等級(jí)保護(hù)專(zhuān)題培訓(xùn)課件

等級(jí)保護(hù)2.0等級(jí)保護(hù)2.01什么是等級(jí)保護(hù)？網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)國(guó)家重要信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。什么是等級(jí)保護(hù)？網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)國(guó)家重要信息、法人和其2等級(jí)保護(hù)的劃分第一級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益第二級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全第三級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害第四級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害第五級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害等級(jí)保護(hù)的劃分第一級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其3等級(jí)保護(hù)工作主要的流程一是定級(jí)二是備案（二級(jí)以上的信息系統(tǒng)）三是系統(tǒng)建設(shè)、整改四是開(kāi)展等級(jí)測(cè)評(píng)五是信息安全監(jiān)管部門(mén)定期開(kāi)展監(jiān)督檢查等級(jí)保護(hù)工作主要的流程一是定級(jí)4等級(jí)保護(hù)的對(duì)象演變等級(jí)保護(hù)的對(duì)象演變5標(biāo)準(zhǔn)名稱(chēng)的變化等保2.0將原來(lái)的標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致標(biāo)準(zhǔn)名稱(chēng)的變化等保2.0將原來(lái)的標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)6標(biāo)準(zhǔn)內(nèi)容的變化標(biāo)準(zhǔn)內(nèi)容的變化7控制結(jié)構(gòu)的變化控制結(jié)構(gòu)的變化8等級(jí)保護(hù)1.0等級(jí)保護(hù)2.0結(jié)構(gòu)圖舊標(biāo)準(zhǔn)技術(shù)要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)管理要求安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理新標(biāo)準(zhǔn)物理和環(huán)境安全技術(shù)要求網(wǎng)絡(luò)和通信安全設(shè)備和計(jì)算安全應(yīng)用和數(shù)據(jù)安全安全策略和管理制度管理要求安全管理機(jī)構(gòu)和人員安全建設(shè)管理安全運(yùn)維管理等級(jí)保護(hù)1.0等級(jí)保護(hù)2.0結(jié)構(gòu)圖舊標(biāo)準(zhǔn)技術(shù)要求物理安全網(wǎng)絡(luò)9控制點(diǎn)對(duì)比控制點(diǎn)對(duì)比10基本要求大類(lèi)1.0基本要求子類(lèi)信息系統(tǒng)安全等級(jí)保護(hù)級(jí)別等保二級(jí)等保三級(jí)技術(shù)要求物理安全1010網(wǎng)絡(luò)安全67主機(jī)安全67應(yīng)用安全79數(shù)據(jù)安全33管理要求安全管理制度33安全管理機(jī)構(gòu)55人員安全管理55系統(tǒng)建設(shè)管理911系統(tǒng)運(yùn)維管理1213合計(jì)/6673基本要求大類(lèi)2.0基本要求子類(lèi)信息系統(tǒng)安全等級(jí)保護(hù)級(jí)別等保二級(jí)等保三級(jí)技術(shù)要求物理和環(huán)境安全1010網(wǎng)絡(luò)和通信安全78設(shè)備和計(jì)算安全66應(yīng)用和數(shù)據(jù)安全910管理要求安全策略和管理制度44安全管理機(jī)構(gòu)和人員99安全建設(shè)管理1010安全運(yùn)維管理1414合計(jì)/6971基本要求大類(lèi)1.0基本要求子類(lèi)信息系統(tǒng)安全等級(jí)保護(hù)級(jí)別等保二11要求項(xiàng)對(duì)比要求項(xiàng)對(duì)比12基本要求大類(lèi)1.0基本要求子類(lèi)信息系統(tǒng)安全等級(jí)保護(hù)級(jí)別等保二級(jí)等保三級(jí)技術(shù)要求物理安全1932網(wǎng)絡(luò)安全1833主機(jī)安全1932應(yīng)用安全1931數(shù)據(jù)安全48管理要求安全管理制度711安全管理機(jī)構(gòu)920人員安全管理1116系統(tǒng)建設(shè)管理2845系統(tǒng)運(yùn)維管理4162合計(jì)/175290基本要求大類(lèi)2.0基本要求子類(lèi)信息系統(tǒng)安全等級(jí)保護(hù)級(jí)別等保二級(jí)等保三級(jí)技術(shù)要求物理和環(huán)境安全1522網(wǎng)絡(luò)和通信安全1633設(shè)備和計(jì)算安全1726應(yīng)用和數(shù)據(jù)安全2234管理要求安全策略和管理制度67安全管理機(jī)構(gòu)和人員1626安全建設(shè)管理2534安全運(yùn)維管理3048合計(jì)/147230基本要求大類(lèi)1.0基本要求子類(lèi)信息系統(tǒng)安全等級(jí)保護(hù)級(jí)別等保二13總體上看，等保2.0通用要求在技術(shù)部分的基礎(chǔ)上進(jìn)行了一些調(diào)整，但控制點(diǎn)要求上并沒(méi)有明顯增加，通過(guò)合并整合后相對(duì)舊標(biāo)準(zhǔn)略有縮減?？傮w上看，等保2.0通用要求在技術(shù)部分的基礎(chǔ)上進(jìn)行了一些調(diào)整14

