分享
分享赚钱 收藏 举报 版权申诉 / 53

类型等保测评介绍及解决方案(最终).ppt

  • 上传人:精品资料
  • 文档编号:10348360
  • 上传时间:2019-11-02
  • 格式:PPT
  • 页数:53
  • 大小:4.57MB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    等保测评介绍及解决方案(最终).ppt
    资源描述:

    1、网络安全等级保护介绍,恒生科技:周 伟2019.08.23,测评介绍,等保必要性,延时符,等保介绍,解决方案,三个分等级,等级保护的定义:是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。等级保护,即分等级保护,分等级监管。系统重要程度有多高,安全保护就应当有多强,既不能保护不足,也不能过度保护。,等级保护发展历程 等保1.0,发展情况,1994-2003 政策环境营造,1994年,国务院颁布中华人民共和国计算机信息系统安全保护条例,规

    2、定计算机信息系统实行安全等级保护。2003年,中央办公厅、国务院办公厅颁发国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出“实行信息安全等级保护”。,2004-2006 工作开展准备,2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作,为全面开展等级保护工作奠定基础。,2007-2010 工作正式启动,2007年6月,四部门联合出台信息安全等级保护管理办法。2007年7月,四部门联合颁布关于开展全国重要信息系统安全等级保护定级工作的通知。2007年7月20日,召开全国重要信息系统安全等级保

    3、护定级工作部署专题电视电话会议,标志着信息安全等级保护制度正式开始实施。,2010-2016 工作规模推进,2010年4月,公安部出台关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知,提出等级保护工作的阶段性目标。 2010年12月,公安部和国务院国有资产监督管理委员会联合出台关于进一步推进中央企业信息安全等级保护工作的通知,要求中央企业贯彻执行等级保护工作。,等级保护发展历程 等保2.0,发展情况,修订等保1.0,2016年10月公安部网络安全保卫局组织对原有国家标准 GB/T 22239-2008等系列标 准进行了修订。,2.0系列标准 编制工作,2017年1月至2月,全国信息

    4、安全标准化技术委员会发布 网络安全等级保护基本要求系列标准、 网络安全等级保护测评要求 系列标准等“征求意见稿”。 2017年5月,国家公安部发布GA/T 13892017 网络安全等级保护定级指南、GA/T 1390.22017 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求等4个公共安全行业等级保护标准。,等保2.0,网络安全等级保护条例征求意见稿发布。7月再次调整分类结构和强化可信计算。充分体现一个中心,三重防御的思想(和GB/T 25070保持一致)充分强化可信计算技术使用的要求(和GB/T 25070保持一致),等保2.0标准在2019年5月13号正式发布,12月1号正式

    5、实施,进入等保2.0时代。,等级保护依据的法律、法规,网络安全法第二十一条明确要求:“国家实行网络安全等级保护制度”。 网络安全等级保护条例第三条【确立制度】国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管(征求意见稿)。 关键信息基础设施安全保护条例(征求意见稿)。 关于开展信息安全等级保护安全建设整改工作的指导意见(公信安 2009 1429号)。 中央关于加强社会治安防控体系建设的意见、公安改革若干重大问题的框架意见要求“健全完善信息安全等级保护制度”。 中央领导批示要求:健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度。,等级保护2.0的法规、标准体系,

    6、网络安全等级保护条例(制订中-征求意见稿)(总要求/上位文件) 计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准) 网络安全等级保护 基本要求(GB/T 22239-2019) 网络安全等级保护 安全设计技术要求(GB/T 25070-2019) 网络安全等级保护 测评要求(GB/T 28448-2019) 网络安全等级保护 测评过程指南(GB/T 28449-2018) 网络安全等级保护 定级指南(GB/T 22240) (修订) 网络安全等级保护 实施指南(GB/T 25058)(修订),等级保护等级划分,第一级 自主保护级: 此类信息系统受到破坏后, 会对公民、

    7、法人和其他组织的合法权益造成 一般损害,不损害 国家安全、社会秩序和公共利益。 第二级 指导保护级: 此类信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成 严重损害,会对社会秩序、公共利益造成 一般损害, 不损害 国家安全。 第三级 监督保护级: 此类信息系统受到破坏后,会对国家安全、社会秩序造成 损害,对公共利益造成 严重损害,对公民、法人和其他组织的合法权益造成 特别严重的损害。,无需备案,对测评周期无要求,公安部门备案,建议两年测评一次,公安部门备案,要求每年测评一次,等级保护等级划分,第四级 强制保护级: 此类信息系统受到破坏后,会对国家安全造成 严重损害,对社会秩序、公共利

