全面解析:从“被罚款“到“过测评“,这篇8000字把等保讲透了!(PPT))
导读你知道吗不做等保被黑客攻击后不仅要承担损失还会被公安机关处以1万至100万元不等的罚款主要负责人更会被个人处罚。《网络安全法》实施以来已有医院、高校、图书馆、政府网站相继被查处。本文以一份完整的《网络安全等级保护解决方案》为蓝本从等保发展历程→五级定级体系→测评全流程→技术解决方案→产品部署清单超8000字系统讲透等保2.0收藏即是学习目录什么是等保三句话讲清楚等保发展历程从1994年到等保2.0正式实施等保的法律依据不做等保就是违法五大执法案例这些单位因为没做等保被罚了等保的五个级别你的系统该定几级为什么必须做等保四大核心理由等保2.0法规与标准体系全景哪些系统必须做等保覆盖12大行业各行业定级标准详解教育、医疗、电力、金融等保测评全流程从定级到拿到报告需要几步等保三级技术要求完整解读网络安全篇等保三级技术要求完整解读主机安全篇等保三级技术要求完整解读应用与数据安全篇等保技术解决方案产品部署全景图解析三级等保产品清单每个控制点对应什么产品等保2.0新增扩展要求云、移动、物联网、工控一、什么是等保三句话讲清楚 {#1}等级保护简称**“等保”**官方定义看起来很复杂但本质就是三句话第一句对信息系统分等级保护——系统越重要防护要求越高第二句对信息安全产品分等级管理——不同等级系统要用符合要求的安全产品第三句对信息安全事件分等级响应处置——事件发生后按等级启动不同强度的应对机制。核心精神系统重要程度有多高安全保护就应当有多强既不能保护不足也不能过度保护。这种适度安全的理念是等级保护最重要的思想精髓——一个小型乡镇管理系统和一个全国联网的银行核心系统绝不能套用同一套安全标准。等保涵盖三个维度的管理对象信息系统本身按等级分类、定级、建设、测评安全产品按等级管理不是随便买个防火墙就算数安全事件按等级响应一级系统被攻击和三级系统被攻击响应方式完全不同二、等保发展历程从1994年到等保2.0正式实施 {#2}等级保护在中国已有30年历史经历了从萌芽到成熟的四个阶段阶段一1994-2003政策环境营造1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行安全等级保护这是等保制度的法律起点2003年中央办公厅、国务院办公厅颁发中办发[2003]27号文件明确指出实行信息安全等级保护阶段二2004-2006工作开展准备公安部联合四部委开展大规模基础调查涉及单位65117家覆盖信息系统115319个目的摸清底数为全面推进等保工作打基础阶段三2007-2010等保1.0正式启动2007年6月四部门联合出台《信息安全等级保护管理办法》2007年7月召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议等保制度正式实施2010年公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》要求中央企业全面贯彻执行阶段四2016-2019等保2.0时代2016年10月公安部网络安全保卫局组织修订原有GB/T 22239-2008系列标准2017年发布云计算、移动互联、物联网、工控系统四大扩展要求征求意见稿2019年5月13日等保2.0系列标准正式发布2019年12月1日等保2.0正式实施进入等保2.0时代阶段时间核心里程碑政策营造期1994-2003国务院147号令奠定法律基础准备期2004-2006全国11万系统基础调查等保1.02007-2016制度正式实施测评体系建立等保2.02019至今标准修订扩展云/移动/物联网/工控三、等保的法律依据不做等保就是违法 {#3}很多人以为等保只是可选项这是最大的误解。《网络安全法》已经把等保写入了强制性法律条款《网络安全法》第二十一条义务条款国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求履行下列安全保护义务保障网络免受干扰、破坏或者未经授权的访问防止网络数据泄露或者被窃取、篡改。《网络安全法》第五十九条处罚条款对普通网络运营者警告责令改正拒不改正或导致危害后果处1万元以上10万元以下罚款直接负责主管人员处5千元以上5万元以下罚款对关键信息基础设施运营者罚款幅度大幅提升处10万元以上100万元以下罚款直接负责主管人员处1万元以上10万元以下罚款注意罚款是对单位和对个人双罚制主管领导逃不掉其他强制性依据《网络安全等级保护条例》征求意见稿国家实行网络安全等级保护制度对网络实施分等级保护、分等级监管《关键信息基础设施安全保护条例》关键信息基础设施安全保护等级不低于三级中央领导批示健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度四、五大执法案例这些单位因为没做等保被罚了 {#4}理解法律条文不如看真实案例。以下5个案例覆盖医院、图书馆、政府、高校等各类单位触目惊心案例一重庆某私立医院——业务全面停摆罚款1万元事件经过重庆永川某私立医院将HIS、LIS、PACS、EMR等后台系统业务以及微信公众号后台、医院网站等全部放置在同一套服务器中未安装边界防护设备、未安装日志行为审计设备未设置数据安全备份策略医院系统在互联网上长期处于裸奔状态。黑客通过互联网攻破医院系统后植入勒索病毒导致医院业务全面停摆。处罚结果单位罚款1万元直接负责主管人员罚款5千元法律依据《网络安全法》第五十九条教训多套核心业务系统共用一台服务器、无边界防护、无审计——任何一个等保三级要求都没达到。案例二河南封丘县图书馆——网站遭受攻击罚款2万元事件经过封丘县图书馆未采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施导致网站遭受攻击。