原控制點(diǎn)要求項(xiàng)數(shù)新控制點(diǎn)要求項(xiàng)數(shù)物理安全1

物理位置的選擇2物理和環(huán)境安全1

物理位置的選擇22

物理訪問(wèn)控制42

物理訪問(wèn)控制13

防盜竊和防破壞63

防盜竊和防破壞34

防雷擊34

防雷擊25

防火35

防火36

防水和防潮46

防水和防潮37

防靜電27

防靜電28

溫濕度控制18

溫濕度控制19

電力供應(yīng)49

電力供應(yīng)310

電磁防護(hù)310

電磁防護(hù)2原控制點(diǎn)要求項(xiàng)數(shù)新控制點(diǎn)要求項(xiàng)數(shù)物理安全1

物理位置的選15原控制項(xiàng)新控制項(xiàng)物理位置的選擇b)

機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。物理位置的選擇b)

機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的頂層或地下室，否則應(yīng)加強(qiáng)防水和防潮措施防靜電無(wú)防靜電b)

應(yīng)采取措施防止靜電的產(chǎn)生，例如采用靜電消除器、佩戴防靜電手環(huán)等。(新增)原控制項(xiàng)新控制項(xiàng)物理位置的選擇b)

機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物16

原控制點(diǎn)要求項(xiàng)數(shù)新控制點(diǎn)要求項(xiàng)數(shù)網(wǎng)絡(luò)安全1結(jié)構(gòu)安全7網(wǎng)絡(luò)和通信安全1

網(wǎng)絡(luò)架構(gòu)52訪問(wèn)控制82通信傳輸23安全審計(jì)43邊界防護(hù)44邊界完整性檢查24

訪問(wèn)控制55入侵防范25

入侵防范46

惡意代碼防范26

惡意代碼防范27

網(wǎng)絡(luò)設(shè)備防護(hù)87

安全審計(jì)5

8

集中管控6原控制點(diǎn)要求項(xiàng)數(shù)新控制點(diǎn)要求項(xiàng)數(shù)網(wǎng)絡(luò)安全1結(jié)構(gòu)安全7網(wǎng)17原控制項(xiàng)新控制項(xiàng)無(wú)通信傳輸a)

應(yīng)采用校驗(yàn)碼技術(shù)或密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性；b)

應(yīng)采用密碼技術(shù)保證通信過(guò)程中敏感信息字段或整個(gè)報(bào)文的保密性。

邊界完整性檢查a)

應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；邊界防護(hù)a)

應(yīng)保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界防護(hù)設(shè)備提供的受控接口進(jìn)行通信；b)

應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；

b)

應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶(hù)私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。c)

應(yīng)能夠?qū)?nèi)部用戶(hù)非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；

d)

應(yīng)限制無(wú)線網(wǎng)絡(luò)的使用，確保無(wú)線網(wǎng)絡(luò)通過(guò)受控的邊界防護(hù)設(shè)備接入內(nèi)部網(wǎng)絡(luò)。

