5.14 等保1.0与等保2.0
等保2.0详细解读PPT课件
等保2.0测评变化
• 测评
• 及格分从60分改为75分
• 安全要求
• 由“安全要求”改为“安全通用要求和安全扩展要求” • 新增扩展要求:云计算、移动互联网、物联网、工业控制、大数据安全
• 评测周期
• 由原先四级系统每半年需要复查一次改为三级以上系统一年复查一次
• 要求分类精简
• 把管理要求和通用要求纳入到技术要求中 • 分类由10类改为8类
系统备案 已运行的系统在安全保护等级确定后30日内 ,由其运营、使用单位到所在地设区的市级 以上公安机关办理备案手续。新建的系统, 在通过立项申请后30日内办理。
材料不齐
公安机关审核
定级不准
材料齐、定级准
颁发证书 公安机关颁发系统等级保护备案证书。
分析安全需求 对照等保有关规定和标准分析系统安全建设整改需求,可委 托安全服务机构、等保技术支持单位分析。对于整改项目, 还可委托测评机构通过等保测评、风险评估等方法分析整改 需求。
建设整改 根据需求制订建设整改方案,按照国家相关规范和技术 标准,使用符合国家有关规定,满足系统等级需 求,开展信息系统安全建设整改。
不合格
等保测评 选择第三方测评机构进行测评。其 中对于新建系统可在试运行阶段进
行测评。
提交报告 系统运营、使用单位向地级以上市公安机关报测评报告 。项目验收文档中也须含有测评报告。
公民、法人和其他组 织的合法权益
社会秩序、公共利益
国家安全
一般损 害
第一级
对客体的侵害程度
严重损害
特别严重损害
第二级
第三级
第二级 第三级
第三级 第四级
第四级 第五级
等保2.0主要标准-解释说明
等保2.0主要标准-概述说明以及解释1.引言1.1 概述概述随着信息技术的不断发展和日益普及,网络空间安全问题已经成为了一个全球性难题。
为了提高国家网络安全水平,我国推出了一系列的信息安全等级保护(等保)标准。
等保标准旨在规范和指导各类网络系统、设备和服务的安全建设与管理,以保护国家的核心信息基础设施和重要信息资源的安全。
在等保标准的演进过程中,等保2.0标准应运而生。
等保2.0标准是在等保1.0标准的基础上进一步完善和提升的,以适应网络安全形势的发展和应对新的威胁挑战。
本文将从等保2.0标准的角度,对其主要内容、应用与实施以及重要性进行深入探讨。
另外,还将对等保2.0标准存在的局限性进行分析,并展望其未来的发展方向。
通过阅读本文,读者可对等保2.0标准有一个全面的了解,从而更好地理解和应用这一标准,提升网络安全保障水平,推动我国网络安全事业的健康发展。
1.2 文章结构文章结构部分的内容可以包括以下几个方面:首先,简要介绍本文的组织结构。
本文主要分为三个部分,分别是引言、正文和结论。
每个部分都涵盖了等保2.0主要标准相关的内容,通过逐步展开的方式,从整体和细节两个层面深入探讨等保2.0主要标准的方方面面。
其次,详细说明引言部分的内容。
引言部分将提供该篇文章的背景信息以及对等保2.0主要标准的整体概述。
包括等保2.0标准的定义、由来和发展背景等内容,以便读者能够对本文所述的主题有一个基本的了解。
接着,阐述正文部分的内容和结构。
正文部分是本文的核心,将对等保2.0主要标准进行详细介绍。
主要分为两个子节:等保2.0标准的介绍和等保2.0标准的主要内容。
等保2.0标准的介绍将给出更具体的详细信息,包括标准的制定机构、标准的适用范围和目标等。
而等保2.0标准的主要内容将对标准的具体要求和指导进行详细解读,包括网络安全风险评估与等级划分、网络安全保护等级与技术要求等方面。
最后,简要说明结论部分的内容和意义。
等保2.0政策规范解读(63页 PPT )
d) 应限制无线网络的使用,确保无线网络通过受控的边界防护设备 接入内部网络。
入侵防范
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行 为; (新增)
设计要求
测评要求
通用要求
云计算
物联网
移动互联
工业控制
7
。 share
等保2.0标准解读
勇 share
等级保护1.0和2.0对比
旧标准(等级保护1.0)
技术要求
物理安全 网络安全 主机安全 应用安全
管理要求
数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
9
新标准(等级保护2.0)
无 入侵防范
无
a) 应采用校验码技术或密码技术保证通信过程中数据的完整性;
通信传输 b) 应采用密码技术保证通信过程中敏感信息字段或整个报文的保密 性。
a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接 口进行通信;