处罚结果单位罚款2万元直接责任人海某行政罚款5千元 行政警告处分案例三山西忻州某省直事业单位——SQL注入漏洞连续被通报事件经过2017年6月至7月该单位网站存在SQL注入漏洞连续被国家网络与信息安全信息通报中心通报。处罚结果忻州市、县两级公安机关网安部门依法给予行政警告处罚并责令改正教训SQL注入是最基础的Web漏洞等保测评中应用安全必测项——没做等保连基本漏洞扫描都没有。案例四安徽蚌埠怀远县教师进修学校——约谈校领导和副县长事件经过该学校网站自上线运行以来始终未进行网络安全等级保护的定级备案、等级测评等工作遭黑客攻击入侵。处罚结果约谈学校法定代表人、怀远县人民政府分管副县长副县长被约谈单位罚款1.5万元直接负责副校长罚款5千元案例五安徽淮南职业技术学院——4353名学生信息泄露国内首例高校案事件经过招生信息管理系统存在越权漏洞、后台弱口令未建立网络安全防护技术措施、网络日志留存少于六个月未采取数据分类、重要数据备份和加密措施导致4353名学生身份信息泄露。处罚结果责令整改 行政警告国内首例高校违法案例教训等保要求网络日志留存不少于6个月——这是等保最基础的要求之一很多单位直接忽视。五、等保的五个级别你的系统该定几级 {#5}等保将信息系统分为五个安全保护等级级别越高要求越严监管越强等级名称损害客体损害程度备案要求测评频次第一级自主保护级公民/法人合法权益一般损害无需备案无要求第二级指导保护级公民权益/社会秩序严重损害公安部门备案建议两年一次第三级监督保护级社会秩序/国家安全严重损害公安部门备案每年一次第四级强制保护级国家安全/社会秩序特别严重损害公安部门备案每半年一次第五级专控保护级国家安全特别严重损害公安部门备案依特殊需求关键信息基础设施安全保护等级不低于三级法定要求无商量余地实际操作中的定级参考第一级适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般信息系统第二级县级某些单位中的重要信息系统地市级以上国家机关、企事业单位内部一般信息系统非涉及工作秘密、商业秘密的办公系统和管理系统第三级最常见大多数单位需要达到地市级以上国家机关、企业、事业单位内部重要信息系统涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统跨省或全国联网运行的重要信息系统中央各部委、省区、市门户网站和重要网站跨省联接的网络系统第四级国家重要领域核心系统电力生产控制系统银行核心业务系统电信核心网络铁路客票系统列车指挥调度系统六、为什么必须做等保四大核心理由 {#6}理由一降低安全风险提高防护能力通过等保测评能系统性发现信息系统内外部存在的安全风险和脆弱性。关键词是系统性——不是头痛医头脚痛医脚而是按照国家标准全面扫描安全漏洞整改后实现整体安全能力的跃升。理由二满足法律法规强制要求如前所述《网络安全法》第二十一条明确规定必须按照等保制度要求履行安全保护义务。不做等保就是违法这不是建议是法律义务。理由三满足行业主管单位要求以下行业已明确下发等保要求文件金融行业银行、保险、证券电力行业国家电力监管委员会医疗行业卫生部办公厅教育行业教育部办公厅广电行业烟草行业行业监管机构公安、网信办、经信委、通管局等都会要求开展等保工作。不做等保没法向主管单位和行业领导们交代。理由四合理规避或降低事后法律风险这是很多人没有意识到的重要价值出了安全事件有没有做等保处罚结果完全不同。一个主观上重视安全工作有备案证明、有测评报告但因技术不足被攻击的单位和一个主观上根本不重视连等保都没做被攻击的单位孰轻孰重一目了然。拿出备案证明和测评报告比买了一堆安全设备更有说服力——因为这是国家基本信息安全制度的执行证明。七、等保2.0法规与标准体系全景 {#7}等保2.0建立了完整的标准体系从法律到技术标准层层递进法律层最高层 ├── 《中华人民共和国网络安全法》 └── 《网络安全等级保护条例》制订中 上位标准层 └── GB 17859-1999《计算机信息系统安全保护等级划分准则》 核心标准层等保2.0新发布2019年12月1日起实施 ├── GB/T 22239-2019《网络安全等级保护基本要求》 ← 定什么要做什么 ├── GB/T 25070-2019《网络安全等级保护安全设计技术要求》 ← 怎么做 └── GB/T 28448-2019《网络安全等级保护测评要求》 ← 如何评 支撑标准层 ├── GB/T 28449-2018《网络安全等级保护测评过程指南》 ├── GB/T 22240《网络安全等级保护定级指南》修订 └── GB/T 25058《网络安全等级保护实施指南》修订等保2.0 vs 等保1.0 的核心变化保护对象从信息系统扩展到网络基础设施覆盖云计算、大数据、物联网、移动互联、工控系统标准结构调整强化一个中心三重防御思想强化可信计算技术的应用要求将安全管理中心SOC提升为独立层次八、哪些系统必须做等保覆盖12大行业 {#8}需要实施安全等级保护的信息系统涵盖以下领域行业类别典型系统党政系统党委、政府信息系统金融系统银行、保险、证券核心业务系统财税系统财政、税务、工商信息系统经贸系统商业贸易、海关系统电信系统邮电、电信、广播、电视系统能源系统电力、热力、燃气、煤炭、油料系统交通运输航空、航天、铁路、公路、水运、海运系统供水系统水利及水源供给系统社会应急医疗、消防、紧急救援系统医院专项HIS、LIS、PACS、EMR、门户网站、OA系统政务系统门户网站、电子政务网络、邮件系统、应急管理系统、大数据云计算中心教育系统学校门户网站、财务管理、教务管理、校园一卡通系统简单判断原则只要是运营者不论国有、私营、事业单位只要系统面向社会服务都在等保制度约束范围内。