網(wǎng)絡(luò)安全等級(jí)保護(hù)概述V1.0 2019-1-19

網(wǎng)絡(luò)安全等級(jí)保護(hù)概述目錄1.網(wǎng)絡(luò)安全概述2.政策法規(guī)3.網(wǎng)絡(luò)安全等級(jí)保護(hù)概述4.等保標(biāo)準(zhǔn)介紹5.等級(jí)保護(hù)流程介紹6.等保建設(shè)依據(jù)7.測(cè)評(píng)方法8.案例分享

網(wǎng)絡(luò)空間已成為繼陸、海、空、天之外的第五主權(quán)空間,維護(hù)網(wǎng)絡(luò)安全成為事關(guān)國(guó)家安全、國(guó)家主權(quán)和人民群眾合法權(quán)益的重大問題。

習(xí)近平主席：沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全網(wǎng)絡(luò)安全的重要性第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改；第二十六條開展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng)，向社會(huì)發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當(dāng)遵守國(guó)家有關(guān)規(guī)定。第三十一條國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。政策法規(guī)第二百八十六條之一拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金：（一）致使違法信息大量傳播的；（二）致使用戶信息泄露，造成嚴(yán)重后果的；（三）致使刑事案件證據(jù)滅失，情節(jié)嚴(yán)重的；（四）有其他嚴(yán)重情節(jié)的。單位犯前款罪的，對(duì)單位判處罰金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照前款的規(guī)定處罰。有前兩款行為，同時(shí)構(gòu)成其他犯罪的，依照處罰較重的規(guī)定定罪處罰。等級(jí)保護(hù)等級(jí)劃分網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)國(guó)家安全、法人和其他組織及公民的專有信息以及公開信息和儲(chǔ)存、傳輸、處理這些信息的網(wǎng)絡(luò)安全分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。（特點(diǎn)：非涉密）網(wǎng)絡(luò)安全等級(jí)保護(hù)基本概念等級(jí)保護(hù)定級(jí)主要判斷依據(jù):1.業(yè)務(wù)信息受到破壞的客體是誰，2.對(duì)客體侵害程度如何。等級(jí)保護(hù)劃分標(biāo)準(zhǔn)定級(jí)劃分定級(jí)劃分各級(jí)等級(jí)保護(hù)對(duì)象定級(jí)工作具體要求如下：1.

安全保護(hù)等級(jí)初步確定為第二級(jí)及以上的等級(jí)保護(hù)對(duì)象，其運(yùn)營(yíng)使用單位應(yīng)當(dāng)依據(jù)本標(biāo)準(zhǔn)進(jìn)行初步定級(jí)、專家評(píng)審、主管部門審批、公安機(jī)關(guān)備案審查，最終確定其安全保護(hù)等級(jí)；2.安全保護(hù)等級(jí)初步確定為第四級(jí)的等級(jí)保護(hù)對(duì)象，在開展專家評(píng)審工作時(shí)，其運(yùn)營(yíng)使用單位應(yīng)當(dāng)請(qǐng)國(guó)家信息安全等級(jí)保護(hù)專家評(píng)審委員會(huì)進(jìn)行評(píng)審。專家定義：高級(jí)測(cè)評(píng)師、安全行業(yè)高工（CISP、安全工程師）、等保測(cè)評(píng)專家，一般要求三人以上等保2.0主要標(biāo)準(zhǔn)依據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》（總要求/上位文件）信息安全技術(shù)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）（上位標(biāo)準(zhǔn)）信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南（GB/T22240）（正在修訂）信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T22239-2019）信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求（GB/T25070-2019）信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求（GB/T28448-2019）信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程指南（GB/T28449-2018）信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南（GB/T25058-2019）Part