    8、益造成 特别严重损害 。 第五级 专控保护级: 此类信息系统受到破坏后会对国家安全造成 特别严重损害 。,公安部门备案,要求半年一次,公安部门备案,依据特殊安全需求进行,我国关键信息基础设施是指关系国家核心利益、人民群众生命财产安全和社会生产生活秩序,一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生和公共利益的网络基础设施、重要业务系统和生产控制系统以及重要数据资源。,关键信息基础设施,关键信息基础设施的安全保护等级 不低于三级,等级保护政策内容,由测评公司、咨询公司提供预测评服务,根据技术要求与测评要求提出整改意见与方案 物理安全,由院方根据预测评整改意见进行机房建设与整改

    9、网络安全,主机安全、应用安全、数据安全,由专业安全厂商根据预测评整改意见提供相关安全产品与部署方案,由集成商实现安全产品部署与现有操作系统、数据库等系统的安全设置。 管理要求,由院方根据预测评整改意见完善管理方面的建设,其中涉及必要的技术手段由安全厂商提供,对信息系统中使用的信息安全产品实行按等级管理 对信息系统中发生的信息安全事件分等级响应、处置,怎么做等保,等保必要性,延时符,什么是等保,解决方案,开展等保的最重要原因是为了通过等级保护测评工作,发现单位系统内、外部存在的安全风险和脆弱性,通过整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。梳理出了不同等级的系统后,我们

    10、就要对不同系统进行不同等级的安全防护建设,保证重要的信息系统在有攻击的情况下能够很好地抵御攻击或者被攻击后能够快速的恢复应用,不造成重大损失或影响。,降低信息安全风险,提高信息系统的安全防护能力;,等级保护是我国关于信息安全的基本政策 2007年6月发布的关于印发信息安全等级保护管理办法的通知(公通字200743 号)规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。 2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过中华人民共和国网络安全法,网络安全法第二十一条明确规定:国家实行网络安全等级保护制度。网络

    11、运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。 简单总结下就是国家法律法规、相关政策制度要求我们去开展等级保护工作,不做就不合规,就违法。,满足国家相关法律法规和制度的要求;,很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育等行业,还有一些主管单位发过相关文件或通知要求去做。 另外信息安全主管单位要求我们去开展等级保护工作,主要有:公安、网信办、经信委、通管局等行业主管单位。 所以不做等保的话,没法向相关主管单位和行业领导们交待。,满足相关主管单

    12、位和行业要求;,每年都会出现一些的信息安全事件,一旦发生比较大的安全事件,主管单位就要去现场调查,首先就会看我们到底有没开展等级保护工作,那么如果你没有,最直接的一个结论就是你的信息安全工作没有开展好,没有开展到位,国家最基本的信息安全等级保护工作都没做,你说你买了很多防火墙,很多安全设备,都不如你实实在在拿出备案证明,拿出测评报告说服力强。出了问题难免就会被通报批评,被勒令下线整改,那么开展了等级保护工作和没有开展等级保护工作被通报的内容就显然不同了。最简单的例子:一个主观上重视安全工作但是因为技术还不够好而被攻击造成破坏和一个主观上都不重视安全工作被攻击造成破坏的情况,孰轻孰重,一目了然。

    13、怎么叫主观上重视呢?等保工作有没有开展就是衡量的一个重要标准,因为等级保护是国家基本信息安全制度要求。,四、合理地规避或降低风险。,依据中华人民共和国网络安全法 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者

    14、不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。,网络安全法执法案例,案例一:重庆永川某私立医院服务器突然陷入瘫痪,医院业务全面“停摆重庆永川某医院未履行等级保护义务,被罚款10000元,医院业务全面“停摆”,重庆永川公安接警后立即按照“净网2019”工作要求,启动网络安全应急响应预案,组织网安刑侦民警、勘验民警、管理民警、技术支持专家赶赴现场对该案件进行调查核实。经过民警和技术专家调查核实,该私立医院因未按照网

    15、络安全等级保护制度的要求履行安全保护义务。医院HIS、LIS、PACS、EMR等后台系统业务以及微信公众号后台、医院网站等主要系统业务全部放置在同一套服务器中,医院未安装边界防护设备、未安装日志行为审计设备,未设置数据安全备份策略等其他网络安全技术措施,使医院业务在互联网上长期处于“裸奔”状态。黑客通过互联网攻破医院系统后植入勒索病毒,导致医院业务全面“停摆”。针对此案,公安部门按照公安部“一案双查”工作要求,对医院未按照网络安全等级保护制度的要求履行安全保护义务的行为进行查处,并按照中华人民共和国网络安全法第五十九条之规定,对医院处以罚款一万元,对直接负责的主管人员处以罚款五千元的行政处罚。

