1、网络安全等级保护2.0合规解读网络安全的态势简介1234目录Contents网络安全等级保护相关法律法规网络安全等级保护有啥好处?网络安全等级保护谁来做?5网络安全等级保护怎么做?2网络安全的态势简介1Part3没有意识到的风险才是最大的风险42018年4月21日,习近平同志强调:没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。 习近平同志认为:要树立正确的网络安全观,加强信息基础设施网络安全防护,加强网络安全信息统筹机制、手段、平台建设,加强网络安全事件应急指挥能力建设,积极发展网络安全产业,做到关口前移,防患于未然。要落实关键信息基础设施防护责任,行业、
2、企业作为关键信息基础设施运营者承担主体防护责任,主管部门履行好监管责任。没有意识到的风险才是最大的风险5中国互联网络信息中心(CNNIC)于2018年1月发布第41次中国互联网络发展状况统计报告没有意识到的风险才是最大的风险6没有意识到的风险才是最大的风险7没有意识到的风险才是最大的风险8安全事件案例9安全事件案例10安全事件案例11钓鱼网站真正的中国工商银行网站 假冒的中国工商银行网站 安全事件案例12清华大学校园网站被篡改16年1月清华大学教学门户遭受黑客攻击。部分页面点击后伴有音乐,内容为阿拉伯XXX教经文,大意为“XX伟大,我不惧死亡,牺牲是我最终的目标”安全事件案例13*市城乡建设局
3、网站(www.* 1、根据女司机的网络开房记录 2、按照常理如果她不是变态的话,一般不会经期开房 3、一般女性经期是5-7天,鉴于她私生活有点丰富,可能激素有点紊乱,因此初步判断她是7天 以上是基本假设 根据开房记录,选取样本连续的2014年1月和4月作为样本 1月有四次,1、7、15、22根据上述信息,可以排除1-7号(间隔5天),7-15号有可能(间隔7天),15-22号可能很小(间隔6天),那么最大可能就是23-30号这8天! 我们再来看4月的样本,刚好也是4次,4、9、10、21,根据1月样本的推算,并结合1月的成果可基本确定是23-30号 再用2014年6月和7月的几个零星样本检验一
4、下,基本上是合适的。至于2010.2011.2013年的样本,由于时间久远,不具备推算最近经期的参考价值,故不予选取计入样本。 因此初步推算此女经期是每月23号到30号,安全期在1-5号19-23号,排卵期在9-15号。网络安全等级保护相关法律法规2Part18换位思考4 4 oror 3 3 为什么要做网络为什么要做网络安全等级保护?安全等级保护?中华人民共和国网络安全法没有意识到风险才是最大的风险20-全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行。第七十六条 本法下列用语定义:(三)网络运营者,是指网络的所有者、管理者和网络服务提供者。(四)网络数据,是
5、指通过网络收集、存储、传输、处理和产生的各种电子数据。(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。法律明确 基本国策 基本制度第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能
6、严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。为网络安全保驾护航2122 第二十一第二十一条条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保
7、护责任; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。网络安全等级保护制度是国家网络安全保障工作的基本制度、基本策略和基本方法。网络安全法违法处罚措施总结1. 由有关主管部门责令改正,给予警告;2. 拒不改正或者导致危害网络安全等后果的,处一万元以上一百万元以下罚款,对直接负责的主管人员处五千元以上十万元以下罚款。3. 可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销
8、相关业务许可。4. 尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;5. 情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。6. 受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;7. 受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。23逐逐步步加加强强网络安全法违法处罚措施总结24 第六十三条: 违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。违法处罚-个人
