等级保护2完整版本.0介绍

等级保护2.0介绍等级保护2.0介绍第1页什么是等级保护？网络安全等级保护是指对国家主要信息、法人和其它组织及公民专有信息以及公开信息和存放、传输、处理这些信息信息系统分等级实施安全保护，对信息系统中使用信息安全产品实施按等级管理，对信息系统中发生信息安全事件分等级响应、处置。等级保护2.0介绍第2页等级保护划分第一级信息系统受到破坏后，会对公民、法人和其它组织正当权益造成损害，但不损害国家安全、社会秩序和公共利益第二级信息系统受到破坏后，会对公民、法人和其它组织正当权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全第三级信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害第四级信息系统受到破坏后，会对社会秩序和公共利益造成尤其严重损害，或者对国家安全造成严重损害第五级信息系统受到破坏后，会对国家安全造成尤其严重损害等级保护2.0介绍第3页等级保护工作主要流程一是定级二是立案（二级以上信息系统）三是系统建设、整改四是开展等级测评五是信息安全监管部门定时开展监督检验等级保护2.0介绍第4页等级保护对象演变等级保护2.0介绍第5页标准名称改变等保2.0将原来标准《信息安全技术信息系统安全等级保护基础要求》改为《信息安全技术网络安全等级保护基础要求》，与《中华人民共和国网络安全法》中相关法律条文保持一致等级保护2.0介绍第6页标准内容改变等级保护标准体系定级指南基本要求通用要求云计算物联网移动互联工业控制设计要求测评要求等级保护2.0介绍第7页控制结构改变等级保护2.0介绍第8页等级保护1.0等级保护2.0结构图旧标准技术要求物理安全网络安全主机安全应用安全数据安全及备份恢复管理要求安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理新标准物理和环境安全技术要求网络和通信安全设备和计算安全应用和数据安全安全策略和管理制度管理要求安全管理机构和人员安全建设管理安全运维管理等级保护2.0介绍第9页控制点对比等级保护2.0介绍第10页基础要求大类1.0基础要求子类信息系统安全等级保护等级等保二级等保三级技术要求物理安全1010网络安全67主机安全67应用安全79数据安全33管理要求安全管理制度33安全管理机构55人员安全管理55系统建设管理911系统运维管理1213累计/6673基础要求大类2.0基础要求子类信息系统安全等级保护等级等保二级等保三级技术要求物理和环境安全1010网络和通信安全78设备和计算安全66应用和数据安全910管理要求安全策略和管理制度44安全管理机构和人员99安全建设管理1010安全运维管理1414累计/6971等级保护2.0介绍第11页要求项对比等级保护2.0介绍第12页基础要求大类1.0基础要求子类信息系统安全等级保护等级等保二级等保三级技术要求物理安全1932网络安全1833主机安全1932应用安全1931数据安全48管理要求安全管理制度711安全管理机构920人员安全管理1116系统建设管理2845系统运维管理4162累计/175290基础要求大类2.0基础要求子类信息系统安全等级保护等级等保二级等保三级技术要求物理和环境安全1522网络和通信安全1633设备和计算安全1726应用和数据安全2234管理要求安全策略和管理制度67安全管理机构和人员1626安全建设管理2534安全运维管理3048累计/147230等级保护2.0介绍第13页总体上看，等保2.0通用要求在技术个别基础上进行了一些调整，但控制点要求上并没有显著增加，经过合并整合后相对旧标准略有缩减。等级保护2.0介绍第14页

原控制点要求项数新控制点要求项数物理安全1

物理位置选择2物理和环境安全1

物理位置选择22

物理访问控制42

物理访问控制13

防偷窃和防破坏63

防偷窃和防破坏34

防雷击34

防雷击25

防火35

防火36

防水和防潮46

防水和防潮37

防静电27

防静电28

温湿度控制18

温湿度控制19

电力供给49

电力供给310

电磁防护310

电磁防护2等级保护2.0介绍第15页原控制项新控制项物理位置选择b)

机房场地应防止设在建筑物高层或地下室，以及用水设备下层或隔壁。物理位置选择b)

机房场地应防止设在建筑物顶层或地下室，不然应加强防水和防潮方法防静电无防静电b)

应采取方法预防静电产生，比如采取静电消除器、佩戴防静电手环等。(新增)等级保护2.0介绍第16页

原控制点要求项数

新控制点要求项数网络安全1结构安全7网络和通信安全1

网络架构52访问控制82通信传输23安全审计43边界防护44边界完整性检验24

访问控制55入侵防范25

入侵防范46

恶意代码防范26

恶意代码防范27

网络设备防护87

安全审计5

8

集中管控6等级保护2.0介绍第17页原控制项新控制项无通信传输a)

应采取校验码技术或密码技术确保通信过程中数据完整性；b)

应采取密码技术确保通信过程中敏感信息字段或整个报文保密性。

边界完整性检验a)

应能够对非授权设备私自联到内部网络行为进行检验，准确定出位置，并对其进行有效阻断；边界防护a)

