网络安全信息安全等保20通用安全架构设计解决方案（68页PPT）.pptxVIP

等保2.0通用安全架构设计解决方案

从框架与架构说起十工五任解决方案合规/产品战略聚焦技术聚焦规划视角（EA架构分析）设计视角（EA场景分析）覆盖技术视角（可运行性分析）实例化理论化支撑图1.解决方案架构十工五任政企网络安全防御全景模型政企网络安全协同联动模型政企网络安全防御建设项目规划纲要解决方案：标准解决方案（行业/产品）综合型解决方案（会战）孵化型解决方案产研/交付：产品能力化原子能力（技术能力、安全能力、产品能力）部署实施安全运行

目录1等保合规2内生安全框架3会战框架4架构营销

等保合规与产品框架

等保政策法律地位的提升计算机信息系统安全保护条例（国务院令第147号）商用密码管理条例（国务院令第273号）信息安全等级保护管理办法（公通字[2007]43号)电子政务等级保护相关制度（发改委）...地方人民政府地方人大及常委会国务院全国人大及其常委会法律行政法规地方性法规地方政府规章规范性文件部门规章国务院各部委宪法、刑法（部分条款）国家安全法（部分条款）保守国家秘密法电子签名法...等级保护1.0等级保护2.0计算机信息系统安全保护条例（国务院令第147号）商用密码管理条例（国务院令第273号）网络安全等级保护条例关键信息基础设施安全保护条例电子政务等级保护相关制度（发改委）关键信息基础设施相关制度（国家互联网信息办公室）...宪法、刑法（部分条款）国家安全法（部分条款）保守国家秘密法电子签名法网络安全法...

等级保护制度发展1994国务院令第147号1999GB1785920032004200720172019中办发[2003]27号公通字[2007]43号公通字[2004]66号网络安全法等保2.0核心标准强制性标准：本标准规定了我国计算机信息系统安全保护能力的五个等级第二十一条“国家实行网络安全等级保护制度”，从法规上升到法律层面《基本要求》《安全设计技术要求》《测评要求》正式发布第九条“计算机信息系统实行安全等级保护”首次提出了等级保护的概念信息安全保障纲领性文件，明确指出“实行信息安全等级保护“主要任务进一步明确了信息安全等级保护制度的职责分工和工作的要求等基本内容明确了信息安全等级保护的五个动作，为开展等级保护工作提供了规范保障政策环境营造工作开展准备1.0全面推进2.0时代公网安1960号文；行标2.0标准陆续发布与实施（如金融等）2020至今公网安1960号文

等保2.0主要变化等级保护范围进一步扩大安全防护要求不断提高网络安全法确立等级保护制度地位等级保护政策体系进一步细化完善21条规定：国家实行等级保护制度；31条规定：国家对关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。等级保护范围扩大（除了个人及家庭自建网络之外的领域全覆盖）等级保护对象扩展（云计算、工业控制、物联网、某著名企业安全）；保护要求更高（针对高级威胁检测、供应链安全、邮件安全、通报预警等）增加对可信计算的相关要求。等级保护管理条例/关键信息基础设施保护条例发布征求意见稿；配套管理规范、实施细则正在陆续出台。等保2.0

等保定级对象基础信息网络工业控制系统云计算平台物联网大数据、大数据应用、大数据平台、基础设施单独或组合可以构成定级对象，当涉及不同责任主体时，应当分别定级。安全责任主体相同的大数据、大数据平台和应用可作为一个整体对象定级。现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级，各要素不单独定级；生产管理要素宜单独定级。对于大型工业控制系统，可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。应将云服务方侧的云计算平台单独作为定级对象定级，云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台，应将云计算基础设施和有关辅助服务系统化为不同的定级对象。物联网主要包括感知、网络传输和处理应用等特征要素，应将以上要素作为一个整体对象定级，各要素不单独定级。某著名企业互联网采用某著名企业互联技术的网络主要包括某著名企业终端、某著名企业应用、无线网络等特征要素，应与相关有线网络业务系统作为一个整体对象定级。对于某著名企业网、广播电视传输网、互联网等基础信息网络，应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象。跨省的行业或者单位的专用通信网可作为一个整体对象定级，也可以分区域划分为若干个定级对象。

等保安全体系框架

等级保护2.0安全框架国家网络安全法律法规政策体系国家网络安全等级保护政策标准体系网络安全战略规划目标等级保护对象通信网络 安全管理中心区域边界计算环境风险管理体系安全管理体系安全技术体系网络信任体系网络安全综合防御体系组织管理网络基础设施信息系统大数据物联网云平台总体安全策略国家网络安全等级保护制度定级备案安全建设等级