边界防护
b) 应能够对非授权设备私自联到内部网络的行为进行限制或检 查;
3
4
6 防水和防潮
3
2
7 防静电
2
1
8 温湿度控制
1
4
9 电力供应
3
3
10 电磁防护
2
。 share
物理位置的选择
原控制项
新控制项
b)机房场地应避免设在建筑物的高层或 地下室,以及用水设备的下层或隔壁。 物理位置的选择
b)机房场地应避免设在建筑物的顶层或地下室, 否则应加强防水和防潮措施
防静电
无
等保2.0制度
等保2.0是相对于等保1.0而言的新一代网络安全等级保护制度。
它按照网络重要性及其受破坏后结果的严重性,实施分级、分类、分阶段保护的制度。
等保2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。
等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
等保2.0的最高国家政策是《中华人民共和国网络安全法》,其中规定国家实施网络安全等级保护制度。
不开展等级保护等于违法。
网络安全等级保护制度2.0详解及标准【最新版】
网络安全等级保护制度2.0详解及标准2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,将于2019年12月1日开始实施。
相较于2007年实施的《信息安全等级保护管理办法》所确立的等级保护1.0体系,为了适应现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求,2018年公安部正式发布《网络安全等级保护条例(征求意见稿)》,国家对信息安全技术与网络安全保护迈入2.0时代。
什么是等保根据2017 年6 月 1 日起施行《中华人民共和国网络安全法》的规定,等级保护是我国信息安全保障的基本制度。
《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。
网络运营者应当按照网络安全等级保护制度的要求,履行下列全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
等保1.0指的是2007年的《信息安全等级保护管理办法》和2008年的《信息安全技术信息系统安全等级保护基本要求》。
等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,并对旧有内容进行调整等保2.0由来过程等保2.0对定级指南、基本要求、实施指南、测评过程指南、测评要求、设计技术要求等标准进行修订和完善,以满足新形势下等级保护工作的需要,其中《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全安全等级保护基本要求》、《信息安全技术网络安全等级保护安全设计要求》已于2019年5月10日发布,并将在2019年12月1日实施。
重点解读相较于等保1.0,等保2.0发生了以下主要变化:第一,名称变化。
等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《网络安全法》保持一致。
等保2.0解读
等保2.0解读等保2.0解读信息安全等级保护 1.0:以GB17859-1999《计算机信息系统安全保护等级划分准则》为根标准;以GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》为基础标准;习惯将《基本要求》的2008版本及其配套规范标准称为等保1.0。
⽹络安全等级保护 2.0:2014年开始制定2.0标准,修订了通⽤安全要求,增加了云计算、移动互联、⼯控、物联⽹等安全扩展要求。
2019年5⽉13⽇发布;2019年12⽉1⽇开始实施。
名称变化:原来:《信息系统安全等级保护基本要求》改为:《信息安全等级保护基本要求》再改为:(与《⽹络安全法》保持⼀致)《⽹络安全等级保护基本要求》主要标准⽂件:⽹络安全等级保护条例(总要求/上位⽂件)计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准)⽹络安全等级保护实施指南(GB/T25058)(正在修订)⽹络安全等级保护定级指南(GB/T22240)(正在修订)★⽹络安全等级保护基本要求(GB/T22239-2019)★⽹络安全等级保护设计技术要求(GB/T25070-2019)★⽹络安全等级保护测评要求(GB/T28448-2019)★⽹络安全等级保护测评过程指南(GB/T28449-2018)等保2.0的“变与不变”:“不变”:等级保护“五个级别”不变:1⾃主保护级;2 指导保护级;3 监督保护级;4 强制保护级;5 转控保护级等级保护“五个阶段”不变:1定级;2备案;3安全建设和整改;4信息安全等级测评;5信息安全检查等级保护“主体职责”不变:公安机关;国家保密⼯作部门;国家密码管理部门;⼯业和信息化部门为职能部门“变”:法律法规变化:不开展等级保护等于违法!