九、各行业定级标准详解教育、医疗、电力、金融 {#9}9.1 教育行业依据《教育行业信息系统安全等级保护定级指南》教育部办公厅2014年学校类型定级范围I类重点建设类高等学校门户网站、财务管理系统、校园一卡通、教务管理系统 →三级等保Ⅱ类高等学校所有信息系统 →二级等保Ⅲ类中小学含中职中专所有信息系统 →一级等保9.2 医疗卫生行业依据《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》需要重点开展等级保护的系统HIS系统医院信息系统LIS系统实验室信息系统EMR系统电子病历系统PACS系统影像归档与通信系统办公系统门户网站系统以上系统通常需达到二至三级保护要求。9.3 电力行业依据《电力行业信息系统安全等级保护定级工作指导意见》国家电力监管委员会系统类型规模条件定级风电场电力监控系统200兆瓦及以上三级风电场电力监控系统200兆瓦以下二级火电厂电力监控单机容量300兆瓦及以上三级火电厂电力监控300兆瓦以下二级变电站自动化系统220千伏及以上三级变电站自动化系统220千伏以下二级9.4 金融行业主要依据《证券期货业信息系统安全等级保护基本要求》JR/T 0060-2010证监会《金融行业信息系统信息安全等级保护实施指引》JR/T 0071-2012人民银行银行核心业务系统通常定为四级普通业务系统定为三级。十、等保测评全流程从定级到拿到报告需要几步 {#10}等保测评有四个核心步骤工期通常为30-60天Step1 【定级】——等级保护的首要环节 ↓ 确定系统保护等级一至五级 ↓ 依据GA/T 1389-2017定级指南 GB 17859-1999 Step2 【备案】——等级保护的核心 ↓ 向公安部门提交备案材料二级及以上 ↓ 获取备案证明有了它才能证明我做了等保 Step3 【建设整改】——等级保护落实的关键 ↓ 预测评测评公司/咨询公司提供整改意见 ↓ 物理安全机房建设与整改院方自行完成 ↓ 技术安全采购安全产品完成部署安全厂商集成商 ↓ 管理要求完善管理制度院方安全厂商技术支撑 Step4 【等级测评】——评价安全保护状况的方法 ↓ 资产调研 → 启动会议 → 现场评估 → 整改加固 → 末次会议 → 报告交付 ↓ 工期30-60天交付成果完成测评后交付以下材料《XX信息系统信息安全等级保护测评报告》共3份用户单位、测评机构、公安部门各一份《XX单位信息系统信息安全等级保护建设整改方案》测评机构要求必须是经公安部或省级公安机关认定的有资质的测评机构不是随便找家公司就可以。十一、等保三级技术要求完整解读网络安全篇 {#11}等保三级是绝大多数单位需要达到的级别也是本文重点解读的对象。11.1 结构安全G3——7项要求要求项核心内容技术实现a主要网络设备业务处理能力具备冗余空间主要设备、部件冗余b网络各部分带宽满足业务高峰期需要带宽预留规划c业务终端与服务器之间建立安全访问路径策略路由、动态路由协议认证d绘制与当前运行情况相符的网络拓扑图定期更新拓扑图纸质或管理软件e根据工作职能、重要性划分子网/网段合理网段划分设计f重要网段与其他网段间可靠技术隔离防火墙策略关键要求g按业务重要次序分配带宽优先级防火墙QoS策略、流控系统11.2 访问控制G3——8项要求要求项核心内容产品实现a网络边界部署访问控制设备防火墙b基于会话状态的端口级访问控制防火墙策略c对进出信息内容进行过滤应用层协议命令级控制HTTP/FTP/TELNET/SMTP/POP3下一代防火墙/WAF关键要求d非活跃会话超时终止连接防火墙会话老化设置e限制网络最大流量数及连接数防火墙策略f重要网段防止地址欺骗IP/MAC绑定防火墙交换机组合g基于用户身份的访问控制单个用户粒度下一代防火墙AAA系统h限制拨号访问权限用户数量防火墙/VPN11.3 安全审计G3——4项要求a对网络设备运行状况、网络流量、用户行为进行日志记录b审计记录包含日期时间、用户、事件类型、是否成功等c能根据记录数据分析生成审计报表d对审计记录进行保护防止删除、修改或覆盖产品实现网络审计系统 日志审计系统 堡垒机11.4 边界完整性检查S3——2项核心要求这是很多单位的盲区a能检查非授权设备私自接入内部网络的行为准确定位并有效阻断→终端准入系统b能检查内部网络用户私自联到外部网络的行为准确定位并有效阻断→终端准入系统11.5 入侵防范G3在网络边界处监视以下攻击行为端口扫描、强力攻击、木马后门攻击拒绝服务攻击DDoS缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击检测到攻击时记录攻击源IP、攻击类型、攻击目的、攻击时间发生严重入侵时提供报警。产品实现IDS入侵检测系统、IPS入侵防御系统11.6 网络设备防护G3——8项要求要求技术实现登录用户身份鉴别堡垒机辅助设备本地策略管理员登录地址限制ACL访问控制列表用户标识唯一堡垒机管理账号规范双因素身份鉴别堡垒机做双因素认证密码令牌口令复杂度要求并定期更换密码策略强制执行登录失败处理限制非法登录次数、超时退出设备策略控制远程管理采取防窃听措施使用SSH替代Telnet特权用户权限分离设备上设置分级用户权限十二、等保三级技术要求完整解读主机安全篇 {#12}主机安全涵盖服务器、工作站等主机设备的安全保护共七大控制项控制项核心要点实现手段身份鉴别组合鉴别技术双因素不能只有用户名密码堡垒机令牌/证书访问控制管理用户权限分离敏感标记设置主机安全基线配置安全审计审计记录、审计报表、审计记录保护数据库审计、主机审计剩余信息保护存储空间释放时清除敏感信息防止数据残留被恢复终端综合管理系统入侵防范监控重要服务器状态最小化服务检测告警HIDS主机入侵检测恶意代码防范与网络恶意代码库分离部署定期更新特征库终端防病毒软件网络版资源控制监控重要服务器最小化服务检测报警主机安全加固主机安全最重要的两点最小权限原则每个用户只有完成其工作所必需的最小权限最小化服务关闭一切不必要的服务和端口减少攻击面十三、等保三级技术要求完整解读应用与数据安全篇 {#13}13.1 应用安全9大控制项控制项核心要点身份鉴别组合鉴别技术防止弱口令访问控制敏感标记设置最小权限原则安全审计审计报表及审计记录保护剩余信息保护敏感信息清除、存储空间释放通信完整性整个报文及会话传输过程完整性保护通信保密性整个报文及会话传输过程加密防抵赖原发证据的提供数字签名软件容错出错校验、自动保护机制资源控制资源分配、优先级、最小化服务及检测报警13.2 数据安全3大控制项控制项核心要点实现手段数据完整性数据存储、传输的完整性检测和恢复数字签名、哈希校验数据保密性数据存储、传输的加密保护加密技术TLS传输存储加密备份和恢复冗余、备份重要数据本地异地备份备份系统、容灾系统十四、等保技术解决方案产品部署全景图解析 {#14}整个等保解决方案将系统划分为四个安全区域实现纵深防御14.1 互联网接入区Internet出口面临威胁外部攻击、DDoS攻击、恶意代码入侵核心部署边界防火墙FW互联网与内网的第一道防线访问控制、NATIPS/AV入侵防御防病毒4-7层深度包检测恶意代码防范DDoS防御设备清洗DDoS攻击流量保障业务连续性上网行为管理内部用户上网行为管控、违规外联检测SSL VPN网关远程安全接入通道14.2 Web服务区对外提供Web服务面临威胁SQL注入、XSS跨站攻击、CSRF等Web攻击核心部署WAFWeb应用防火墙专门防护Web应用层攻击Web防火墙对Web服务器的流量进行过滤控制14.3 数据中心区核心业务和数据面临威胁内部横向渗透、数据窃取、越权访问核心部署核心防火墙/IPS数据中心内部区域隔离数据库服务器、应用服务器、文件服务器等核心资产14.4 管理区安全运维管理核心部署安全管理中心运维审计系统堡垒机所有运维操作录屏审计防止内部人员违规网络管理系统NMS网络设备统一监控管理日志审计系统全网日志集中收集分析留存时间≥6个月漏洞扫描系统定期主动发现安全漏洞终端安全准入系统控制终端接入防止非授权设备私接态势感知平台CIS宏观安全态势分析与威胁发现十五、三级等保产品清单每个控制点对应什么产品 {#15}这是最实用的一张表——等保三级每个技术要求点对应的产品类型安全领域基本要求对应产品安全通信网络网络结构VLAN划分三层交换机、MPLS VPN访问控制权限分离防火墙入侵防范检测告警HIDS主机入侵检测备份恢复数据备份设备冗余、本地备份数据完整性/保密性VPN设备剩余信息管理终端综合管理系统身份认证双因素证书/令牌/密保卡恶意代码防范统一管理网络版主机防病毒软件安全区域边界区域边界访问控制协议检测防火墙IPS资源控制优先级控制带宽管理、流量控制设备区域边界入侵检测IDS区域边界恶意代码防范防病毒网关防毒墙区域边界完整性保护终端综合管理系统终端准入安全通信网络通信网络安全审计上网行为管理数据传输完整性/保密性VPN设备安全管理中心集中管控安全管理平台SOC/SIEM审计管理网络/主机/应用安全审计系统堡垒机说明等保2.0新增了安全管理中心作为独立层次要求对全网安全设备和日志进行集中统一管控这是等保1.0没有的要求。十六、等保2.0新增扩展要求云、移动、物联网、工控 {#16}等保2.0相比1.0的最大变化是增加了四类扩展要求应对新技术场景16.1 云计算安全扩展要求核心新增要求云服务商与云租户责任边界划分共担责任模型虚拟机之间的访问控制虚拟化安全防护镜像/快照安全云服务商应具备等保三级及以上认证关键问题你的系统部署在云上不代表可以免做等保——租用了云服务商的基础设施但应用层安全责任依然是租户的。16.2 移动互联安全扩展要求核心新增要求移动应用的身份鉴别手机端移动设备管理MDM移动应用代码安全防逆向、防篡改移动数据安全本地存储加密16.3 物联网安全扩展要求核心新增要求感知节点传感器/采集设备的身份鉴别感知节点与网关之间通信加密感知节点物理安全防护网关节点访问控制16.4 工业控制系统安全扩展要求核心新增要求工业控制系统与企业IT网络隔离工业防火墙/单向隔离装置工业协议Modbus/OPC/DNP3等安全过滤工控设备漏洞管理与补丁管理工业控制系统的安全审计操作记录留存写在最后等保的三个底层逻辑等保制度实施30年从形式合规到实质安全有三个底层逻辑值得深刻理解第一等保是基线不是天花板通过等保三级测评意味着你的安全防护达到了国家规定的基本要求。这是基线不是终点。真正有安全意识的单位会在等保基础上持续提升构建适合自身业务特点的安全体系。第二做等保不是为了应付检查而是为了真正安全很多单位把等保当成合规作业——测评前突击整改测评后恢复原状。这种心态只会带来两个结果白花了钱又没有安全。正确的做法是把等保整改成果常态化运营让安全产品真正发挥作用。第三安全是持续投入不是一次性建设等保三级要求每年测评一次这本身就说明了一个道理安全威胁在持续演进安全防护也必须持续更新。购买一次安全产品、做一次等保不能保你永久安全持续的漏洞扫描、安全加固、员工培训、事件响应才是真正的安全运营。你们单位的等保工作做到哪个阶段了定级、备案、还是已经通过测评欢迎评论区交流点赞 收藏 关注持续输出网络安全/等保合规/信息安全深度干货本文内容基于《网络安全等级保护解决方案》PPT整理结合国家标准与法规要求供参考学习。相关法律条款请以最新官方发布版本为准。标签网络安全等级保护等保2.0等保测评GB/T 22239-2019网络安全法防火墙IDSIPSWAF堡垒机日志审计态势感知终端准入云安全工控安全数据安全信息安全合规等保三级等保定级安全合规以下为方案部分截图
