网络安全等级保护2.0基础知识培训

网络安全等级保护

基础知识培训网络安全形势及政策解析抽样监测发现，境外有近4.7万个IP地址作为木马或僵尸网络控制服务器参与控制我国境内主机，其控制的境内主机数量已由近500万增加至近890万，呈现大规模化趋势。其中位于日本（22.8%）、美国（20.4%）和韩国（7.1%）的控制服务器IP数量居前三位。在网站安全方面，境外黑客对境内1116个网站实施了网页篡改；境外11851个IP通过植入后门对境内10593个网站实施远程控制；仿冒境内银行网站的服务器IP有95.8%位于境外，其中美国仍然排名首位——共有481个IP（占72.1%）仿冒了境内2943个银行网站的站点，中国香港（占17.8%）和韩国（占2.7%）分列二、三位。总体来看，近年位于美国、日本和韩国的恶意IP地址对我国的威胁最为严重。另据工业和信息化部互联网网络安全信息通报成员单位报送的数据，在我国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名约有65%在境外注册。这些情况表明我国面临的境外网络攻击和安全威胁越来越严重。

我国遭受境外的网络攻击持续增多

乌克兰电网遭黑客攻击导致大面积瘫痪

2015年12月底，乌克兰电力公司网络系统遭到黑客攻击，影响乌克兰西部地区数百户家庭的供电，这也乌克兰有史以来首次由于网络攻击导致的停电。这是一个典型的APT（高级可持续性威胁）攻击的手法，攻击者利用含有恶意程序的社会工程学邮件诱骗员工打开附件，从而利用应用软件的0day漏洞或者高威漏洞实现远程入侵，再进行横向传播，最终达到破坏目的。

美国超市TARGET安全事件，CEO遭撤职2013年年底，美国零售巨头塔吉特(Target)宣布公司被黑客入侵，7000万的用户个人信息和4000万的信用卡数据被盗，涉及用户名、电话号码、电子邮箱和信息卡信息等隐私数据。据估计塔吉特的损失可能达到10亿美元。‍‍同时塔吉特还将向个人受害者支付最高10000美元的的损害赔偿，并将增加数据安全保护措施。因此安全事件，塔吉特辞退了时任CEO并重新任命一位首席信息安全官。瞄准企业网络弱点“水坑攻击”让人防不胜防在TARGET的泄露事件中，黑客通过研究其供应链的各个环节，选定了TARGET的一家第三方供应商为跳板，使用社交工程钓鱼邮件窃取了该供应商的用户凭证，从而获得进入TARGET网络系统的权限。随后，黑客通过在POS系统中植入软件，感染了所有刷卡机，截取了刷卡机上的信用卡信息，最后成功入侵数据中心，窃走了所有的用户信息。

希拉里邮件门影响美国大选2009年至2013年，希拉里任国务卿期间利用私人电子邮箱和位于家中的私人服务器收发公务邮件，其中包括一些涉及国家机密的绝密邮件，这批邮件一共约6万封。邮件系统被黑客侵入，大量邮件外泄，影响国家安全。邮件门事件成为希拉里败选的关键因素之一。

国内某研究所文件泄密，后果严重黄宇，向境外间谍机关提供15万余份资料，其中绝密级国家秘密90项，机密级国家秘密292项，秘密级国家秘密1674项，对我国党、政、军、金融等多个部门的密码通信安全造成难以估量的损失。案告破后，该单位若干资质被取消，严重影响正常工作，给单位造成无法估量的损失，原单位有29人受到不同程度的处分。

中兴通讯遭美方“制裁”—重要文件泄密2018年3月7日，中国最大的通信设备上市公司——中兴通讯，被美国商务部工业与安全局（BIS）宣布制裁，中兴通讯随即在深港两地交易所申请股票停牌，中兴通讯4月7日在香港复牌后出现暴跌，一度下跌14%，公司董事长和总裁引退。BIS将中兴通讯及其三家关联公司列入“制裁名单”的决定是基于其获得的两份中兴通讯的内部机密文件而做出的，这两份分别名为《关于全面整顿和规范公司出口管制相关业务的报告》与《进出口管制风险规避方案》的机密文件描述了中兴通讯通过设立、控制和使用一系列“隔断”公司而不需经过授权就可向受美国制裁国家非法地再出口受控产品的计划方案。BIS还将这两份中兴通讯机密文件的中文扫描件和英文翻译件放在官方网站上以供查看和下载。

某政府&企业网站被篡改安全形势复杂化•蠕虫中等影响

重大影响 •APT•特定目标恶意软件小麻烦攻击手段快速演进攻击研究攻击利益复杂动机•混合型蠕虫•DDOS•协同攻击•后门木马•病毒•间谍软件•钓鱼攻击•垃圾邮件•僵尸网络