并要承担相应的法律后果标准要求变化:使⽤新技术的信息系统需要同时满⾜“通⽤要求+安全扩展”的要求“优化”通⽤要求,删除了过时的测评项(增加云计算、⼯控、移动互联、物联⽹安全要求)安全体系变化:从被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变实施环节变化:系统定级必须经过专家评审和主管部门审核测评达到75分以上才算基本符合要求对象变化:原来:信息系统改为:等级保护对象(⽹络和信息系统)安全等级保护的对象包括⽹络基础设施(⼴电⽹、电信⽹、专⽤通信⽹络等)、云计算平台/系统、⼤数据平台/系统、物联⽹、⼯业控制系统、采⽤移动互联技术的系统等.安全要求变化:原来:安全要求改为:安全通⽤要求和安全扩展要求安全通⽤要求是不管等级保护对象形态如何必须满⾜的要求,针对云计算、移动互联、物联⽹和⼯业控制系统提出了特殊要求,称为安全扩展要求.章节结构的变化:8 第三级安全要求8.1 安全通⽤要求8.2 云计算安全扩展要求8.3 移动互联安全扩展要求8.4 物联⽹安全扩展要求8.5 ⼯业控制系统安全扩展要求分类结构变化:结构和分类调整为:(2017试⽤稿)技术部分:物理和环境安全、⽹络和通信安全、设备和计算安全、应⽤和数据安全;管理部分:安全策略和管理制度、安全管理机构和⼈员、安全建设管理、安全运维管理技术部分:(正式发布稿)安全物理环境、安全通信⽹络、安全区域边界、安全计算环境、安全管理中⼼管理部分:安全管理制度、安全管理机构、安全管理⼈员、安全建设管理、安全运维管理新等级保护的特点:1.基本要求、测评要求和技术要求框架统⼀,安全管理中⼼⽀持下的三重防护结构框架2.通⽤安全要求+新型应⽤安全扩展要求,将云计算、移动互联、物联⽹、⼯业控制等列⼊标准规范3.把基于可信根的可信验证列⼊各级别和各环节的主要功能要求新等级保护建设的核⼼思想:信息系统的安全设计应基于业务流程⾃⾝特点,建⽴“可信、可控、可管”的安全防护体系,使得系统能够按照预期运⾏,免受信息安全攻击和破坏。
精选-信息安全-等级保护2.0政策解读
等保定级
依据国家等级保护制度监管的十六字方案要求:自主定级、专家 评审、主管部门审批和公安机关监督,补充和完善后的定级流程 为:1、确定定级对象;2、初步确定等级;3、专家评审;4、主 管部门审核;5、公安机关备案审查
网络安全法的立法宗旨是为了保障网络安全、维护网络空间主权 和国家安全、社会公共利益、保护公民,法人和其他组织的合法 权益。因此修订后的定级指南,三级定义为:“等级保护对象受 到破坏后,会对公民、法人和其他组织的合法权益产生特别严重 损害,或者对社会秩序和公共利益造成严重损害,或者对国家安 全造成损害”
1)地市级以上政府机关面向公众服务的业务系统, 或与医疗、安防、消防、应急指挥、 生产调度、交 通指挥等相关的城市管理系统。 2)规模超过1500个标准机架的数据中心。 3)一旦发生网络安全事故,可能造成右边列影响 之一的。 4)其他应该认定为关键信息基础设施。
1) 影响单个地市级行政区30%以上人口的工作、生活; 2) 影响10万人用水、用电、用气、用油、取暖或交通出行等; 3) 导致5人以上死亡或50人以上重伤; 4) 直接造成5000万元以上经济损失; 5) 造成超过100万人个人信息泄露; 6) 造成大量机构、企业敏感信息泄露; 7) 造成大量地理、人口、资源等国家基础数据泄露; 8) 严重损害社会和经济秩序,或危害国家安全。
等级保护定级
等保定级
定级流程,GB/T22240-2008定级指南聚焦于如何从业务信息和 系统服务两个角度分析和确定定级对象的安全保护级别,并未完 整描述整个定级工作过程,在实际工作中可能导致备案单位缺漏 部分环节,影响定级结果的准确性
GB/T22240-2008定级指南中,将安全保护等级三级定义为:等 级保护对象受到破坏后,对社会秩序和公共利益造成严重损害, 或者对国家安全造成损害。因此,那些未对国家安全造成损害或 社会秩序和公共利益造成严重损害,但对法人或组织造成特别严 重损害的等级保护对象(如全国性集团公司的资金集中管理系统 ,大型互联网信息平台的统一运维管理系统等)将被确定为二级
网络安全等级保护2.0具有哪些特点?