1

破壞保密性(confidentiality)截獲破壞可用性（availability）中斷信息源信息目的地信息源信息目的地信息源信息目的地

破壞完整性（integrity）篡改網(wǎng)絡(luò)安全概念網(wǎng)絡(luò)安全——通過采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。信息安全涉及多個(gè)維度，都不能松懈！木桶理論信息安全存在的問題物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理物理和環(huán)境安全網(wǎng)絡(luò)和通信安全設(shè)備和計(jì)算安全應(yīng)用和數(shù)據(jù)安全安全策略和管理制度安全管理機(jī)構(gòu)和人員安全建設(shè)管理安全系統(tǒng)運(yùn)維技術(shù)管理技術(shù)管理等保1.0等保1.5(2.0征求意見稿）等保2.0征求意見稿延時(shí)符信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求云計(jì)算安全擴(kuò)展要求信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求移動(dòng)互聯(lián)網(wǎng)安全擴(kuò)展要求信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求物聯(lián)網(wǎng)安全擴(kuò)展要求信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求工業(yè)控制系統(tǒng)擴(kuò)展要求信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求大數(shù)據(jù)應(yīng)用場(chǎng)景說明等保1.0物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理等保2.0安全物理環(huán)境技術(shù)要求管理要求基本要求安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理機(jī)構(gòu)安全人員管理安全建設(shè)管理安全運(yùn)維管理安全管理制度安全管理中心信息安全等級(jí)保護(hù)（2010）網(wǎng)絡(luò)安全等級(jí)保護(hù)（2019）等保1.0→等保2.0如何開展等保工作等級(jí)保護(hù)實(shí)施基本流程過程與角色定級(jí)備案安全需求分析（差距測(cè)評(píng)）安全整改驗(yàn)收測(cè)評(píng)項(xiàng)目驗(yàn)收定期檢查階段定級(jí)備案安全需求分析安全整改驗(yàn)收測(cè)評(píng)項(xiàng)目驗(yàn)收定期檢查主要負(fù)責(zé)系統(tǒng)運(yùn)營(yíng)使用單位網(wǎng)監(jiān)安全咨詢服務(wù)機(jī)構(gòu)系統(tǒng)運(yùn)營(yíng)使用單位等級(jí)測(cè)評(píng)機(jī)構(gòu)系統(tǒng)運(yùn)營(yíng)使用單位系統(tǒng)運(yùn)營(yíng)使用單位配合工作安全咨詢服務(wù)機(jī)構(gòu)系統(tǒng)運(yùn)營(yíng)使用單位系統(tǒng)運(yùn)營(yíng)使用單位安全咨詢服務(wù)機(jī)構(gòu)系統(tǒng)運(yùn)營(yíng)使用單位等級(jí)測(cè)評(píng)機(jī)構(gòu)等級(jí)測(cè)評(píng)機(jī)構(gòu)監(jiān)督檢查網(wǎng)監(jiān)/網(wǎng)監(jiān)網(wǎng)監(jiān)網(wǎng)監(jiān)網(wǎng)監(jiān)網(wǎng)監(jiān)等級(jí)保護(hù)基本要求介紹“附錄H大數(shù)據(jù)應(yīng)用場(chǎng)景說明”“一個(gè)中心、三重防護(hù)”思想加入了可信計(jì)算技術(shù)等新技術(shù)的描述對(duì)訪問控制的細(xì)粒度提出了更高的要求對(duì)云、大、物、移、工的信息系統(tǒng)安全防護(hù)提出了明確的要求安全物理環(huán)境物理位置的選擇基本防護(hù)能力高層、地下室物理訪問控制基本出入控制分區(qū)域管理在機(jī)房中的活動(dòng)電子門禁防盜竊和防破壞存放位置、標(biāo)記標(biāo)識(shí)監(jiān)控報(bào)警系統(tǒng)防雷擊設(shè)備防雷防火滅火設(shè)備、自動(dòng)報(bào)警自動(dòng)消防系統(tǒng)區(qū)域隔離措施防靜電關(guān)鍵設(shè)備主要設(shè)備防靜電地板電力供應(yīng)穩(wěn)定電壓、短期供應(yīng)主要設(shè)備冗余/并行線路備用供電系統(tǒng)電磁防護(hù)線纜隔離接地防干擾電磁屏蔽防水和防潮溫濕度控制環(huán)境監(jiān)控安全物理環(huán)境物理位置選擇物理訪問控制防盜竊和防破壞防雷擊、防火、防水和防潮、防靜電、溫濕度控制電力供應(yīng)電磁防護(hù)（非硬性要求）安全通信網(wǎng)絡(luò)——三級(jí)帶寬和計(jì)算能力要足夠區(qū)域邊界之間要隔離（防火墻、策略）關(guān)鍵設(shè)備冗余密碼技術(shù)驗(yàn)證、加密“可”使用可信根驗(yàn)證