云计算安全的问题与需求随着云计算兴起，物理网络隔离为主体思想的传统信息安全在新的IT云计算架构中已经日益难以应对。新技术引入带来了新的安全问题，云计算的开放、共享与“高速、互联、互通”的特性，为安全控制带来了新的挑战。云安全问题身份与访问管理：缺乏统一、集中、标准的访问控制数据集中控制：系统、租户的数据安全防护难度加大云与虚拟化：攻击从终端转向云端，安全边界趋于模糊自动化安全管理：安全自动化管理要求更高、防护盲点数据泄漏威胁：数据集中、共享与多样化加大了泄漏风险安全监管合规：国家标准、行业规范、监管要求云安全新需求1.纵深防御（DiD）、软件定义信息安全（SDIS）、安全设备虚拟化（SDV），结合后形成更安全、敏捷、经济的云平台安全体系。2.云访问安全代理、多点联动防御、入侵容忍和Docker自带的安全机制等技术将会成为未来云安全发展的新趋势。可靠云防护体系健康云硬件基础设施机房线路IaaS服务虚拟资源池化服务管理与平台服务服务目录服务门户云安全架构专业服务基础服务Web门户统一通讯邮箱存储政务云服务器存储网络安全其它虚拟机资源池(CPU、MEM、DISK、NIC)虚拟网络虚拟IO虚拟存储虚拟安全软件资源操作系统数据库中间件其他组件服务流程资源调度与管理自动化弹性扩展负载均衡动态迁移按需供给决策支持平台优化容灾身份认证访问控制管理报表安全评估PaaS服务企业云交通云教育云虚机应用SaaS服务私有云应用公共云应用混合云应用云租户安全云自身安全：虚拟环境安全平台数据中心安全基础设施云的安全服务数据安全管控4A安全平台云堡垒机Hyper-VVmwareKVMXen跨平台能力防恶意代码/垃圾邮件云VPNWeb安全防护URL过滤网络访问控制防恶意代码/垃圾邮件APT虚拟网络审计应用交付认证授权防火墙运维审计抗DDoSAPT治理日志审计VPNIDS流量控制防火墙桌面APT防御等保ITIL运维堡垒机风评加固应急运营合规咨询服务软件服务合规咨询渗透测试接口安全评估安全开发咨询云计算架构虚拟安全接入SOC安全平台智能分析中心流量审计平台用户行为分析面向云服务架构提供全方位、可靠云安全防护体系

云计算安全体系APT安全控制阶段攻击阶段内部扩散阶段夹带恶意附件的社交工程邮件建立C&C通讯渠道内部网络攻击与扩散安装后门程序攻击软件漏洞APT入侵三阶段

威胁态势感知—大数据与人工智能分析平台主机病毒探针主机威胁取证网络未知威胁探针网络已知威胁探针沙盒分析设备系统日志记录其他探针大数据分析平台威胁情报可视化国家高度重视信息安全问题政策密集出台安全等级保护的由来国家对信息安全保障的政策演变网络空间安全战略提出

内涵概念的变化，从网络、系统和信息的安全改变为网络空间安全。保障原则的变化，从谁主管谁负责，改变为强调共建共享共治保证策略的变化，从合规驱动，以防御为主，改变为强调业务为主、攻防兼备，变被动为主动保障重心的变化，从保障网络和信息系统为主，改变为强调业务、应用和数据的保障保障模式的变化，从单纯依靠自己力量，改变为强调专业化，依靠平台和更强大的服务团队《网络安全法》标志着我国网络安全立法取得了重大突破，是中央网络安全和信息化领导小组成立后我国“网络强国”最重要的战略部署。可以预见，在2017年6月1日起正式实施之前，国务院及相关的部门会制定和颁布一系列的配套法律法规彰显确立了网络安全与信息化、网络空间主权、开展国际合作、网络安全管理体制等方面国家网络安全的基本原则。标志着我国关键信息基础设施保护工作进入正轨，在关键基础设施的保护范围、保护要求、保护责任等方面做出了系统性的要求。体现了全面加强了对公民个人信息的保护。保障网络数据安全进入了国家网络安全的视野。背景网络安全等级保护基本要求（2.0）将于2019年12月1日实施。信息系统安全等级保护简介什么是等级保护信息安全等级保护是指：对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护；根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。等级保护的主要工作流程自主定级和审批评审备案系统建设等级测评监督检查信息系统运营使用单位按照等级保护管理办法和《信息系统安全等级保护定级指南》，确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。在信息系统确定安全保护等级过程中，可以进行必要的业务和技术评估，组织专家进行咨询评审。对拟确定为第四级以上的信息系统的运营、使用单位或主管部门应当邀请国家信息安全等级保护专家评审委员会评审。第二级以上信息系统由其运营使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。信息系统的安全保护等级确定后，运营使用单位应当按照国家信息安全等级保护管理规范和划分准则、基本要求、操作系统、数据库、网络、服务器、终端等技术要求，使用符合本系统安全保护等级要求的信息安全产品，同步建设符合本系统安全保护等级要求的信息安全设施。运营使用单位应当按照安全管理要求、安全工程管理要求等管理规范，建立安全组织，制定并落实符合本系统安全保护等级的安全管理制度。信息系统建设完成后，运营使用单位应当选择符合本系统安全保护等级要求的检测机构，依据《信息系统安全等级保护测评指南》等技术标准对信息系统安全等级状况开展技术评测。三级信息系统应当每年至少进行一次等级测评；四级信息系统应当每半年至少进行一次等级测评；五级信息系统应当依据特殊安全需求进行等级测评。受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。三级信息系统每年至少检查一次，四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。等级保护工作过程等级保护基本框架等级保护技术要求-网络安全等级保护技术要求-物理安全等级保护技术要求-主机系统安全等级保护技术要求-应用安全等级保护技术要求-数据安全安全保护等级的划分

