等级保护网络安全2.0内容/网络安全等级保护2.0标准情况-马力.pdf_零开始黑客详细教程

等级保护网络安全2.0内容/网络安全等级保护2.0标准情况-马力.pdf_零开始黑客详细教程

网络安全等级保护2.0标准情况公安部信息安全等级保护评估中心 马力 目录  等级保护2.0标准概况  基本要求-总体结构变化  基本要求-安全通用要求  基本要求-安全扩展要求 等级保护1.0回顾-主要工作定级备案建设整改等级测评监督检查公通字[2007]43号文-等级保护“规定动作”- 3 - 等级保护1.0回顾-标准体系信息系统安全等级保护定级指南信息系统安全等级保护行业定级细则信信息息护信 护信安全等级系系测息 测息统统评系 评系状 信息安全等级方安等过统 要统况法全 要级程安 求安分 保护安全建设指等 求保指全全析级护南等等整改工作导保安护全级级实设保保基线要求施计指技南术信息系统安全等级保护基本要求的行业细则信息系统安全等级保护基本要求技术类管理类产品类信息系统通用安全信息系统安全操作系统安全技术 等级保护1.0回顾-主要标准 信息安全等级保护管理办法（43号文件）（上位文件） 计算机信息系统安全保护等级划分准则-1999 （上位标准） 信息系统安全保护等级定级指南GB/-2008 信息系统安全等级保护基本要求GB/-2008 信息系统等级保护安全设计要求GB/-2010 信息系统安全等级保护测评要求GB/-2012 信息系统安全等级保护测评过程指南GB/-2012 等级保护2.0-法律依据-网络安全法 国家实行网络安全等级保护制度。

应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破环或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。（第20条）6 等级保护2.0-法律依据-网络安全法 国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。 （第29条）7 等级保护2.0-主要开展的工作 构建新的法律、政策体系 构建新的标准体系 构建新的技术支撑体系 构建新的人才队伍体系 构建新的教育训练体系 构建新的保障体系8 等级保护2.0-网络安全等级保护标准 等级保护条例（制订中) （总要求/上位文件） 划分准则（GB 17859-1999）（上位标准） 实施指南（GB/）（修订） 定级指南（GB/）（修订） 基本要求（GB/）（修订） 设计要求（GB/）（修订） 测评要求（GB/）（修订） 测评过程指南（GB/）（修订）9 等级保护2.0-关键信息基础设施标准 关键信息基础设施保护条例 （征求意见稿) （总要求/上位文件） 关键信息基础设施安全保护要求 （征求意见稿） 关键信息基础设施安全控制要求 （征求意见稿） 关键信息基础设施安全控制评估方法 （征求意见稿）1011 目录  等级保护2.0标准概况  基本要求-总体结构变化  基本要求-安全通用要求  基本要求-安全扩展要求 第一次大变化 2017年8月根据网信办和公安部的意见将5个分册进行合并，形成一个标准。

10月参加安标委WG5 工作组在研标准推进会，征求127家成员单位意见，修改后形成报批稿。 （2017年体系会宣贯，互联网企业安全专项检查 《标准试用稿》）。13 第二次大变化 2018年7月根据沈院士意见再次调整分类结构和强化可信计算。 充分体现一个中心，三重防御的思想 （和GB/T 25070保持一致） 充分强化可信计算技术使用的要求 （和GB/T 25070保持一致）14 1、名称的变化 原来：《信息系统安全等级保护基本要求》 改为：《信息安全等级保护基本要求》 再改为： （与《网络安全法》保持一致）《网络安全等级保护基本要求》15 2、安全要求的变化 原来：安全要求 改为：安全通用要求和安全扩展要求 安全通用要求是不管等级保护对象形态如何必须满足的要求，针对云计算、移动互联、物联网和工业控制系统提出了特殊要求，称为安全扩展要求.16 3、章节结构的变化 8 第三级安全要求 8.1 安全通用要求 8.2 云计算安全扩展要求 8.3 移动互联安全扩展要求 8.4 物联网安全扩展要求 8.5 工业控制系统安全扩展要求17 4.调整了控制措施的分类结构 结构和分类调整为： 技术部分： 物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全； 管理部分： 安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理18 4.再次调整控制措施的分类结构 技术部分： 安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心 管理部分： 安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理19 5.增加了云计算安全扩展要求 云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。

