等级保护条例及等级保护2.0内容v1.0.pptx

,网络安全等级保护条例网络安全等保2.0内容概述,02,目录,01,网络安全等保2.0内容概述,网络安全等级保护条例（征求意见稿）主要内容,网络安全等级保护条例（征求意见稿）,网络安全 等级保护条例,（征求意见稿）,为贯彻落实中华人民共和国网络安全法，深入推 进实施国家网络安全等级保护制度，公安部会同有关部门 起草了网络安全等级保护条例（征求意见稿）。法规 框架是八章73条，第一章 总则，第二章 支持与保障，第 三章 网络的安全保护，第四章 涉密网络的安全保护，第五 章 密码管理，第六章 监督管理，第七章 法律责任，第八 章 附则。该条例是网络安全法的接续性法规，是网络安全法律 体系的重要组成部分，是由国家批准的规范性的法律文件， 它具有法的效力。,【立法宗旨与依据】,（一）、立法宗旨、适用范围和原则：,依据中华人民共和国网络安全法、中华人民共和国保守国家秘密法 等法律，制定本条例。,【适用范围】,在中华人民共和国境内建设、运营、 维护、使用网络，开展网络安全等级 保护工作以及监督管理，适用本条例。 个人及家庭自建自用的网络除外。,【工作原则】,按照突出重点、主动防御、综合防控 的原则，建立健全网络安全防护体系， 重点保护涉及国家安全、国计民生、 社会公共利益的网络的基础设施安全、 运行安全和数据安全。网络运营者在网络建设过程中，应当 同步规划、同步建设、同步运行网络 安全保护、保密和密码保护措施。,【确立制度】,国家实行网络安全等级保护制度，对 网络实施分等级保护、分等级监管。,（二）、职责分工,中央网信机构,国家网信部门,国家公安部门,国家保密行政 管理部门,统一领导网络安全等级保护工作。,负责网络安全等级保护工作的统筹协调。,国家密码管理 部门,负责网络安全等级保护工作中有关密码管理工作的监督管理。,国务院其他有 关部门,依照有关法律法规的规定，在各自职责范围内开展网络安全 等级保护相关工作。,县级以上地方 人民政府,主管网络安全等级保护工作，负责网络安全等级保护工作 的监督管理，依法组织开展网络安全保卫。主管涉密网络分级保护工作，负责网络安全等级保护工作 中有关保密工作的监督管理。,依照本条例和有关法律法规规定，开展网络安全等级保护 工作。,（二）、监督管理-公安机关监督管理职责,一、【安全检查】县级以上公安机关对网 络运营者开展网络安全 工作情况进行监督检查。,二、【检查处置】公安机关在监督检查中发 现网络安全风险隐患的， 应当责令网络运营者采取 措施立即消除；不能立即 消除的，应当责令其限期 整改。,三、【重大隐患处置】公安机关发现重要行业或 本地区存在严重威胁国家 安全、公共安全和社会公 共利益的重大风险隐患的， 应报告同级政府、网信部 门和上级公安机关。,四、【对测评机构和安全建设机 构的监管】国家对网络安全等级测评机构和 安全建设机构实行推荐目录管理， 非涉密网络安全等级测评机构和 安全建设机构具体管理办法，由 国务院公安部门制定。保密科技 测评机构管理办法由国家保密行 政管理部门制定。,五、【关键人员管理】第三级以上网络运营者的 关键岗位人员以及为第三 级以上网络提供安全服务 的人员，不得擅自参加境 外组织的网络攻防活动。,六、【事件调查】公安机关应当根据有关规 定处置网络安全事件，开 展事件调查，认定事件责 任，依法查处危害网络安 全的违法犯罪活动。紧急 情况下断网。,县级以上公安机关对网络运营者依照国家法律法规规定和相关标准规范要求，落 实网络安全等级保护制度，开展网络安全防范、网络安全事件应急处置、重大活动 网络安全保护等工作，实行监督管理；对三级以上网络运营者进行重点监督管理。,【保密监督管理】,三：监督管理-其他机构的监督管理职责,保密行政管理部门负责对涉密网络的 安全保护工作进行监督管理，负责对 非涉密网络的失泄密行为的监管。