网络安全等级保护(等保2.0)全面解析:从“被罚款“到“过测评“,这篇8000字把等保讲透了!(PPT)
发布时间:2026/6/23 16:05:20
导读你知道吗不做等保被黑客攻击后不仅要承担损失还会被公安机关处以1万至100万元不等的罚款主要负责人更会被个人处罚。《网络安全法》实施以来已有医院、高校、图书馆、政府网站相继被查处。本文以一份完整的《网络安全等级保护解决方案》为蓝本从等保发展历程→五级定级体系→测评全流程→技术解决方案→产品部署清单超8000字系统讲透等保2.0收藏即是学习目录什么是等保三句话讲清楚等保发展历程从1994年到等保2.0正式实施等保的法律依据不做等保就是违法五大执法案例这些单位因为没做等保被罚了等保的五个级别你的系统该定几级为什么必须做等保四大核心理由等保2.0法规与标准体系全景哪些系统必须做等保覆盖12大行业各行业定级标准详解教育、医疗、电力、金融等保测评全流程从定级到拿到报告需要几步等保三级技术要求完整解读网络安全篇等保三级技术要求完整解读主机安全篇等保三级技术要求完整解读应用与数据安全篇等保技术解决方案产品部署全景图解析三级等保产品清单每个控制点对应什么产品等保2.0新增扩展要求云、移动、物联网、工控一、什么是等保三句话讲清楚 {#1}等级保护简称**“等保”**官方定义看起来很复杂但本质就是三句话第一句对信息系统分等级保护——系统越重要防护要求越高第二句对信息安全产品分等级管理——不同等级系统要用符合要求的安全产品第三句对信息安全事件分等级响应处置——事件发生后按等级启动不同强度的应对机制。核心精神系统重要程度有多高安全保护就应当有多强既不能保护不足也不能过度保护。这种适度安全的理念是等级保护最重要的思想精髓——一个小型乡镇管理系统和一个全国联网的银行核心系统绝不能套用同一套安全标准。等保涵盖三个维度的管理对象信息系统本身按等级分类、定级、建设、测评安全产品按等级管理不是随便买个防火墙就算数安全事件按等级响应一级系统被攻击和三级系统被攻击响应方式完全不同二、等保发展历程从1994年到等保2.0正式实施 {#2}等级保护在中国已有30年历史经历了从萌芽到成熟的四个阶段阶段一1994-2003政策环境营造1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行安全等级保护这是等保制度的法律起点2003年中央办公厅、国务院办公厅颁发中办发[2003]27号文件明确指出实行信息安全等级保护阶段二2004-2006工作开展准备公安部联合四部委开展大规模基础调查涉及单位65117家覆盖信息系统115319个目的摸清底数为全面推进等保工作打基础阶段三2007-2010等保1.0正式启动2007年6月四部门联合出台《信息安全等级保护管理办法》2007年7月召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议等保制度正式实施2010年公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》要求中央企业全面贯彻执行阶段四2016-2019等保2.0时代2016年10月公安部网络安全保卫局组织修订原有GB/T 22239-2008系列标准2017年发布云计算、移动互联、物联网、工控系统四大扩展要求征求意见稿2019年5月13日等保2.0系列标准正式发布2019年12月1日等保2.0正式实施进入等保2.0时代阶段时间核心里程碑政策营造期1994-2003国务院147号令奠定法律基础准备期2004-2006全国11万系统基础调查等保1.02007-2016制度正式实施测评体系建立等保2.02019至今标准修订扩展云/移动/物联网/工控三、等保的法律依据不做等保就是违法 {#3}很多人以为等保只是可选项这是最大的误解。《网络安全法》已经把等保写入了强制性法律条款《网络安全法》第二十一条义务条款国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求履行下列安全保护义务保障网络免受干扰、破坏或者未经授权的访问防止网络数据泄露或者被窃取、篡改。《网络安全法》第五十九条处罚条款对普通网络运营者警告责令改正拒不改正或导致危害后果处1万元以上10万元以下罚款直接负责主管人员处5千元以上5万元以下罚款对关键信息基础设施运营者罚款幅度大幅提升处10万元以上100万元以下罚款直接负责主管人员处1万元以上10万元以下罚款注意罚款是对单位和对个人双罚制主管领导逃不掉其他强制性依据《网络安全等级保护条例》征求意见稿国家实行网络安全等级保护制度对网络实施分等级保护、分等级监管《关键信息基础设施安全保护条例》关键信息基础设施安全保护等级不低于三级中央领导批示健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度四、五大执法案例这些单位因为没做等保被罚了 {#4}理解法律条文不如看真实案例。以下5个案例覆盖医院、图书馆、政府、高校等各类单位触目惊心案例一重庆某私立医院——业务全面停摆罚款1万元事件经过重庆永川某私立医院将HIS、LIS、PACS、EMR等后台系统业务以及微信公众号后台、医院网站等全部放置在同一套服务器中未安装边界防护设备、未安装日志行为审计设备未设置数据安全备份策略医院系统在互联网上长期处于裸奔状态。黑客通过互联网攻破医院系统后植入勒索病毒导致医院业务全面停摆。处罚结果单位罚款1万元直接负责主管人员罚款5千元法律依据《网络安全法》第五十九条教训多套核心业务系统共用一台服务器、无边界防护、无审计——任何一个等保三级要求都没达到。案例二河南封丘县图书馆——网站遭受攻击罚款2万元事件经过封丘县图书馆未采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施导致网站遭受攻击。