    16、,案例二:新乡市封丘县图书馆致命网站遭受攻击河南网警发布一条公告:新乡市封丘县图书馆未按中国人民共和国网络安全法的要求,未采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施,致命网站遭受攻击。封丘县公安局依据中华人民共和国网络安全法第五十九条第一款之规定,对封丘县图书馆给予罚款2万元、对直接责任人海某给予罚款5000元的行政处罚;并建议依法依规追究相关人员责任。1月13日,封丘县文化广电旅游局经研究决定,给予负责网络安全工作的直接责任人海某行政警告处分。,网络安全法执法案例,案例三:山西忻州市某省直事业单位网站不履行网络安全保护义务被处罚 2017年6月至7月间,山西忻州市某省

    17、直事业单位网站存在SQL注入漏洞,严重威胁网站信息安全,连续被国家网络与信息安全信息通报中心通报。根据中华人民共和国网络安全法第二十一条第二款之规定,网络运营者应当按照网络安全等级保护制度的要求,采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;第五十九条第一款之规定,网络运营者不履行第二十一条规定的网络安全保护义务的,由有关主管部门责令改正,依法予以处置。山西忻州市网警认为该单位之行为已违反网络安全法相关规定,忻州市、县两级公安机关网安部门对该单位进行了现场执法检查,依法给予行政警告处罚并责令其改正。 执法机构:山西忻州市、县两级公安机关网安部门 处罚行为:未按照网络安全等

    18、级保护制度的要求,采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施 处罚措施:警告并责令其改正 法律依据:网络安全法第21条、第59条,网络安全法执法案例,案例四:安徽网警依法查处一起违反网络安全等级保护制度案件2017年8月12日,蚌埠怀远县教师进修学校网站因网络安全防等级保护制度落实不到位,遭黑客攻击入侵。蚌埠市公安局网安支队调查案件时发现,该网站自上线运行以来,始终未进行网络安全等级保护的定级备案、等级测评等工作,未落实网络安全等级保护制度,未履行网络安全保护义务。根据网络安全法第五十六条之规定,省公安厅网络安全保卫总队约谈怀远县教师进修学校法定代表人、怀远县人民政府分

    19、管副县长。蚌埠市局网安支队依法对网络运营单位怀远县教师进修学校处以一万五千元罚款,对负有直接责任的副校长处以五千元罚款。执法机构:安徽省公安厅网络安全保卫总队;蚌埠市局网安支队 处罚行为:网站因网络安全防等级保护制度落实不到位,遭黑客攻击入侵。 处罚措施:约谈怀远县教师进修学校法定代表人、怀远县人民政府分管副县长;对网络运营单位怀远县教师进修学校处以一万五千元罚款,对负有直接责任的副校长处以五千元罚款。 法律依据:网络安全法第21条、56条、第59条第1款。,网络安全法执法案例,案例五: 国内首例高校违法案例诞生,因未落实等保制度致学生信息泄露2017年9月28日,淮南市网络与信息安全信息通报

    20、中心接到国家网络与信息安全信息通报中心通报:淮南职业技术学院系统存在高危漏洞,系统存储的4000余名学生身份信息已经造成泄露。经查,确认淮南职业技术学院招生信息管理系统存在越权漏洞,后台登录密码弱口令,学院未落实网络安全管理制度,未建立网络安全防护技术措施、网络日志留存少于六个月,未采取数据分类、重要数据备份和加密措施,致使系统存储的4353名学生的身份信息泄露。2017年10月12日,安徽省淮南市网警巡查执法官方微博发布通报称,关于淮南职业技术学院未落实网络安全等级保护制度,导致4000余名学生身份信息泄露一事,淮南市公安局网安支队依法对该学院处以立即整改和行政警告的处罚措施。执法机构:淮南

    21、市公安局网安支队 处罚行为:淮南职业技术学院招生信息管理系统存在越权漏洞,后台登录密码弱口令,未落实网络安全管理制度,未建立网络安全防护技术措施、网络日志留存少于六个月,未采取数据分类、重要数据备份和加密措施,致使系统存储的多名学生身份信息泄露。 处罚措施:责令整改,警告 法律依据:网络安全法第21条、第59条第1款。,网络安全法执法案例,测评介绍,等保政策,延时符,等保介绍,测评介绍,解决方案,什么是等级测评?,信息系统等级测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。 等级测评是标准符合性评判活动

    22、,即依据信息安全等级保护的国家标准或行业标准,按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。,等保测评流程,一 定级,二 备案,三 建设整改,备案是等级保护的核心,建设整改是等级保护工作落实的关键,四 等级测评,等级测评是评价安全保护状况的方法,定级是等级保护的首要环节,重要行业关键信息系统划分及定级建议,管理办法规定的五个等级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。,等级保

    23、护-定级,第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 新修订定级指南对公民、法人和其他组织的合法权益造成特别严重损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。,等级保护-定级,实际操作中参考确定信息系统等级: 第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。 第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密

    24、、敏感信息的办公系统和管理系统等。,等级保护-定级,第三级信息系统:一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。 第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全,影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。,等级保护-定级,测评目标,需要实施安