9、信用: 第七十一条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。25中华人民共和国刑法(九)修正案2015:26 第二百八十六第二百八十六条之一条之一【拒不履行拒不履行信息网络安全管理义务罪信息网络安全管理义务罪】网络服务提网络服务提供者不履行法律、行政法规规定的信息供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列取改正措施而拒不改正,有下列情形之情形之一一的,处的,处三年三年以下有期徒刑、拘役或者以下有期徒刑、拘役或者管制,并处或者单处罚金管制,并处或者单处罚金:( (一一)
10、)致使致使违法信息违法信息大量传播的大量传播的( (二二) )致使致使用户信息泄露用户信息泄露,造成严重后果,造成严重后果的的( (三三) )致使刑事案件证据灭失,情节严重致使刑事案件证据灭失,情节严重的的( (四四) )有其他有其他严重情节的严重情节的。 单位单位犯前款罪的,对单位判处罚金,犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚责任人员,依照前款的规定处罚。 有有前两款行为,同时构成其他犯罪前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。的,依照处罚较重的规定定罪处罚。中华人民共和国刑法(九)修
11、正案2015: 第二级以上计算机信息系统的运营、使用单位计算机第二级以上计算机信息系统的运营、使用单位计算机信息系统投入使用前未经符合国家规定的安全等级测评机信息系统投入使用前未经符合国家规定的安全等级测评机构测评合格的构测评合格的 ,由公安机关责令限期改正,给予警告;,由公安机关责令限期改正,给予警告;27 逾期不改的,对单位的主管人员、其他直接责任人员可以处五千元以下罚款,对单位可以处一万五千元以下罚款。有违法所得的,没收违法所得; 广东省计算机信息系统安全保护条例规定: 情节严重的,并给予六个月以内的停止联网、停机整顿的处罚;必要时公安机关可以建议原许可机构撤销许可或者取消联网资格。中华
12、人民共和国刑法(九)修正案2015: 计算机信息网络国际联网安全保护管理办法第五条 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息:(一)煽动抗拒、破坏宪法和法律、行政法规实施的;(二)煽动颠覆国家政权,推翻社会主义制度的;(三)煽动分裂国家、破坏国家统一的;(四)煽动民族仇恨、民族歧视,破坏民族团结的;(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;(七)公然侮辱他人或者捏造事实诽谤他人的;(八)损害国家机关信誉的;(九)其他违反宪法和法律、行政法规的。 第二十条 违反法律、行政法规,有本办法第五条、第六条所
13、列行为之一的,由公安机关给予警告,有违法所得的,没收违法所得,对个人可以并处五千元以下的罚款,对单位可以并处一万五千元以下的罚款;情节严重的,并可以给予六个月以内停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格;构成违反治安管理行为的,依照治安管理处罚条例的规定处罚;构成犯罪的,依法追究刑事责任。28网络安全等级保护有啥好处?3Part2930落实网络安全等级保护有啥好处不是我不想做,而是嘿嘿,你懂的完成网络安全等级保护工作的好处:3101严格按照相关法律法规及标准执行评估,满足主管单位和行业安全要求02梳理业务系统重要资产信息,了解信息资产面临的外部威胁
14、和自身弱点03明确系统安全现状,防患于未然,对于未来系统建设和投入有指导意义04完善和规范的服务流程,享受专家技术支持服务06极大提高技术人员的安全意识和技术水平,有助降低运维成本,提高效率05通过安全专家核查及提出整改建议,并督促企业整改,降低系统被入侵风险网络安全等级保护系统的、全面的解决您的问题!32网络安全等级保护系统的、全面的解决您的问题!33 物理安全物理安全网络安全网络安全主机系统安全主机系统安全应用安全应用安全数据安全数据安全安全管理机构安全管理机构安全管理制度安全管理制度人员安全管理人员安全管理系统建设管理系统建设管理系统运维管理系统运维管理信息信息系统系统网络安全等级保护内
15、容网络安全等级保护内容技技术术要要求求管管理理要要求求全面不全面?、系统不系统?、放心不放心?:不落实网络安全等级保护或定级偏低:34 。网络安全等级保护谁来做?4Part35网络安全等级保护谁来做?网络安全等级保护谁来做?371、产权归谁谁来做等保;2、谁使用谁负责。网络安全等级保护谁来做?381、从事计算机安全服务的公司可以参与整改2、有资质的第三方测评公司负责验收测评网络安全等级保护谁来做?39上市公司,信心的源泉悠久历史、品质的保证实力雄厚、安全的象征股票代码:870971企业使命:服务国家安全发展战略,构筑中国特色的网络安全防护体系全面的安全服务及信息化解决方案竞远安全企业精神 竞远
