网络安全等级保护2.0主要标准介绍.pptx

1、网络安全等级保护2.0主要标准介绍目录网络安全等级保护网络安全等级保护2.0标准的特点和变化标准的特点和变化网络安全等级保护网络安全等级保护2.0标准的框架和内容标准的框架和内容网络安全等级保护网络安全等级保护2.0-主要标准主要标准 网络安全等级保护条例（总要求/上位文件） 计算机信息系统安全保护等级划分准则（GB 17859-1999）（上位标准） 网络安全等级保护实施指南（GB/T25058）（正在修订） 网络安全等级保护定级指南（GB/T22240）（正在修订） 网络安全等级保护基本要求（GB/T22239-2019） 网络安全等级保护设计技术要求（GB/T25070-2019） 网络

2、安全等级保护测评要求（GB/T28448-2019） 网络安全等级保护测评过程指南（GB/T28449-2018）3特点特点1-对象范围扩大对象范围扩大新标准将新标准将于计算、移劢亏联、物联网、工业控制系于计算、移劢亏联、物联网、工业控制系统统等列入标准范围，构成了等列入标准范围，构成了“安全通用要求安全通用要求+新型新型应用安全扩展要求应用安全扩展要求”的要求内容的要求内容特点特点2-分类结构统一分类结构统一新标准新标准“基本要求、设计要求和测评要求基本要求、设计要求和测评要求” 分类框架统分类框架统一一，形成了，形成了“安全通信网络安全通信网络”、“安全区域边界安全区域边界”、“安全计算环

3、境安全计算环境”和和“安全管理中心安全管理中心” 支持下的三重防护支持下的三重防护体系架构体系架构特点特点2-强化可信计算强化可信计算新标准新标准强化了可信计算技术使用强化了可信计算技术使用的要求，把的要求，把可信验证列入各个级别可信验证列入各个级别并逐级提出各个环节并逐级提出各个环节的主要可信验证要求的主要可信验证要求例如例如 可信验证可信验证-一级一级可基亍可信根对设备的可基亍可信根对设备的系统引导程序、系统程序系统引导程序、系统程序等等进行可信验证，并在检测到其可信性受到破坏进行可信验证，并在检测到其可信性受到破坏后进行报警。后进行报警。7例如例如 可信验证可信验证-四级四级 可基亍可信

4、根对设备的可基亍可信根对设备的系统引导程序、系统程序、重要配置参数系统引导程序、系统程序、重要配置参数和通信应用程序等和通信应用程序等进行可信验证，进行可信验证，并在应用程序的所有执行环节并在应用程序的所有执行环节进行劢态可信验证进行劢态可信验证，在检测到其可信性受到破坏后进行报警，并，在检测到其可信性受到破坏后进行报警，并将验证结果将验证结果形成审计记录送至安全管理中心形成审计记录送至安全管理中心，并，并进行劢态关联感进行劢态关联感知。知。81、名称的变化、名称的变化 原来：原来： 信息系统安全等级保护基本要求信息系统安全等级保护基本要求 改为：改为： 信息安全等级保护基本要求信息安全等级保

5、护基本要求 再改为：再改为：（与网络安全法保持一致）（与网络安全法保持一致） 网络安全等级保护基本要求网络安全等级保护基本要求92、对象的变化、对象的变化 原来：信息系统原来：信息系统 改为：改为：等级保护对象等级保护对象（网络和信息系统）（网络和信息系统） 安全等级保护的对象包拪网络基础设施（广电网、电信安全等级保护的对象包拪网络基础设施（广电网、电信网、丏用通信网络等）、于计算平台网、丏用通信网络等）、于计算平台/系统、大数据平系统、大数据平台台/系统、物联网、工业控制系统、采用移劢亏联技术系统、物联网、工业控制系统、采用移劢亏联技术的系统等的系统等.103、安全要求的变化、安全要求的变化

6、 原来：安全要求原来：安全要求 改为：安全通用要求和安全扩展要求改为：安全通用要求和安全扩展要求 安全通用要求是不管等级保护对象形态如何必须满足的安全通用要求是不管等级保护对象形态如何必须满足的要求，针对于计算、移劢亏联、物联网和工业控制系统要求，针对于计算、移劢亏联、物联网和工业控制系统提出了提出了特殊要求，称为安全扩展要求特殊要求，称为安全扩展要求.114、章节结构的变化、章节结构的变化 8 第三级安全要求第三级安全要求 8.1 安全通用要求安全通用要求 8.2 于计算安全扩展要求于计算安全扩展要求 8.3 移劢亏联安全扩展要求移劢亏联安全扩展要求 8.4 物联网安全扩展要求物联网安全扩展

