《网络安全等级保护2.0安全解决方案》由会员分享,可在线阅读,更多相关《网络安全等级保护2.0安全解决方案(67页珍藏版)》请在金锄头文库上搜索。
1、,新时代,网络安全等级保护解决方案,目录,C,O,NT,E,NTS,网络安全法解读,新等级保护差异变化,等级保护解决方案,网络安全法解读,2016.11,网络安全法草案三审稿,2016.11.7,人大常委会表决通过,2017,年,6,月,1,日,网络安全法,实施,2015,.,7,.7,网络安全法草案一审稿,2016.6,网络安全法草案二审稿,2014.,2,网络安全法首次在政府工作报告中提及,网络安全法的背景和历程,网络安全法时间轴,“一法一决定”执法检查,开展“一法一决定”宣传教育情况,;,制定,“,一法,一,决定,”,配套,法,规规,章,情况,;,强化,关,键信,息,基础,设,施保,护,
2、及 落实网络安全等级保护制度情况;,治,理网,络,违法,有,害信,息,,维,护,网络,空,间良,好,生态,情,况;,落,实公,民,个人,信,息 保护制度,查处侵犯公民个人信息,及,相关,违,法犯,罪,情况,等,.,2017,年9月至,12,月,网络安全法颁布,网络领域的基本法,总体牵头,:中央网信办总体牵头,监管单位,:公安,/,工信,/,广电,/,国办(非密领域管理指导监管检查),国,M/,国,A/,保,M/,机要,/,中,B/,科工委(涉密领域管理指导监督检查),国家安全五个领域,(海、陆、空、天、,网,),目标:网际空间自主可控安全可靠,互联网,安全领域,刚性需求上升,重要系统,基础设施
3、安全领域,需求伴随十三五,涉及国家,MM,安全领域,需求伴随,N,网,国产化替代,安全领域,试点推进,辩证思维,网络安全上升为国家战略,,,成为总体国家安全观,的,重要组成部分,国家战略,统一体,合作共赢,将网络安,全,和信,息,化工,作,视为一,个,统一,体,,形,成,了一体两,翼,、驱动,双轮的网络安全观,针对网络,安,全新,形,势,、,新,特,点,,,提,出了,整,体,、,动,态、开,放,、,相对,、,共同的辩证网络安全观,针对全球,互,联网领域,发,展不平,衡,、规则,不,健,全,、,秩序不合理,等,问,题,,,提出了在相互尊重、相互信任基础上合作共赢的,网,络安全观,新 时,代,的
4、网 络 安 全 观,网络安全法的意义和作用,以人为本,将以人民,为,中心,的,发展,思,想贯穿,到,网络,安,全领,域,,形成了,“,网络安,全为人民,网络安全靠人民”的以人为本的网络,安,全观,没有网络安全就没有国家安全,网络安全法的意义和作用(续),中国网络安全法是网络安全领域的基本法,宪法、刑法(部分条款),国家安全法(部分条款),保守国家秘密法,电子签名法,网络安全法,反恐法,关于加强网络信息保护的决定,计算机信息系统安全保护条例,互联网信息服务管理办法,商用密码管理条例,公安部(安全专用产品等),原信产部(互联网域名等),国新办(互联网新闻信息服务),保密局(保密等),地方人民政府,
5、地方人大及常委会,国务院,全国人大及其常委会,法律,行政,法规,地方性,法规,地方政府,规章,部门,规章,国务院各部委,多级立法,北京市信息化促进条例,辽宁省计算机信息系统安全管理条例,.,北京市公共服务网络与信息系统安全管理规定,上海市公共信息系统安全测评管理办法,.,网络安全法的意义和作用(续),是落实党中央决策部署的重要举,措,是,维,护网,络,安 全、国家安全的迫切需要,是维护网络空间国家主权的迫切需要,是深化网络安全等级保护制度、保,护,国家,关,键信 息基础设施和大数据安全的迫切需要,是打击网络违法犯罪、维护广大人,民,群众,利,益的 迫切需要,是参与互联网国际竞争和国际治理,的,
