新时代-等级保护2.0安全解决方案

新时代网络安全等级保护解决方案目录CONTENTS网络安全法解读新等级保护差异变化等级保护解决方案网络安全法解读2016.11网络安全法草案三审稿2016.11.7人大常委会表决通过2017年6月1日网络安全法实施2015.7.7网络安全法草案一审稿2016.6网络安全法草案二审稿2014.2网络安全法首次在政府工作报告中提及网络安全法的背景和历程网络安全法时间轴“一法一决定”执法检查开展“一法一决定”宣传教育情况；制定“一法一决定”配套法规规章情况；强化关键信息基础设施保护及落实网络安全等级保护制度情况；治理网络违法有害信息，维护网络空间良好生态情况；落实公民个人信息保护制度，查处侵犯公民个人信息及相关违法犯罪情况等.2017年9月至12月网络安全法颁布——网络领域的基本法总体牵头：中央网信办总体牵头监管单位：公安/工信/广电/国办（非密领域管理指导监管检查）国M/国A/保M/机要/中B/科工委（涉密领域管理指导监督检查）国家安全五个领域（海、陆、空、天、网）目标：网际空间自主可控安全可靠互联网安全领域刚性需求上升重要系统基础设施安全领域需求伴随十三五涉及国家MM安全领域需求伴随N网国产化替代安全领域试点推进辩证思维网络安全上升为国家战略，成为总体国家安全观的重要组成部分国家战略统一体合作共赢将网络安全和信息化工作视为一个统一体，形成了一体两翼、驱动双轮的网络安全观针对网络安全新形势、新特点，提出了整体、动态、开放、相对、共同的辩证网络安全观针对全球互联网领域发展不平衡、规则不健全、秩序不合理等问题，提出了在相互尊重、相互信任基础上合作共赢的网络安全观新时代的网络安全观网络安全法的意义和作用以人为本将以人民为中心的发展思想贯穿到网络安全领域，形成了“网络安全为人民，网络安全靠人民”的以人为本的网络安全观没有网络安全就没有国家安全网络安全法的意义和作用（续）中国网络安全法是网络安全领域的基本法•宪法、刑法（部分条款）•国家安全法（部分条款）•保守国家秘密法•电子签名法•网络安全法•反恐法•关于加强网络信息保护的决定•……•计算机信息系统安全保护条例•互联网信息服务管理办法•商用密码管理条例•……•公安部（安全专用产品等）•原信产部（互联网域名等）•国新办（互联网新闻信息服务）•保密局（保密等）•……地方人民政府地方人大及常委会国务院全国人大及其常委会法律行政法规地方性法规地方政府规章部门规章国务院各部委多级立法•北京市信息化促进条例•辽宁省计算机信息系统安全管理条例•...•北京市公共服务网络与信息系统安全管理规定•上海市公共信息系统安全测评管理办法•...网络安全法的意义和作用（续）是落实党中央决策部署的重要举措,是维护网络安全、国家安全的迫切需要是维护网络空间国家主权的迫切需要是深化网络安全等级保护制度、保护国家关键信息基础设施和大数据安全的迫切需要是打击网络违法犯罪、维护广大人民群众利益的迫切需要是参与互联网国际竞争和国际治理的迫切需要制定网络安全法的迫切性和必要性网络安全法解读网络安全法整体框架“防御、控制与惩治”三位一体7章79条网络安全法解读（续）章节核心内容解读第一章总则目标：保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展范围：在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理职责：国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作关键点：网络安全与信息化发展并重、网络安全战略、基本要求和主要目标、培养网络安全人才、网络技术研发、标准制定、义务、举报，监测、防御、处置境内外安全风险和威胁，保护关键信息基础设施第二章支持与促进定义国家对网络安全工作支持与推进说明，包括相关标准制定与监督；各级政府单位要支持网络安全；包括信息安全技术、信息安全服务、信息安全测评、信息安全教育与宣传、信息安全人才培养等工作网络安全法解读（续）章节核心内容解读第三章网络运行安全第一节：国家实行网络安全等级保护制度网络产品、服务应当符合相关国家标准的强制性要求网络关键设备和产品应强制取得国家安全标准认证对网络运营者提共标准的安全职责工作说明第二节：针对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，在网络安全等级保护制度的基础上，实行重点保护每年至少进行一次检测评估定期组织安全应急演练安全等保上升到法律高度，不做等保防护，是属违法!网络安全法解读（续）章节核心内容解读第四章网络信息安全个人隐私保护、发布信息监管第五章监测预警与应急处置网络安全预警监测、安全风险评估、应急预案、风险发布第六章法律责任最高100万：违反22/27/33/34/36/38/41/42/43，最高100万，主管10万最高50万：违反22/24/27/37/46/47/69信息通报制度上升为法律习近平在网络安全与信息化工作座谈会上的讲话信息技术变化越来越快，过去分散独立的网络变得高度关联、相互依赖，网络安全的威胁来源和攻击手段不断变化，那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜，需要树立动态、综合的防护理念。金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。……我们必须深入研究，采取有效措施，切实做好国家关键信息基础设施安全防护。（要）全天候全方位感知网络安全态势。知己知彼，才能百战不殆。没有意识到风险是最大的风险。网络安全具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏几年都发现不了，结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”，长期“潜伏”在里面，一旦有事就发作了。