⽹络安全等级保护2.0具有哪些特点? 伴随着等保2.0的发布,也标志着我国⽹络安全等级保护将进⼊⼀个全新的阶段。
那么什么是等保?⽹络安全等级保护2.0具有哪些特点?等保2.0和等保1.0有什么区别?针对这些问题,⼩编为⼤家详细讲解⼀下。
什么是等保? 等级保护是我们国家的基本⽹络安全制度、基本国策,也是⼀套完整和完善的⽹络安全管理体系。
遵循等级保护相关标准开始安全建设是⽬前企事业单位的普遍要求,也是国家关键信息基础措施保护的基本要求。
⽹络安全等级保护2.0具有哪些特点? ①等级保护的基本要求、测评要求和安全设计技术要求框架统计,即:安全管理中⼼⽀持下的三重防护结构框架; ②通⽤安全要求+新型应⽤安全扩展要求,将云计算、移动互联、物联⽹、⼯业控制系统等列⼊标准规范; ③将可信验证列⼊各级别和各环节的主要功能要求。
等保2.0和等保1.0有什么区别? 第⼀:名称变化 《信息系统安全等级保护基本要求》改为:《⽹络安全等级保护基本要求》,与《⽹络安全法》保持⼀致。
第⼆:定级对象变化 等保1.0的定级对象是信息系统,现在2.0更为⼴泛,包括:信息系统、基础信息⽹络、云计算平台、⼤数据平台、物联⽹系统、⼯业控制系统、采⽤移动互联技术的⽹络等。
第三:安全要求变化 等保2.0由⼀个单独的基本要求演变为通⽤安全要求+新技术安全扩展要求,其中安全通⽤要求是不管等级保护对象形态如何都必须满⾜的要求,针对云计算、移动互联、物联⽹和⼯业控制系统提出了特殊要求,称为安全扩展要求。
①云计算安全扩展要求包括基础设施的位置、虚拟化安全保护、镜像和快照保护、云服务商选择和云计算环境管理等⽅⾯。
②移动互联安全扩展要求包括⽆线接⼊点的地理位置、移动终端管控、移动应⽤管控、移动应⽤软件采购和移动应⽤软件开发等⽅⾯。
③物联⽹安全扩展要求包括感知节点的物理保护、感知节点设备安全、感知⽹关节点设备安全、感知节点的管理和数据融合处理等⽅⾯。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5.14 等保1.0与等保2.0
根据CNNIC 2月底发布的第43次《中国互联网络发展状况统计报告》显示,截至2018年12月,我国网民规模达8.29亿,普及率达59.6%,全年新增网民5653万。
我国手机网民规模达8.17亿,网民通过手机接入互联网的比例高达98.6%。
从上述数据可以看到,互联网越来越广的渗入人们的日常生活,从办公到生活,互联网几乎无处不在。
与互联网伴随而至的还有各种各样的网络安全问题,比如病毒木马、流氓软件、网络攻击、信息泄露等等。
对于各种网络安全问题,个人一般都是从自我做起,提高自身安全意识,合理使用APP。
那么,从国家角度来看,就需要一整套规范来应对网络安全——网络安全等级保护 2.0标准,全称《信息安全技术网络安全等级保护基本要求》,简称“等保2.0”。
等保1.0指的是2007年的《信息安全等级保护管理办法》和2008年的《信息安全等级保护基本要求》。
根据《网络安全法》的规定,等级保护是我国信息安全保障的基本制度。
等保是对网络安全法在产业层面、标准层面和执行层面的具体落实。
《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。
