文本描述
深信服 智安全
等保2.0下的云安全解决方案
持续保护,不止合规
等保2.0背景概述
等保2.0标准解析
等保2.0实践思考
等级保护发展历程
1994
国务院令第147号
1999
GB17859
2003
2004
2007
2017
2019
中办发[2003]27号
公通字[2007]43号
公通字[2004]66号
网络安全法
等保2.0核心标准
强制性标准:本标准规定了我国计算机信息系统安全保护能力的五个等级
第二十一条“国家实行网络安全等级保护制度”,从法规上升到法律层面
《基本要求》
《安全设计技术要求》
《测评要求》
正式发布
第九条“计算机信息系统实行安全等级保护”首次提出了等级保护的概念
信息安全保障纲领性文件,明确指出“实行信息安全等级保护“主要任务
进一步明确了信息安全等级保护制度的职责分工和工作的要求等基本内容
明确了信息安全等级保护的五个动作,为开展等级保护工作提供了规范保障
《网络安全法》之等级保护
第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
第三十一条
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
第五十九条
网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致后果的,处十万元以上一百万元以下罚款,对直接负责主管人员处一万元以上十万元以下罚款。
不做等保就是违法!
等保2.0的典型变化
两个全覆盖
一是覆盖各地区、各单位、各部门、各企业、各机构,也就是覆盖全社会。除个人及家庭自建网络的全覆盖。
二是覆盖所有保护对象,包括网络、信息系统,以及新的保护对象,云平台、物联网、工控系统、大数据、移动互联等各类新技术应用。
三个特点
等级保护2.0基本要求、测评要求、安全设计技术要求框架统一,即:安全管理中心支持下的三重防护结构框架。
通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制系统等列入标准规范。
把可信验证列入各级别和各环节的主要功能要求。
等级保护2.0主要变化
信息系统
信息系统、基础信息网络、云计算平台、大数据平台、
物联网系统、工业控制系统、采用移动互联技术的网络等
《信息安全技术 信息系统安全等级保护基本要求》
《信息安全技术 网络安全等级保护基本要求》
安全要求
安全通用要求+安全扩展要求
等级保护2.0主要变化(续)
等保五个规定动作
五个规定动作+新的安全要求
技术(物理、网络、主机、应用、数据)+管理
技术(物理环境、一中心三防护)+管理
? 定级备案�? 安全建设
? 等级测评
? 安全整改
? 监督检查
内容
变化
等保1.0
等保2.0
? 定级备案�? 安全建设
? 等级测评
? 安全整改
? 监督检查
?安全监测�?通报预警�?事件调查
?数据防护
?灾难备份
?应急处理
?风险评估
等保2.0背景概述
等保2.0标准解析
等保2.0实践思考
等保2.0安全建设总体目标
第一级安全保护能力
第二级安全保护能力
第三级安全保护能力
第四级安全保护能力
应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。
应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾害,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。
应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾害,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾害,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。
云平台安全风险
云平台
等保2.0安全建设思路
安全管理中心
基于三权分立(系统管理员、审计管理员和安全管理员)和集中管控等控制措施构建安全管理中心
基于安全管理中心,落实安全管理,形式安全事件快速响应机制
等保2.0的技术要求
基础设施位置
集中管控
网络架构
访问控制
入侵防范
安全审计
身份鉴别
访问控制
入侵防范
镜像和快照保护
数据完整性和保密性
数据备份恢复
剩余信息保护
安全通用要求
云计算安全扩展要求
==>> 点击下载文档
