等保2.0之大数据层面测评(大数据安全测评)最新PPT

合集下载

新时代-等级保护2.0安全解决方案ppt课件

三.技术和理论创新
按照“一个中心、三重防护”的总体思路开展网络安全技术设计
确立了可信计算技术的重要地位，结合人工智能、密码保护、生物识别、大数据分析等高端技术，落实网络安全管理要求、技术要求、测评要求、设计要求等。
8
THE BUSENESS PLAN
等级保护2.0安全保护实践
9
安
全观新标准
国家新标准出台并实施。
没有网络安全就没有国家安全 5
新时期国家网络安全等级保护制度的鲜明特点
一.两个全覆盖
一是覆盖各地区、各单位、各部门、各企业、各机构，即是覆盖全社会。
二是覆盖所有保护对象，包括网络、信息系统、信息，以及云平台、物联网、工控系统、大数据、移动互联等各类新技术应用
《网络安全等级保护测评要求》
GB/T 28448--2019
4
等级保护进入2.0时代典型标志
新
时代
网络安全法
《网络安全法》规定“国家实行网络安全等级保护制度”。标志了等级保护制度的法律地位。
的
网
络
新条例
公安部会同中央网信办、国家保密局和国家密码管理局，联合起草并上报了《网络安全等级保护条例》（草案）。
上网行为管理
管理区
管理区FW
接入区
接入用户
接入用户
接入用户
运维审计系统网络管理系统日志审计系统漏洞扫描系统终端安全准入系统
态势感知 CIS
13
THE BUSENESS PLAN
新等级保护差异变化
14
网络安全等级保护2.0-主要标准
等保 2.0
国家标准GB/T 22239—2008《信息安全技术信息系统安全等级保护基本要求》在开展信息安全等级保护工作的过程中起到了非常重要的作用，被广泛应用于各个行业和领域开展信息安全等级保护的建设整改和等级测评等工作，但是随着信息技术的发展，GB/T 22239—2008在时效性、易用性、可操作性上需要进一步完善。为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保护工作的开展，需对 GB/T 22239—2008进行修订，修订的思路和方法是针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域提出扩展的安全要求。

等级保护新标准(2.0)介绍PPT

等级保护2.0标准体系
等保1.0 等保2.0
GB 17859-1999 《计算机信息系统安全保护等
级划分准则》
《《《《《《
信息系统安全等级保护定级指南》
信息系统安全等级保护基本要求》
信息系统安全等级保护实施指南》
信息系统等级保护安全设计技术要求
等级保护新标准（2.0）介绍
1
等级保护发展历程与展望
2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
等级保护发展历程与展望
等保1.0 等保2.0
时代
工作
展望
19942003 政策环境 2004- 营造 2006 工作开展准备 20072010 工作正式 2010- 启动 2016 工作规模推进
信息系统安全等级保护测评要求》
信息系统安全等级保护测评过程指南
》
》
等级保护2.0标准体系
等保1.0 等保2.0
正式更名为网络安全等级保护标准；
横向扩展了对云计算、移动互联网、物联网、工业控制系统的安全要求；
纵向扩展了对等保测评机构的规范管理。
等级保护发展历程与展望
等保1.0 等保2.0
时代
工作
展望
等级保护2.0时代，将根据信息技术发展应用和网络安全态
势，不断丰富制度内涵、拓展保护范围、完善监管措施，逐步
健全网络安全等级保护制度政策、标准和支撑体系。
等级保护上升为法律

等保2.0vs1.0解读PPT参考幻灯片

a) 应在机房供电线路上配置稳压器和过电压防护设备；
a) 应在机房供电线路上配置稳压器和过电压防护设备；
b) 应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常
4 运行要求 c) 应设置冗余或并行的电力电缆线路为计算机系统供电；
3
b) 应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求；
b) 应删除多余或无效的访问控制规则，优化访问控制列表，
并保证访问控制规则数量最小化；
c) 应对源地址、目的地址、源端口、目的端口和协议等进行
检查，以允许/拒绝数据包进出；
8
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；
4
c) 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、
d) 应建立备用供电系统。
c) 应设置冗余或并行的电力电缆线路为计算机系统供电；
a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰； 3 b) 电源线和通信线缆应隔离铺设，避免互相干扰
c) 应对关键设备和磁介质实施电磁屏蔽。
a 电源线和通信线缆应隔离铺设，避免互相干扰； 2
b) 应对关键设备实施电磁屏蔽。
a) 水管安装，不得穿过机房屋顶和活动地板下； b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；
6 防水和防潮
4 c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；
d) 应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。
新版要求项数
标粗内容为三级和二级的变化；标红为新标准主要变化
重要网段与其他网段之间采取可靠的技术隔离手段；
g) 应按照对业务服务的重要次序来指定带宽分配优先级别，保证

