等保测评介绍及解决方案(最终)

网络安全等级保护介绍恒生科技：周伟2019.08.232主要内容三测评介绍一二等保必要性延时符等保介绍四解决方案3•三个分等级等级保护的定义：是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。等级保护，即分等级保护，分等级监管。系统重要程度有多高，安全保护就应当有多强，既不能保护不足，也不能过度保护。三个分等级信息系统安全产品安全事件4等级保护发展历程等保1.0发展情况1994-2003政策环境营造1994年，国务院颁布《中华人民共和国计算机信息系统安全保护条例》，规定计算机信息系统实行安全等级保护。2003年，中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。2004-2006工作开展准备2004-2006年，公安部联合四部委开展涉及65117家单位，共115319个信息系统的等级保护基础调查和等级保护试点工作，为全面开展等级保护工作奠定基础。2007-2010工作正式启动2007年6月，四部门联合出台《信息安全等级保护管理办法》。2007年7月，四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。2007年7月20日，召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议，标志着信息安全等级保护制度正式开始实施。2010-2016工作规模推进2010年4月，公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》，提出等级保护工作的阶段性目标。2010年12月，公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》，要求中央企业贯彻执行等级保护工作。5等级保护发展历程等保2.0发展情况修订等保1.02016年10月公安部网络安全保卫局组织对原有国家标准GB/T22239-2008等系列标准进行了修订。2.0系列标准编制工作2017年1月至2月，全国信息安全标准化技术委员会发布《网络安全等级保护基本要求》系列标准、《网络安全等级保护测评要求》系列标准等“征求意见稿”。2017年5月，国家公安部发布《GA/T1389—2017网络安全等级保护定级指南》、《GA/T1390.2—2017网络安全等级保护基本要求第2部分：云计算安全扩展要求》等4个公共安全行业等级保护标准。等保2.0《网络安全等级保护条例》征求意见稿发布。7月再次调整分类结构和强化可信计算。充分体现一个中心，三重防御的思想（和GB/T25070保持一致）充分强化可信计算技术使用的要求（和GB/T25070保持一致），等保2.0标准在2019年5月13号正式发布，12月1号正式实施，进入等保2.0时代。67等级保护依据的法律、法规《网络安全法》第二十一条明确要求：“国家实行网络安全等级保护制度”。《网络安全等级保护条例》第三条【确立制度】国家实行网络安全等级保护制度，对网络实施分等级保护、分等级监管（征求意见稿）。《关键信息基础设施安全保护条例》（征求意见稿）。《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）。中央关于加强社会治安防控体系建设的意见、公安改革若干重大问题的框架意见要求“健全完善信息安全等级保护制度”。中央领导批示要求：健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度。8等级保护2.0的法规、标准体系•网络安全等级保护条例（制订中-征求意见稿）（总要求/上位文件）•计算机信息系统安全保护等级划分准则（GB17859-1999)（上位标准）•网络安全等级保护基本要求(GB/T22239-2019)•网络安全等级保护安全设计技术要求(GB/T25070-2019)•网络安全等级保护测评要求(GB/T28448-2019)•网络安全等级保护测评过程指南(GB/T28449-2018)•网络安全等级保护定级指南(GB/T22240)（修订）•网络安全等级保护实施指南(GB/T25058)（修订）9第一级自主保护级：此类信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成一般损害，不损害国家安全、社会秩序和公共利益。第二级指导保护级：此类信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，会对社会秩序、公共利益造成一般损害，不损害国家安全。第三级监督保护级：此类信息系统受到破坏后，会对国家安全、社会秩序造成损害,对公共利益造成严重损害，对公民、法人和其他组织的合法权益造成特别严重的损害。无需备案，对测评周期无要求公安部门备案，建议两年测评一次公安部门备案，要求每年测评一次10第四级强制保护级：此类信息系统受到破坏后，会对国家安全造成严重损害，对社会秩序、公共利益造成特别严重损害。第五级专控保护级：此类信息系统受到破坏后会对国家安全造成特别严重损害。公安部门备案，要求半年一次公安部门备案，依据特殊安全需求进行11我国关键信息基础设施是指关系国家核心利益、人民群众生命财产安全和社会生产生活秩序，一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生和公共利益的网络基础设施、重要业务系统和生产控制系统以及重要数据资源。