收藏
下载资源

网络安全等级保护相关标准修订解读ppt课件.pptx

上传人:资****亨 文档编号:124892867 上传时间:2020-03-14 格式:PPTX 页数:53 大小:1.17MB
返回 下载 相关 举报
网络安全等级保护相关标准修订解读ppt课件.pptx_第1页
第1页 / 共53页
网络安全等级保护相关标准修订解读ppt课件.pptx_第2页
第2页 / 共53页
网络安全等级保护相关标准修订解读ppt课件.pptx_第3页
第3页 / 共53页
网络安全等级保护相关标准修订解读ppt课件.pptx_第4页
第4页 / 共53页
网络安全等级保护相关标准修订解读ppt课件.pptx_第5页
第5页 / 共53页
点击查看更多>>
资源描述

《网络安全等级保护相关标准修订解读ppt课件.pptx》由会员分享,可在线阅读,更多相关《网络安全等级保护相关标准修订解读ppt课件.pptx(53页珍藏版)》请在金锄头文库上搜索。

1、网络安全等级保护相关标准修订解读 1 基础 预备定级 安全建设 整 改 测评 整改 重新定级 计算机信息系统安全保护等级划分准则 信息系统安全等级保护实施指南 GB 17859 1999 GB T 25058 2010 信息系统安全保护等级定级指南 GB T 22240 2008 GB T 22239 2008 GB T 25070 2010 GB T 20271 2006 GB T 20269 2006 信息系统安全等级保护基本要求 信息系统定级保护安全设计技术要求 信息系统通用安全技术要求 信息系统安全管理要求 GB T 28448 2012 GB T 28449 2012 信息系统安全等

2、级保护测评要求 信息系统安全等级保护测评过程指南 原等级保护标准体系 2 现等级保护标准体系 GB 17859 计算机信息系统安全保护等级划分准则 GB T 25058 网络 安全 等级 保护 实施 指南 GB T 22240 网络 安全 等级 保护 定级 指南 GB T 22239 网络 安全 等级 保护 基本 要求 GB T 25070 网络 安全 等级 保护 安全 技术 设计 要求 网络 安全 等级 保护 安全 管理 中心 技术 要求 GB T 28448 网络 安全 等级 保护 测评 要求 GB T 28449 信息 系统 安全 等级 保护 测评 过程 指南 网络 安全 等级 保护 测

3、试 评估 技术 指南 修订 修订 修订 修订 新立 修订 新立 3 2014年 为了适应新技术新应用情 况下的等级保护工作开展 决定对原标 准进行扩展 形成5个分册 以基本要 求为例 分为 网络安全等级保护基本要求 第1部分 安全通用要求 第2部分 云计算安全扩展要求 第3部分 移动互联安全扩展要求 第4部分 物联网安全扩展要求 第5部分 工业控制系统安全扩展要求 测评要求和设计要求也进行了相应的 扩展 形成了15个标准小组 各小组经 过草案 征求意见阶段 在2017年5月 形成了标准送审稿 标准修订历程 2013年 全国信息安全标准化技术委员会 秘书处下达了对原国家标准 信息系统安全 等级保

4、护基本要求 信息系统安全等级 保护测评要求 信息系统等级保护安全 设计技术要求 的修订工作 2017年8月 网信办 公安部和信安标委达 成一致意见 将基本要求 测评要求 设计 要求三个标准体系的5个分册标准进行了合 并 形成 网络安全等级保护基本要求 网络安全等级保护测评要求 网络安 全等级保护安全设计技术要求 三个单一标 准 形成最新版送审稿 4 网络安全等级保护基本要求 主要修订的内容 5 p 原来 信息系统安全等级保护基本要求 p 改为 网络安全等级保护基本要求 p 为适应 中华人民共和国网络安全法 配合落实 网络安 全等级保护制度 变更等级保护相关标准的名称 1 标准名称的变化 6 2

5、 等级保护对象的变化 p 原来 信息安全等级保护工作直接作用的具体信息和信息系统 p 改为 由计算机或者其他信息终端及相关设备组成的按照一定的规则和 程序对信息进行收集 存储 传输 交换 处理的系统 主要包括基础 信息网络 信息系统 云计算平台 大数据平台 物联网系统 工业控 制系统等 p 根据网络安全法 扩展等级保护对象 并解决移动互联 云计算 大数 据 物联网和工业控制等新技术 新应用领域的等级保护工作 7 3 安全要求的变化 p 原来 安全要求 p 改为 安全通用要求和安全扩展要求 p 安全通用要求是不管等级保护对象形态如何必须满足的要求 针对云计 算 移动互联 物联网和工业控制系统提出

