1、网络安全等级保护2.0标准解读宋好好宋好好公安部第三研究所 博士/研究员/高级测评师网络安全等级保护制度网络安全法网络安全等级保护制度(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;������(日志留存)第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络�����安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:网络安全法网络
2、安全等级保护制度(四)采取数据分类、重要数据备份和加密等措施;(数据安全)(五)法律、行政法规规定的其他义务。第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:网络安全法网络安全等级保护制度第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务�������、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围
3、和安全������保护办法由国务院制定。(CII必须落实国家等级保护制度,突出保护重点)国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。相关的等级保护标准GB/T 22239-2019信息安全技术 网络安全等级保护基本要求GB/T 22240-XXXX信息安全技术 网络安全等级保护定级指南GB/T 25058-2019信息安全技术 网络安全等级保护实施指南GB/T 25070-2019信息安全技术 网络安全等级保护设计技术要求GB/T 28448-2019信息安全技术 网络安全等级保护测评要求GB/T 28449-2018信息安全技术 网络安全等级保护测评过程指南GB/T 366
4、27-2018 信息安全技术 网络安全等级保护测试评估技术指南网络安全等级保护标准体系测评要求规范不同等级保护对象要求的测评获取证据方法,测评指标源自基本要求。设计技术要求提出不同等级保护对象安全规划设计的目标、策略������和技术要求。测评过程指南规范等级保护测评过程和方法。基本要求规范不同等级保护对象的最低保护要求,即“基线要求”,包括安全技术和安全管理两方面。相关的等级保护标准GB/T ������22239-2019信息安全技术 网络安全等级保护基本要求GB/T 22240-XXXX信息安全技术 网络安全等级保护定级指南GB/T 25058-2019信息安全技术 网络安全等级保护实施指南GB/T 25070
5、-2019信息安全技术 网络安全等级保护设计技术要求GB/T 28448-2019信息����安全技术 网络安全等级保护测评要求GB/T 28449-2018信息安全技术 网络安全等级保护测评过程指南GB/T 36627-2018 信息安全技术 网络安全等级保护测试评估技术指南GB/T 22239-2019信息安全技术 网络安全等级保护基本要求安全通用要求安全层面的差异等保1.0 安全层面物理安全网络安全主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理等保2.0 安全层面安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理制度安全管理机构安
6、全管理人员安全建设管理安全运维管理安全通用要求安全层面的差异安全通用要求安全层面的差异等保1.0等保2.0GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T 22239-2019信息安全技术 网络安全等级保护基本要求1)安全通用要求2)云计算安全扩展要求3)移动互联安全扩展要求4)物联网安全扩展要求5)工业控制系统安全扩展要求基本要求安全通用要求和安全扩展要求的使用场合安全通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现,必须根据安全保护等级实现相应级别的�����安全通用要求通用要求必须选安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定
7、技术或特定的应用场景实现安全扩展要求扩展要求根据需要选等级保护对象的保护:安全通用要求+安全扩展要求技术方面,强化措施保护 强化安全保护技术措施的落实,变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防控,变粗放防护为精准防护;强化网络日志留存,按照规定留存六个月以上相关网络日志;强化重要数据和个人信息安全保护要求;采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全。动态防护-网站安全认证网站安全认证�����是国家网络与信息系统安����全产品质量监督检验中心(公安部第三研究所)针对互联网网站推出认证服务,是针对获取ICP备案的网站从安全合规、安全防护、应急响应、监测预警
8、四个维度对网站安全防护能力进行认证评估,评估的结果会随网站的四个维度的落实情况动态变化,分为一星认证、二星认证和三星认������证三个认证级别。安全合规 安全防护监测预警 应急响应网站认证评估规范三星认证证书建立网站安全认证体系制定网站安全认证评估规范推出网站认证服务业务向客户提供网站认证服务执行网站安全认证评估规范二星认证证书一星认证证书主动防御为了提升网站的安全防护能力,获取高级别的星级认证,网站安全防御服务采用“主动防御”的创新模式,直接通过云部署、硬件部署或软件部署的方式,结合用户行为信息搜集和代码加密的手段进行高效的网站安全防御,能有效的分析和识别机器自动化请求并对异常请求阻断,在针对数据安全、交易安全、账户安全等方面的保护上实现纵深防御。典型应用场景防数据自动盗取防暴力破解防批量自动注册防自动发帖、恶意灌水防“薅羊毛党”防非法内容提交防Web漏洞自动扫描和利用防GB/T 28448-2019信息安全技术 网络安全等级保护测评要求增加测评对象的描述该测评单元包括以下要求等级保护制度进入2.0时代网络安全法规定“国家实行网络安全等级保护制度”。������标志了等级保护制度的法律地位公安部会同中央网信办、国家保密局和国家密码管理局,联合起草并上报了网络安全等级保护条例(征求意见稿)国家新标准出台并实施
sgpjbg002
工作日 8:30 - 17:30
报告分类
