XXXX系统网络安全等级保护 安全体系建设方案汇报 （通用要求版） 解决方案部 新等级保护介绍 1 新等级保护制度法律地位 计算机信息系统安全保护条例 （国务院令 第147号） 商用密码管理条例 （国务院令 第273号） 信息安全等级保护管理办法 （公通字[2007]43号) 电子政务等级保护相关制度 （发改委） ... 国务院各部委 宪法、刑法（部分条款） 国家安全法（部分条款） 保守国家秘密法 电子签名法 ... 等级保护1.0 等级保护2.0 计算机信息系统安全保护条例 （国务院令 第147号） 商用密码管理条例 （国务院令 第273号） 网络安全等级保护条例 关键信息基础设施安全保护条例 关键信息基础设施相关制度 （国家互联网信息办公室） 电子政务等级保护相关制度 （发改委） ... 宪法、刑法（部分条款） 国家安全法（部分条款） 保守国家秘密法 电子签名法 网络安全法 ... 新时代 发 展 启动 等级保护制度发展 新等级保护标准体系 新等级保护标准变化 网络安全等级保护定级指南（修订） 网络安全等级保护实施指南（修订） 网络安全等级保护基本要求（修订） 网络安全等级保护安全设计技术要求 （修订） 网络安全等级保护测评要求（修订） 网络安全等级保护测试评估技术指南 （新立） 网络安全等级保护测评机构 能力要求和评估规范（新立） 网络安全等级保护测评过程指南 （修订） 网络安全等级保护 安全管理中心技术要求（新立） 新等保的核心变化 新时代、新挑战、新要求 新 等 级 保 护 应对新威胁 新等保更加强调增强未知威胁检测能力，强调安全检测能力和安全响应能力的建设。 全球领先的安全能力、大数据能力 应对新风险 新等保体系更体现了动态的、积极防御的安全理念；安全规划、能力建设、态势感知、集中监控管理成为新等保体系的重要思想。 应对新技术 针对云计算、大数据、物联网等新技术，不断扩大等级保护外延，新的信息技术同样催生新的安全技术。 2 安全风险及需求 内忧—传统安全体系固有问题 传统安全设备各自为战，单点或单线防范，无法做到信息关联，有效联动。 对于未知威胁等高级威胁，由于攻击手段高，缺少威胁情报，通过传统安全设备无法及时发现。 重建设，轻运营，缺乏有效的安全运营工具和手段，没有能够快速响应的运营机制。 对安全事件难以定位，无法溯源，导致应急处理不及时，安全事件频发。 由于历史原因，系统组件先天免疫力差，需要后天弥补。 缺乏“联动” 能力 缺乏“看见” 能力 缺乏“管控” 能力 缺乏“分析” 能力 缺乏“免疫” 能力 外患—威胁与对抗持续升级 第一层安全需求 基本合规 《网络安全法》 《等级保护条例》及系列标准 《关键基础设施保护条例》及系列标准 行业相关文件及标准 业务特定安全需求 持续安全运营需求 第一层 安全需求层级 第二层 第三层 安全需求 第二层安全需求 业务刚需 系统覆盖范围广，设备数量及种类多，需要强化集中安全运维 。 业务承载重要敏感数据多，数据安全隐患突出，需要加强保护。 第三层安全需求 长治久安 系统上线后，进入运营期，需要建立安全运维的长效机制 需要对事件快速发现及处置，迅速减少损失，降低影响 需要满足网信、公安、上级主管部门定期检查测评的安全要求。 互为基础，互相促进，持续提升。 3 新等级保护解决方案 建设思路 技术 管理 运营效率 安全效果 等级保护安全体系框架 以“一个中心、三重防护、三个体系”为核心指导思想，构建集识别、防护、检测、响应于一体的全面的安全保障体系。 安全技术体系 用户 终端 安全区域 边界 安全网络通信 安全管理中心 构建安全管理中心支持下的三重防护框架 参考模型 安全通信网络 数据中心 用户接入网 用户汇聚节点 数据汇聚节点 用户接入网 数据中心网络 运维网络 IPsec/SSL VPN 网络准入 堡垒主机 网络安全审计 IPsec/SSL VPN 1、安全审计 2、传输加密 3、网络健壮 IPsec/SSL VPN 网络安全审计 安全防护控制点 关键控制点 可选控制点 安全防护基本要求 安全隔离网闸 日志审计 应用 网络 系统 设备 数据 检测 响应 网络访问控制 网络准入控制 传输加密 数据泄露检测 应用安全防护 网络入侵防御 数据脱敏 网页防篡改 数据库防护 可信计算服务 资产发现 威胁情报 网络威胁检测 源代码审计 补丁管理 安全加固 识别 容灾备份 恶意代码查杀 恶意代码查杀 防御 拒绝服务攻击防护 网络安全审计 上网行为管理 运维管控 统一安全策略管理 主机安全加固 数据安全审计 终端安全管理 安全隔离网闸 无线入侵防御 邮件威胁检测 日志审计 多因子认证 漏洞扫描 基线核查 主机入侵检测 主机安全审计 应用安全审计 可信计算服务 可信计算服务 安全区域边界 数据中心 用户接入网 安全区域边界 防火墙 网络入侵防御 安全防护 威胁检测 审计分析 纵深防御 抗拒绝服务攻击 恶意代码查杀 安全防护控制点 关键控制点 可选控制点 安全防护基本要求 邮件威胁检测 网络威胁检测 上网行为管理 漏洞扫描 基线核查 威胁情报 可信计算 无线入侵防御 网络安全审计 资产发现 统一策略管理 日志审计 应用 网络 系统 设备 数据 检测 响应 网络访问控制 网络准入控制 传输加密 数据泄露检测 应用安全防护 网络入侵防御 数据脱敏 网页防篡改 数据库防护 可信计算服务 资产发现 威胁情报 网络威胁检测 源代码审计 补丁管理 安全加固 识别 容灾备份 恶意代码查杀 恶意代码查杀 防御 拒绝服务攻击防护 网络安全审计 上网行为管理 运维管控 统一安全策略管理 主机安全加固 数据安全审计 终端安全管理 安全隔离网闸 无线入侵防御 邮件威胁检测 日志审计 多因子认证 漏洞扫描 基线核查 主机入侵检测 主机安全审计 应用安全审计 网络准入控制