等保2总结.0标准介绍总结.ppt

介质管理
设备维护管理漏洞和风险管理网络和系统安全管理
恶意代码防范管理
配置管理
密码管理
变更管理备份与恢复
管理安全事件处置应急预案管理优外选包文运档维管理 9
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求
7 大数据安全扩展要求
优选文档
7
GB/T 22239.1等级保护安全通用要求
技术要求
安全物理环境
物理位置选择
物理访问控制防盗窃和防
破坏防雷击
防火防水和防潮
防静电温湿度控制
电力供应电磁防护
安全通信网络
网络架构通信传输可信验证
安全区域边界
边界防护
访问控制
入侵防范恶意代码和垃圾邮件防范
安全审计
可信验证
安全管理中心集中管控
管理要求
安全建设管理云服务商选择
供应链管理
安全运维管理
云计算环境管理
优选文档
12
等保定级对象（以云计算中心为例）
系统定级对象
云上系统安全由客户
负责
平台定级对象
云平台安全由云服务商负责
云服务方和云租户对计算资源拥有不同的控制范围，控
制范围则决定了安全责任的边界。
优选文档
10
GB/T 22239.2云计算安全扩展要求细则
安全物理环境
基础设施位置
技术要求
安全通信网络
网络架构
安全区域边界
访问控制
入侵防范
安全审计
安全计算环境
身份鉴别

《信息系统安全等级保护等保测评安全管理测评》PPT

1序、号背景知安全识关注点
1 人员录用
一级 2
二级 3+
三级 4+
四级 4
2 人员离岗
2
3
3+
3+
3 人员考核
0
1
3
4
4 安全意识教育和培训
2
3+
4
4
5 外部人员访问管理
1
1
2
3
合计
7
11
16
18
1、背景知识
• 系统建设管理是指加强系统建设过程的管理。制定系统建设相关的管理制度，明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部门、具体管理内容和控制方法，并按照管理制度落实各项管理措施
1、背景知识
序号 1 2 3
4
5
安全关注点岗位设置人员配备授权和审批
沟通和合作
审核和检查合计
一级 1 1 1
1
0 4
二级 2 2 2
2
1 9
三级 4 3 4
5
4 20
四级 4 3 4
5
4 20
1、背景知识
• 安全管理制度是指确定安全管理策略，制定安全管理制度。确定安全管理目标和安全策略，针对信息系统的各类管理活动，制定人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等，规范安全管理人员或操作人员的操作规程等，形成安全管理体系
3、评测方法和流程
测评方式-访谈-访谈对象
安全主管系统建设负责人人事负责人系统运维负责人物理安全负责人系统管理员、网络管理员、安全管理员、机房值班人员、资产管理员等

等保2.0之应用及数据层面测评

否安全。可通过抓包工具进行测试（如Sniffer pro）获取通信双方的内容，查看系统是
否对通信双方的内容进行了加密。
抗抵赖
要求项要（求2项） A. 应具有在请求的情况下为数据原发者或接收者提供数据原发证
据的功能； B. 应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
条条款款理理解解该项要求强调应用系统应提供抗抵赖措施（如数字签名等），从而保证发送和接
应用安全测评方法
（二）通过检查，确认其是否具备相应安全功能和配置
· 查看应用是否具备有关的安全功能模块 · 检查应用相应的安全配置情况
（三）验证安全功能及安全配置的有效性
· 对于具备验证测试条件的系统，通过验证测
试判断安全防范能力
· 默认开放、无需配置的可通过验证的方式判
断其是否具备防护能力
· 对于在前序检查中结果不一致的项目，可通
成相互制约的关系； E. 应具有对重要信息资源设置敏感标记的功能； F. 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
条条款款理理解解三级系统要求访问控制的粒度达到文件、数据库表级，权限之间具有制约关系（
如：操作、管理、审计权限的三权分离），并利用敏感标记控制用户对重要信息资源的操作；在应用系统中应严格限制默认用户的访问权限，默认用户一般指应用系统的公共帐户或测试帐户；应用系统授予帐户所承担任务所需的最小权限，如某岗位只需进行查询操作，则无需为其分配操作权限；同时，该项要求明确规定应在不同帐户之间形成相互制约关系；
身份鉴别
要要求求项项（5） D. 应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出
等措施； E. 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。

