等保2.0网络安全等级保护介绍.pptx

等保2.0概述012.0标准简介等级保护体系标准网络安全法明确：第21条明确规定了“国家实行网络安全等级保护制度”第31条规定“对于国家关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。从基本要求变化看标准变化——名称、构成和内容《网络安全等级保护基本要求》信息系统安全等级保护网络安全等级保护技术物理安全网络安全主机安全应用安全数据安全和备份与恢复物理与环境安全网络与通信安全应用与数据安全设备和计算安全管理安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理安全管理策略和制度安全管理机构和人员 安全建设管理安全运维管理第1部分：安全通用要求第2部分：云计算安全扩展要求第3部分：移动互联安全扩展要求第4部分：物联网安全扩展要求第5部分：工业控制安全扩展要求第6部分：大数据安全扩展要求层面要求“从五类减至四类”通用（基本）要求降低云计算等保（通用+扩展）要求全面加强从单一标准到1+N“N”代表专有领域核心变化：重点保障关键信息基础设施管理策略的变化围绕关键信息基础设施保护特点，网络安全等级保护的管理策略也将发生相应变化。自主定级、自主保护、监督指导明确等级、增强保护、常态监督 网络安全等级保护（也称“等级保护2.0”）围绕关键信息基础设施保护，网络安全等级保护制度进入新的历史阶段！等级保护2.0时代2.0时代，等级保护空前重要（我们要顺势而为）2.0时代，等级保护内容大不同2.0时代，等级保护制度上升为法律 2.0时代，等级保护体系大升级在此输入内容文本2.0时代，等级保护对象大扩展 定级对象大扩展业务处理类对象信息系统、工业控制系统、物联网系统等基础服务类对象网络、云服务平台、大数据分析平台等数据资源类对象定级对象信息系统《定级指南》修订确定定级对象定级对象的扩展定级流程的变化初步确定等级专家评审主管部门审核公安机关备案审核最终确定的等级等级保护体系大升级基本要求测评要求 设计要求标准关系矩阵基本要求安全通用要求测评要求安全通用要求设计要求安全通用要求基础通用部分基本要求云计算安全扩展要求测评要求云计算安全扩展要求设计要求云计算安全扩展要求云计算领域 基本要求移动互联扩展要求测评要求移动互联扩展要求设计要求移动互联扩展要求移动互联领域基本要求物联网安全扩展要求测评要求物联网安全扩展要求设计要求物联网安全扩展要求物联网领域基本要求工控安全扩展要求测评要求工控安全扩展要求设计要求工控安全扩展要求工控领域 基本要求大数据安全扩展要求测评要求大数据安全扩展要求设计要求大数据安全扩展要求大数据领域等保内容大不同02云等保简介云等保定位云等保不是新鲜的事物,而是在原等保框架下的新事物的扩展,因 此云等保各环节应与传统等保相同,包括定级、备案、建设整改、 测评、监督检查等。等保框架下新增加的元素需要对原有等级保护相关工作的具体内容 进行扩充并统一。定级方法的变化云服务方的云平台与云租户的应用系统应分别定级，平台等级不低于所承载的应用系统的安全保护等级。移动互联应用、物联网应用和工业控制系统依据业务系统重要性确定等级。云计算等级保护体系标准测评要求设计要求全局要求基本要求第1部分：安全通用要求 第2部分：云计算安全扩展测评要求 第1部分：通用设计要求 第2部分：云计算安全设计要求第1部分：安全通用要求 第2部分：云计算安全扩展要求 定级：网络安全定级指南实施：网络安全实施指南 测评：网络安全等级保护测评过程指南网络安全等级保护测试评估技术指南云计算等级保护标准使用全局要求和各部分“通用要求”是云等保制度的落地基础各部分“扩展要求”是对“云”这个专用领域的特有要求“扩展要求”与“通用要求”间依据标准中控制点的增加、扩展和继承的进行关联。虚拟机 VM云管理层虚拟机 VM虚拟机 VM云计算的定级对象应用1应用2应用1虚拟化层Guest OSGuest OSGuest OS硬件资源系统定级对象平台定级对象云服务方的云平台与云租户的应用系统应分别定级，平台等级不低于应用的安全保护等级，云平台先定级测评，再将已定级应用系统向云平台迁移，云上应用定级参照传统信息系统。对于大型云计算平台，应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。权责清晰、安全责任共担《网络安全法》网络营者应当遵循等级保护指导要求租户安全责任共担GB/T 22239谁主管谁负责谁运行谁负责云服务商《云等保护草案》租户等级保护要求云计算环境下等级保护的变化——控制项变化云计算技术要求控制项分布 安全要求类层面二级三级四级技术要求物理和环境安全111网络和通信安全132120设备和计算安全91628应用和数据安全61113管理要求安全策略和管理制度000安全管理机构和人员001安全建设管理697安全运维管理225合计/376075级差//38-8安全通用要