对云计算环境主要增加的内容包括 “基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。20 6.增加了移动互联安全扩展要求 移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。21 7.增加了物联网安全扩展要求 物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括 “感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。22 8.增加了工业控制系统安全扩展要求 工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括 “室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。23 9.增加了应用场景的说明 增加附录C 描述等级保护安全框架和关键技术 ，增加附录D描述云计算应用场景，附录E描述移动互联应用场景，附录F描述物联网应用场景，附录G描述工业控制系统应用场景。

附录H描述大数据应用场景。24 目录  等级保护2.0标准概况  基本要求-总体结构变化  基本要求-安全通用要求  基本要求-安全扩展要求 新标准结构 1范围 2规范性引用文件 3术语和定义 4缩略语 5网络安全等级保护概述 5.1等级保护对象 5.2不同级别的安全保护能力 5.3安全通用要求和安全扩展要求26 新标准结构 8 第三级安全要求 8.1 安全通用要求 8.2 云计算安全扩展要求 8.3 移动互联安全扩展要求 8.4 物联网安全扩展要求 8.5 工业控制系统安全扩展要求27 安全通用要求和安全扩展要求的使用场合 安全通用要求针对共性化保护需求提出，等级保护对象无论以何种形式出现，必须根据安全保护等级实现相应级别的安全通用要求 安全扩展要求针对个性化保护需求提出，需要根据安全保护等级和使用的特定技术或特定的应用场景实现安全扩展要求 等级保护对象的保护：安全通用要求+安全扩展要求28 原来基本要求文档结构（2008）基本要求技术要求管理要求数据安 安 人 系 系物 网 主 应安全 全 员 统 统全理 络 机 用管 管 安 建 运安 安 安 安及理 理 全 设 维全 全 全 全备制 机 管 管 管份度 构 理 理 理恢复- 29 - 新基本要求文档结构（试用稿）基本要求技术要求管理要求安 安物 网 设 应全 全安 安理 络 备 用策 管 全 全和 和 和 和略 理建 运环 通 计 数和 机设 维境 信 算 据管 构管 管安 安 安 安理 和理 理全 全 全 全制 人度 员- 30 - 新基本要求文档结构 （最终稿）基本要求技术要求管理要求安安 安 安安安安 安 安 安全全 全 全全全全 全 全 全物通区 计管管管 管 建 运理信 域 算理理理 理 设 维环网 边 环中制机 人 管 管境络 界 境心度构 员 理 理- 31 - 安全通用要求-安全物理环境（最新稿）分类原有控制点新的控制点1物理位置选择1物理位置的选择2物理访问控制2物理访问控制3防盗窃和防破坏3防盗窃和防破坏4防雷击4防雷击5防火5防火物理和环境安全安全物理环境6防水和防潮6防水和防潮7防静电7防静电8温湿度控制8温湿度控制9电力供应9电力供应10电磁防护10电磁防护 安全物理环境 四级在三级的基础上增加了三个条款： 重要区域应配置第二道电子门禁系统； 应对关键区域实施电磁屏蔽； 应提供应急供电设施；33 安全通用要求-安全通信网络（最新稿）分类原有控制点新的控制点1网络架构1网络架构2通信传输2通信传输3边界防护可信验证4访问控制5 网络和通信安全 入侵防范安全通信网络6恶意代码防范7安全审计8集中管控3 安全通用要求-安全区域边界（最新稿）分类原有控制点新的控制点1网络架构2通信传输3边界防护1边界防护4访问控制2访问控制5 网络和通信安全 入侵防范3 安全区域边界入侵防范6恶意代码防范4恶意代码防范7安全审计5安全审计8集中管控可信验证6 安全通用要求-安全管理中心（最新稿）分类原有控制点新的控制点1网络架构1系统管理2通信传输2审计管理3边界防护3安全管理4访问控制5 网络和通信安全 入侵防范安全管理中心6恶意代码防范7安全审计8集中管控4集中管控 安全通信网络+安全区域边界+安全管理中心 四级在三级的基础上增加了七个条款： 应可按照业务服务的重要程度分配带宽，优先保障重要业务； 应在通信前基于密码技术对通信的双方进行验证或认证； 应基于硬件密码模块对重要通信过程进行密码运算和密钥管理； 应能够在发现非授权设备私自联到内部网络的行为或内部用户非授权联到外部网络的行为时，对其进行有效阻断； 应采用可信验证机制对接入到网络中的设备进行可信验证，保证接入网络的设备真实可信； 应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换； 应保证系统范围内的时间由唯一确定的时钟产生，以保证各种数据的管理和分析在时间上的一致性；37 安全通用要求-安全计算环境（最新稿）分类原有控制点新的控制点1身份鉴别1身份鉴别2访问控制2访问控制3安全审计3安全审计4入侵防范4入侵防范5恶意代码防范5可信验证6资源控制6恶意代码防范71 设备和计算安全 身份鉴别8数据完整性2 应用和数据安全 访问控制9 安全计算环境 数据保密性3安全审计10数据备份恢复4软件容错11剩余信息保护5资源控制12个人信息保护6数据完整性7数据保密性8数据备份恢复9剩余信息保护10个人信息保护 安全计算环境 四级在三级的基础上增强了五个条款： 登录用户执行重要操作时应再次进行身份鉴别； 应对主体、客体设置安全标记，并依据安全标记和强制访问控制规则确定主体对客体的访问； 应采用主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断； 在可能涉及法律责任认定的应用中，应采用密码技术提供数据原发证据和数据接收证据，实现数据原发行为的抗抵赖和数据接收行为的抗抵赖； 应建立异地灾难备份中心，提供业务应用的实时切换；39 可信验证控制点的增加从一级到四级均在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点。

