《网络安全法与等级保护培训教材.ppt》由会员分享,可在线阅读,更多相关《网络安全法与等级保护培训教材.ppt(34页珍藏版)》请在金锄头文库上搜索。
1、网络安全法与等级保护,一、网络安全法,二、信息安全等级保护,目 录,一、网络安全法,制定网络安全法的意义,网络安全法是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。 网络安全法将近年来一些成熟的好做法制度化,并为将来可能的制度创新做了原则性规定,为网络安全工作提供切实法律保障。,1、总体框架 共7章79条。 第一章 总 则 第二章 网络安全支持与促进 第三章 网络运行安全 第一节 一般规定 第二节 关键信息基础设施的运行安全 第四章 网络信息安全 第五章 监测预警与应急处
2、置 第六章 法律责任 第七章 附 则,(一)综述,2、定位 是互联网领域、网络安全的基础性法律。 是党的十八大以来的又一部重要法律。 3、制定过程 2013年下半年提上日程,2014年形成草案,15年初形成征求意见稿,15年6月一审,16年6月二审、10月31日三审、11月7日人大通过,2017年6月1日起施行。 154票赞成、0票反对、1票弃权。,确立了网络安全法律规范的基本原则 明确了网络安全工作的重点 提出制定网络安全战略,明确网络空间治理目标 完善了网络安全监管体制 强化了网络运行安全,重点保护关键信息基础设施 完善了网络安全义务和责任 将监测预警与应急处置措施制度化、规范化,制定网络
3、安全法的意义,5、有关概念 网络:是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。 网络安全:是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。,网络运营者:是指网络的所有者、管理者和网络服务提供者。 网络数据:是指通过网络收集、存储、传输、处理和产生的各种电子数据。 个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息
4、、住址、电话号码等。,第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务。 第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。 第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。(等级测评),网
5、络安全等级保护制度(上升为法律),(1)安全风险评估要求 具体内容:应当自行或者委托网络安全服务机构对其网络的安全性和可能风险每年至少1次检测评估;检测评估情况和改进措施报送相关负责部门。 法律责任:由有关主管部门责令改正, 给予警告;拒不改正或者导致危害网络安全等后果的,处10-100万罚款,对直接负责的主管人员处1-10万罚款。,网络安全法要求及处罚,(2)网络安全等级保护要求 具体内容:制度建设与负责人;安全防范技术措施;不少于6个月的安全日志;数据分类与备份加密。 法律责任:责令改正及警告;警告不改罚款公司1-10万,主管5千-5万。,网络安全法要求及处罚,(3)安全技术措施同步要求
6、具体内容:建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。 法律责任:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。,网络安全法要求及处罚,(4)采购安全保密要求 具体内容:采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。 法律责任:责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10-100万罚款,对直接负责的主管人员处1-10万罚款。,网络安全法要求及处罚,(5)信息与数
7、据境内存储及跨境数据传输的安全评估要求 具体内容:境内运营中收集和产生的个人信息和重要数据应当在境内存储;需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。 法律责任:责令改正,给予警告,没收违法所得;处 5-50万罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责主管和直接责任人处1-10万罚款。,网络安全法要求及处罚,(6)应急预案要求 具体内容:制定网络安全事件应急预案;在发生危害网络安全的事件时,立即启动应急预案;按照规定向有关主管部门报告。 法律责任:责令改正及警告;警告不改罚款 公司1-10万,主管5千-5万
8、。,网络安全法要求及处罚,二、信息安全等级保护,信息安全等级保护定义,信息安全等级保护管理办法(试行):信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。 信息安全等级保护管理办法国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。,第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益