,【密码监督管理】,密码管理部门负责对网络安全等级保 护工作中的密码管理进行监督管理， 监督检查网络运营者对网络的密码配 备、使用、管理和密码评估情况。其 中重要涉密信息系统每两年至少开展 一次监督检查。,【监督管理责任】,.网络安全等级保护监督管理部门及其 工作人员应当对在履行职责中知悉的 国家秘密、个人信息和重要数据严格 保密，不得泄露、出售或者非法向他 人提供。,【行业监督管理】,行业主管部门应当组织制定本行业并 监督管理本领域网络安全等级保护工 作规划和标准规范，掌握网络基本情 况、定级备案情况和安全保护状况； 监督管理本行业、本领域网络运营者 开展网络定级备案、等级测评、安全 建设整改、安全自查等工作。,四、支持与保障,【总体保障】,【标准制定】,【投入和保障】,【绩效考核】,国家建立健全网 络安全等级保护制 度的组织领导体系、 技术支持体系和保 障体系。各级人民政府和行 业主管部门应当将 网络安全等级保护 制度实施纳入信息 化工作总体规划， 统筹推进。,国家建立完善网络 安全等级保护标准 体系。国务院标准 化行政主管部门和 国务院公安部门、 国家保密行政管理 部门、国家密码管 理部门根据各自职 责，组织制定网络 安全等级保护的国 家标准、行业标准。,各级人民政府鼓励 扶持网络安全等级 保护重点工程和项 目，支持网络安全 等级保护技术的研 究开发和应用，推 广安全可信的网络 产品和服务。,国家建设网络安全 等级保护专家队伍 和等级测评、安全 建设、应急处置等 技术支持体系，为 网络安全等级保护 制度提供支撑。,【技术支持】,行业主管部门、各 级人民政府应当将 网络安全等级保护 工作纳入绩效考核 评价、社会治安综 合治理考核等。,五、网络等级,第三级 重要网络,第五级极其重要网络,一旦受到破坏会对 相关公民、法人和 其他组织的合法权 益造成损害，但不 危害国家安全、社 会秩序和公共利益 的一般网络。,一旦受到破坏会对 相关公民、法人和 其他组织的合法权 益造成严重损害， 或者对社会秩序和 公共利益造成危害， 但不危害国家安全 的一般网络。,一旦受到破坏会对 相关公民、法人和 其他组织的合法权 益造成特别严重损 害，或者会对社会 秩序和社会公共利 益造成严重危害， 或者对国家安全造 成危害的重要网络。,一旦受到破坏后会 对国家安全造成特 别严重危害的极其 重要网络。,第四级特别重要网络,一旦受到破坏会对 社会秩序和公共利 益造成特别严重危 害，或者对国家安 全造成严重危害的 特别重要网络。,第一级 一般网络,第二级 一般网络,根据网络在国家安全、经济建设、社会生活中的重要程度，以及其一旦遭到破坏、丧失功能 或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及相关公民、法 人和其他组织的合法权益的危害程度等因素，网络分为五个安全保护等级。,六、定级备案,【网络定级】,网络运营者应当在 规划设计阶段确定 网络的安全保护等 级。,【定级评审】,对拟定为第二级以 上的网络，其运营 者应当组织专家评 审；有行业主管部 门的，应当在评审 后报请主管部门核 准。跨省或者全国统一 联网运行的网络由 行业主管部门统一 拟定安全保护等级， 统一组织定级评审。,【定级备案】,第二级以上网络运 营者应当在网络的 安全保护等级确定 后10个工作日内， 到县级以上公安机 关备案。,【备案审核】,公安机关应当对网 络运营者提交的备 案材料进行审核。 对定级准确、备案 材料符合要求的， 应在10个工作日内 出具网络安全等级 保护备案证明。