6、迫切,需,要,制定网络安全法,的,迫切性和必要性,网络安全法解读,网络安全法整体框架,“防御、控制与惩治”三位一,体,7,章,79,条,网络安全法解读(续),章节,核心,内容解读,第一章 总则,目标:,保障,网络安全,,维护,网络空间主权和国家安全、社会公共利益,,保护,公民、法人和其他组织的合法权益,,促进,经济社会信息化健康发展,范围:在中华人民共和国,境内,建设、运营、维护和使用网络,以及网络安全的监督管理,职责:国家,网信部门,负责,统筹协调,网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和
7、监督管理工作,关键点:,网络安全与信息化发展并重、网络安全战略、,基本要求和主要目标、培养网络,安全人才,、网络技术研发、,标准制定,、义务、举报,监测、防御、处置境内外安全风险和威胁,保护关键信息基础设施,第二章 支持与促进,定义国家对网络安全工作支持与推进说明,包括相关标准制定与监督;各级政府单位要支持网络安全;包括,信息安全技术、信息安全服务、信息安全测评、信息安全教育与宣传、信息安全人才培养等,工作,网络安全法解读(续),章节,核心,内容解读,第三章,网络运行安全,第一节:,国家实行网络安全,等级保护制度,网络产品、服务应当符合相关国家标准的,强制性要求,网络关键设备和产品应强制取得,
8、国家安全标准认证,对网络运营者提共标准的安全职责工作说明,第二节:,针对,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务,等重要行业和领域,在网络安全,等级保护制度,的基础上,实行,重点保护,每年至少进行一次检测评估,定期组织安全应急演练,安全等保上升到法律高度,不做等保防护,是属违法,!,网络安全法解读(续),章节,核心,内容解读,第四章,网络信息安全,个人隐私保护、发布信息监管,第五章,监测预警与应急处置,网络安全,预警监测、安全风险评估、应急预案、风险发布,第六章 法律责任,最高,100,万,:违反,22/27/33/34/36/38/41/42/43,,最高,100,万
9、,主管,10,万,最高,50,万,:违反,22/24/27/37/46/47/69,信息通报制度上升为法律,习近平在网络安全与信息化工作座谈会上的讲话,信息技术变化越来越快,过去分散独立的网络变得高度关联、相互依赖,网络安全的威胁来源和攻击手段不断变化,,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念。,金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。,我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。,(要),全天候全方位感知网络安全态势。,知己知彼
10、,才能百战不殆。没有意识到风险是最大的风险。网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,一旦有事就发作了。,要建立政府和企业网络安全信息共享机制,,,把企业掌握的大量网络安全信息用起来,龙头企业要带头参加这个机制。,关键安全预防措施,加强网络入侵防护,关键基础设施一旦被入侵,危害极大,要重点进行网络入侵的防护。,对于,传统威胁,,要做到快速、精准的防护;对于,高级未知威胁,,也要做到智能检测与防护。,综上,建设和加强入侵防护是网络安全防护的,核心关键工作,维护网络安全,首先要知道风险在哪里
11、,是什么样的风险,什么时候发生风险,正所谓“聪者听于无声,明者见于未形”。,综上,感知网络安全态势是网络安防护中,最基本、最基础的工作,建设安全态势平台,T,HE,BU,S,E,N,E,SS,PLAN,等级保护解决方案,等级保护背景介绍发展历程,信息安全等级保护是党中央国务院决定在信息系统安全领域实施的基本国策,信息安全等级保护是国家信息安全保障工作的基本制度,信息安全等级保护是国家信息安全保障工作的基本方法,中华人民共和国计算机信息系统安全保护条例,(1994,年,2,月,18,日中华人民共和国国务院令,147,号发布,),2003,年,9,月中办国办颁发,关于加强信息安全保障工作的意见,(