处罚结果单位罚款2万元直接责任人海某行政罚款5千元 行政警告处分案例三山西忻州某省直事业单位——SQL注入漏洞连续被通报事件经过2017年6月至7月该单位网站存在SQL注入漏洞连续被国家网络与信息安全信息通报中心通报。处罚结果忻州市、县两级公安机关网安部门依法给予行政警告处罚并责令改正教训SQL注入是最基础的Web漏洞等保测评中应用安全必测项——没做等保连基本漏洞扫描都没有。案例四安徽蚌埠怀远县教师进修学校——约谈校领导和副县长事件经过该学校网站自上线运行以来始终未进行网络安全等级保护的定级备案、等级测评等工作遭黑客攻击入侵。处罚结果约谈学校法定代表人、怀远县人民政府分管副县长副县长被约谈单位罚款1.5万元直接负责副校长罚款5千元案例五安徽淮南职业技术学院——4353名学生信息泄露国内首例高校案事件经过招生信息管理系统存在越权漏洞、后台弱口令未建立网络安全防护技术措施、网络日志留存少于六个月未采取数据分类、重要数据备份和加密措施导致4353名学生身份信息泄露。处罚结果责令整改 行政警告国内首例高校违法案例教训等保要求网络日志留存不少于6个月——这是等保最基础的要求之一很多单位直接忽视。五、等保的五个级别你的系统该定几级 {#5}等保将信息系统分为五个安全保护等级级别越高要求越严监管越强等级名称损害客体损害程度备案要求测评频次第一级自主保护级公民/法人合法权益一般损害无需备案无要求第二级指导保护级公民权益/社会秩序严重损害公安部门备案建议两年一次第三级监督保护级社会秩序/国家安全严重损害公安部门备案每年一次第四级强制保护级国家安全/社会秩序特别严重损害公安部门备案每半年一次第五级专控保护级国家安全特别严重损害公安部门备案依特殊需求关键信息基础设施安全保护等级不低于三级法定要求无商量余地实际操作中的定级参考第一级适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般信息系统第二级县级某些单位中的重要信息系统地市级以上国家机关、企事业单位内部一般信息系统非涉及工作秘密、商业秘密的办公系统和管理系统第三级最常见大多数单位需要达到地市级以上国家机关、企业、事业单位内部重要信息系统涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统跨省或全国联网运行的重要信息系统中央各部委、省区、市门户网站和重要网站跨省联接的网络系统第四级国家重要领域核心系统电力生产控制系统银行核心业务系统电信核心网络铁路客票系统列车指挥调度系统六、为什么必须做等保四大核心理由 {#6}理由一降低安全风险提高防护能力通过等保测评能系统性发现信息系统内外部存在的安全风险和脆弱性。关键词是系统性——不是头痛医头脚痛医脚而是按照国家标准全面扫描安全漏洞整改后实现整体安全能力的跃升。理由二满足法律法规强制要求如前所述《网络安全法》第二十一条明确规定必须按照等保制度要求履行安全保护义务。不做等保就是违法这不是建议是法律义务。理由三满足行业主管单位要求以下行业已明确下发等保要求文件金融行业银行、保险、证券电力行业国家电力监管委员会医疗行业卫生部办公厅教育行业教育部办公厅广电行业烟草行业行业监管机构公安、网信办、经信委、通管局等都会要求开展等保工作。不做等保没法向主管单位和行业领导们交代。理由四合理规避或降低事后法律风险这是很多人没有意识到的重要价值出了安全事件有没有做等保处罚结果完全不同。一个主观上重视安全工作有备案证明、有测评报告但因技术不足被攻击的单位和一个主观上根本不重视连等保都没做被攻击的单位孰轻孰重一目了然。拿出备案证明和测评报告比买了一堆安全设备更有说服力——因为这是国家基本信息安全制度的执行证明。七、等保2.0法规与标准体系全景 {#7}等保2.0建立了完整的标准体系从法律到技术标准层层递进法律层最高层 ├── 《中华人民共和国网络安全法》 └── 《网络安全等级保护条例》制订中 上位标准层 └── GB 17859-1999《计算机信息系统安全保护等级划分准则》 核心标准层等保2.0新发布2019年12月1日起实施 ├── GB/T 22239-2019《网络安全等级保护基本要求》 ← 定什么要做什么 ├── GB/T 25070-2019《网络安全等级保护安全设计技术要求》 ← 怎么做 └── GB/T 28448-2019《网络安全等级保护测评要求》 ← 如何评 支撑标准层 ├── GB/T 28449-2018《网络安全等级保护测评过程指南》 ├── GB/T 22240《网络安全等级保护定级指南》修订 └── GB/T 25058《网络安全等级保护实施指南》修订等保2.0 vs 等保1.0 的核心变化保护对象从信息系统扩展到网络基础设施覆盖云计算、大数据、物联网、移动互联、工控系统标准结构调整强化一个中心三重防御思想强化可信计算技术的应用要求将安全管理中心SOC提升为独立层次八、哪些系统必须做等保覆盖12大行业 {#8}需要实施安全等级保护的信息系统涵盖以下领域行业类别典型系统党政系统党委、政府信息系统金融系统银行、保险、证券核心业务系统财税系统财政、税务、工商信息系统经贸系统商业贸易、海关系统电信系统邮电、电信、广播、电视系统能源系统电力、热力、燃气、煤炭、油料系统交通运输航空、航天、铁路、公路、水运、海运系统供水系统水利及水源供给系统社会应急医疗、消防、紧急救援系统医院专项HIS、LIS、PACS、EMR、门户网站、OA系统政务系统门户网站、电子政务网络、邮件系统、应急管理系统、大数据云计算中心教育系统学校门户网站、财务管理、教务管理、校园一卡通系统简单判断原则只要是运营者不论国有、私营、事业单位只要系统面向社会服务都在等保制度约束范围内。