入侵防范無(wú)入侵防范b)

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；(新增)無(wú)c)

應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析；(新增)原控制項(xiàng)新控制項(xiàng)無(wú)通信傳輸a)

應(yīng)采用校驗(yàn)碼技術(shù)或密碼技術(shù)保18原控制項(xiàng)新控制項(xiàng)惡意代碼防范無(wú)惡意代碼防范b)

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)垃圾郵件進(jìn)行檢測(cè)和防護(hù)，并維護(hù)垃圾郵件防護(hù)機(jī)制的升級(jí)和更新。

(新增)安全審計(jì)無(wú)安全審計(jì)d)

應(yīng)確保審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求；(新增)e)

應(yīng)能對(duì)遠(yuǎn)程訪問(wèn)的用戶(hù)行為、訪問(wèn)互聯(lián)網(wǎng)的用戶(hù)行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析。

(新增)無(wú)集中管控a)

應(yīng)劃分出特定的管理區(qū)域，對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控；

(新增)b)

應(yīng)能夠建立一條安全的信息傳輸路徑，對(duì)網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理；

(新增)c)

應(yīng)對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測(cè)；

(新增)d)

應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析；(新增)e)

應(yīng)對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理；

f)

應(yīng)能對(duì)網(wǎng)絡(luò)中發(fā)生的各類(lèi)安全事件進(jìn)行識(shí)別、報(bào)警和分析。

(新增)原控制項(xiàng)新控制項(xiàng)惡意代碼防范無(wú)惡意代碼防范b)

應(yīng)在關(guān)鍵網(wǎng)絡(luò)19解讀1.根據(jù)服務(wù)器角色和重要性，對(duì)網(wǎng)絡(luò)進(jìn)行安全域劃分；2.在內(nèi)外網(wǎng)的安全域邊界設(shè)置訪問(wèn)控制策略，并要求配置到具體的端口；3.在網(wǎng)絡(luò)邊界處應(yīng)當(dāng)部署入侵防范手段，防御并記錄入侵行為；4.對(duì)網(wǎng)絡(luò)中的用戶(hù)行為日志和安全事件信息進(jìn)行記錄和審計(jì)；5.對(duì)安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等進(jìn)行集中管理。解讀1.根據(jù)服務(wù)器角色和重要性，對(duì)網(wǎng)絡(luò)進(jìn)行安全域劃分；20

原控制點(diǎn)要求項(xiàng)數(shù)新控制點(diǎn)要求項(xiàng)數(shù)主機(jī)安全1

身份鑒別6設(shè)備和計(jì)算安全1

身份鑒別42

訪問(wèn)控制72

訪問(wèn)控制73

安全審計(jì)63

安全審計(jì)54

剩余信息保護(hù)24

入侵防范55

入侵防范35

惡意代碼防范16

惡意代碼防范36

資源控制47

資源控制5

原控制點(diǎn)要求項(xiàng)數(shù)新控制點(diǎn)要求項(xiàng)數(shù)主機(jī)安全1

身份鑒別621原控制項(xiàng)新控制項(xiàng)安全審計(jì)無(wú)安全審計(jì)d)

應(yīng)確保審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求；（新增）入侵防范無(wú)入侵防范b)

應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；c)

應(yīng)通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制；d)

應(yīng)能發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞；原控制項(xiàng)新控制項(xiàng)安全審計(jì)無(wú)安全審計(jì)d)

應(yīng)確保審計(jì)記錄的留存22解讀1.避免賬號(hào)共享、記錄和審計(jì)運(yùn)維操作行為是最基本的安全要求；2.必要的安全手段保證系統(tǒng)層安全，防范服務(wù)器入侵行為；解讀1.避免賬號(hào)共享、記錄和審計(jì)運(yùn)維操作行為是最基本的安全23