40 可信验证-三级 可基于可信根对设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。41 安全通用要求-安全管理制度（最新稿）分类原有控制点新的控制点1管理制度1安全策略2制定和发布2管理制度安全管理制度安全管理制度3评审和修订3制定和发布4评审和修订 安全通用要求-安全管理机构（最新稿）分类原有控制点新的控制点1岗位设置1岗位设置2人员配备2人员配备3授权和审批3授权和审批安全管理机构安全管理机构4沟通和合作4沟通和合作5审核和检查5审核和检查 安全通用要求-安全管理人员（最新稿）分类原有控制点新的控制点1人员录用1人员录用2人员离岗2人员离岗3人员考核3安全意识教育和培训人员安全管理安全管理人员4安全意识教育和培训4外部人员访问管理5外部人员访问管理 安全通用要求-安全建设管理（最新稿）分类原有控制点新的控制点1系统定级1系统定级和备案2安全方案设计2安全方案设计3产品采购和使用3产品采购和使用4自行软件开发4自行软件开发5外包软件开发5外包软件开发6 系统建设管理工程实施6 安全建设管理工程实施7测试验收7测试验收8系统交付8系统交付9系统备案9等级测评10等级测评10服务供应商选择11安全服务商选择 安全通用要求-安全运维管理（最新稿）分类原有控制点新的控制点1环境管理1环境管理2资产管理2资产管理3介质管理3介质管理4设备管理4设备维护管理监控管理和安全管理中55漏洞和风险管理心6网络安全管理6网络和系统安全管理7 系统运维管理系统安全管理7 安全运维管理恶意代码防范管理8恶意代码防范管理8配置管理9密码管理9密码管理10变更管理10变更管理11备份与恢复管理11备份与恢复管理12安全事件处置12安全事件处置13应急预案管理13应急预案管理14外包运维管理目录  等级保护2.0标准概况  基本要求-总体结构变化  基本要求-安全通用要求  基本要求-安全扩展要求 云计算安全扩展要求的合并和精炼 云计算安全扩展要求由第2分册合并精炼为基本要求的X.2章节,保留针对云计算的特点特殊保护要求。