16、安全企业精神 专业可靠 做事专业,做人可靠;技术专业,服务可靠;过程专业,结果可靠;企业专业,企品可靠。在这个精神的指导下,竞远安全所有的努力都是为了达成这个结果:让安全更安全,从而成为客户安心、主管部门放心的专业性安全服务机构。40广泛而又持续支持的客户群41政府 广东省委组织部 中共广东省委党校 广东省司法厅 广东省国土资源厅 广东省地方税务局 广东省统计局 广东省水利厅 广东省民政厅 广东省地震局 广东省气象局 广东省审计厅 广东省气象台 广东省信息中心 广东省信访局 广东省工商行政管理局 广东省工商业联合会 广东省统计局 广东省社会保险基金管理局 广东省人民政府侨务办公室 广东省人民政
17、府法制办公室 广东省水利厅 广东省水文局 广东省科学技术协会 广东省粮食局 广东省储备粮管理总公司 中共广东省委南方杂志社 广州市人民政府办公厅 广州市公安局 广州市气象局 广州市地方税务局 广州市人力资源和社会保障局 广州市对外贸易经济合作局 广州公共资源交易中心 广州市人力资源和社会保障局 广州市住房和城乡建设委员会 广东省委组织部 中共广东省委党校(广东行政学院) 广东省司法厅 广东省国土资源厅 广东省地方税务局 广东省统计局 广东省水利厅 广东省民政厅 广东省地震局 广东省气象局 广东省审计厅 广东省气象台 广东省信息中心 广东省信访局 广东省工商行政管理局 广东省工商业联合会 广东省
18、统计局 广东省社会保险基金管理局 广东省人民政府侨务办公室 广东省人民政府法制办公室 广东省水利厅 广东省水文局 广东省科学技术协会 广东省粮食局 广东省储备粮管理总公司 中共广东省委南方杂志社 广州市人民政府办公厅 广州市公安局 广州市气象局 广州市地方税务局 广州市人力资源和社会保障局 广州市对外贸易经济合作局 广州公共资源交易中心 广州市人力资源和社会保障局 广东省教育厅 惠州市教育局 清远市教育局 汕头市教育局 云浮市教育局 江门教育局 南方科技大学 深圳大学 暨南大学 华南农业大学 华南理工大学 星海音乐学院 广东药科大学 广东财经大学 广东开放大学 广东工业大学 五邑大学 广东海洋
19、大学 仲恺农业工程学院 广州商学院 广州中医药大学 佛山市顺德区教育发展中心教育广泛而又持续支持的客户群42电力 中国南方电网有限责任公司 广东省电网有限责任公司 广州供电局有限公司 深圳供电局有限公司 中国南方电网有限责任公司超高压输电公司 中国南方电网有限责任公司调峰调频发电公司 广东电网有限责任公司电力调度控制中心 广东电网有限责任公司电力科学研究院 广东电网有限责任公司物流服务中心 广东电网有限责任公司输变电公司 广东电网有限责任公司教育培训评价中心 广东电网有限责任公司电网规划研究中心 广东电网有限责任公司管理科学研究院 广东电网有限责任公司佛山供电局 广东电网有限责任公司东莞供电局
20、 广东电网有限责任公司中山供电局 广东电网有限责任公司珠海供电局 广东电网有限责任公司江门供电局 广东电网有限责任公司清远供电局 广东电网有限责任公司惠州供电局 广东电网有限责任公司河源供电局 广东电网有限责任公司韶关供电局 广东电网有限责任公司汕头供电局 广东电网有限责任公司汕尾供电局 广东电网有限责任公司潮州供电局 广东电网有限责任公司揭阳供电局 广东电网有限责任公司梅州供电局 广东电网有限责任公司肇庆供电局 广东电网有限责任公司云浮供电局 广东电网有限责任公司阳江供电局 广东电网有限责任公司茂名供电局 广东电网有限责任公司湛江供电局 广东省电力设计研究院 广西电网有限责任公司 广州发电厂
21、有限公司 湛江电力有限公司 天生桥一级水电开发有限责任公司水力发电厂 广东省粤电集团有限公司太阳能分公司 华能国际电力股份有限公司海门电厂 广东省粤电集团有限公司珠海发电厂烟草 中国烟草总公司广东省公司/广东省烟草专卖局 广东中烟工业有限责任公司 中国烟草总公司深圳市公司/深圳市烟草专卖局 广东烟草湛江市有限公司/湛江市烟草专卖局 广东烟草梅州市有限公司/梅州市烟草专卖局 广东烟草汕尾市有限公司/汕尾市烟草专卖局 广东烟草江门市有限公司/江门市烟草专卖局 广东烟草惠州市有限责任公司/惠州市烟草专卖局 广东烟草茂名市有限责任公司/茂名市烟草专卖局 广东烟草河源市有限责任公司/河源市烟草专卖局 广
22、东烟草肇庆市有限责任公司/肇庆市烟草专卖局 广东烟草云浮市有限责任公司/云浮市烟草专卖局广泛而又持续支持的客户群43公共交通 中国民用航空中南地区空中交通管理局 中国民用航空珠海空中交通管理站 中国民用航空珠海进近管制中心 中国民用航空湛江空中交通管理站 广东省交通运输工程造价管理站 广东联合电子收费股份有限公司 广州白云国际机场股份有限公司 广东机场白云信息科技有限公司 广州白云国际机场商旅服务有限公司 广州市交通运输管理局卫生 广东省卫生和计划生育委员会 广东省人民医院 广东省妇幼保健院 广东省疾病预防控制中心 广东省结核病控制中心 广东省健康教育中心 东莞市第三人民医院 佛山市顺德区妇幼
23、保健院 佛山市顺德区龙江医院 佛山市顺德区北滘医院 中山市坦洲医院 中山市大涌医院 中山市民众医院 中山市南朗医院 中山市港口医院 中山市黄圃镇人民医院 茂名市人民医院广电传媒 广东省广播电视网络股份有限公司 广东省广播电视网络股份有限公司汕头分公司 广东南方电视台 广东电视台 广州珠江数码集团有限公司其他行业 广东省广新控股集团有限公司 广东省广晟资产经营有限公司 海南新生信息科技有限公司 中国建筑第四工程局有限公司 中交第四航务工程勘察设计院有限公司 中国铁建港航局集团有限公司网络安全等级保护怎么做?5Part44网络安全等级保护实施流程45定级备案46 定级备案定级备案确定定级对象确定定