12、中办发,200327,号,),2004,年,11,月四部委会签,关于信息安全等级保护工作的实施意见,(公通字,200466,号),2005,年,9,月国信办文件,关于转发,电子政务信息安全等级保护实施指南,的通知,(国信办,200425,号),2006,年,1,月四部委会签,关于印发,信息安全等级保护管理办法的通知,(公通字,20067,号),2007,年,6,月公安部、保密局、国密局、国信办联合印发,信息安全等级保护管理办法,(公通字,2007,43,号),2007,年,7,月,关于开展全国重要信息系统安全等级保护定级工作的通知,(公信安,2007861,号,),2008,年发布,GB/T
13、222392008,信息系统安全等级保护基本要求,、,GB/T 222402008,信息系统安全等级保护定级指南,2009,年公安部发文,关于开展信息系统等级保护安全建设整改工作的指导意见(公信安,20091429,号),2010,年,3,月,公安部发文关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安,303,号),2016,年,10,月,公安部网络安全保卫局组织对原有国家标准,GB/T 22239-2008,等系列标准进行了修订,新的国家标准(简称新国标)将于近期正式发布。,起步阶段,发展阶段,推行阶段,新等保阶段,信息安全等级保护是基本制度、基本国策、基本方法,等级保护
14、管理组织,指导监管部门:,国家等保工作 开展、推进、指导。,技术支撑部门:,国家等保标准制定、修订、培训、技术指导以及全国测评单位管理。,国家测评机构,行业测评机构,地方测评机构,等级保护主要工作流程,一,定级,二,备案,三,建设整改,备案是等级保护的,核心,建设整改是等级保护工作落实的,关键,四,等级测评,等级测评是评价安全保护状况的,方法,监督检查是保护能力不断提高的保障,定级是等级保护的,首要环节,重要行业关键信息系统划分及定级建议,等级,对象,侵害客体,侵害程度,监管强度,第一级,一般,系统,合法权益,损害,自主保护,第二级,合法权益,严重损害,指导,社会秩序和公共利益,损害,第三级,
15、重要,系统,社会秩序和公共利益,严重损害,监督检查,国家安全,损害,第四级,社会秩序和公共利益,特别严重损害,强制监督检查,国家安全,严重损害,第五级,极端重要系统,国家安全,特别严重损害,专门监督检查,等级保护建设核心思想,信息系统的安全设计应基于业务流程自身特点,建立“,可信、可控、可管,”的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏。,可信,1,2,3,即以可信认证为基础,构建一个可信的业务系统执行环境,即用户、平台、程序都是可信的,确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行,不会出现非预期的流程,从而保障了
16、业务系统安全可信,。,即以访问控制技术为核心,实现主体对客体的受控访问,保证所有的访问行为均在可控范围之内进行,在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作,永远都按系统设计的策略进行资源访问,保证了系统的信息安全可控。,即通过构建集中管控、最小权限管理与三权分立的管理平台,为管理员创建一个工作平台,使其可以进行技术平台支撑下的安全策略管理,从而保证信息系统安全可管。,可控,可管,等级保护防护框架,等级保护防护框架,建设“一个中心”管理、“三重防护”体系,分别对计算环境、区域边界、通信网络体系进行管理,实施多层隔离和保护,以防止某薄弱环节影响整体安全,分析应用系统的流程,确定用户(主体)和访问的文件(客体)的级别(标记),以此来制定访问控制安全策略,由操作系统、安全网关等机制自动执行,从而支撑应用安全,重点对操作人员使用的终端、业务服务器等计算节点进行安全防护,控制操作人员行为,使其不能违规操作,从而把住攻击发起的源头,防止发生攻击行为,等级保护总体设计流程,分析关键保护点,梳理主、客体及权限,对系统进行风险评估,梳理业务