网络运营者应当按照网络安全等级保护制度的要求,履行下列全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
其中,等级保护的内容:关键信息基础设施安全保护义务、敏感信息保护义务、每年风险监测评估等。
以关键信息基础设施为例,它可以分为网站类、平台类和业务生产类,详情看下图:
等级保护范围内重要信息系列所涵盖的行业有能源、金融、交通、水利、医疗卫生、环境保护、工业制造、市政、电信与互联网、广播电视及政府部门。
据悉,等保2.0有5个运行步骤:定级、备案、建设和整改、等级测评、检查。
同时,也分5个等级,即信息系统按重要程度由低到高分为5个等级,并分别实施不同的保护策略。
一级系统简单,不需要备案,影响程度很小,因此不作为重点监管对象;二级系统大概50万个左右;三级系统大概5万个;四级系统量级较大,比如支付宝、银行总行系统、国家电网系统,有1000个左右;五级系统属国家级、国防类的系统,比如核电站、军用通信系统。
等保2.0的变化
等保1.0是2007年和2008年出台,但参考的信息都是以前甚至更老的,因此造成一些新技术和新应用的等级保护规范缺乏,比如云计算、物联网等。
其次,除传统的5步骤外,风险评估、安全监测和通报预警等工作不完善。
最后是政策、标准、测评、技术和服务等体系不完善。
具体说来,新标准分成了5个部分:
《网络安全等级保护基本要求第1部分安全通用要求》
《网络安全等级保护基本要求第2部分云计算安全扩展要求》
《网络安全等级保护基本要求第3部分移动互联安全扩展要求》
《网络安全等级保护基本要求第4部分物联网安全扩展要求》
《网络安全等级保护基本要求第5部分工业控制系统安全扩展要求》
可以说,等保 2.0标准为适应新技术的发展,解决云计算、物联网和工控领域信息系统的等级保护工作的需要。
简单来看,评测要求从60提升到75分;安全防御在云计算、大数据、物联网和移动互联网以及人工智能等新兴领域进行拓展;由被动防御为主变成全方面的主动防御,具体有感知预警、动态防护、安全检测和应急响应等。
一篇名为《等保 2.0将至,解读新标准的变化》解释的更详细。
比如,在物理与环境安全部分,云计算扩展要求中新增,物理机房必须要在境内;明确提出机房视频监控系统的要求,对机房横向和纵向都要有视频监控整个机房不能存在监控死角;防静电要求明确举例说明采用静电消除器、防静电手环等等。
而在应用和数据安全中,新增一些内容,强调对个人信息保护。
一是新增,应强制用户首次登录时修改初始口令,二是新增,用户身份鉴别信息丢失或失效时,应采用技术措施确保鉴别信息重置过程的安全。
三是新增,在故障发生时,应自动保存易失性数据和所有状态,保证系统能够进行恢复。
更重要的是,新增个人信息保护模块:应仅采集和保存业务必需的用户个人信息;应禁止未授权访问和非法使用用户个人信息。
根据预测,等保2.0升级将带来超250亿元的新增市场。
其中,产品市场增加193亿元,服务市场新增59亿元。
根据IDC的预测,2011-2015年,中国网络安全市场规模从14.7亿增长到27亿美元,复合增长率达16.4%。
但IDC最新的预测,预计2017-2021年CAGR为
23.33%,2021年行业规模将达95.8亿美元,即642亿元人民币。
随着等保 2.0的正式出台和实施,有利于促进我国网络安全产业的发展,提高我国应对网络安全的水平和能力。