審計(jì)記錄發(fā)至安全管理中心側(cè)重于數(shù)據(jù)包的傳輸安全訪問控制訪問控制設(shè)備（用戶、網(wǎng)段）應(yīng)用層協(xié)議過濾撥號(hào)訪問限制會(huì)話終止安全審計(jì)用戶行為的日志記錄審計(jì)報(bào)表邊界防護(hù)內(nèi)部的非法聯(lián)出定位及阻斷端口控制最大流量數(shù)及最大連接數(shù)防止地址欺騙審計(jì)記錄的保護(hù)防火墻、網(wǎng)閘入侵防范內(nèi)部攻擊檢測(cè)、記錄、報(bào)警惡意代碼和垃圾郵件防范防病毒網(wǎng)關(guān)可信驗(yàn)證關(guān)鍵環(huán)節(jié)動(dòng)態(tài)可信驗(yàn)證系統(tǒng)引導(dǎo)程序→邊界防護(hù)程序（全過程）安全區(qū)域邊界外部非法進(jìn)入無線設(shè)備接入外部攻擊IPS\IDS\防APT..外部進(jìn)入行為內(nèi)部外訪行為三級(jí)要求精細(xì)到每個(gè)用戶上網(wǎng)行為管理選反垃圾郵件攻擊類型、目標(biāo)、時(shí)間側(cè)重于網(wǎng)絡(luò)行為分析、控制、審計(jì)身份鑒別基本的身份鑒別訪問控制安全策略管理用戶的權(quán)限分離特權(quán)用戶的權(quán)限分離安全審計(jì)服務(wù)器基本運(yùn)行情況審計(jì)審計(jì)報(bào)表組合鑒別技術(shù)審計(jì)記錄的保護(hù)入侵防范最小安裝原則重要服務(wù)器：檢測(cè)、記錄、報(bào)警惡意代碼防范主機(jī)與網(wǎng)絡(luò)的防范產(chǎn)品不同重要客戶端的審計(jì)主機(jī)入侵行為發(fā)現(xiàn)重要程序完整性防惡意代碼軟件、代碼庫統(tǒng)一管理安全計(jì)算環(huán)境剩余信息保護(hù)數(shù)據(jù)完整性數(shù)據(jù)保密性數(shù)據(jù)備份恢復(fù)個(gè)人信息保護(hù)可信驗(yàn)證管理審計(jì)非法采集、使用用戶信息雙機(jī)熱備異地容災(zāi)密碼技術(shù)網(wǎng)頁放篡改可信計(jì)算傳輸存儲(chǔ)釋放前清除數(shù)據(jù)剩余數(shù)據(jù)釋放殺毒軟件、可信計(jì)算….發(fā)現(xiàn)已知漏洞殺毒軟件漏洞掃描安全基線、安全準(zhǔn)入堡壘機(jī)多因子登陸堡壘機(jī)最小權(quán)限數(shù)據(jù)加密VPN側(cè)重于服務(wù)器和PC機(jī)的安全安全管理中心——三級(jí)1.強(qiáng)調(diào)系統(tǒng)管理員、審計(jì)員、安全管理員三員分立，明確各自的責(zé)任。2.所有操作都必須審計(jì)記錄安全管理中心——三級(jí)2.對(duì)整個(gè)網(wǎng)絡(luò)的流量、日志、運(yùn)行情況集中統(tǒng)計(jì)監(jiān)測(cè)、分析，安全設(shè)備間的聯(lián)動(dòng)需要加密傳輸

(SOC\態(tài)勢(shì)感知）1.劃分特定的安全管理區(qū)3.必需有專業(yè)安全區(qū)對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)進(jìn)行統(tǒng)一集中管理云計(jì)算安全擴(kuò)展要求應(yīng)用類

產(chǎn)品類

其他類等保安全建設(shè)整改等保2.0技術(shù)要求云服務(wù)方和云租戶對(duì)計(jì)算資源擁有不同的控制范圍，控制范圍則決定了安全責(zé)任的邊界云租戶云服務(wù)方安全責(zé)任方云計(jì)算安全擴(kuò)展要求主要包括：“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護(hù)”、“鏡像和快照保護(hù)”、“云服務(wù)商選擇”和“云計(jì)算環(huán)境管理”等方面。明確了云服務(wù)方和云租戶的責(zé)任，對(duì)云安全平臺(tái)安全和虛擬機(jī)之間的流量隔離防護(hù)提出了明確要求。

