等保测评介绍及解决方案(最终).pptVIP

网络安全等级保护介绍 恒生科技：周 伟 2019.08.23 测评介绍 等保必要性 延时符 等保介绍 解决方案 三个分等级 等级保护的定义： 是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。等级保护，即分等级保护，分等级监管。 系统重要程度有多高，安全保护就应当有多强，既不能保护不足，也不能过度保护。 三个 分等级 信息系统 安全产品 安全事件 等级保护发展历程 等保1.0 发展情况 1994-2003 政策环境营造 1994年，国务院颁布《中华人民共和国计算机信息系统安全保护条例》，规定计算机信息系统实行安全等级保护。2003年，中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。 2004-2006 工作开展准备 2004-2006年，公安部联合四部委开展涉及65117家单位，共115319个信息系统的等级保护基础调查和等级保护试点工作，为全面开展等级保护工作奠定基础。 2007-2010 工作正式启动 2007年6月，四部门联合出台《信息安全等级保护管理办法》。2007年7月，四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。2007年7月20日，召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议，标志着信息安全等级保护制度正式开始实施。 2010-2016 工作规模推进 2010年4月，公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》，提出等级保护工作的阶段性目标。 2010年12月，公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》，要求中央企业贯彻执行等级保护工作。 等级保护发展历程 等保2.0 发展情况 修订等保1.0 2016年10月公安部网络安全保卫局组织对原有国家标准 GB/T 22239-2008等系列标 准进行了修订。 2.0系列标准 编制工作 2017年1月至2月，全国信息安全标准化技术委员会发布《 网络安全等级保护基本要求》系列标准、《 网络安全等级保护测评要求 》系列标准等“征求意见稿”。 2017年5月，国家公安部发布《GA/T 1389—2017 网络安全等级保护定级指南》、《GA/T 1390.2—2017 网络安全等级保护基本要求 第 2 部分：云计算安全扩展要求》等4个公共安全行业等级保护标准。 等保2.0 《网络安全等级保护条例》征求意见稿发布。7月再次调整分类结构和强化可信计算。充分体现一个中心，三重防御的思想（和GB/T 25070保持一致）充分强化可信计算技术使用的要求（和GB/T 25070保持一致），等保2.0标准在2019年5月13号正式发布，12月1号正式实施，进入等保2.0时代。 等级保护依据的法律、法规 《网络安全法》第二十一条明确要求：“国家实行网络安全等级保护制度”。 《网络安全等级保护条例》第三条【确立制度】国家实行网络安全等级保护制度，对网络实施分等级保护、分等级监管（征求意见稿）。 《关键信息基础设施安全保护条例》（征求意见稿）。 《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安 [2009] 1429号）。 中央关于加强社会治安防控体系建设的意见、公安改革若干重大问题的框架意见要求“健全完善信息安全等级保护制度”。 中央领导批示要求：健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度。 等级保护2.0的法规、标准体系 网络安全等级保护条例（制订中-征求意见稿）（总要求/上位文件） 计算机信息系统安全保护等级划分准则（GB 17859-1999)（上位标准） 网络安全等级保护 基本要求(GB/T 22239-2019) 网络安全等级保护 安全设计技术要求(GB/T 25070-2019) 网络安全等级保护 测评要求(GB/T 28448-2019) 网络安全等级保护 测评过程指南(GB/T 28449-2018) 网络安全等级保护 定级指南(GB/T 22240) （修订） 网络安全等级保护 实施指南(GB/T 25058)（修订） 等级保护等级划分 第一级 自主保护级： 此类信息系统受到破坏后， 会对公民、法人和其他组织的合法权益造成 一般损害，不损害 国家安全、社会秩序和公共利益。 第二级 指导保护级： 此类信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成 严重损害，会对社会秩序、公共利益造成 一般损害， 不损害