    25、全等级保护的信息系统为:- 党政系统(党委、政府); - 金融系统(银行、保险、证券); - 财税系统(财政、税务、工商); - 经贸系统(商业贸易、海关); - 电信系统(邮电、电信、广播、电视); - 能源系统(电力、热力、燃气、煤炭、油料); - 交通运输系统(航空、航天、铁路、公路、水运、海运); - 供水系统(水利及水源供给); - 社会应急服务系统(医疗、消防、紧急救援); - HIS、LIS、PACS、EMR、门户网站、OA系统(医院),系统定级,定级依据 依据如下标准: GA/T 13892017:信息安全技术网络安全等级保护定级指南 GB 17859-1999:计算机信息系统

    26、安全保护等级划分准则,信息系统定级依据,教育行业信息系统安全等级保护定级指南(2014年)(教育部办公厅) 学校信息系统可分为: 重点建设类高等学校信息系统( I 类)、 高等学校信息系统(类) 、 中小学校(含中职中专院校)信息系统(类) ; 一类信息系统的部分系统,定义为三级等保, (学校门户网站、财务管理系统、校园一卡通系统、教务管理系统) 二类信息系统,均定义为二级等保, 三类信息系统,均定义为一级等保,,电力行业信息系统安全等级保护定级工作指导意见(国家电力监管委员会),信息系统定级依据,卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知(卫生部办公厅) 1、HIS系统 2、

    27、LIS系统 3、EMR系统 4、PACS系统 5、办公系统 6、门户网站系统,信息安全技术 信息安全等级保护基本要求 GB/T 22239-2008(国家标准管理委员会) 1、门户网站 2、电子政务网络 3、邮件系统 4、应急管理系统 5、数字城管系统 6、公共资源交易系统 7、大数据云计算中心,信息系统定级依据,其他行业标准:证券期货业信息系统安全等级保护基本要求JR/T 0060-2010 (中国证券监督管理委员会公告) 金融行业信息系统信息安全等级保护实施指引JR/T 0071-2012 (中国人民银行发布) 烟草行业信息系统安全等级保护实施规范YC/T 495-2014(国家烟草专卖局

    28、) 税务系统信息安全等级保护基本要求(试行) (国家税务总局),测评流程,对测评对象的网络架构、系统构成、主要业务、管理制度进行前期调研。,报告交付,对管理制度及措施、人员组织、网络架构、系统配置、安全漏洞进行全面评估。,提供整改加固建议,协助对信息系统整改加固的有效性进行判断。,召开现场测评启动会议,为现场评估工作的顺利展开提供帮助。,召开现场测评末次会议,总结现场测评发现的问题。,交付正式的等级保护测评报告,测评工作宣告结束。,工期:30-60天,交付成果,XX信息系统信息安全等级保护测评报告共3份 (用户单位、测评机构、公安部门) XX单位信息系统信息安全等级保护建设整改方案,测评介绍,

    29、等保政策,延时符,解决方案,等保介绍,测评介绍,网络安全解读,要点: 主要设备冗余空间、安全路径控制、整体网络带宽、带宽优先级、重要网段部署,要点: 端口控制、防地址欺骗 协议过滤、会话控制 最大流量数及最大连接数,要点: 审计记录 审计报表 审计记录的保护,要点: 非授权设备接入 非授权网络联出,要点: 记录、报警、阻断,要点: 记录、报警、阻断,要点: 组合鉴别技术 特权用户权限分离,网络安全解读,网络安全解读,网络安全解读,网络安全解读,网络安全解读,主机安全解读,主机安全,身份 鉴别,访问 控制,安全 审计,剩余信 息保护,入侵 防范,恶意代 码防范,资源 控制,要点:组合鉴别技术,要点: 管理用户权限分离 敏感标记的设置,要点: 审计记录 审计报表 审计记录的保护,要点: 空间释放 信息清除,要点: 记录、报警、阻断,要点: 记录、报警、阻断 与网络恶意代码库分离,要点: 监控重要服务器 最小化服务 检测告警,应用及数据安全,等级保护安全技术方案-用户,等级保护安全技术方案-通用,三级等保实施方案(通用),做等保、找恒生! 一站式服务。,谢 谢!,

    展开阅读全文
    提示  道客多多所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:等保测评介绍及解决方案(最终).ppt
    链接地址:https://www.docduoduo.com/p-10348360.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    道客多多用户QQ群:832276834  微博官方号:道客多多官方   知乎号:道客多多

    Copyright© 2025 道客多多 docduoduo.com 网站版权所有世界地图

    经营许可证编号:粤ICP备2021046453号    营业执照商标

    1.png 2.png 3.png 4.png 5.png 6.png 7.png 8.png 9.png 10.png



    收起
    展开