,七、【特殊安全保护义务】第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外，还应当履行下列安全保护义务：,（一）,（二）,（三）,（四）,确定网络安全管理机构，明确网络安全等级保护的工作职责，,制定并落实网络安全总体规划和整体安全防护策略，制定安 全建设方案，并经专业技术人员评审通过；对网络安全管理负责人和关键岗位的人员进行安全背景审查， 落实持证上岗制度；,（五）,落实网络安全态势感知监测预警措施，,（六）,落实重要网络设备、通信链路、系统的冗余、备份和恢复措施；,（七）,对为其提供网络设计、建设、运维和技术服务的机构和人员 进行安全管理；,建立网络安全等级测评制度，定期开展等级测评，并将测评 情况及安全整改措施、整改结果向公安机关和有关部门报告；,四、涉密网络的安全保护（1）,【分级保护】,【网络定级】,【方案审查论证】,【信息设备、安全保密产品管理】,涉密网络按照存储、 处理、传输国家秘 密的最高密级分为 绝密级、机密级和 秘密级。,涉密网络运营者应 当依法确定涉密网 络的密级，通过本 单位保密委员会（领导小组）的审 定，并向同级保密 行政管理部门备案。,涉密网络运营者规 划建设涉密网络， 应当依据国家保密 规定和标准要求， 制定分级保护方案，,涉密网络运营者委 托其他单位承担涉 密网络建设的，应 当选择具有相应涉 密信息系统集成资 质的单位，并与建 设单位签订保密协 议，明确保密责任， 采取保密措施。,【建设管理】,涉密网络中使用的 信息设备，应当从 国家有关主管部门 发布的涉密专用信 息设备名录中选择； 未纳入名录的，应 选择政府采购目录 中的产品。,四、涉密网络的安全保护（2）,【测评审查和风险评估】,【涉密网络使用管理总体要求】,【涉密网络预警通报要求】,【涉密网络废止的处理】,涉密网络应当由国 家保密行政管理部 门设立或者授权的 保密测评机构进行 检测评估，并经设 区的市级以上保密 行政管理部门审查 合格，方可投入使 用。,涉密网络运营者应 当依法确定涉密网 络的密级，通过本 单位保密委员会（领导小组）的审 定，并向同级保密 行政管理部门备案。,涉密网络运营者应 建立健全本单位涉 密网络安全保密监 测预警和信息通报 制度，发现安全风 险隐患的，应及时 采取应急处置措施， 并向保密行政管理 部门报告。,涉密网络运营者应 当按照国家保密规 定及时向保密行政 管理部门报告并采 取相应措施。,【涉密网络重大变化的处置】,涉密网络不再使用 的，涉密网络运营 者应当及时向保密 行政管理部门报告， 并按照国家保密规 定和标准对涉密信 息设备、产品、涉 密载体等进行处理。,02,目录,01,网络安全等保2.0内容概述,网络安全等级保护条例（征求意见稿）主要内容,一、网络安全等级保护2.0的概念,以GB17859-1999计算机信息系统安全保 护等级划分则 为根标准， 以GB/T22239-2008信息安全技术信息系统安全等 级保护基本要求 为基础 标准；推动重要信息系统 和基础网络的定级、备案、 测评、整改、监督检查等 工作。将基本要求的2008版本及其配套规范标 准称为等保1.0。,信息安全 等级保护 1.0,2014年开始制定2.0标准， 修订了通用安全要求，增加 了云计算、大数据、移动互 联、工控、物联网等安全扩 展要求，内容包括 网络安 全等级保护基本要求 、安 全通用要求和安全扩展要求， 标志着等级保护2.0时代的 到来。,网络安全 等级保护 2.0,一、网络安全等级保护2.0的概念,网络安全等级保护2.0的三个标准：p 信息安全技术网络安全等级保护基本要求 GB/T22239-XXXXp 信息安全技术网络安全等级保护安全设计技术要求GB/T25070-XXXXp 信息安全技术网络安全等级保护测评要求GB/T28448-XXXX,【法律地位得到确认】,二、网络安全等级保护2.0的基本特点,网络安全法第21条“国家实行网 络安全等级保护制度，要求网络运营 者应当按照网络安全等级保护制度要 求，履行安全保护义务”；“对于国 家关键信息基础设施，在网络安全等 级保护制度的基础上，实行重点保 护”。,【保护对象得到扩展】,主要包括基础信息网络、信息系统（例如工业控制系统、云计 算平台、 物联网、使用移动互联技术的信息系 统以及其他信息系统）和大数据等。,【制度体系基本形成责任】,.