九、各行业定级标准详解教育、医疗、电力、金融 {#9}9.1 教育行业依据《教育行业信息系统安全等级保护定级指南》教育部办公厅2014年学校类型定级范围I类重点建设类高等学校门户网站、财务管理系统、校园一卡通、教务管理系统 →三级等保Ⅱ类高等学校所有信息系统 →二级等保Ⅲ类中小学含中职中专所有信息系统 →一级等保9.2 医疗卫生行业依据《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》需要重点开展等级保护的系统HIS系统医院信息系统LIS系统实验室信息系统EMR系统电子病历系统PACS系统影像归档与通信系统办公系统门户网站系统以上系统通常需达到二至三级保护要求。9.3 电力行业依据《电力行业信息系统安全等级保护定级工作指导意见》国家电力监管委员会系统类型规模条件定级风电场电力监控系统200兆瓦及以上三级风电场电力监控系统200兆瓦以下二级火电厂电力监控单机容量300兆瓦及以上三级火电厂电力监控300兆瓦以下二级变电站自动化系统220千伏及以上三级变电站自动化系统220千伏以下二级9.4 金融行业主要依据《证券期货业信息系统安全等级保护基本要求》JR/T 0060-2010证监会《金融行业信息系统信息安全等级保护实施指引》JR/T 0071-2012人民银行银行核心业务系统通常定为四级普通业务系统定为三级。十、等保测评全流程从定级到拿到报告需要几步 {#10}等保测评有四个核心步骤工期通常为30-60天Step1 【定级】——等级保护的首要环节 ↓ 确定系统保护等级一至五级 ↓ 依据GA/T 1389-2017定级指南 GB 17859-1999 Step2 【备案】——等级保护的核心 ↓ 向公安部门提交备案材料二级及以上 ↓ 获取备案证明有了它才能证明我做了等保 Step3 【建设整改】——等级保护落实的关键 ↓ 预测评测评公司/咨询公司提供整改意见 ↓ 物理安全机房建设与整改院方自行完成 ↓ 技术安全采购安全产品完成部署安全厂商集成商 ↓ 管理要求完善管理制度院方安全厂商技术支撑 Step4 【等级测评】——评价安全保护状况的方法 ↓ 资产调研 → 启动会议 → 现场评估 → 整改加固 → 末次会议 → 报告交付 ↓ 工期30-60天交付成果完成测评后交付以下材料《XX信息系统信息安全等级保护测评报告》共3份用户单位、测评机构、公安部门各一份《XX单位信息系统信息安全等级保护建设整改方案》测评机构要求必须是经公安部或省级公安机关认定的有资质的测评机构不是随便找家公司就可以。十一、等保三级技术要求完整解读网络安全篇 {#11}等保三级是绝大多数单位需要达到的级别也是本文重点解读的对象。11.1 结构安全G3——7项要求要求项核心内容技术实现a主要网络设备业务处理能力具备冗余空间主要设备、部件冗余b网络各部分带宽满足业务高峰期需要带宽预留规划c业务终端与服务器之间建立安全访问路径策略路由、动态路由协议认证d绘制与当前运行情况相符的网络拓扑图定期更新拓扑图纸质或管理软件e根据工作职能、重要性划分子网/网段合理网段划分设计f重要网段与其他网段间可靠技术隔离防火墙策略关键要求g按业务重要次序分配带宽优先级防火墙QoS策略、流控系统11.2 访问控制G3——8项要求要求项核心内容产品实现a网络边界部署访问控制设备防火墙b基于会话状态的端口级访问控制防火墙策略c对进出信息内容进行过滤应用层协议命令级控制HTTP/FTP/TELNET/SMTP/POP3下一代防火墙/WAF关键要求d非活跃会话超时终止连接防火墙会话老化设置e限制网络最大流量数及连接数防火墙策略f重要网段防止地址欺骗IP/MAC绑定防火墙交换机组合g基于用户身份的访问控制单个用户粒度下一代防火墙AAA系统h限制拨号访问权限用户数量防火墙/VPN11.3 安全审计G3——4项要求a对网络设备运行状况、网络流量、用户行为进行日志记录b审计记录包含日期时间、用户、事件类型、是否成功等c能根据记录数据分析生成审计报表d对审计记录进行保护防止删除、修改或覆盖产品实现网络审计系统 日志审计系统 堡垒机11.4 边界完整性检查S3——2项核心要求这是很多单位的盲区a能检查非授权设备私自接入内部网络的行为准确定位并有效阻断→终端准入系统b能检查内部网络用户私自联到外部网络的行为准确定位并有效阻断→终端准入系统11.5 入侵防范G3在网络边界处监视以下攻击行为端口扫描、强力攻击、木马后门攻击拒绝服务攻击DDoS缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击检测到攻击时记录攻击源IP、攻击类型、攻击目的、攻击时间发生严重入侵时提供报警。产品实现IDS入侵检测系统、IPS入侵防御系统11.6 网络设备防护G3——8项要求要求技术实现登录用户身份鉴别堡垒机辅助设备本地策略管理员登录地址限制ACL访问控制列表用户标识唯一堡垒机管理账号规范双因素身份鉴别堡垒机做双因素认证密码令牌口令复杂度要求并定期更换密码策略强制执行登录失败处理限制非法登录次数、超时退出设备策略控制远程管理采取防窃听措施使用SSH替代Telnet特权用户权限分离设备上设置分级用户权限十二、等保三级技术要求完整解读主机安全篇 {#12}主机安全涵盖服务器、工作站等主机设备的安全保护共七大控制项控制项核心要点实现手段身份鉴别组合鉴别技术双因素不能只有用户名密码堡垒机令牌/证书访问控制管理用户权限分离敏感标记设置主机安全基线配置安全审计审计记录、审计报表、审计记录保护数据库审计、主机审计剩余信息保护存储空间释放时清除敏感信息防止数据残留被恢复终端综合管理系统入侵防范监控重要服务器状态最小化服务检测告警HIDS主机入侵检测恶意代码防范与网络恶意代码库分离部署定期更新特征库终端防病毒软件网络版资源控制监控重要服务器最小化服务检测报警主机安全加固主机安全最重要的两点最小权限原则每个用户只有完成其工作所必需的最小权限最小化服务关闭一切不必要的服务和端口减少攻击面十三、等保三级技术要求完整解读应用与数据安全篇 {#13}13.1 应用安全9大控制项控制项核心要点身份鉴别组合鉴别技术防止弱口令访问控制敏感标记设置最小权限原则安全审计审计报表及审计记录保护剩余信息保护敏感信息清除、存储空间释放通信完整性整个报文及会话传输过程完整性保护通信保密性整个报文及会话传输过程加密防抵赖原发证据的提供数字签名软件容错出错校验、自动保护机制资源控制资源分配、优先级、最小化服务及检测报警13.2 数据安全3大控制项控制项核心要点实现手段数据完整性数据存储、传输的完整性检测和恢复数字签名、哈希校验数据保密性数据存储、传输的加密保护加密技术TLS传输存储加密备份和恢复冗余、备份重要数据本地异地备份备份系统、容灾系统十四、等保技术解决方案产品部署全景图解析 {#14}整个等保解决方案将系统划分为四个安全区域实现纵深防御14.1 互联网接入区Internet出口面临威胁外部攻击、DDoS攻击、恶意代码入侵核心部署边界防火墙FW互联网与内网的第一道防线访问控制、NATIPS/AV入侵防御防病毒4-7层深度包检测恶意代码防范DDoS防御设备清洗DDoS攻击流量保障业务连续性上网行为管理内部用户上网行为管控、违规外联检测SSL VPN网关远程安全接入通道14.2 Web服务区对外提供Web服务面临威胁SQL注入、XSS跨站攻击、CSRF等Web攻击核心部署WAFWeb应用防火墙专门防护Web应用层攻击Web防火墙对Web服务器的流量进行过滤控制14.3 数据中心区核心业务和数据面临威胁内部横向渗透、数据窃取、越权访问核心部署核心防火墙/IPS数据中心内部区域隔离数据库服务器、应用服务器、文件服务器等核心资产14.4 管理区安全运维管理核心部署安全管理中心运维审计系统堡垒机所有运维操作录屏审计防止内部人员违规网络管理系统NMS网络设备统一监控管理日志审计系统全网日志集中收集分析留存时间≥6个月漏洞扫描系统定期主动发现安全漏洞终端安全准入系统控制终端接入防止非授权设备私接态势感知平台CIS宏观安全态势分析与威胁发现十五、三级等保产品清单每个控制点对应什么产品 {#15}这是最实用的一张表——等保三级每个技术要求点对应的产品类型安全领域基本要求对应产品安全通信网络网络结构VLAN划分三层交换机、MPLS VPN访问控制权限分离防火墙入侵防范检测告警HIDS主机入侵检测备份恢复数据备份设备冗余、本地备份数据完整性/保密性VPN设备剩余信息管理终端综合管理系统身份认证双因素证书/令牌/密保卡恶意代码防范统一管理网络版主机防病毒软件安全区域边界区域边界访问控制协议检测防火墙IPS资源控制优先级控制带宽管理、流量控制设备区域边界入侵检测IDS区域边界恶意代码防范防病毒网关防毒墙区域边界完整性保护终端综合管理系统终端准入安全通信网络通信网络安全审计上网行为管理数据传输完整性/保密性VPN设备安全管理中心集中管控安全管理平台SOC/SIEM审计管理网络/主机/应用安全审计系统堡垒机说明等保2.0新增了安全管理中心作为独立层次要求对全网安全设备和日志进行集中统一管控这是等保1.0没有的要求。十六、等保2.0新增扩展要求云、移动、物联网、工控 {#16}等保2.0相比1.0的最大变化是增加了四类扩展要求应对新技术场景16.1 云计算安全扩展要求核心新增要求云服务商与云租户责任边界划分共担责任模型虚拟机之间的访问控制虚拟化安全防护镜像/快照安全云服务商应具备等保三级及以上认证关键问题你的系统部署在云上不代表可以免做等保——租用了云服务商的基础设施但应用层安全责任依然是租户的。16.2 移动互联安全扩展要求核心新增要求移动应用的身份鉴别手机端移动设备管理MDM移动应用代码安全防逆向、防篡改移动数据安全本地存储加密16.3 物联网安全扩展要求核心新增要求感知节点传感器/采集设备的身份鉴别感知节点与网关之间通信加密感知节点物理安全防护网关节点访问控制16.4 工业控制系统安全扩展要求核心新增要求工业控制系统与企业IT网络隔离工业防火墙/单向隔离装置工业协议Modbus/OPC/DNP3等安全过滤工控设备漏洞管理与补丁管理工业控制系统的安全审计操作记录留存写在最后等保的三个底层逻辑等保制度实施30年从形式合规到实质安全有三个底层逻辑值得深刻理解第一等保是基线不是天花板通过等保三级测评意味着你的安全防护达到了国家规定的基本要求。这是基线不是终点。真正有安全意识的单位会在等保基础上持续提升构建适合自身业务特点的安全体系。第二做等保不是为了应付检查而是为了真正安全很多单位把等保当成合规作业——测评前突击整改测评后恢复原状。这种心态只会带来两个结果白花了钱又没有安全。正确的做法是把等保整改成果常态化运营让安全产品真正发挥作用。第三安全是持续投入不是一次性建设等保三级要求每年测评一次这本身就说明了一个道理安全威胁在持续演进安全防护也必须持续更新。购买一次安全产品、做一次等保不能保你永久安全持续的漏洞扫描、安全加固、员工培训、事件响应才是真正的安全运营。你们单位的等保工作做到哪个阶段了定级、备案、还是已经通过测评欢迎评论区交流点赞 收藏 关注持续输出网络安全/等保合规/信息安全深度干货本文内容基于《网络安全等级保护解决方案》PPT整理结合国家标准与法规要求供参考学习。相关法律条款请以最新官方发布版本为准。标签网络安全等级保护等保2.0等保测评GB/T 22239-2019网络安全法防火墙IDSIPSWAF堡垒机日志审计态势感知终端准入云安全工控安全数据安全信息安全合规等保三级等保定级安全合规以下为方案部分截图