原控制點(diǎn)要求項(xiàng)數(shù)新控制點(diǎn)要求項(xiàng)數(shù)應(yīng)用安全1

身份鑒別5應(yīng)用和數(shù)據(jù)安全1

身份鑒別52

訪問(wèn)控制62

訪問(wèn)控制73

安全審計(jì)43

安全審計(jì)54

剩余信息保護(hù)24

軟件容錯(cuò)35

通信完整性15

資源控制26

通信保密性26

數(shù)據(jù)完整性27

抗抵賴(lài)27

數(shù)據(jù)保密性28

軟件容錯(cuò)28

數(shù)據(jù)備份和恢復(fù)39

資源控制79

剩余信息保護(hù)2數(shù)據(jù)安全及備份恢復(fù)9

數(shù)據(jù)完整性210

個(gè)人信息保護(hù)210

數(shù)據(jù)保密性2

11

備份和恢復(fù)4

原控制點(diǎn)要求項(xiàng)數(shù)新控制點(diǎn)要求項(xiàng)數(shù)應(yīng)用安全1

身份鑒別5應(yīng)24原控制項(xiàng)新控制項(xiàng)安全審計(jì)無(wú)安全審計(jì)d)

應(yīng)確保審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求；（新增）軟件容錯(cuò)無(wú)

軟件容錯(cuò)c)

在故障發(fā)生時(shí)，應(yīng)自動(dòng)保存易失性數(shù)據(jù)和所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。（新增）身份鑒別無(wú)

身份鑒別c)

應(yīng)強(qiáng)制用戶(hù)首次登錄時(shí)修改初始口令；（新增）d)

用戶(hù)身份鑒別信息丟失或失效時(shí)，應(yīng)采用技術(shù)措施確保鑒別信息重置過(guò)程的安全；（新增）個(gè)人信息保護(hù)無(wú)

個(gè)人信息保護(hù)a)

應(yīng)僅采集和保存業(yè)務(wù)必需的用戶(hù)個(gè)人信息；（新增）b)

應(yīng)禁止未授權(quán)訪問(wèn)和非法使用用戶(hù)個(gè)人信息。（新增）原控制項(xiàng)新控制項(xiàng)安全審計(jì)無(wú)安全審計(jì)d)

應(yīng)確保審計(jì)記錄的留存25解讀1.應(yīng)用是具體業(yè)務(wù)的直接實(shí)現(xiàn)，不具有網(wǎng)絡(luò)和系統(tǒng)相對(duì)標(biāo)準(zhǔn)化的特點(diǎn)。大部分應(yīng)用本身的身份鑒別、訪問(wèn)控制和操作審計(jì)等功能，都難以用第三方產(chǎn)品來(lái)替代實(shí)現(xiàn)；2.數(shù)據(jù)的完整性和保密性，除了在其他層面進(jìn)行安全防護(hù)以外，加密是最為有效的方法；3.數(shù)據(jù)的異地備份是等保三級(jí)區(qū)別于二級(jí)最重要的要求之一，是實(shí)現(xiàn)業(yè)務(wù)連續(xù)最基礎(chǔ)的技術(shù)保障措施。解讀1.應(yīng)用是具體業(yè)務(wù)的直接實(shí)現(xiàn)，不具有網(wǎng)絡(luò)和系統(tǒng)相對(duì)標(biāo)準(zhǔn)26網(wǎng)絡(luò)安全法與等級(jí)保護(hù)工作關(guān)系網(wǎng)絡(luò)安全法與等級(jí)保護(hù)工作關(guān)系27第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；（二）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；（四）采取數(shù)據(jù)分類(lèi)、重要數(shù)據(jù)備份和加密等措施；（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照28第三十四條

除本法第二十一條的規(guī)定外，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù)：（一）設(shè)置專(zhuān)門(mén)安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查；（二）定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；（三）對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份；（四）制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練；（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。第三十四條