信息系统安全等级保护等保测评网络安全测评ppt.(ppt)

3、检查内容-结构安全
一、结构安全（７项）结构安全是网络安全测评检查的重点，网络结构是否合理直接关系到信息
系统的整体安全。
条款解读
a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；
条款理解为了保证信息系统的高可用性，主要网络设备的业务处理能力应具备冗余
空间。
检查方法访谈网络管理员，询问主要网络设备的性能及业务高峰流量。访谈网络管理员，询问采用何种手段对网络设备进行监控。
信息系统安全等级保护等保测评网络安全测评ppt.(ppt)
内容
1
前言
2
检查范围
3
检查内容
4
现场测评步骤
1、前言
标准概述
2007年43号文《信息安全等级保护管理办法》
按照以下相关标准开展等级保护工作：《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息系统安全等级保护定级指南》（GB/T22240-2008）《信息系统安全等级保护基本要求》（GB/T22239-2008）《信息系统安全等级保护测评要求》（报批稿）《信息系统安全等级保护实施指南》（报批稿）．．．．．．．
1、前言
• 网络安全是指对信息系统所涉及的通信网络、网络边界、网络区域和网络设备等进行安全保护。具体关注内容包括通信过程数据完整性、通信过程数据保密性、保证通信可靠性的设备和线路冗余、区域网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范、网络设备自身保护和网络的网络管理等方面
检查方法检查边界设备和主要网络设备，查看是否进行了路由控制建立安全
的访问路径。以CISCO IOS为例，输入命令：show running-config 检查配置文件中应当存在类似如下配置项： ip route 192.168.1.0 255.255.255.0 192.168.1.193 （静态） router ospf 100 （动态） ip ospf message-digest-key 1 md5 7 XXXXXX（认证码）

