網(wǎng)絡(luò)安全法及等保20解讀

1、現(xiàn)行重要法律法規(guī)框架（網(wǎng)絡(luò)安全）家政策法規(guī)框架目絡(luò)安全法2021年10GB/T網(wǎng)絡(luò)安全普級(jí)保護(hù)基本要求2019 年 12JJ10（關(guān)基單位：指關(guān)鍵基礎(chǔ)設(shè)施單位）注：本圖列舉了當(dāng)前我國(guó)在非涉密網(wǎng)絡(luò)安全領(lǐng)域施行的幾部重要法律和國(guó)家推薦標(biāo)準(zhǔn)；它們 構(gòu)成了我們?nèi)粘＞W(wǎng)絡(luò)安全建設(shè)中的基礎(chǔ)法律框架。在合法合規(guī)的前提下，我們所有的網(wǎng)絡(luò)安 全建設(shè)都必須參照上述法律和標(biāo)準(zhǔn)進(jìn)行。網(wǎng)絡(luò)安全法重要建設(shè)內(nèi)容解讀網(wǎng)絡(luò)安全法第二十一條明確規(guī)定“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。各網(wǎng)絡(luò)運(yùn)營(yíng)者 應(yīng)當(dāng)按照要求，開展網(wǎng)絡(luò)安全等級(jí)保護(hù)的定級(jí)備案、等級(jí)測(cè)評(píng)、安全建設(shè)、安全檢查等工作。 除此之外，網(wǎng)絡(luò)安全法中還從網(wǎng)絡(luò)運(yùn)行安全、關(guān)鍵信息基礎(chǔ)設(shè)施

2、運(yùn)行安全、網(wǎng)絡(luò)信息安 全等對(duì)以下方面做了詳細(xì)規(guī)定：網(wǎng)絡(luò)日志留存：第二十一條還規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定內(nèi)部安全管理制度和操作規(guī)程， 確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任;采取防計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等 危害網(wǎng)絡(luò)安全行為的技術(shù)措施;采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施， 留存不少于六個(gè)月的相關(guān)網(wǎng)絡(luò)日志;采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。未履行上 述網(wǎng)絡(luò)安全保護(hù)義務(wù)的，會(huì)被依照此條款責(zé)令整改，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果 的，處一萬元以上十萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。漏洞處置：第二十五條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)

3、案，及時(shí)處置系 統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn);在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立 即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告。沒有網(wǎng)絡(luò)安全事 件應(yīng)急預(yù)案的，沒有及時(shí)處置高危漏洞、網(wǎng)絡(luò)攻擊的;在發(fā)生網(wǎng)絡(luò)安全事件時(shí)處置不恰當(dāng)?shù)模?會(huì)被依照此條款責(zé)令整改，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元 以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。容災(zāi)備份：第三十四條第三項(xiàng)規(guī)定/第二十一條第四項(xiàng)規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施/普通網(wǎng) 絡(luò)運(yùn)營(yíng)者單位對(duì)重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份。沒有對(duì)重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份的 會(huì)被依照此條款責(zé)令改正。應(yīng)急演練：

4、第三十四條第四項(xiàng)規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施單位應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急 預(yù)案，并定期進(jìn)行演練。沒有網(wǎng)絡(luò)安全事件預(yù)案的，或者沒有定期演練的，會(huì)被依照此條進(jìn) 行責(zé)令改正。安全檢測(cè)評(píng)估：第三十八條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安 全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估，并將檢測(cè)評(píng) 估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。每年沒有進(jìn)行安全 檢測(cè)評(píng)估的單位要被責(zé)令改正。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者網(wǎng)絡(luò)安全保護(hù)義務(wù)：（一）建立健全網(wǎng)絡(luò)安全管理、評(píng)價(jià)考 核制度，擬訂關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)計(jì)劃；（二）組織推動(dòng)網(wǎng)絡(luò)安全防護(hù)能力建設(shè)，開 展網(wǎng)絡(luò)安全

5、監(jiān)測(cè)、檢測(cè)和風(fēng)險(xiǎn)評(píng)估；（三）按照國(guó)家及行業(yè)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，制定本 單位應(yīng)急預(yù)案，定期開展應(yīng)急演練，處置網(wǎng)絡(luò)安全事件；（四）認(rèn)定網(wǎng)絡(luò)安全關(guān)鍵崗位，組 織開展網(wǎng)絡(luò)安全工作考核，提出獎(jiǎng)勵(lì)和懲處建議；（五）組織網(wǎng)絡(luò)安全教育、培訓(xùn)；（六）履 行個(gè)人信息和數(shù)據(jù)安全保護(hù)責(zé)任，建立健全個(gè)人信息和數(shù)據(jù)安全保護(hù)制度；（七）對(duì)關(guān)鍵信 息基礎(chǔ)設(shè)施設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)等服務(wù)實(shí)施安全管理；（八）按照規(guī)定報(bào)告網(wǎng)絡(luò)安全事 件和重要事項(xiàng)。中華人民共和國(guó)網(wǎng)絡(luò)安全法對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的要求及建設(shè)對(duì)應(yīng)表:序 號(hào)適 用 主 體單位 區(qū)分條款號(hào)要求網(wǎng)絡(luò)安全建設(shè) 建議示例1.網(wǎng) 絡(luò) 運(yùn) 營(yíng) 者非關(guān) 鍵信 息基 礎(chǔ)設(shè) 施單 位二十一條國(guó)家