7、要求 8.5 工业控制系统安全扩展要求工业控制系统安全扩展要求125.分类结构的变化分类结构的变化-1（2017试用稿）试用稿） 结构和分类调整为：结构和分类调整为： 技术部分：技术部分： 物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全；物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全； 管理部分：管理部分： 安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理135.分类结构的变化（正式发布稿）分类结构的变化（正式发布稿） 技术部分：技术部分： 安全物理环境、安全通信网络、安全区域边

8、界、安全计算环境、安全安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心管理中心 管理部分：管理部分： 安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理运维管理146.增加了于计算安全扩展要求增加了于计算安全扩展要求 于计算安全扩展要求章节针对于计算的特点提出特殊保护要求于计算安全扩展要求章节针对于计算的特点提出特殊保护要求。对于计算环境主要增加的内容包拪。对于计算环境主要增加的内容包拪“基础设施的位置基础设施的位置”、“虚拟化安全保护虚拟化安全保护”、“镜像和快照保护镜像和快照保护”、“于服务商

9、选择于服务商选择”和和“于计算环境管理于计算环境管理”等方面等方面。157.增加了移劢亏联安全扩展要求增加了移劢亏联安全扩展要求 移劢亏联安全扩展要求章节针对移劢亏联的特点提出特殊保护移劢亏联安全扩展要求章节针对移劢亏联的特点提出特殊保护要求。对移劢亏联环境主要增加的内容要求。对移劢亏联环境主要增加的内容包拪包拪“无线接入点的物无线接入点的物理位置理位置”、“移劢终端管控移劢终端管控”、“移劢应用管控移劢应用管控”、“移劢应移劢应用软件采购用软件采购”和和“移劢应用软件开发移劢应用软件开发”等方面。等方面。168.增加了物联网安全扩展要求增加了物联网安全扩展要求 物联网安全扩展要求章节针对物联

10、网的特点提出特殊保护要求物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包拪。对物联网环境主要增加的内容包拪“感知节点的物理防护感知节点的物理防护”、“感知节点设备安全感知节点设备安全”、“感知网关节点设备安全感知网关节点设备安全”、“感感知节点的管理知节点的管理”和和“数据融合处理数据融合处理”等方面。等方面。179.增加了工业控制系统安全扩展要求增加了工业控制系统安全扩展要求 工业控制系统安全扩展要求章节针对工业控制系统的特点提出工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包拪特殊保护要求。对工业控制系统

11、主要增加的内容包拪“室外控室外控制设备防护制设备防护”、“工业控制系统网络架构安全工业控制系统网络架构安全”、“拨号使用拨号使用控制控制”、“无线使用控制无线使用控制”和和“控制设备安全控制设备安全”等方面。等方面。1810.增加了应用场景的说明增加了应用场景的说明 增加附录增加附录C 描述等级保护安全框架和关键技术描述等级保护安全框架和关键技术 ，增加附录，增加附录D描述于计算应描述于计算应用场景，附录用场景，附录E描述移劢亏联应用场景，附录描述移劢亏联应用场景，附录F描述物联网应用场景，附录描述物联网应用场景，附录G描述工业控制系统应用场景。描述工业控制系统应用场景。附录附录H描述大数据应

12、用场景（安全扩展要求）。描述大数据应用场景（安全扩展要求）。19目录网络安全等级保护网络安全等级保护2.0标准的特点和变化标准的特点和变化网络安全等级保护网络安全等级保护2.0标准的框架和内容标准的框架和内容新标准结构新标准结构 1 范围范围 2 规范性引用文件规范性引用文件 3 术语和定义术语和定义 4 缩略语缩略语 5 网络安全等级保护概述网络安全等级保护概述 5.1 等级保护对象等级保护对象 5.2 不同级别的安全保护能力不同级别的安全保护能力 5.3 安全通用要求和安全扩展要求安全通用要求和安全扩展要求21新标准结构新标准结构 8 第三级安全要求第三级安全要求 8.1 安全通用要求安全

13、通用要求 8.2 于计算安全扩展要求于计算安全扩展要求 8.3 移劢亏联安全扩展要求移劢亏联安全扩展要求 8.4 物联网安全扩展要求物联网安全扩展要求 8.5 工业控制系统安全扩展要求工业控制系统安全扩展要求22原来基本要求文档结构（原来基本要求文档结构（2008）基本要求技术要求管理要求数据安全及备安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理物理安全网络安全主机安全应用安全份恢复- 23 -新基本要求文档结构（发布稿）新基本要求文档结构（发布稿）基本要求技术要求管理要求安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理制度安全管理机构安全管理人员安全建设管理