包括 “基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。安全要求项一级二级三级四级云计算安全扩展要求（分册）云计算安全扩展要求（X.2） 云计算安全扩展要求的主要思想  云计算平台（或采用云计算技术的系统）自身安全防护要求  云计算平台向其上租户系统提供安全防护的能力要求 云计算安全扩展要求-原则性要求  应确保云计算基础设施位于中国境内，云计算平台不承载高于其安全保护等级的业务应用系统  应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定  云计算平台的运维地点应位于中国境内，如需境外对境内云计算平台实施运维操作应遵循国家相关规定 云计算安全扩展要求-自身防护的要求  当远程管理云计算平台中设备时，管理终端和云计算平台之间应建立双向身份验证机制。  应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；  应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；  应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量；  等等 云计算安全扩展要求-提供能力的要求  应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力  应具有根据云服务客户业务需求自主设置安全策略集的能力，包括定义访问路径、选择安全组件、配置安全策略  应根据云服务商和云服务客户的职责划分，收集各自控制部分的审计数据并实现各自的集中审计  应根据云服务商和云服务客户的职责划分，实现各自控制部分，包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测  等等 云计算安全扩展要求-控制点和要求项序号控制点一级二级三级四级1基础设施位置11112网络架构24693访问控制12224入侵防范03555安全审计02226集中管控00447身份鉴别00118访问控制22229入侵防范镜像和快照保护数据安全性数据备份恢复剩余信息保护云服务商选择供应链管理云计算环境管理0111 安全扩展要求使用的难点-不同的定级对象租租租租租户户户户户信信信信信息息息息息系系系系系统统统统统12345云计算平台54 安全扩展要求使用的难点-不同的责任方 移动互联安全扩展要求的合并和精炼 移动互联安全扩展要求由第3分册合并精炼为基本要求的X.3章节, 保留针对移动互联部分特殊保护要求。

包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。安全要求项一级二级三级四级移动互联安全扩展要求（分册）移动互联安全扩展要求（X.3） 移动互联安全扩展要求使用场景服务移动管理服务器业务系统服务器器区接入无线接入设备无线接入网关设备无线公共WiFi专用WiFi通道移动通用终端专用终端终端 移动互联安全扩展要求使用要点  针对采用移动互联技术的等级保护对象其移动互联部分提出特殊保护要求。移动互联部分通常由移动终端、移动应用和无线网络三部分组成 移动互联安全扩展要求-控制点和要求项序号控制点一级二级三级四级1无线接入点的物理位置11112边界防护11113访问控制111+14入侵防范05665移动终端管控00236移动应用管控12347移动应用软件采购122+28移动应用软件开发02229配置管理0011 物联网安全扩展要求的合并和精炼 物联网安全扩展要求由第4分册合并精炼为基本要求的X.4章节,保留针对物联网的感知网部分特殊保护要求。包括 “感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。安全要求项一级二级三级四级物联网安全扩展要求（分册）物联网安全扩展要求（X.4） 物联网安全扩展要求使用场景处理智能处理数据存储计算服务应用层网络电信网/互联网专用网移动通信网传输层R感知网关节点FRFID读写器传I感知层D感系网统RFID标签络终端感知节点 物联网安全扩展要求使用要点

~

网络安全学习，我们一起交流

~