包括：法律政策体系、法规标准体系、 技术支撑体系、支撑保障体系、教育 培训体系、人才培养体系等。,【内容进一步完善】,除定级、备案、建设整改、测评和监 督检查外，增加了风险评估、安全监 测、通报预警、案事件调查、数据防 护、灾难备份、应急处置、自主可控、 供应链安全、效果评价、综治考核等。,三、网络安全等级保护2.0的核心内容,将风险评估、安全监测、通报 预警、案事件调查、数据防护、 灾难备份、应急处置、自主可 控、供应链安全、效果评价、 综治考核等重点措施全部纳入 等级保护制度并实施。,将网络基础设施、重要信息系 统、网站、大数据中心、云计 算平台、物联网、工控系统 、 公众服务平台等全部纳入等级 保护监管。,将互联网企业纳入等级保护管 理，保护互联网企业健康发展。,四、等级保护2.0的重点任务,1、科学确定等级 ：根据网络安全等级保护 定级指南（GA/T1389- 2017)初步确定安全保护等 级。不是自主定级。专家 评审, 主管部门审核。,2、向公安机关备案。网络运营者将定级材料向 公安机关备案，公安机关 审核，对符合要求的发放 备案证明。,3、开展等级测评。网络运营者选择符合国家 规定条件的测评机构，对 三级以上系统每年开展等 级测评,4、安全建设整改。网络运营者根据系统安全 保护等级，按照国家标准 开展安全建设整改。,5、监督检查。公安机关每年开展执法检 查。,五、等级保护2.0的扩展与调整,（一）扩充新技术新应用的安全要求,p第三级安全要求p云计算安全扩展要求p移动互联安全扩展要求p物联网安全扩展要求p工业控制系统扩展安全要求,（二）取消安全标注,p取消对控制点的“S”、“A”、“G”标 注的使用p调整为原来的附录A：“安全要求的选择 和使用”，p 说明与定级指南的关系，增加安全控制 措施选择时，控制点的使用和标注及使 用说明。,五、等级保护2.0-扩展与调整,（二）调整技术控制措施分结构,（三）调整管理控制措施分类,物理安全 网络安全 主机安全 应用安全数据安全及备 份恢复,物理和环境安 全网络和通信 安全设备和计 算安全应用和 数据安全,安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理,安全策略和管理 制度安全管理机构和 人员安全建设管理 安全运维管理,五、等级保护2.0-关键信息基础设施安全要求,（一）,（二）,（三）,（四）,关键信息基础设施的范围必须在定级备案的第三级（含）以上的保护 对象中确定。,关键信息基础设施必须按照等级保护制度要求，开展定级备案、等级 测评、安全建设整改、安全检查等强制性、规定性工作。,公安机关、 保密部门、密码部门在关键信息基础设施保护中要落实保 卫、保护、监管责任，网络运营者和行业主管部门要落实主体责任。,（五）,等级保护制度是普适性的制度，是关键信息基础设施保护的基础，关键 信息基础设施是等级保护制度的保护重点，两者同样重要，不可分割。,公安机关在情报侦察、追踪溯源、快速处置、打击犯罪、等级保护、 通报预警、互联网管理等方面发挥主力军作用。,六、等级保护2.0的通用要求-保护对象,六、等级保护2.0的通用要求-等级划分,1,第一级等级保护对象受到 破坏后，会对公民、 法人和其他组织的 合法权益造成损害， 但不损害国家安全、 社会秩序和公共利 益；,2,第二级等级保护对象受到 破坏后，会对公民、 法人和其他组织的 合法权益产生严重 损害，或者对社会 秩序和公共利益造 成损害，但不损害 国家安全；,3,第三级等级保护对象受到 破坏后，会对公民、 法人和其他组织的 合法权益产生特别 严重损害，或者对 社会秩序和公共利 益造成严重损害， 或者对国家安全造 成损害；,4,第四级等级保护对象受到 破坏后，会对社会 秩序和公共利益造 成特别严重损害， 或者对国家 安全 造成严重损害；,5,第五级等级保护对象受到 破坏后，会对国家 安全造成特别严重 损害,六、等级保护2.0的通用要求-保护能力要求,第一级安第二级安 全保护能全保护能 力力,第三级安第四级安 全保护能全保护能 力力,应能够防护系统免受来自外部小型组织的、拥有少 量资源的威胁源发起的恶意攻击、一般的自然灾难以 及其他相当危害 程度的威胁，能够发现重要的安全漏 洞和安全事件，在系统遭到损害后，能够在一段时间 内恢复部分功能。