要建立政府和企业网络安全信息共享机制，把企业掌握的大量网络安全信息用起来，龙头企业要带头参加这个机制。关键安全预防措施加强网络入侵防护关键基础设施一旦被入侵，危害极大，要重点进行网络入侵的防护。对于传统威胁，要做到快速、精准的防护；对于高级未知威胁，也要做到智能检测与防护。综上，建设和加强入侵防护是网络安全防护的核心关键工作维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生风险，正所谓“聪者听于无声，明者见于未形”。综上，感知网络安全态势是网络安防护中最基本、最基础的工作建设安全态势平台THEBUSENESSPLAN等级保护解决方案等级保护背景介绍发展历程•信息安全等级保护是党中央国务院决定在信息系统安全领域实施的基本国策•信息安全等级保护是国家信息安全保障工作的基本制度•信息安全等级保护是国家信息安全保障工作的基本方法中华人民共和国计算机信息系统安全保护条例(1994年2月18日中华人民共和国国务院令147号发布)2003年9月中办国办颁发《关于加强信息安全保障工作的意见》（中办发[2003]27号）2004年11月四部委会签《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）2005年9月国信办文件《关于转发《电子政务信息安全等级保护实施指南》的通知》（国信办[2004]25号）2006年1月四部委会签《关于印发《信息安全等级保护管理办法的通知》（公通字[2006]7号）2007年6月公安部、保密局、国密局、国信办联合印发《信息安全等级保护管理办法》（公通字［2007］43号）2007年7月《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）2008年发布GB/T22239—2008《信息系统安全等级保护基本要求》、GB/T22240—2008《信息系统安全等级保护定级指南》2009年公安部发文《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）2010年3月公安部发文《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[303]号）2016年10月公安部网络安全保卫局组织对原有国家标准GB/T22239-2008等系列标准进行了修订，新的国家标准（简称新国标）将于近期正式发布。起步阶段发展阶段推行阶段新等保阶段信息安全等级保护是基本制度、基本国策、基本方法等级保护管理组织指导监管部门：国家等保工作开展、推进、指导。技术支撑部门：国家等保标准制定、修订、培训、技术指导以及全国测评单位管理。国家测评机构行业测评机构地方测评机构等级保护主要工作流程一定级二备案三建设整改备案是等级保护的核心建设整改是等级保护工作落实的关键四等级测评等级测评是评价安全保护状况的方法监督检查是保护能力不断提高的保障定级是等级保护的首要环节重要行业关键信息系统划分及定级建议等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查等级保护建设核心思想信息系统的安全设计应基于业务流程自身特点，建立“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受信息安全攻击和破坏。可信123即以可信认证为基础，构建一个可信的业务系统执行环境，即用户、平台、程序都是可信的，确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行，不会出现非预期的流程，从而保障了业务系统安全可信。即以访问控制技术为核心，实现主体对客体的受控访问，保证所有的访问行为均在可控范围之内进行，在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作，永远都按系统设计的策略进行资源访问，保证了系统的信息安全可控。即通过构建集中管控、最小权限管理与三权分立的管理平台，为管理员创建一个工作平台，使其可以进行技术平台支撑下的安全策略管理，从而保证信息系统安全可管。可控可管等级保护防护框架等级保护防护框架建设“一个中心”管理、“三重防护”体系，分别对计算环境、区域边界、通信网络体系进行管理，实施多层隔离和保护，以防止某薄弱环节影响整体安全分析应用系统的流程，确定用户（主体）和访问的文件（客体）的级别（标记），以此来制定访问控制安全策略，由操作系统、安全网关等机制自动执行，从而支撑应用安全重点对操作人员使用的终端、业务服务器等计算节点进行安全防护，控制操作人员行为，使其不能违规操作，从而把住攻击发起的源头，防止发生攻击行为等级保护总体设计流程分析关键保护点梳理主、客体及权限对系统进行风险评估梳理业务流程分层分域设计安全机制及策略设计梳理业务流程是给系统量身定制安全设计方案的基础；通过业务流程的梳理，了解系统的现状、特点及特殊安全需求，为后续方案设计奠定基础。找出系统中的所有主体及客体；明确主体对客体的最小访问权限。基于一个中心、三重防护，构建安全防护体系；从不同层次、不同位置设计纵深防御体系，防止单点失效。设计身份认证及程序可信保护机制，确保主体可信；设计访问控制机制及策略，保证主体对客体的最小访问权限；设计保密性、完整性保护机制，确保重要客体的保密性及完整性不被破坏；设计安全管理中心，保证系统安全机制始终可管。等级保护基本框架要求物理安全技术要求管理要求系统安全防护要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理安全产品协助防护网络安全解读网络安全结构安全访问控制安全审计边界安全检查入侵防范恶意代码防范设备防护要点：主要设备冗余空间、安全路径控制、整体网络带宽、带宽优先级、重要网段部署要点：端口控制、防地址欺骗协议过滤、会话控制最大流量数及最大连接数要点：审计记录审计报表审计记录的保护要点：非授权设备接入非授权网络联出要点：记录、报警、阻断要点：记录、