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

6
应用
应用
应用
应用
身份鉴别访问控制数据源安全备份恢复溯源管理
数据完整性
安全编码
软件容错
配置管理
数据保密性审计分析
安全认证
大数据平台
应用接口层数据授权 API 安全调用
数据访问接口
安全管理平台统一运维身份鉴别
计算分析层数据计算、分析安全
访问控制配置管理
数据访问控制
数据平台层数据保密性数据完整性
10 已发布 11 已发布
标准名称
GB/T 35273-2017 信息安全技术个人信息安全规范个人信息安全影响评估指南个人信息去标识化指南 GBT 35274-2017 信息安全技术大数据服务安全能力要求大数据安全管理指南数据安全能力成熟度模型数据交易服务安全要求数据出境安全评估指南大数据基础软件安全技术要求信息技术大数据术语信息技术大数据技术参考模型
大数பைடு நூலகம்相关标准和测评实践
大数据等级保护对象大数据的定级大数据的安全保护大数据基本要求大数据测评
2
等级保护对象
大数据等级保护对象
来源
定义
Nist SP1500 大数据由大量的数据集组成，其特征主要体现在大量、多样、高速、多变，需要一种可扩展的架构提供高效的存储、操作和分析。
麦肯锡
大数据”是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。
大数据安全关注点
大数据安全
数据安全
大数据系统
生
非
数数命数结个
据流
据集
周期
据跨
构化
人信
…
…
动聚变境数息
化
据
大数大大据数数基据据础平应设台用施
类别
美国NIST标准 ENISA
国际标准国际标准 CSA ITU-T 国际标准国际标准国际标准
国际标准
国际标准 ENISA ENISA ENISA
大数据安全标准白皮书 8 201
版
大数据安全的特点
? 关注数据安全保护 ? 关注大数据生命周期 ? 关注生态角色职责 ? 重点考虑数据共享和个人信息安全问题
大数据生命周期全过程
采集
终端采集用户输入机器数据数据导入
分类
数据集成资产管理分类分级
存储
数据存储备份恢复
应用
《大数据时代》大数据指不用随机分析法（抽样调查）这样的捷径，而采用所有数据进行分析处理。
信息技术大数具有体量巨大、来源多样、生成极快、且多变等特征并且难以用
据术语
传统数据体系结构有效处理的包含大量数据集的数据。
4
大数据等级保护对象
多样性（variety)
价值性（Value）
……
速度（velocity)
ISO/IEC 27550 《信息技术安全技术隐私保护工程》 2016 中小型企业个人数据处理保护指引 2017个人数据处理的安全手册
2017移动应用中的隐私和数据保护
国内标准
序号
标准状态
1 已发布 2 征求意见稿 3 报批稿 4 已发布 5 报批稿 6 报批稿 7 报批稿 8 征求意见稿 9 标准立项
维基百科
大数据指所涉及的数据量规模巨大到无法通过人工，在合理时间内达到截取、管理、处理、并整理范围内用常规软件工具进行捕捉、管理和处理的数据集合。
Gartner
“大数据”是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。
业务处理分析挖掘
交换
数据传输
销毁
数据归档
交换共享
数据销毁
生命周期的安全保护要求
采集
策略制度授权许可导入管理数据保护个人信息安全审计
分类
策略制度资产管理分类分级安全审计
存储
策略制度访问控制备份管理数据保密性数据完整性安全审计分类分级副本管理属地原则溯源数据
体量（volume)
真实性（veracity)
多变性（variability)
5
大数据等级保护对象
数据拥有者和管理者的
分离；
单一系统对数据的保护
不足；
保护措施的如何延续；
数据价值的提升与不确
定性；
数据生命期超出原生系
统；
数据边界发生变化；
数据的访问控制发生变
化；
……
应将大数据整体作为等级保护对象，实施统一的、全生命周期的保护
定级原则
大数据基础设施、大数据平台、大数据应用的安全保护等级一般由其所承载、处理或产生的大数据的信息安全保护等级决定。
如果大数据基础设施、大数据平台、大数据应用为不同的定级对象，下层定级对象的安全保护等级应不低于其承载的上层定级对象的等级。
大数据等级保护对象大数据的定级大数据的安全保护大数据基本要求大数据测评
大数据的定级
组件
大数据大数据应用大数据平台
基础设施
责任主体
数据所有者大数据应用服务提供者大数据平台服务提供者
基础设施提供者
定级对象
大数据大数据系统
大数据+大数据应用大数据+大数据平台
大数据+大数据平台 +基础设施
组件单独或组合可以构成定级对象，当涉及不同责任主体时，应当分别定级。
状态
已发布已发布制定中制定中已发布已发布已发布已发布已发布
已发布
制定中已发布已发布已发布
标准名称
NIST大数据互操作框架 2015大数据安全关于大数据系统安全的最佳实践和建议
ISO/IEC 20546：大数据—概述和术语 ISO/IEC 20547：大数据参考架构
大数据安全和隐私的100条最佳实践 ITU-T Y.3600基于云计算的大数据需求与能力标准 ISO/IEC 29100:2011《信息技术安全技术隐私保护框架》 ISO/IEC 29101:2013《信息技术安全技术隐私保护体系结构框架》 ISO/IEC 27018:2014《信息技术安全技术可识别个人信息（PII）处理者在公有云中保护PII的实践指南》 ISO/IEC 29151:2017《信息技术安全技术可识别个人信息（PII）保护实践指南》
数据隔离
审计分析脆弱性
基础设施层物理安全网络安全可信接入分布式安全虚拟化安全
备份恢复剩余信息保护
大数据等级保护对象大数据的定级大数据的安全保护大数据基本要求大数据测评
8
大数据的安全保护等级
大数据的定级
? 数据资源可单独定级 ? 当安全责任主体相同，大数据、大数据平台和应
用可作为一个整体对象定级