14、安全运维管理- 24 -安全通用要求安全通用要求-安全物理环境（试用稿安全物理环境（试用稿-发布稿）发布稿）分类分类原有控制点原有控制点物理位置选择物理位置选择物理访问控制物理访问控制防盗窃和防破坏防盗窃和防破坏防雷击防雷击新的控制点新的控制点物理位置的选择物理位置的选择物理访问控制物理访问控制防盗窃和防破坏防盗窃和防破坏防雷击防雷击12123344防火防火防水和防潮防水和防潮防静电防静电防火防火防水和防潮防水和防潮防静电防静电55物理和环境安全物理和环境安全安全物理环境安全物理环境6677温湿度控制温湿度控制电力供应电力供应温湿度控制温湿度控制电力供应电力供应8899电磁防护电磁防护电磁防护

15、电磁防护1010安全通用要求安全通用要求-安全通信网络（试用稿安全通信网络（试用稿-发布稿）发布稿）分类分类原有控制点原有控制点网络架构网络架构通信传输通信传输边界防护边界防护访问控制访问控制入侵防范入侵防范新的控制点新的控制点网络架构网络架构通信传输通信传输可信验证可信验证12345123网络和通信安全网络和通信安全安全通信网络安全通信网络恶意代码防范恶意代码防范安全审计安全审计集中管控集中管控678安全通用要求安全通用要求-安全区域边界（试用稿安全区域边界（试用稿-发布稿）发布稿）分类分类原有控制点原有控制点网络架构网络架构通信传输通信传输边界防护边界防护访问控制访问控制新的控制点新的控制

16、点12345678边界防护边界防护访问控制访问控制123456网络和通信安全网络和通信安全 入侵防范入侵防范恶意代码防范恶意代码防范安全区域边界安全区域边界 入侵防范入侵防范恶意代码防范恶意代码防范安全审计安全审计集中管控集中管控安全审计安全审计可信验证可信验证安全通用要求安全通用要求-安全管理中心（试用稿安全管理中心（试用稿-发布稿）发布稿）分类分类原有控制点原有控制点网络架构网络架构通信传输通信传输边界防护边界防护访问控制访问控制新的控制点新的控制点系统管理系统管理审计管理审计管理安全管理安全管理12345678123网络和通信安全网络和通信安全 入侵防范入侵防范恶意代码防范恶意代码防范安

17、全管理中心安全管理中心安全审计安全审计集中管控集中管控集中管控集中管控4安全通用要求安全通用要求-安全计算环境（试用稿安全计算环境（试用稿-发布稿）发布稿）分类分类原有控制点原有控制点身份鉴别身份鉴别访问控制访问控制新的控制点新的控制点身份鉴别身份鉴别访问控制访问控制12345612安全审计安全审计入侵防范入侵防范恶意代码防范恶意代码防范资源控制资源控制安全审计安全审计入侵防范入侵防范恶意代码防范恶意代码防范可信验证可信验证34567身份鉴别身份鉴别访问控制访问控制安全审计安全审计软件容错软件容错数据完整性数据完整性数据保密性数据保密性数据备份恢复数据备份恢复剩余信息保护剩余信息保护个人信息保

18、护个人信息保护123456789设备和计算安全设备和计算安全应用和数据安全应用和数据安全89安全计算环境安全计算环境101112资源控制资源控制数据完整性数据完整性数据保密性数据保密性数据备份恢复数据备份恢复剩余信息保护剩余信息保护个人信息保护个人信息保护10于计算安全扩展要求于计算安全扩展要求 于计算安全扩展要求由第于计算安全扩展要求由第2分册合并精炼为基本要求的分册合并精炼为基本要求的X.2章节章节, 保留针对于计算保留针对于计算的特点特殊保护要求。包拪的特点特殊保护要求。包拪“基础设施的位置基础设施的位置”、“虚拟化安全保护虚拟化安全保护”、“镜像镜像和快照保护和快照保护”、“于服务商选

19、择于服务商选择”和和“于计算环境管理于计算环境管理”等方面等方面。安全要求项安全要求项一级一级32二级二级52三级三级82四级四级84于计算安全扩展要求（分册）于计算安全扩展要求（分册）于计算安全扩展要求（于计算安全扩展要求（X.2）1129464930于计算安全扩展要求于计算安全扩展要求-控制点和要求项序号序号控制点控制点一级一级二级二级三级三级四级四级123456789101112131415基础设施位置基础设施位置网络架构网络架构121000020010031142320020232242162524123344253192524123344253访问控制访问控制入侵防范入侵防范安全审计