应确保跨越边界访问和数据流经过边界防护设备提供受控接口进行通信；b)

应能够对非授权设备私自联到内部网络行为进行限制或检验；

b)

应能够对内部网络用户私自联到外部网络行为进行检验，准确定出位置，并对其进行有效阻断。c)

应能够对内部用户非授权联到外部网络行为进行限制或检验；

d)

应限制无线网络使用，确保无线网络经过受控边界防护设备接入内部网络。

入侵防范无入侵防范b)

应在关键网络节点处检测、预防或限制从内部发起网络攻击行为；(新增)无c)

应采取技术方法对网络行为进行分析，实现对网络攻击尤其是新型网络攻击行为分析；(新增)等级保护2.0介绍第18页原控制项新控制项恶意代码防范无恶意代码防范b)

应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制升级和更新。

(新增)

安全审计无安全审计d)

应确保审计统计留存时间符正当律法规要求；(新增)e)

应能对远程访问用户行为、访问互联网用户行为等单独进行行为审计和数据分析。

(新增)无集中管控a)

应划分出特定管理区域，对分布在网络中安全设备或安全组件进行管控；

(新增)b)

应能够建立一条安全信息传输路径，对网络中安全设备或安全组件进行管理；

(新增)c)

应对网络链路、安全设备、网络设备和服务器等运行情况进行集中监测；

(新增)d)

应对分散在各个设备上审计数据进行搜集汇总和集中分析；(新增)e)

应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；

f)

应能对网络中发生各类安全事件进行识别、报警和分析。

(新增)等级保护2.0介绍第19页解读1.依据服务器角色和主要性，对网络进行安全域划分；2.在内外网安全域边界设置访问控制策略，并要求配置到详细端口；3.在网络边界处应该布署入侵防范伎俩，防御并统计入侵行为；4.对网络中用户行为日志和安全事件信息进行统计和审计；5.对安全设备、网络设备和服务器等进行集中管理。等级保护2.0介绍第20页

原控制点要求项数新控制点要求项数主机安全1

身份判别6设备和计算安全1

身份判别42

访问控制72

访问控制73

安全审计63

安全审计54

剩下信息保护24

入侵防范55

入侵防范35

恶意代码防范16

恶意代码防范36

资源控制47

资源控制5

等级保护2.0介绍第21页原控制项新控制项安全审计无安全审计d)

应确保审计统计留存时间符正当律法规要求；（新增）入侵防范无入侵防范b)

应关闭不需要系统服务、默认共享和高危端口；c)

应经过设定终端接入方式或网络地址范围对经过网络进行管理管理终端进行限制；d)

应能发觉可能存在漏洞，并在经过充分测试评定后，及时修补漏洞；等级保护2.0介绍第22页解读1.防止账号共享、统计和审计运维操作行为是最基础安全要求；2.必要安全伎俩确保系统层安全，防范服务器入侵行为；等级保护2.0介绍第23页

原控制点要求项数新控制点要求项数应用安全1

身份判别5应用和数据安全1

身份判别52

访问控制62

访问控制73

安全审计43

安全审计54

剩下信息保护24

软件容错35

通信完整性15

资源控制26

通信保密性26

数据完整性27

抗抵赖27

数据保密性28

软件容错28

数据备份和恢复39

资源控制79

剩下信息保护2数据安全及备份恢复9

数据完整性210

个人信息保护210

数据保密性2

11

备份和恢复4

等级保护2.0介绍第24页原控制项新控制项安全审计无安全审计d)

应确保审计统计留存时间符正当律法规要求；（新增）软件容错无

软件容错c)

在故障发生时，应自动保留易失性数据和全部状态，确保系统能够进行恢复。（新增）身份判别无

身份判别c)

应强制用户首次登录时修改初始口令；（新增）d)

用户身份判别信息丢失或失效时，应采取技术方法确保判别信息重置过程安全；（新增）个人信息保护无

个人信息保护a)

应仅采集和保留业务必需用户个人信息；（新增）b)

应禁止未授权访问和非法使用用户个人信息。（新增）等级保护2.0介绍第25页解读1.应用是详细业务直接实现，不含有网络和系统相对标准化特点。大个别应用本身身份判别、访问控制和操作审计等功效，都难以用第三方产品来替换实现；2.数据完整性和保密性，除了在其它层面进行安全防护以外，加密是最为有效方法；3.数据异地备份是等保三级区分于二级最主要要求之一，是实现业务连续最基础技术保障办法。等级保护2.0介绍第26页网络安全法与等级保护工作关系等级保护2.0介绍第27页第二十一条国家实施网络安全等级保护制度。网络运行者应该按照网络安全等级保护制度要求，推行以下安全保护义务，保障网络免受干扰、破坏或者未经授权访问，预防网络数据泄露或者被窃取、篡改：（一）制订内部安全管理制度和操作规程，确定网络安全责任人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为技术办法；（三）采取监测、统计网络运行状态、网络安全事件技术办法，并按照要求留存相关网络日志不少于六个月；（四）采取数据分类、主要数据备份和加密等