6、了特殊要求 称为安全扩展 要求 8 4 章节结构的变化 以第三级要求为例 p 8 第三级安全要求 p 8 1安全通用要求 p 8 1 1 物理和环境安全 p p 8 1 8 安全运维管理 p 8 2 云计算安全扩展要求 p 8 2 1 物理和环境安全 p 8 2 2 网络和通信安全 p p 8 3 移动互联安全扩展要求 p 8 4 物联网安全扩展要求 p 8 5 工业控制系统安全扩展要求 p 7 第三级基本要求 p 7 1 技术要求 p 7 1 1物理安全 p 7 1 2网络安全 p p 7 2 管理要求 p 7 2 1 安全管理制度 p 7 2 2 安全管理机构 p 9 5 控制措施分类结构

7、的变化 p 技术要求 原来 物理安全 网络安全 主机安全 应用安全 数据安全 改为 物理和环境安全 网络和通信安全 设备和计算安全 应用 和数据安全 p 管理要求 原来 安全管理制度 安全管理机构 人员安全管理 系统建设管 理 系统运维管理 改为 安全策略和管理制度 安全管理机构与人员 安全建设管 理 安全运维管理 10 6 通用要求控制点的变化 物理和环境安全 序号原分类原有控制点新的分类新的控制点 1物理安全物理位置的选择物理和环境 安全 物理位置的选择 2物理访问控制物理访问控制 3防盗窃和防破坏防盗窃和防破坏 4防雷击防雷击 5防火防火 6防水和防潮防水和防潮 7防静电防静电 8温湿度

8、控制温湿度控制 9电力供应电力供应 10电磁防护电磁防护 11 6 通用要求控制点的变化 网络和通信安全 序号原分类原有控制点新的分类新的控制点 1网络安全结构安全网络和通信 安全 网络架构 2访问控制通信传输 3安全审计边界防护 4边界完整性检查访问控制 5入侵防范入侵防范 6恶意代码防范恶意代码防范 7网络设备防护安全审计 8集中管控 12 6 通用要求控制点的变化 设备和计算安全 序号原分类原有控制点新的分类新的控制点 1主机安全身份鉴别设备和计算 安全 身份鉴别 2安全标记访问控制 3访问控制安全审计 4可信路径入侵防范 5安全审计恶意代码防范 6剩余信息保护资源控制 7入侵防范 8恶

9、意代码防范 9资源控制 13 6 通用要求控制点的变化 应用和数据安全 序号原分类原有控制点新的分类新的控制点 1应用安全身份鉴别应用和数据安全身份鉴别 2安全标记访问控制 3访问控制安全审计 4可信路径软件容错 5安全审计资源控制 6剩余信息保护数据完整性 7通信完整性数据保密性 8通信保密性数据备份恢复 9抗抵赖剩余信息保护 10软件容错个人信息保护 11资源控制 1数据安全及备份恢 复 数据完整性 2数据保密性 3备份和恢复 14 6 通用要求控制点的变化 安全管理策略和管理制度 序号原分类原有控制点新的分类新的控制点 1安全管理制 度 管理制度安全策略和 管理制度 安全策略 2制定和发

10、布管理制度 3评审和修订制定和发布 4评审和修订 15 6 通用要求控制点的变化 安全管理机构和人员 序号原分类原有控制点新的分类新的控制点 1安全管理机构岗位设置安全管理机构 和人员 岗位设置 2人员配备人员配备 3授权和审批授权和审批 4沟通和合作沟通和合作 5审核和检查审核和检查 1人员安全管理人员录用人员录用 2人员离岗人员离岗 3人员考核安全意识教育和培训 4安全意识教育和培训外部人员访问管理 5外部人员访问管理 16 6 通用要求控制点的变化 安全建设管理 序号原分类原有控制点新的分类新的控制点 1系统建设管理系统定级安全建设管理定级和备案 2安全方案设计安全方案设计 3产品采购和