24、级对象初步确定等级初步确定等级专家评审专家评审主管部门审核主管部门审核确定等级确定等级公安机关备案审查公安机关备案审查受侵害的客体受侵害的客体对客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重损害公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益第一级第一级第二级第二级第三级第三级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级1、确定业务信息安全受到破坏时所侵害的客体2、综合评定对客体的侵害程度3、业务信息安全等级4、确定系统服务安全受到破坏时所侵害的客体5、综合评定对客体的侵害程度6、系
25、统服务安全等级7、定级对象的初步安全保护等级1、确定业务信息安全受到破坏时所侵害的客体2、综合评定对客体的侵害程度4、确定系统服务安全受到破坏时所侵害的客体5、综合评定对客体的侵害程度6、系统服务安全等级定级要素与等级的关系定级方法定级备案流程信息系统安全定级方法47定级流程 网络安全等级保护定级小技巧48 一级信息系统:适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 二级信息系统:适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网,非涉及秘密、敏感信息的办公系统等。 三级信息系统:适用于地市级以上国家机关、
26、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。等级概述49等级保护工作的主要流程1、定级与审批;2、等级评审;3、备案;4、备案管理;5、系统建设;6、等级测评;7、自查自纠;8、监督检查。 局部调整局部调整信息系统定级信息系统定级总体安全规划总体安全规划安全设计与实施安全设计与实施安全运行维护安全运行维护信息系统终止信息系统终止备案管理备案管理监督检查监督检查等级变更等级变更等级测评等级测评等级测评工作流程50 等保工作等保工作流程流程测评流程51工
27、作启动工作启动信息收集和分析信息收集和分析工具和表单准备工具和表单准备测评准测评准备活动备活动测评对象确定测评对象确定测评指标确定测评指标确定测评内容确定测评内容确定测评方案编制测评方案编制工具测试方法确定工具测试方法确定测评指导书开发测评指导书开发方案编制活动方案编制活动现场测评准备现场测评准备现场测评和结果记录现场测评和结果记录结果确认和资料归还结果确认和资料归还单项测评结果判定单项测评结果判定单元测评结果判定单元测评结果判定整体测评整体测评等级测评结论形成等级测评结论形成测评报告编制测评报告编制现场测评活动现场测评活动报告编制活动报告编制活动沟通与洽谈沟通与洽谈安全问题风险分析安全问题风
28、险分析系统安全保障系统安全保障评估评估Title in here工具测试工具测试利用漏洞扫描等技术工具,从网络的不同接入点对网络内的主机、服务器、数据库、网络设备、安全设备等进行脆弱性检查和分析Title in here文档审查文档审查通过文档审核与分析,检查制度、策略、操作规程、制度执行情况记录的完整性和内部一致性Title in here配置检查配置检查通过登陆系统控制台的方式,人工核查和分析主机、服务器、数据库、网络设备、安全设备、应用系统的安全配置情况Title in here实地查看实地查看通过现场查看人员行为、技术设施和物理环境状况,检查人员的安全意识、业务操作、管理程序和系统物理
29、环境等方面的安全情况Title in here人员访谈人员访谈通过交流、讨论的方式,对技术和管理方面进行脆弱性检查和分析测评方法及工具52访谈:人员访谈访谈:人员访谈检查:文档审查、实地查看、配置检查检查:文档审查、实地查看、配置检查测试:工具测试测试:工具测试等保测评整体流程531 自主定级2 系统备案3 差距测评4 建设整改5 验收测评6 安全检查7 年度复评五级等保五级等保一般2-3级关键基础设关键基础设施施政府/公共金融/教育能源交通通信广电三类用户三类用户专线IDC云二级以上备案二级以上备案主管部门组织相关单位到公安机关备案网安推动备案网安推动备案广东网安逐步分区域和行业推动系统备案委托第三方机委托第三方机构差距测评构差距测评技术要求管理要求主要测评机构主要测评机构竞远安全根据差距测评根据差距测评报告建设整改报告建设整改安全策略管理建设技术建设安全加固范围安全加固范围网络加固软硬件加固数据库加固业务加固异地备份委托第三方机委托第三方机构验收测评构验收测评等级验收测评报告送公安机关备案运营单位和测评机构对报告结果负责公安机关组织公安机关组织定期安全检查定期安全检查运营单位按要求定期向公安机关提供材料按要求做好各类安全事件的预警和防范公安机关组织公安机关组织年度复评年度复评二级系统两年复评一次三级系统一年复评一次汇报完毕 感谢聆听