孙河乡等保2.0网络安全等级保护v1.pptx

网络安全等级保护2.0账户管理1等保2.0总体介绍2等保2.0技术防护方案设计3等保2.0安全管理规划4等保2.0测评流程目录Contents1等保2.0总体介绍网络安全相关法律及行政法规中华人民共和国计算机信息系统安全保护条例（147号令）中华人民共和国网络安全法第二十一条?国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。第九条计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。网络安全等保及相关规章及标准部门规章《信息安全等级保护管理办法》（公通字【2007】43号）《信息安全等级保护工作的实施意见》（公通字【2004】66号）国家标准《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息安全技术网络安全等级保护基本要求》（GB/T22239一2019）《信息安全技术信息糸统安全等级保护定级指南》(GB/T22240-2020)《信息安全技术网络安全等级保护安全设计技术要求》（GB/T25070一2019）《信息安全技术网络络安全等级保护测评要求》（GB/T28448-2019）《信息安全技术网络安全等级保护测评过程指南》（GB/T28449-2019)等级保护发展历程2008年等级保护1.0元年《信息安全技术信息系统安全等级保护基本要求》相关标准发布实施2019年等级保护2.0元年5月13日正式发布等级保护2.0版本（《信息安全技术网络安全等级保护基本要求》1994年《中华人民共和国计算机信息系统安全保护条例》颁布实施1999年《计算机信息系统安全等级保护划分准则》（GB17859）发布2016年发布《中华人民共和国网络安全法》等保2.0相对1.0的关键变化对象变化信息安全→网络安全，引入云计算、移动互联、工控、物联网等新领域结构调整一个中心、三重防御防御理念被动防御→主动防御等保2.0基本框架等保2.0基本框架技术要求管理要求安全物理环境安全通信网络安全计算环境安全管理中心安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理安全区域边界等保2.0充分体现了“一个中心三重防御“的思想，一个中心指“安全管理中心”，三重防御指“安全计算环境、安全区域边界、安全通信网络”，同时等保2.0强化可信计算安全技术要求的使用等保2.0实施工作流程等保2.0实施阶段整体实施方案设计安全产品和服务覆盖等保技术实现等保管理实现等保合规自评需求分析总体设计建设方案规划信息处理设备处理存储介质处理运行管控变更管控状态监控服务商管控等保测评检查改进定级、评审、备案对象定级与备案总体安全规划安全设计与实施安全运行与维护定级对象终止等保2.0定级流程确定定级对象包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等初步确认等级包括确定受侵害的客体、侵害对客体的侵害程度以及综合判定侵害程度定级对象的运营、使用单位应组织信息安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见专家评审主管部门审核定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核公安机关备案审查网信部门定级对象的运营、使用单位应按照相关管理规定，将初步定级结果提交公安机关进行备案审查，审查不通过，其运营使用单位应组织重新定级。审查通过后最终确定定级对象的安全保护等级。最终确定的等级等保2.0建设必要性法律责任《网络安全法》第五十九条：网络运营者不履行义务的：由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。2等保2.0技术防护方案设计等保2.0技术保护方案规划安全管理中心安全通信网络安全区域边界安全计算环境大数据安全IT运维管理堡垒机漏洞扫描网站监测预警等保安全一体机等保建设咨询服务下一代防火墙VPN路由器交换机下一代防火墙入侵检测/防御上网行为管理安全沙箱动态防御系统身份认证管理流量安全分析WEB应用防护准入控制系统入侵检测/防御数据库审计动态防御系统网页防篡改漏洞风险评估数据备份终端安全建设要点对安全进行统一管理与把控集中分析与审计定期识别漏洞与隐患建设要点构建安全的网络通信架构保障信息传输安全建设要点强化安全边界防护及入侵防护优化访问控制策略建设要点强调系统及应用安全加强身份鉴别机制与入侵防范安全物理环境设计等保要求控制点对应产品和方案安全物理环境物理位置选择具有防风防雨防震的建筑、尽量避免顶层和地下室物理访问控制电子门禁系统防盗窃防破坏防盗报警系统和视频监控系统防火使用防火材料、自动气体消防