深信服企业等级保护2.0解决方案 持续保护，不止合规 深信服 智安全 等级保护概述与网络安全法 深信服对等级保护的理解 深信服等保2.0解决方案 安全体系规划及公司简介 一、等级保护概述与网络安全法 等保概述 企业安全形势及需求 等保新形势 网络安全法解读及违法案例 等级保护基础-等级保护定义 等级保护: 对信息和信息载体按照重要性等级分级别进行保护的一种工作。 网络安全等级保护制度，对网络实施分等级保护、分等级监管。 2018年《网络安全等级保护条例》（征求意见稿） 等级保护发展历程 信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障，是信息安全保障工作中国家意志的体现。 国务院147号令 第一次提出等级保护的概念； 第九条：计算机信息系统实行安全等级保护 1994 企业等级保护政策 1、《关于加强中央企业信息化工作的指导意见》国资发[2007]8号 企业等级保护政策（续） 国务院国有资产监督管理委员会《关于加强国资监管信息化工作的指导意见》国资发[2007]182号 企业等级保护政策（续） 《关于进一步推进中央企业信息化工作的意见》国资发[2009]102号 企业等级保护政策（续） 关于进一步推进中央企业信息安全等级保护工作的通知(公通字[2010]70号) 企业等级保护政策-地方性文件 企业等级保护政策-地方性文件 企业安全面临的挑战 网络边界不断扩展 移动用户，分支机构，合作伙伴，远程接入，VPN 无线网络越来越广泛，无线网络安全问题日益严重 对网络的依赖不断加深 信息传输，资源共享，电子商务 网络应用日趋复杂 网络用户以及设备管理难度的不断加大 计算机犯罪事件快速增长 日益增加的安全风险 系统面临的威胁 外部的入侵和攻击 恶意代码（病毒、蠕虫、木马、间谍软件） 缓冲区溢出攻击 拒绝服务攻击 内部的误用和滥用 监听 越权访问 游戏、聊天 系统自身的弱点 操作系统和应用软件的漏洞 缺省的系统配置 用户技术管理水平不高,安全意识薄弱 信息安全建设中普遍存在的问题 缺乏全局的风险管理视图 管理欠缺 缺乏完善的安全管理体系、策略、制度、流程 安全管理人员不足，岗位权责不明确，不能有效实施和执行某些安全措施 保护脆弱 重视单一或几个安全产品个体的部署，而忽视有效的安全预警、保护、检测、响应技术体系 片面防御，只防范外部的入侵，而不监控内部的破坏 被动防御，只消极的被动响应，而不能进行主动的、多层次的防御 分散的、不可集中管理的多种安全产品带来更多负担 传统安全建设已经失效 客户已经购买了大量的防火墙、IPS、WAF等安全设备，内网还是中了勒索病毒？ 企业安全防护看起已经很完善了，依然出了数据泄露、僵尸主机等安全事件？ 出了安全事件，被监管单位通报了才知道，总是后知后觉？ …… 防御失效的主要症状 企业安全建设驱动力 加强企业网络信息安全安全建设 实现企业网络信息安全的整体提高 员工意识 较为薄弱 国家、上级部门 监管更加严格 驱动力 企业主要安全需求 分支接入与移动办公安全 保障好办公内网的安全 业务系统安全防护 安全运维管理 主要信息安全需求 抵御来自互联网的威胁 管理复杂、专业性强 无法从复杂事件信息中，识别有效信息 能够全局掌控全局安全状况和问题 ……… 区域安全隔离，防止内部交叉感染 办公网终端病毒防护 内网上网行为管理 东西向流量攻击 数据防泄密 无线WIIF安全管理 ……. 公网数据明文传输，容易被窃取、篡改 分支机构安全薄弱，容易成为跳板攻击 分支通信质量差，访问慢、体验不好 移动办公发展中存在安全威胁 ……… 脆弱性、漏洞管理 防爆力破解 WEB层安全防护 越权或非法访问 数据库安全 ……… 僵木蠕感染 邮件攻击 网站篡改、木马 ……… 满足监管要求和合法合规 等保2.0、《网络安全法》 上级主管单位及监管单位的安全要求 ……… 等保安全新形势 国家高度重视 落实等保已经成为社会热点问题 网络安全形势不容乐观 信息泄露 勒索病毒 黑客攻击 等级保护实施的意义 等级保护是完善单位网络安全的一个持续的、长期的过程 单击添加文本单击添加文本单击添加文本 小标题文字 通过等级保护会发现工作中的不足，是对网络安全进行重新梳理的过程 等级保护是对我们现有的工作方式进行规范的过程 等级保护是提高我们信息化工作人员的安全意识、处理安全事件能力的过程 习主席4·19讲话 “没有网络安全，就没有国家安全” 安全影响面更广 安全建设深入各行各业，各种场景 关基重点保护 关键基础设施实行重点保护 《网络安全法》带动安全建设上升到国家战略高度 《中华人民共和国网络安全法》--整体框架 2017年6月1日起，《中华人民共和国网络安全法》正式施行，这是我国第一部全面规范网络空间安全管理问题的基础性法律 1 “防御、控制与惩治”三位一体 7章79条，对用户单位来说，具体操作性的法规要求38条(第三章、第四章、第五 章) 2 《中华人民共和国网络安全法》--解读 《中华人民共和国网络安全法》--解读（续） (等级保护由基本制度、基本国策，上升为法律) 不做等保就是违法！ 《中华人民共和国网络安全法》--解读（续） 违法案例 违法案例2