9、造成一定损害,但不损害国家安全、社会秩序和公共利益。,第二级为指导保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。,划分准则-GB 17859-1999,第三级为监督保护级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。,第四级为强制保护级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。,第五级为专控保护级,适用于涉及国家安全的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全造成特别严重损害。,实施指南GB/T 25058-201
10、0,等级保护实施过程,基本原则,主要过程及其活动,角色、职责,基本流程,等级变更,局部调整,信息系统定级,总体安全规划,安全设计与实施,安全运行维护,信息系统终止,国家管理部门,信息系统主管部门,信息系统运营、使用单位,信息安全服务机构,信息安全等级测评机构,信息安全产品供应商,20,等级保护之十大标准,基础类 计算机信息系统安全保护等级划分准则GB 17859-1999 信息系统安全等级保护实施指南GB/T 25058-2010 应用类 定级:信息系统安全保护等级定级指南GB/T 22240-2008 建设:信息系统安全等级保护基本要求GB/T 22239-2008 信息系统通用安全技术要求
11、GB/T 20271-2006 信息系统等级保护安全设计技术要求GB/T 25070-2010 测评:信息系统安全等级保护测评要求GB/T 28448-2012 信息系统安全等级保护测评过程指南 GB/T 28449-2012 管理:信息系统安全管理要求GB/T 20269-2006 信息系统安全工程管理要求GB/T 20282-2006,21,7、系统服务安全等级,等级保护定级指南GB/T 22240,等级保护定级方法,保护对象,对客体的侵害程度,客体:社会关系,受侵害的客体,信息系统安全,系统服务安全,业务信息安全,3、综合评定对客体的侵害程度,2、确定业务信息安全受到破坏时所侵害的客体,
12、6、综合评定对客体的侵害程度,5、确定系统服务安全受到破坏时所侵害的客体,4、业务信息安全等级,8、定级对象的安全保护等级 8MAX(4,7),1、确定定级对象(系统边界),一般流程,等级确定,22,基本保护要求(最低),保护能力,对抗能力恢复能力,技术要求管理要求,物理、网络、主机、应用、数据,制度、机构、人员、建设、运维,纵深防御、互补关联、强度一致、 平台统一、集中安管,业务信息安全类要求 S,系统服务保证类要求 A,通用安全保护类要求 G,整体安全保护能力,关键控制点,安全类,具体要求项,控制强度,基本要求GB/T 22239,基本保护要求(最低),保护能力,对抗能力恢复能力,物理、网
13、络、主机、应用、数据,制度、机构、人员、建设、运维,纵深防御、互补关联、强度一致、 平台统一、集中安管,通用安全保护类要求 G,关键控制点,安全类,等级保护的内容十个方面,业务安全,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,控制项,26,基本要求GB/T 22239,物理位置的选择,基本防护能力,高层、地下室,物理访问控制,基本出入控制,分区域管理,在机房中的活动,电子门禁,防盗窃和防破坏,存放位置、标记标识,监控报警系统,防雷击,建筑防雷、机房接地,设备防雷,防火,灭火设备、自动报警,
14、自动消防系统,区域隔离措施,防静电,关键设备,主要设备,防静电地板,电力供应,稳定电压、短期供应,主要设备,冗余/并行线路,备用供电系统,电磁防护,线缆隔离,接地防干扰,电磁屏蔽,防水和防潮,温湿度控制,物理安全的整改要点,结构安全,关键设备冗余空间,主要设备冗余空间,访问控制,访问控制设备(用户、网段),应用层协议过滤,拨号访问限制,会话终止,安全审计,日志记录,审计报表,边界完整性检查,内部的非法联出,非授权设备私自外联,网络安全的整改要点,子网/网段控制,核心网络带宽,整体网络带宽,重要网段部署,路由控制,带宽分配优先级,端口控制,最大流量数及最大连接数,防止地址欺骗,审计记录的保护,定
15、位及阻断,入侵防范,检测常见攻击,记录、报警,恶意代码防范,网络边界处防范,网络设备防护,基本的登录鉴别,组合鉴别技术,特权用户的权限分离,身份鉴别,基本的身份鉴别,访问控制,安全策略,管理用户的权限分离,特权用户的权限分离,安全审计,服务器基本运行情况审计,审计报表,剩余信息保护,空间释放及信息清除,主机安全的整改要点,组合鉴别技术,敏感标记的设置及操作,审计记录的保护,入侵防范,最小安装原则,重要服务器:检测、记录、报警,恶意代码防范,主机与网络的防范产品不同,资源控制,监视重要服务器,最小服务水平的检测及报警,重要客户端的审计,升级服务器,重要程序完整性,防恶意代码软件、代码库统一管理,对用户会话数及终端登录的限制,身份鉴别,基本的身份鉴别,访问控制,安全策略,最小授权原则,安全审计,运行情况审计(用户级),审计报表,剩余信息保护,空间释放及信息清除,应用安全的整改要点,组合鉴别技术,敏感标记的设置及操作,审计过程的保护,通信完整性,校验码技术,密码技术,软件容错,自动保护功能,资源控制,资源分配限制、资源分配优先级,最小服务水平的检测及报警,数据有效性检验、部分运行保护,对用户会话数及 系统最大并发会话数的限制,审计记录的保护,通信保密性,初始化验证,整个报文及会话过程加密,敏感信息加密,抗抵赖,数据完整性,鉴别数据传输的完整性,备份和恢复,重要数