11、使用产品采购和使用 4自行软件开发自行软件开发 5外包软件开发外包软件开发 6工程实施工程实施 7测试验收测试验收 8系统交付系统交付 9系统备案等级测评 10等级测评服务供应商选择 11安全服务商选择 17 6 通用要求控制点的变化 安全运维管理 序号原分类原有控制点新的分类新的控制点 1系统运维管理环境管理安全运维管理环境管理 2资产管理资产管理 3介质管理介质管理 4设备管理设备维护管理 5监控管理和安全管理中心漏洞和风险管理 6网络安全管理网络和系统管理 7系统安全管理恶意代码防范管理 8恶意代码防范管理配置管理 9密码管理密码管理 10变更管理变更管理 11备份与恢复管理备份与恢复管

12、理 12安全事件处置安全事件处置 13应急预案管理应急预案管理 14外包运维管理 18 6 通用要求标准控制点的变化 安全要求类层面一级二级三级四级 技术要求物理和环境安全7101010 网络和通信安全4688 设备和计算安全4666 应用和数据安全591010 管理要求安全策略和管理制度1444 安全管理机构和人员7999 安全建设管理7101010 安全运维管理8141414 合计 新标准 43687171 合计 旧标准 48667377 19 7 增加云计算安全扩展要求 p 云计算安全扩展要求章节针对云计算的特点提出特殊保护要求 由第2分 册 之前的云计算安全扩展要求分册 合并为基本要求

13、的X 2章节 合并 后精炼保留针对云计算特点的特殊保护要求 增加包括 基础设施的位置 虚拟化安全保护 镜像和快照保护 云服务商选择 和 云计算环境管理 等方面 20 8 增加了移动互联安全扩展要求 p 移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求 由第 3分册 之前的移动互联网安全扩展要求分册 合并为基本要求的X 3章节 合并后精炼保留针对移动互联网特点的特殊保护要求 增加包括 无线 接入点的物理位置 移动终端管控 移动应用管控 移动应 用软件采购 和 移动应用软件开发 等方面 21 9 增加了物联网安全扩展要求 p 物联网安全扩展要求章节针对物联网的特点提出特殊保护要求 由第4

14、分 册 之前的物联网安全扩展要求分册 合并为基本要求的X 4章节 合并 后精炼保留针对物联网的感知网部分特殊保护要求 增加包括 感知节点 的物理防护 感知节点设备安全 网关节点设备安全 感知 节点的管理 和 数据融合处理 等方面 22 10 增加了工业控制系统安全扩展要求 p 工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要 求 对工业控制系统主要增加的内容包括 室外控制设备防护 工业 控制系统网络架构安全 拨号使用控制 无线使用控制 和 控 制设备安全 等方面 针对工业控制系统实时性要求高的特点调整了 漏 洞和风险管理 和 恶意代码防范管理 方面的要求 23 安全要求类层面一

15、级二级三级四级 技术要求物理和环境安全7152223 网络和通信安全7153333 设备和计算安全7172626 应用和数据安全8223437 管理要求安全策略和管理制度1677 安全管理机构和人员7162629 安全建设管理9233435 安全运维管理13314951 合计 新标准 59145231241 合计 旧标准 85175290318 11 标准控制项的变化 通用要求 24 11 标准控制项的变化 扩展要求 安全要求项一级二级三级四级 安全通用要求 X 1 59145231241 云计算安全扩展要求 X 2 12376061 移动互联安全扩展要求 X 3 5192324 物联网安全扩

16、展要求 X 4 792324 工业控制系统安全扩展要求 X 5 10182627 25 12 取消了安全控制点的标注 p 适应定级方法的变化 取消了原来安全控制点的S A G标注 调整原来 的附录B 安全要求的选择和使用 描述等级保护对象的定级结果和安 全要求之间的关系 增加安全控制措施选择时 控制点的标注及使用说 明 26 13 增加了应用场景的说明 p 增加附录C 描述等级保护安全 框架和关键技术 增加附录D 描述云计算应用场景 附录E描 述移动互联应用场景 附录F描 述物联网应用场景 附录G描 述工业控制系统应用场景 等级保护安全框架 27 图D 1 云计算服务模式与控制范围的关系 13 增加了应用场景的说明 28 层面安全要求安全组件责任主体 物理和环境安全物理位置选择数据中心及物理设施云服务商 网络和通信安全网络结构 访问控制 入侵防范 安全审计 物理网络及附属设备 虚拟网络管理平台云服务商 云服务客户虚拟网络安全域云服务客户 设备和计算安全身份鉴别 访问控制 安全审计 入侵防范 恶意 代码防范 资源控制 镜像 和快照保护 物理网络及附属设备 虚拟网络管理平 台 物理宿主机及

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号