除本法第二十一條的規(guī)定外，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)29謝謝謝謝30等級(jí)保護(hù)2.0等級(jí)保護(hù)2.031什么是等級(jí)保護(hù)？網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)國(guó)家重要信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。什么是等級(jí)保護(hù)？網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)國(guó)家重要信息、法人和其32等級(jí)保護(hù)的劃分第一級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益第二級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全第三級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害第四級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害第五級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害等級(jí)保護(hù)的劃分第一級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其33等級(jí)保護(hù)工作主要的流程一是定級(jí)二是備案（二級(jí)以上的信息系統(tǒng)）三是系統(tǒng)建設(shè)、整改四是開(kāi)展等級(jí)測(cè)評(píng)五是信息安全監(jiān)管部門(mén)定期開(kāi)展監(jiān)督檢查等級(jí)保護(hù)工作主要的流程一是定級(jí)34等級(jí)保護(hù)的對(duì)象演變等級(jí)保護(hù)的對(duì)象演變35標(biāo)準(zhǔn)名稱(chēng)的變化等保2.0將原來(lái)的標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致標(biāo)準(zhǔn)名稱(chēng)的變化等保2.0將原來(lái)的標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)36標(biāo)準(zhǔn)內(nèi)容的變化標(biāo)準(zhǔn)內(nèi)容的變化37控制結(jié)構(gòu)的變化控制結(jié)構(gòu)的變化38等級(jí)保護(hù)1.0等級(jí)保護(hù)2.0結(jié)構(gòu)圖舊標(biāo)準(zhǔn)技術(shù)要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)管理要求安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理新標(biāo)準(zhǔn)物理和環(huán)境安全技術(shù)要求網(wǎng)絡(luò)和通信安全設(shè)備和計(jì)算安全應(yīng)用和數(shù)據(jù)安全安全策略和管理制度管理要求安全管理機(jī)構(gòu)和人員安全建設(shè)管理安全運(yùn)維管理等級(jí)保護(hù)1.0等級(jí)保護(hù)2.0結(jié)構(gòu)圖舊標(biāo)準(zhǔn)技術(shù)要求物理安全網(wǎng)絡(luò)39控制點(diǎn)對(duì)比控制點(diǎn)對(duì)比40基本要求大類(lèi)1.0基本要求子類(lèi)信息系統(tǒng)安全等級(jí)保護(hù)級(jí)別等保二級(jí)等保三級(jí)技術(shù)要求物理安全1010網(wǎng)絡(luò)安全67主機(jī)安全67應(yīng)用安全79數(shù)據(jù)安全33管理要求安全管理制度33安全管理機(jī)構(gòu)55人員安全管理55系統(tǒng)建設(shè)管理911系統(tǒng)運(yùn)維管理1213合計(jì)/6673基本要求大類(lèi)2.0基本要求子類(lèi)信息系統(tǒng)安全等級(jí)保護(hù)級(jí)別等保二級(jí)等保三級(jí)技術(shù)要求物理和環(huán)境安全1010網(wǎng)絡(luò)和通信安全78設(shè)備和計(jì)算安全66應(yīng)用和數(shù)據(jù)安全910管理要求安全策略和管理制度44安全管理機(jī)構(gòu)和人員99安全建設(shè)管理1010安全運(yùn)維管理1414合計(jì)/6971基本要求大類(lèi)1.0基本要求子類(lèi)信息系統(tǒng)安全等級(jí)保護(hù)級(jí)別等保二41要求項(xiàng)對(duì)比要求項(xiàng)對(duì)比42基本要求大類(lèi)1.0基本要求子類(lèi)信息系統(tǒng)安全等級(jí)保護(hù)級(jí)別等保二級(jí)等保三級(jí)技術(shù)要求物理安全1932網(wǎng)絡(luò)安全1833主機(jī)安全1932應(yīng)用安全1931數(shù)據(jù)安全48管理要求安全管理制度711安全管理機(jī)構(gòu)920人員安全管理1116系統(tǒng)建設(shè)管理2845系統(tǒng)運(yùn)維管理4162合計(jì)/175290基本要求大類(lèi)2.0基本要求子類(lèi)信息系統(tǒng)安全等級(jí)保護(hù)級(jí)別等保二級(jí)等保三級(jí)技術(shù)要求物理和環(huán)境安全1522網(wǎng)絡(luò)和通信安全1633設(shè)備和計(jì)算安全1726應(yīng)用和數(shù)據(jù)安全2234管理要求安全策略和管理制度67安全管理機(jī)構(gòu)和人員1626安全建設(shè)管理2534安全運(yùn)維管理3048合計(jì)/147230基本要求大類(lèi)1.0基本要求子類(lèi)信息系統(tǒng)安全等級(jí)保護(hù)級(jí)別等保二43總體上看，等保2.0通用要求在技術(shù)部分的基礎(chǔ)上進(jìn)行了一些調(diào)整，但控制點(diǎn)要求上并沒(méi)有明顯增加，通過(guò)合并整合后相對(duì)舊標(biāo)準(zhǔn)略有縮減。總體上看，等保2.0通用要求在技術(shù)部分的基礎(chǔ)上進(jìn)行了一些調(diào)整44