,应能够在统一安全策略下防护系统免受来自国家级 的、敌对组织的、拥有丰富资源的威胁源发起的恶意 攻击、严重的自然灾难以及其他相当危害程度的威胁 所造成的资源损害，能够发现安全漏洞和安全事件， 在系统遭到损害后，能够迅速恢复所有功能。,应能够防护系统免受来自个人的、拥有很少资 源的威胁源发起的恶意攻击、一般的自然灾难， 及其他相当危害程度的威胁所造成的关键资源损 害，在系统遭到损害后，能够恢复部分功能。,应能够在统一安全策略下防护系统免受来自外部 有组织的团体,拥有较为丰富资源的威胁源发起的 恶意攻击、较为严重的自然灾难以及其他相当危 害程度的威胁所造成的主要资源损害，能够发现 安全漏洞和安全事件，在系统遭到损害后，能够 较快恢复绝大部分功能。,六、等级保护2.0的通用要求-恢复能力要求,第一级：系统具有基本的数 据备份功能，在遭 到破坏后能够不限 时的恢复部分系统 功能。,第二级：系统具有一定的数 据备份功能，在遭 到破坏后能够在一 段时间内恢复部分 功能。,第三级：系统具有较高的数 据备份和系统备份 功能，在遭到破坏 后能够较快的恢复 绝大部分功能。,第四级：系统具有极高的数 据备份和系统备份 功能，在遭到破坏 后能够迅速恢复所 有系统功能。,七、等级保护2.0的系统定级-定级流程要求,确定定级对象,初步定级,专家评审二级以上定级，使用单位应组 织专家对初步定级结果的合理 性进行评审， 出具专家评审意 见。,主管部门审核使用单位应将初步定级结果上 报行业主管部门或上级主管部 门进行审核。,公安机关备案审查使用单位应将初步定级结果10日内提交 公安机关进行备案审查，审查不通过， 其使用单位应组织重新定级；审查通过 后最终确定定级对象的安全保护等级。,等级变更当等级保护对象所处理的信息、 业务状态和系统服务范围发生变 化，应根据本标准要求重新确定 定级对象和安全保护等级。,七、等级保护2.0的系统定级-定级方法流程,六、等级保护2.0的通用要求-定级对象的确定,。,。,六、等级保护2.0的通用要求-定级对象的特征,六、等级保护2.0的通用要求-对客体侵害程度的定义,六、等级保护2.0的通用要求-对保护对象的定级要素,六、等级保护2.0系统定级-对定级要素和保护等级的关系,六、等级保护2.0系统定级-对业务信息矩阵表,六、等级保护2.0系统定级-系统服务矩阵表,定级对象的安全保护等级由业务信息安全保护等级和系 统服务安全保护等级的较高者决定。,六、等级保护2.0系统定级-确定安全保护等级流程,六、等级保护2.0系统定级-确定安全保护等级原则,六、等级保护2.0系统定级-确定安全保护等级的建议,第二级信息系统县级单位中的重要信 息系统，地市级以上 国家机关、企事业单 位内部一般的信息系 统。非涉及工作秘密、 商业秘密、敏感信息 的办公和管理系统,第三级信息系统：地市级以上国家机关、 重要企事业单位内部 信息系统。涉及工作 和商业秘密、敏感信 息的办公管理系统， 跨省、市联网运行的 生产、调度、管理等 重要系统，重要系统 在省、市的分支，中 央各部委、省（区、 市）门户网站。,第四级信息系统：国家重要领域、重要 部门中的特别重要系 统以及核心系统。例 如全国铁路、民航、 电力等部门的调度系 统，银行、证券、保 险、税务、海关等几 十个重要行业、部门 中的涉及国计民生的 核心系统。,第五级信息系统：国家重要领域、重要 部门中的极端重要系 统。,第一级信息系统：乡镇所属信息系统、 县级单位中一般的信 息系统、小型私营、 个体企业、中小学的 信息系统。,七、等保2.0-云计算/原则性要求,应确保云计算平台不承载高于其安全保护等级的业务应用系统。