移動(dòng)互聯(lián)網(wǎng)安全擴(kuò)展要求移動(dòng)互聯(lián)網(wǎng)安全擴(kuò)展要求主要包括“無線接入點(diǎn)的物理位置”、“移動(dòng)終端管控”、“移動(dòng)應(yīng)用管控”、“移動(dòng)應(yīng)用軟件采購”和“移動(dòng)應(yīng)用軟件開發(fā)”等方面。

EMM系統(tǒng)+移動(dòng)APP安全檢測(cè)物聯(lián)網(wǎng)&工控安全擴(kuò)展要求工控安全擴(kuò)展要求主要包括：“室外控制設(shè)備防護(hù)”、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”、“撥號(hào)使用控制”、“無線使用控制”和“控制設(shè)備安全”等方面。物聯(lián)網(wǎng)安全擴(kuò)展要求主要包括：“感知節(jié)點(diǎn)的物理防護(hù)”、“感知節(jié)點(diǎn)設(shè)備安全”、“感知網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全”、“感知節(jié)點(diǎn)的管理”和“數(shù)據(jù)融合處理”等方面。注：1.等保三級(jí)要求工控系統(tǒng)和其他系統(tǒng)應(yīng)采用單導(dǎo)進(jìn)行隔離。2.廣域網(wǎng)控制指令的傳輸必須加密。注：主要圍繞感知節(jié)點(diǎn)展開，等保三級(jí)要求必須采用白名單機(jī)制。安全管理制度介紹安全管理制度安全策略管理制度制定和發(fā)布評(píng)審和修訂安全管理機(jī)構(gòu)崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查安全管理人員人員錄用人員離崗安全意識(shí)教育培訓(xùn)外部人員訪問管理安全建設(shè)管理定級(jí)和備案安全方案設(shè)計(jì)產(chǎn)品采購和使用自行軟件開發(fā)外包軟件開發(fā)工程實(shí)施測(cè)試驗(yàn)收系統(tǒng)交付等級(jí)測(cè)評(píng)服務(wù)供應(yīng)商選擇安全運(yùn)維管理環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備維護(hù)管理漏洞和風(fēng)險(xiǎn)管理網(wǎng)絡(luò)和系統(tǒng)安全管理惡意代碼防范管理配置管理密碼管理變更管理備份與恢復(fù)管理安全事件管理應(yīng)急預(yù)感管理外包運(yùn)維管理應(yīng)用安全特性，發(fā)現(xiàn)潛在的安全漏洞。主要測(cè)評(píng)方法測(cè)評(píng)技術(shù)手段評(píng)估結(jié)果某大學(xué)案例分享校園網(wǎng)安全管理區(qū)是實(shí)現(xiàn)整體網(wǎng)絡(luò)安全綜合管理的安全區(qū)域，包括日志綜合審計(jì)設(shè)備、運(yùn)維審計(jì)系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)、流量分析及APT分析系統(tǒng)、網(wǎng)絡(luò)行為審計(jì)等，在后期可繼續(xù)擴(kuò)展漏洞掃描，基線檢查，態(tài)勢(shì)感知系統(tǒng)等?；ヂ?lián)網(wǎng)出口區(qū)是內(nèi)部網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)及其他專網(wǎng)的交互邊界，建議增加防火墻和入侵防御系統(tǒng)進(jìn)行隔離防御，。核心交換區(qū)是內(nèi)部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)交換核心區(qū)域，現(xiàn)階段建議采用雙機(jī)冗余的方式部署，實(shí)現(xiàn)負(fù)載均衡，保障核心網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)姆€(wěn)定性與可用性。內(nèi)部應(yīng)用區(qū)主要用于內(nèi)部核心應(yīng)用系統(tǒng)的運(yùn)行與數(shù)據(jù)存儲(chǔ)區(qū)域，通過防火墻與其他網(wǎng)絡(luò)區(qū)域進(jìn)行隔離，并通過建議WAF、網(wǎng)頁防篡改進(jìn)行防護(hù)。DMZ區(qū)主要用于外部業(yè)務(wù)系統(tǒng)的支撐服務(wù)，建議增加WAF對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行防護(hù)數(shù)據(jù)存儲(chǔ)區(qū)主要用戶數(shù)據(jù)中心的數(shù)據(jù)存儲(chǔ)建議增加數(shù)據(jù)庫審計(jì)系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)庫的操作留存審計(jì)，實(shí)現(xiàn)事后朔源分析通過安全網(wǎng)絡(luò)策略與終端的安全基線、漏洞補(bǔ)丁進(jìn)行權(quán)限控制和系統(tǒng)加固。校園接