6、實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí) 保護(hù)制度的要求，履行安全保護(hù)義 務(wù)。等級(jí)保護(hù)測(cè)評(píng)參照等級(jí)保護(hù)制度要求進(jìn)行安全整改等保備案2.二十五條網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件 應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì) 算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等 安全風(fēng)險(xiǎn)；在發(fā)生危害網(wǎng)絡(luò)安全的 事件時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，采取 相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有 關(guān)主管部門報(bào)告。制定網(wǎng)絡(luò)安全事件應(yīng)急 預(yù)案3.二十一條-第一項(xiàng) 規(guī)定制定內(nèi)部安全管理制度和操作規(guī) 程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng) 絡(luò)安全保護(hù)責(zé)任；梳理管理制度，確定安 全組織架構(gòu)，落實(shí)到人 員。注：參照關(guān)建基礎(chǔ)設(shè)施 保護(hù)條例第十三條要 求，運(yùn)營(yíng)者的

7、主要負(fù)責(zé) 人對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施 安全保護(hù)負(fù)總責(zé)4.二十一條 -第三項(xiàng) 規(guī)定（二）米取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻 擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為 的技術(shù)措施；參照等級(jí)保護(hù)制度要求進(jìn)行安全整改5.二十一條 -第四項(xiàng) 規(guī)定（四）米取數(shù)據(jù)分類、重要數(shù)據(jù)備份 和加密等措施；米用數(shù)據(jù)備份、機(jī)密等 技術(shù)手段，保障數(shù)據(jù)安 全。6.二十一條-第三項(xiàng) 規(guī)定（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀 態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并 按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少 于六個(gè)月；部署日志服務(wù)器或商業(yè) 日志審計(jì)系統(tǒng)7.關(guān)鍵 信息 基礎(chǔ) 設(shè)施 單位三十四條 -第二項(xiàng) 規(guī)定（二）定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安 全教育、技術(shù)培訓(xùn)和技能考核；定期安全技

8、能/安全意 識(shí)/安全認(rèn)證培訓(xùn)8.三十四條 -第四項(xiàng) 規(guī)定（四）制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案， 并定期進(jìn)行演練；定期應(yīng)急演練9.第三十八 條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自 行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其 網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每定期風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)控 制年至少進(jìn)行一次檢測(cè)評(píng)估，并將檢 測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù) 責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作 的部門。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度（等保2.0）重 要建設(shè)內(nèi)容解讀3.1網(wǎng)絡(luò)安全等級(jí)保護(hù)制度建設(shè)框架內(nèi)容技術(shù)要求管理要求安全物理環(huán)境安全管理制度安全通信網(wǎng)絡(luò)安全管理機(jī)構(gòu)安全區(qū)域邊界安全管理人員安全計(jì)算環(huán)境安全建設(shè)管理安全管理中心安全運(yùn)維管理3.2等保2.0技

9、術(shù)架構(gòu)圖（一中心三防護(hù)）等級(jí)保護(hù)2.0技術(shù)架構(gòu)安全首理中心安全通信朝在H安全區(qū)艇界安全計(jì)算環(huán)境注：網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是我國(guó)在信息系統(tǒng)安全領(lǐng)域?qū)嵤┑幕緡?guó)策和基本保障體系；從合法合規(guī)層面來講所有的網(wǎng) 絡(luò)安全建設(shè)都必須參照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求。換句話來講等級(jí)保護(hù)建設(shè)的核心是對(duì)等級(jí)保護(hù)制度中控制點(diǎn)的差 距分析。3.3等保2.0技術(shù)控制項(xiàng)解析示例分類基本要求說明及技術(shù)方案建議措施安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)a）應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù) 處理能力滿足業(yè)務(wù)高峰期 需要；方案設(shè)計(jì)、設(shè)備選型要預(yù) 留性能空間方案及網(wǎng)絡(luò)設(shè)備 保證b）應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的 帶寬滿足業(yè)務(wù)高峰期需要；帶寬預(yù)留、部署流控設(shè)備方案及網(wǎng)絡(luò)設(shè)備