,应确保云计算基础设施位于中国境内。,云计算平台的运维地点应位于中国境内，如需境外对境内云计算平台实 施运维操作应遵循国家相关规定。,云计算平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息 等存储于中国境内，如需出境应遵循国家相关规定。,七、等保2.0-云计算/要求要点,基础设施的位 置,虚拟化安全保 护,镜像和快照保 护,云服务商选择,云计算环境管 理,自身安全防护 要求,向租户提供安 全防护的能力 要求,七、等保2.0-云计算/扩展要求,a)云计算安全扩展要求-系统定级,p在云计算环境中，将云计算平台作为基础设施， 云客户业务系统作为信息系统，分别作为定级对 象定级。p 对于大型云计算平台，当运管平台共用时，可将 云计算基础设施与运管平台系统分开定级。责任 分离，分别定级，各自备案。p云计算基础设施的安全保护等级不低于其所支撑 的业务系统的等级。,b)云计算安全扩展要求-结构,七、等保2.0-云计算/扩展要求,c)云计算安全扩展要求-资源隔离,p应实现不同云服务客户虚拟网络之间的隔离；,应保证云计算平台管理流量不于客户业务流量,p应确保云服务客户的虚拟机使用独占的内存空p p,应保证不同云服务客户的审计数据隔离存放；,p应保证虚拟机所使用的内存和存储空间回收时,间；分离；得到完全清除。,d)云计算安全扩展要求-访问控制,p应具有根据云服务客户业务需求自主设置安全策略集的能力，包括 定义访问路径、选择安全组件、配置安全策略；,p实现云平台管理用户权限分离机制，为网络管理员、系统管理员建 立不同账户并分配相应的权限； 确保只有在于服务客户授权下， 云服务商或第三方才具有云服务客户数据的管理权限；,p云计算平台应提供开放接口或开放性安全服务，允许云服务客户接 入第三方安全产品或在云平台选择第三方安全服务。,七、等保2.0-云计算/扩展要求,e)云计算安全扩展要求-数据安全,p应提供查询云服务客户数据及备份存储位置 的方式；p保证虚拟机迁移过程中重要数据的完整性和 保密性；p提供虚拟机镜像、快照完整性校验功能，防 止虚拟机镜像被恶意篡改；,p对虚拟机快照中的敏感信息进行加密保护；p,支持云服务客户部署密钥管理解决方案，确 保云服 务客户自行实现数据的加解密过程 。,f)云计算安全扩展要求-审计与监控,p能识别、监控虚拟机之间、虚拟机与物 理机之间、 虚拟机与宿主机之间的流量；p保证云服务商对于服务客户系统和数据 的操作可被云服务客户审计；p根据云服务方和云客户的职责划分，实 现各自控制部分的集中审计；p应为安全审计数据的汇集提供接口，可 供第三方审计。,八、等保2.0-移动互联网/扩展要求,移动互联 网环境增 加要求,八、等保2.0-移动互联网/扩展要求,适用安全通用要求适用安全扩展要求 运营商网络适用安全扩展要求,九、等保2.0-物联网/扩展要求,p 物联网 internet of things(IoT)p 物联网是将感知节点设备通 过互联网等网络连接起来构 成的一个应用系统，它融合 信息系统和物理世界实体， 是虚拟世界与现实世界的结 合。p 物联网分为物联网和产业物 联网，产业物联网是基于云 平台实现安全监控和数据分 析的。,感知节点 的物理防 护,感知节点 设备安全,感知网关 节点设备 安全,感知节点 的管理,数据融合 处理,九、等保2.0-物联网/扩展要求-使用场景,适用安全 通用要求,适用安全 扩展要求,十、等保2.0-工业控制系统安全/扩展要求,室外控制设备 防护,工业控制系统 网络架构安全,拨号使用控制,无线使用控制,控制设备安全,漏洞和风险管 理,恶意代码防范 管理,十、等保2.0-工业控制系统安全/合并于精炼,制层,现场设 备层,n对工业控制系统的保护需要,根据实际情况使用基本要求，,具体安全通用要求和安全扩,展要求的使用方法比较复杂。,十、等保2.0-工业控制系统安全/基本要求参考表,感谢聆听,