1）用户自主保护级公民、法人和其它组织的合法权益：损害，国家安全、社会秩序和公共利益：不损害2）系统审计保护级公民、法人和其它组织的合法权益：损害，社会秩序和公共利益：损害，国家安全：不损害3）安全标记保护级社会秩序和公共利益：严重损害，国家安全：损害4）结构化保护级社会秩序和公共利益：特别严重损害，国家安全：严重损害5）访问验证保护级国家安全：特别严重损害定级要素与等级的关系

受侵害的客体对客体的侵害程度一般损害

严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级如何确定信息系统安全等级确定等级流程

业务信息安全保护等级矩阵表系统服务安全保护等级矩阵表系统安全保护等级矩阵表确定定级对象：

具有唯一确定的安全责任单位；满足信息系统的基本要素；承载相对独立的业务应用安全保护等级定级参考

1）一级，小型私营、个体企业、中小学，乡镇所属信息系统，县级单位一般的信息系统2）二级，县级某些单位重要信息系统；地市级以上国家机关、企事业单位内部一般信息系统（例如非涉及工作、商业秘密，敏感信息的办公系统和管理系统）3）三级，地市级以上国家机关、企事业单位内部重要信息系统（例如涉及工作、商业秘密，敏感信息的办公系统和管理系统）。跨省或全国联网运行的用于生产、调度、管理、控制等方面的重要系统及在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站4）四级，国家重要领域、重要部门中的特别重要系统以及核心系统，电力、电信、广电、税务等5）五级，国家重要领域、重要部门中的极端重要系统系统定级和备案流程

系统定级定级报告备案表其它材料专家评审专家评审系统定级专家建议申报网安提交申报材料网安审核10工作日内网安完成审核领取备案书领取备案书准备等级测评信息系统安全等级保护解决方案安全保障体系模型安全等级保护技术安全要求管理安全要求差距分析

等级保护差距分析以信息系统为单位以基本要求为依据业务信息与系统服务关联分析根据系统所确定的安全等级从《基本要求》中选择相应等级的基本安全需求根据系统所面临的威胁特点调整安全要求，去掉不适用项基本要求中某些地方的安全措施不能满足本单位信息系统的保护要求；没有提供所需要的保护措施对比信息系统现状和安全要求之间的差距，确定不满足要求的安全项1、确定信息系统的基本安全需求2、选择调整基本安全需求3、明确特殊安全需求4、根据各项安全要求进行逐项分析确定不符合安全项现状梳理明确安全建设需求123等级保护设计方案安全技术体系设计物理安全设计网络安全设计主机安全设计应用安全设计数据安全设计安全管理设计安全管理体系设计安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理安全服务保障设计风险评估安全加固安全巡检应急响应安全培训等级保护设计安全的网络结构安全的边界防护安全的计算环境网络和基础设施保护1关键网络设备进行安全加固2采用双核心设计，确保网络的容错能力；并通过核心交换机执行QOS，保障关键应用的资源3配置网络设备的日志审计，并通过统一的网络日志审计平台实现集中记录，同时也作为安全管理平台的分析依据。区域边界保护区域边界保护保护计算环境保护计算环境落实安全管理措施三级系统安全管理措施建立全面的安全管理制度，并安排专人负责并监控执行情况；建立全面的人员管理体系，制定严格的考核标准建设过程的各项活动都要求进行制度化规范，按照制度要求进行活动的开展实现严格的保密性管理成立安全运维小组，对安全维护的责任落实到具体的人引入第三方专业安全服务信息系统安全等级保护测评过程测评依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）《信息安全等级保护管理办法》（公通字[2007]43号）GB17859-1999《计算机信息系统安全保