原控制點(diǎn)要求項(xiàng)數(shù)新控制點(diǎn)要求項(xiàng)數(shù)物理安全1

物理位置的選擇2物理和環(huán)境安全1

物理位置的選擇22

物理訪問(wèn)控制42

物理訪問(wèn)控制13

防盜竊和防破壞63

防盜竊和防破壞34

防雷擊34

防雷擊25

防火35

防火36

防水和防潮46

防水和防潮37

防靜電27

防靜電28

溫濕度控制18

溫濕度控制19

電力供應(yīng)49

電力供應(yīng)310

電磁防護(hù)310

電磁防護(hù)2原控制點(diǎn)要求項(xiàng)數(shù)新控制點(diǎn)要求項(xiàng)數(shù)物理安全1

物理位置的選45原控制項(xiàng)新控制項(xiàng)物理位置的選擇b)

機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。物理位置的選擇b)

機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的頂層或地下室，否則應(yīng)加強(qiáng)防水和防潮措施防靜電無(wú)防靜電b)

應(yīng)采取措施防止靜電的產(chǎn)生，例如采用靜電消除器、佩戴防靜電手環(huán)等。(新增)原控制項(xiàng)新控制項(xiàng)物理位置的選擇b)

機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物46

原控制點(diǎn)要求項(xiàng)數(shù)新控制點(diǎn)要求項(xiàng)數(shù)網(wǎng)絡(luò)安全1結(jié)構(gòu)安全7網(wǎng)絡(luò)和通信安全1

網(wǎng)絡(luò)架構(gòu)52訪問(wèn)控制82通信傳輸23安全審計(jì)43邊界防護(hù)44邊界完整性檢查24

訪問(wèn)控制55入侵防范25

入侵防范46

惡意代碼防范26

惡意代碼防范27

網(wǎng)絡(luò)設(shè)備防護(hù)87

安全審計(jì)5

8

集中管控6原控制點(diǎn)要求項(xiàng)數(shù)新控制點(diǎn)要求項(xiàng)數(shù)網(wǎng)絡(luò)安全1結(jié)構(gòu)安全7網(wǎng)47原控制項(xiàng)新控制項(xiàng)無(wú)通信傳輸a)

應(yīng)采用校驗(yàn)碼技術(shù)或密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性；b)

應(yīng)采用密碼技術(shù)保證通信過(guò)程中敏感信息字段或整個(gè)報(bào)文的保密性。

邊界完整性檢查a)

應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；邊界防護(hù)a)

應(yīng)保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界防護(hù)設(shè)備提供的受控接口進(jìn)行通信；b)

應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；

b)

應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶(hù)私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。c)

應(yīng)能夠?qū)?nèi)部用戶(hù)非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查；

d)

應(yīng)限制無(wú)線網(wǎng)絡(luò)的使用，確保無(wú)線網(wǎng)絡(luò)通過(guò)受控的邊界防護(hù)設(shè)備接入內(nèi)部網(wǎng)絡(luò)。

入侵防范無(wú)入侵防范b)

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；(新增)無(wú)c)

應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析；(新增)原控制項(xiàng)新控制項(xiàng)無(wú)通信傳輸a)

應(yīng)采用校驗(yàn)碼技術(shù)或密碼技術(shù)保48原控制項(xiàng)新控制項(xiàng)惡意代碼防范無(wú)惡意代碼防范b)

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)垃圾郵件進(jìn)行檢測(cè)和防護(hù)，并維護(hù)垃圾郵件防護(hù)機(jī)制的升級(jí)和更新。

