全部件/功能的运行3、安全行为：观察备份操作1、扩充了测试，从工具测试扩展到人工的渗透测试，新增安全功能、安全操作的测试2、细化了核查，从单纯的上机验证，细分为查验和分析，新增安全功能、安全行为的核查测评方法扩充注重防护效果的检测1、增加测评设备接入的频率和次数：需要从不同的区域多次进行接入，以验证区域间的安全访问控制策略是否有效2、部署特定的业务场景：需要对特定的数据进行流量和协议分析，可能要在测试工具上部署医生工作站客户端23判定标准量化通过难度提升量化通过分数为70分，部分符合项的得分减半，整体提升了等级保护通过的难度等级保护1.0物理安全网络安全主机安全应用安全数据安全及备份恢复等级保护2.0安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心控制点无变化身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证网络架构、通信传输、可信验证系统管理、审计管理、安全管理、集中管控数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护控制项的变化网络设备网络架构网络架构新增测评内容调整引入新的防护思想加强网络通信、网络区域边界的防护要求，医疗内外网隔离防护、根据系统类型划分网络区域，不能再采用大二层的网络架构，数据库、客户端的二层业务模式将面临新的边界防护问题网络架构重点关注网络可用性和冗余，强调带宽和设备处理能力满足业务需要，重点保障重要业务，要求通信链路和设备冗余；划分网络子网区域，区域间进行网络隔离，重点保障重要区域。通信传输网络层面增加数据传输的完整性、保密性要求；

在通信传输层面实现数据保密和完整性，或在计算环境中实现均可，不必两个层面都要实现，强调防护效果。测评内容调整-要点解析网络架构、网络和安全设备采用硬件冗余模式部署根据系统类型划分网络区域，不能再采用大二层的网络架构，数据库、客户端的二层业务模式将面临新的边界防护问题内网系统采用加密方式进行数据传输，现有的系统架构面临升级或重新开发边界防护强调边界访问控制，新增内网边界的防护要求，内部系统边界纳入测评范围，内部不同级别的系统间也要进行访问控制；新增无线网络的接入要求，无线网络与内部网络边界需要进行访问控制。入侵防范内部网络发起的入侵行为同样需要进行监测；新增基于行为的入侵防护要求（基于大数据的态势感知、深度威胁分析、蜜罐等）。访问控制访问控制策略的有效性、最小化、逻辑性纳入测评；增加应用层防护要求（下一代防火墙、应用层设备）。测评内容调整-要点解析医疗内外网隔离防护、内部系统间的边界纳入到防护范围，服务器与医生工作站间要部署防火墙或访问控制业务需求需要重新梳理，明确具体的端口开放传输需求安全管理中心（第二级及以上）划分专门的安全管理区域，网络架构中设置运维管理区；建立安全的信息传输路径，需要采用带外管理、VPN通道、加密传输等方式进行管理；部署统一网管系统，对链路、设备性能统一进行监控和告警；部署日志审计系统，对设备审计日志集中汇总、集中分析、统一保存；建立安全平台和终端管理系统，对安全策略、恶意代码、补丁升级等安全事项的集中管理；部署安全态势感知，对各类安全事件进行识别、报警和分析；建立时钟同步服务器，统一系统内的时间的一致性。测评内容调整-要点解析一体化的管控平台？分散式的管控方式？日志审计系统、堡垒机、网管系统、终端管控系统、态势感知系统共同组成安全管理中心个人信息防护要求进行信息收集需求分析，根据业务最小化收集和保存个人信息；数据去标识化管理，采用加密技术对个人信息进行保护，避免数据泄露后识别到特定自然人；控制非授权访问和非法使用，对个人信息进行加密存储和传输、并采用授权机制进行访问。可信验证系统文件、配置文件、应用程序的可信性验证和检测报警；能够将验证结果形成审计记录送至安全管理中心。测评内容调整-要点解析可信验证，安全发展的新方向安全扩展要求云计算：基础设施的位置、虚拟化安全保护、镜像和快照保护、云服务商选择和云计算环境管理。移动互联：无线接入点的物理位置、移动终端管控、移动应用管控、移动应用软件采购和移动应用软件开发；物联网：感知节点的物理防护、感知节点设备安全、感知网关节点设备安全、感知节点的管理和数据融合处理；工业控制系统：室外控制设备防护、工业控制系统网络架构安全、拨号使用控制、无线使用控制和控制设备安全。

测评内容调整-要点解析系统上云后，需同时参考云计算中云租户的安全要求进行加固利用移动互联技术、物联网的业务场景，需参考移动互联、物联网要求进行加固医疗行业的影响与应对0301020304OPTIONOPTIONOPTIONOPTION保护范围扩大利用移动互联技术、物联网的业务场景将纳入等级保护测评范围定级需要评审系统定级需要自行组织网络安全专家和行业专家进行评审测评周期延长测评更注重防护效果，测评工作量增加，工具接入位置和次数增加，必要时还需搭建测试场景安全成本增加新业务场景、新技术、新测评关注点，测评标准的提升，对系统加固都提出了更多、更高的要求医疗行业的影响安全应对安全规划与设计软件开发与实施安全运维与外包数据安全防护电子门禁、静电消除器物理环境社区医疗系统网络拓扑需采用硬件冗余模式硬件冗余医疗行业的应对部署具有针对新型攻击行为进行检测、分析和报警功能的设备，如态势感知未知威