关键信息基础设施关键信息基础设施的安全保护等级不低于三级12等级保护政策内容由测评公司、咨询公司提供预测评服务，根据技术要求与测评要求提出整改意见与方案物理安全，由院方根据预测评整改意见进行机房建设与整改网络安全，主机安全、应用安全、数据安全，由专业安全厂商根据预测评整改意见提供相关安全产品与部署方案，由集成商实现安全产品部署与现有操作系统、数据库等系统的安全设置。管理要求，由院方根据预测评整改意见完善管理方面的建设，其中涉及必要的技术手段由安全厂商提供对信息系统中使用的信息安全产品实行按等级管理对信息系统中发生的信息安全事件分等级响应、处置13主要内容三怎么做等保一二等保必要性延时符什么是等保四解决方案14开展等保的最重要原因是为了通过等级保护测评工作，发现单位系统内、外部存在的安全风险和脆弱性，通过整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。梳理出了不同等级的系统后，我们就要对不同系统进行不同等级的安全防护建设，保证重要的信息系统在有攻击的情况下能够很好地抵御攻击或者被攻击后能够快速的恢复应用，不造成重大损失或影响。降低信息安全风险，提高信息系统的安全防护能力；115等级保护是我国关于信息安全的基本政策2007年6月发布的关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43号）规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，网络安全法第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。简单总结下就是国家法律法规、相关政策制度要求我们去开展等级保护工作，不做就不合规，就违法。满足国家相关法律法规和制度的要求；216很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育等行业，还有一些主管单位发过相关文件或通知要求去做。另外信息安全主管单位要求我们去开展等级保护工作，主要有：公安、网信办、经信委、通管局等行业主管单位。所以不做等保的话，没法向相关主管单位和行业领导们交待。满足相关主管单位和行业要求；317每年都会出现一些的信息安全事件，一旦发生比较大的安全事件，主管单位就要去现场调查，首先就会看我们到底有没开展等级保护工作，那么如果你没有，最直接的一个结论就是你的信息安全工作没有开展好，没有开展到位，国家最基本的信息安全等级保护工作都没做，你说你买了很多防火墙，很多安全设备，都不如你实实在在拿出备案证明，拿出测评报告说服力强。出了问题难免就会被通报批评，被勒令下线整改，那么开展了等级保护工作和没有开展等级保护工作被通报的内容就显然不同了。最简单的例子：一个主观上重视安全工作但是因为技术还不够好而被攻击造成破坏和一个主观上都不重视安全工作被攻击造成破坏的情况，孰轻孰重，一目了然。怎么叫主观上重视呢？等保工作有没有开展就是衡量的一个重要标准，因为等级保护是国家基本信息安全制度要求。四、合理地规避或降低风险。418依据《中华人民共和国网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。19《网络安全法》执法案例案例一：重庆永川某私立医院服务器突然陷入瘫痪，医院业务全面“停摆重庆永川某医院未履行等级保护义务，被罚款10000元，医院业务全面“停摆”，重庆永川公安接警后立即按照“净网2019”工作要求，启动网络安全应急响应预案，组织网安刑侦民警、勘验民警、管理民警、技术支持专家赶赴现场对该案件进行调查核实。经过民警和技术专家调查核实，该私立医院因未按照网络安全等级保护制度的要求履行安全保护义务。医院HIS、LIS、PACS、EMR等后台系统业务以及微信公众号后台、医院网站等主要系统业务全部放置在同一套服务器中，医院未安装边界防护设备、未安装日志行为审计设备，未设置数据安全备份策略等其他网络安全技术措施，使医院业务在互联网上长期处于“裸奔”状态。黑客通过互联网攻破医院系统后植入勒索病毒，导致医院业务全面“停摆”。针对此案，公安部门按照公安部“一案双查”工作要求，对医院未按照网络安全等级保护制度的要求履行安全保护义务的行为进行查处，并按照《中华人民共和国网络安全法》第五十九条之规定，对医院处以罚款一万元，对直接负责的主管人员处以罚款五千元的行政处罚。20案例二：新乡市封丘县图书馆致命网站遭受攻击河南网警发布一条公告：新乡市封丘县图书馆未按《中国人民共和国网络安全法》的要求，未采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施，致命网站遭受攻击。封丘县公安局依据《中华人民共和国网络安全法》第五十九条第一款之规定，对封丘县图书馆给予罚款2万元、对直接责任人海某给予罚款5000元的行政处罚；并建议依法依规追究相关人员责任。1月13日，封丘县文化广电旅游局经研究决定，给予负责网络安全工作的直接责任人海某行政警告处分。《网络安全法》执法案例21案例三：山西忻州市某省直事业单位网站不履行网络安全保护义务被处罚2017年6月至7月间，山西忻州市某省直事业单位网站存在SQL注入漏洞，严重威胁网站信息安全，连续被国家网络与信息安全信息通报中心通报。根据《中华人民共和国网络安全法》第二十一条第二款之规定，网络运营者应当按照网络安全等级保护制度的要求，采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；第五十九条第一款之规定，网络运营者不履行第二十一条规定的网络安全保护义务的，由有关主管部门责令改正，依法予以处置。山西忻州市网警认为该单位之行为已违反《网络安全法》相关规定，忻州市、县两级公安机关