(新增)安全審計(jì)無(wú)安全審計(jì)d)

應(yīng)確保審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求；(新增)e)

應(yīng)能對(duì)遠(yuǎn)程訪問(wèn)的用戶(hù)行為、訪問(wèn)互聯(lián)網(wǎng)的用戶(hù)行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析。

(新增)無(wú)集中管控a)

應(yīng)劃分出特定的管理區(qū)域，對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控；

(新增)b)

應(yīng)能夠建立一條安全的信息傳輸路徑，對(duì)網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理；

(新增)c)

應(yīng)對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測(cè)；

(新增)d)

應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析；(新增)e)

應(yīng)對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理；

f)

應(yīng)能對(duì)網(wǎng)絡(luò)中發(fā)生的各類(lèi)安全事件進(jìn)行識(shí)別、報(bào)警和分析。

(新增)原控制項(xiàng)新控制項(xiàng)惡意代碼防范無(wú)惡意代碼防范b)

應(yīng)在關(guān)鍵網(wǎng)絡(luò)49解讀1.根據(jù)服務(wù)器角色和重要性，對(duì)網(wǎng)絡(luò)進(jìn)行安全域劃分；2.在內(nèi)外網(wǎng)的安全域邊界設(shè)置訪問(wèn)控制策略，并要求配置到具體的端口；3.在網(wǎng)絡(luò)邊界處應(yīng)當(dāng)部署入侵防范手段，防御并記錄入侵行為；4.對(duì)網(wǎng)絡(luò)中的用戶(hù)行為日志和安全事件信息進(jìn)行記錄和審計(jì)；5.對(duì)安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等進(jìn)行集中管理。解讀1.根據(jù)服務(wù)器角色和重要性，對(duì)網(wǎng)絡(luò)進(jìn)行安全域劃分；50

原控制點(diǎn)要求項(xiàng)數(shù)新控制點(diǎn)要求項(xiàng)數(shù)主機(jī)安全1

身份鑒別6設(shè)備和計(jì)算安全1

身份鑒別42

訪問(wèn)控制72

訪問(wèn)控制73

安全審計(jì)63

安全審計(jì)54

剩余信息保護(hù)24

入侵防范55

入侵防范35

惡意代碼防范16

惡意代碼防范36

資源控制47

資源控制5

原控制點(diǎn)要求項(xiàng)數(shù)新控制點(diǎn)要求項(xiàng)數(shù)主機(jī)安全1

身份鑒別651原控制項(xiàng)新控制項(xiàng)安全審計(jì)無(wú)安全審計(jì)d)

應(yīng)確保審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求；（新增）入侵防范無(wú)入侵防范b)

應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；c)

應(yīng)通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制；d)

應(yīng)能發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞；原控制項(xiàng)新控制項(xiàng)安全審計(jì)無(wú)安全審計(jì)d)

應(yīng)確保審計(jì)記錄的留存52解讀1.避免賬號(hào)共享、記錄和審計(jì)運(yùn)維操作行為是最基本的安全要求；2.必要的安全手段保證系統(tǒng)層安全，防范服務(wù)器入侵行為；解讀1.避免賬號(hào)共享、記錄和審計(jì)運(yùn)維操作行為是最基本的安全53

原控制點(diǎn)要求項(xiàng)數(shù)新控制點(diǎn)要求項(xiàng)數(shù)應(yīng)用安全1

身份鑒別5應(yīng)用和數(shù)據(jù)安全1

身份鑒別52

訪問(wèn)控制62

訪問(wèn)控制73

安全審計(jì)43

安全審計(jì)54

剩余信息保護(hù)24

軟件容錯(cuò)35

通信完整性15

資源控制26

通信保密性26

數(shù)據(jù)完整性27

抗抵賴(lài)27

數(shù)據(jù)保密性28

軟件容錯(cuò)28

數(shù)據(jù)備份和恢復(fù)39

資源控制79

剩余信息保護(hù)2數(shù)據(jù)安全及備份恢復(fù)9

數(shù)據(jù)完整性210

個(gè)人信息保護(hù)210

數(shù)據(jù)保密性2

11

備份和恢