20、安全审计集中管控集中管控身份鉴别身份鉴别访问控制访问控制入侵防范入侵防范镜像和快照保护镜像和快照保护数据安全性数据安全性数据备份恢复数据备份恢复剩余信息保护剩余信息保护于服务商选择于服务商选择供应链管理供应链管理16于计算环境管理于计算环境管理0111移劢亏联安全扩展要求移劢亏联安全扩展要求 移劢亏联安全扩展要求由第移劢亏联安全扩展要求由第3分册合并精炼为基本要求的分册合并精炼为基本要求的X.3章节章节, 保留针对移劢亏保留针对移劢亏联部分特殊保护要求。联部分特殊保护要求。包拪包拪“无线接入点的物理位置无线接入点的物理位置”、“移劢终端管控移劢终端管控”、“移移劢应用管控劢应用管控”、“移劢应

21、用软件采购移劢应用软件采购”和和“移劢应用软件开发移劢应用软件开发”等方面。等方面。安全要求项安全要求项一级一级30二级二级69三级三级10419四级四级11421移劢亏联安全扩展要求（分册）移劢亏联安全扩展要求（分册）移劢亏联安全扩展要求（移劢亏联安全扩展要求（）X.351432移劢亏联安全扩展要求移劢亏联安全扩展要求-控制点和要求项序号序号1控制点控制点无线接入点的物理位置无线接入点的物理位置边界防护边界防护一级一级1二级二级1三级三级1四级四级1211113访问控制访问控制111+614入侵防范入侵防范0565移劢终端管控移劢终端管控移劢应用管控移劢应用管控移劢应用软件采购移劢应用软件采

22、购移劢应用软件开发移劢应用软件开发配置管理配置管理0023612347122+22802290011物联网安全扩展要求物联网安全扩展要求 物联网安全扩展要求由第物联网安全扩展要求由第4分册合并精炼为基本要求的分册合并精炼为基本要求的X.4章节章节, 保留针对物联网的感保留针对物联网的感知网部分特殊保护要求。包拪知网部分特殊保护要求。包拪“感知节点的物理防护感知节点的物理防护”、“感知节点设备安全感知节点设备安全”、“感感知网关节点设备安全知网关节点设备安全”、“感知节点的管理感知节点的管理”和和“数据融合处理数据融合处理”等方面。等方面。安全要求项安全要求项一级一级19二级二级32三级三级62

23、四级四级70物联网安全扩展要求（分册）物联网安全扩展要求（分册）物联网安全扩展要求（物联网安全扩展要求（）X.447202134物联网安全扩展要求物联网安全扩展要求-控制点和要求项序号序号1控制点控制点感知节点的物理防护感知节点的物理防护入侵防范入侵防范一级一级2二级二级2三级三级4四级四级4202223接入控制接入控制11114感知节点设备安全感知节点设备安全网关节点设备安全网关节点设备安全抗数据重放抗数据重放003350055600227数据融合处理数据融合处理感知节点的管理感知节点的管理001281233工业控制系统安全扩展要求工业控制系统安全扩展要求 工业控制系统安全扩展要求由第工业控

24、制系统安全扩展要求由第5分册合并精炼为基本要求的分册合并精炼为基本要求的X.5章节，只保留针对工章节，只保留针对工业控制系统的特殊保护要求。包拪业控制系统的特殊保护要求。包拪“室外控制设备防护室外控制设备防护”、“工业控制系统网络架构安工业控制系统网络架构安全全”、“拨号使用控制拨号使用控制”、“无线使用控制无线使用控制”和和“控制设备安全控制设备安全”等方面。等方面。安全要求项安全要求项一级一级分层要求分层要求9二级二级分层要求分层要求15三级三级分层要求分层要求21四级四级分层要求分层要求23工业控制系统安全扩展要求工业控制系统安全扩展要求 分册）分册）(工业控制系统安全扩展要求（工业控制

25、系统安全扩展要求（X.5)36工业控制系统安全扩展要求-控制点和要求项控制点和要求项序号序号1控制点控制点一级一级2二级二级2三级三级2四级四级2室外控制设备防护室外控制设备防护网络架构网络架构223333通信传输通信传输01114访问控制访问控制12225拨号使用控制拨号使用控制无线使用控制无线使用控制控制设备安全控制设备安全产品采购和使用产品采购和使用外包软件开发外包软件开发安全事件处置安全事件处置012362244722558011190111100111总结总结 GB/T22239-2019信息安全技术信息安全技术 网络安全等级保网络安全等级保护基本要求护基本要求 将替代原来的将替代原来的GB/T22239-2008信信息安全技术息安全技术 信息系统安全等级保护基本要求。信息系统安全等级保护基本要求。38谢 谢