10、保證或帶有此功能的設(shè)備c）應(yīng)劃分不同的網(wǎng)絡(luò)區(qū) 域，并按照方便管理和控制 的原則為各網(wǎng)絡(luò)區(qū)域分配 地址；網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)時(shí)進(jìn)行網(wǎng) 絡(luò)區(qū)域劃分。方案及網(wǎng)絡(luò)設(shè)計(jì) 規(guī)劃d）應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域 部署在網(wǎng)絡(luò)邊界處且沒有 邊界防護(hù)措施；對(duì)重要區(qū)域邊界安全隔 離、訪問控制、入侵防范（互聯(lián)網(wǎng)接入?yún)^(qū)、服務(wù) 器區(qū)、無線接入?yún)^(qū)等）防火墻、IPS、WEB 應(yīng)用防火墻等進(jìn) 行防護(hù)e）應(yīng)提供通信線路、關(guān)鍵 網(wǎng)絡(luò)設(shè)備的硬件冗余，保證 系統(tǒng)的可用性。線路及關(guān)鍵設(shè)備進(jìn)行冗 余設(shè)計(jì)。方案及網(wǎng)絡(luò)設(shè)備 保證通信傳輸a）應(yīng)米用校驗(yàn)碼技術(shù)或加 解密技術(shù)保證通信過程中 數(shù)據(jù)的完整性；Vpn、數(shù)字證書認(rèn)證、加 密技術(shù)防火墻、vpnb）應(yīng)米用加解

11、密技術(shù)保證 通信過程中敏感信息字段 或整個(gè)報(bào)文的保密性。Vpn、數(shù)字證書認(rèn)證、加 密技術(shù)防火墻、vpn分類基本要求說明及技術(shù)方案建議措施安全區(qū) 域邊界邊界防 護(hù)a）應(yīng)保證跨越邊界的訪問和 數(shù)據(jù)流通過邊界防護(hù)設(shè)備提 供的受控接口進(jìn)行通信對(duì)重要區(qū)域邊界安全隔 離、訪問控制、入侵防范防火墻、IPS、WEB 應(yīng)用防火墻、vpn 等進(jìn)行防護(hù)b）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自 聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限 制或檢查；接入認(rèn)證、IP/MAC綁定終端管理系統(tǒng)（準(zhǔn)入控制）c）應(yīng)能夠?qū)?nèi)部用戶非授權(quán) 聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行限 制或檢查；防私接非法外聯(lián)檢測(cè)、終端管理系統(tǒng)（準(zhǔn)入控制）d）應(yīng)限制無線網(wǎng)絡(luò)的使用， 確保無線網(wǎng)絡(luò)通過受

12、控的邊 界防護(hù)設(shè)備接入內(nèi)部往來；對(duì)重要區(qū)域邊界安全隔離、訪問控制、入侵防范防火墻、IPS、WEB 應(yīng)用防火墻等進(jìn) 行防護(hù)惡意代 碼a）應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡 意代碼進(jìn)行檢測(cè)和清除，并維 惡意代碼護(hù)防機(jī)制的升級(jí)和 更新；攻擊、病毒檢測(cè)和防御、 定期升級(jí)特征庫部署防病毒網(wǎng)關(guān) 或帶有此功能的 設(shè)備垃圾郵 件防范b）應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)垃 圾郵件進(jìn)行檢測(cè)和防護(hù)，并維 護(hù)垃圾郵件防護(hù)機(jī)制的升級(jí) 和更新。垃圾郵件檢測(cè)和防護(hù)、 定期升級(jí)特征庫部署垃圾郵件網(wǎng) 關(guān)或帶有此功能 的設(shè)備分類基本要求說明及技術(shù)方案建議措施安全區(qū) 域邊界訪問控制a）應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之 間根據(jù)訪問控制策略設(shè)置 訪問控制規(guī)則，默認(rèn)情況下

13、 除允許通信外受控接口拒 絕所有通信；防火墻做訪問控制、防火 墻策略防火墻b）應(yīng)刪除多余或無效的訪 問控制規(guī)則，優(yōu)化訪問控制 列表，并保證訪問控制規(guī)則 數(shù)量最小化；人工優(yōu)化定期運(yùn)維、優(yōu)化c）應(yīng)對(duì)源地址、目的地址、 源端口、目的端口和協(xié)議等 進(jìn)行檢查，以允許/拒絕數(shù) 據(jù)包進(jìn)出；訪問控制、防火墻策略防火墻d）應(yīng)能根據(jù)會(huì)話狀態(tài)信息 為進(jìn)出數(shù)據(jù)流提供明確的 允許/拒絕訪問的能力，控 制粒度為端口級(jí)；訪問控制、防火墻策略防火墻e）應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流 實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用 內(nèi)容的訪問控制。訪問控制、4-7層的協(xié)議 安全控制、及應(yīng)用協(xié)議 控制防火墻、IPS、 WAF、上網(wǎng)行為管 理分類基本要求說明及技術(shù)方案建議措施安全管理中心集 中 管 控a）應(yīng)劃分出特定的管理區(qū)域，對(duì) 分布在網(wǎng)絡(luò)中的安全設(shè)備或安全 組件進(jìn)行管控劃分安全管理區(qū)劃分安全管理 區(qū)b）應(yīng)能夠建立一條安全的信息傳 輸路徑，對(duì)網(wǎng)絡(luò)中的安全設(shè)備或安 全組件進(jìn)行管理采用堡壘機(jī)進(jìn)行運(yùn)維管理運(yùn)維管理規(guī)定+ 堡壘機(jī)輔助c）應(yīng)對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò) 設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行網(wǎng)絡(luò)運(yùn)維管理平臺(tái)網(wǎng)絡(luò)運(yùn)維管理 平臺(tái)集中監(jiān)測(cè)