網(wǎng)絡(luò)安全法與等級保護ppt課件

1、網(wǎng)絡(luò)安全法與等級保護,一、網(wǎng)絡(luò)安全法,二、信息安全等級保護,目 錄,一、網(wǎng)絡(luò)安全法,制定網(wǎng)絡(luò)安全法的意義,網(wǎng)絡(luò)安全法是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律，是我國網(wǎng)絡(luò)空間法治建設(shè)的重要里程碑，是依法治網(wǎng)、化解網(wǎng)絡(luò)風險的法律重器，是讓互聯(lián)網(wǎng)在法治軌道上健康運行的重要保障。 網(wǎng)絡(luò)安全法將近年來一些成熟的好做法制度化，并為將來可能的制度創(chuàng)新做了原則性規(guī)定，為網(wǎng)絡(luò)安全工作提供切實法律保障,1、總體框架 共7章79條。 第一章總則 第二章網(wǎng)絡(luò)安全支持與促進 第三章網(wǎng)絡(luò)運行安全 第一節(jié)一般規(guī)定 第二節(jié)關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全 第四章網(wǎng)絡(luò)信息安全 第五章監(jiān)測預警與應急處置 第六章法律責任

2、 第七章附則,一）綜述,2、定位 是互聯(lián)網(wǎng)領(lǐng)域、網(wǎng)絡(luò)安全的基礎(chǔ)性法律。 是黨的十八大以來的又一部重要法律。 3、制定過程 2013年下半年提上日程，2014年形成草案，15年初形成征求意見稿，15年6月一審，16年6月二審、10月31日三審、11月7日人大通過，2017年6月1日起施行。 154票贊成、0票反對、1票棄權(quán),確立了網(wǎng)絡(luò)安全法律規(guī)范的基本原則 明確了網(wǎng)絡(luò)安全工作的重點 提出制定網(wǎng)絡(luò)安全戰(zhàn)略，明確網(wǎng)絡(luò)空間治理目標 完善了網(wǎng)絡(luò)安全監(jiān)管體制 強化了網(wǎng)絡(luò)運行安全，重點保護關(guān)鍵信息基礎(chǔ)設(shè)施 完善了網(wǎng)絡(luò)安全義務(wù)和責任 將監(jiān)測預警與應急處置措施制度化、規(guī)范化,制定網(wǎng)絡(luò)安全法的意義,5、有關(guān)概念

3、網(wǎng)絡(luò)：是指由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的系統(tǒng)。 網(wǎng)絡(luò)安全：是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力,網(wǎng)絡(luò)運營者：是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。 網(wǎng)絡(luò)數(shù)據(jù)：是指通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。 個人信息：是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等,第二十一條

4、 國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)。 第三十一條 國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。 第三十八條 關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應當自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關(guān)負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門。（等級測評,網(wǎng)絡(luò)安全等級保護制度（上升為法律,1

5、）安全風險評估要求 具體內(nèi)容：應當自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能風險每年至少1次檢測評估；檢測評估情況和改進措施報送相關(guān)負責部門。 法律責任：由有關(guān)主管部門責令改正， 給予警告；拒不改正或者導致危害網(wǎng)絡(luò)安全等后果的，處10-100萬罰款，對直接負責的主管人員處1-10萬罰款,網(wǎng)絡(luò)安全法要求及處罰,2）網(wǎng)絡(luò)安全等級保護要求 具體內(nèi)容：制度建設(shè)與負責人；安全防范技術(shù)措施；不少于6個月的安全日志；數(shù)據(jù)分類與備份加密。 法律責任：責令改正及警告；警告不改罰款公司1-10萬，主管5千-5萬,網(wǎng)絡(luò)安全法要求及處罰,3）安全技術(shù)措施同步要求 具體內(nèi)容：建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應當確保其具有支

6、持業(yè)務(wù)穩(wěn)定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。 法律責任：由有關(guān)主管部門責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡(luò)安全等后果的，處10萬元以上100萬元以下罰款，對直接負責的主管人員處1萬元以上10萬元以下罰款,網(wǎng)絡(luò)安全法要求及處罰,4）采購安全保密要求 具體內(nèi)容:采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責任。 法律責任：責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡(luò)安全等后果的，處10-100萬罰款，對直接負責的主管人員處1-10萬罰款,網(wǎng)絡(luò)安全法要求及處罰,5）信息與數(shù)據(jù)境內(nèi)存儲及跨境數(shù)據(jù)傳輸?shù)陌踩u估要求 具體內(nèi)容:境內(nèi)

7、運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲；需向境外提供的，應當按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估。 法律責任：責令改正，給予警告，沒收違法所得；處 5-50萬罰款，并可以責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照；對直接負責主管和直接責任人處1-10萬罰款,網(wǎng)絡(luò)安全法要求及處罰,6）應急預案要求 具體內(nèi)容：制定網(wǎng)絡(luò)安全事件應急預案；在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應急預案；按照規(guī)定向有關(guān)主管部門報告。 法律責任：責令改正及警告；警告不改罰款 公司1-10萬，主管5千-5萬,網(wǎng)絡(luò)安全法要求及處罰,根據(jù)網(wǎng)絡(luò)安全法第六章-法律責任相關(guān)

8、條款解釋：本法律處罰力度空前嚴格，處罰不僅涉及到企業(yè)，而且涉及到法人、管理人員、一般員工等多個層面；既有經(jīng)濟處罰，也有行政處罰。 對于違法問題有關(guān)主管部門責令改正，給予警告；拒不改正或者情節(jié)嚴重的，處一萬元以上一百萬元以下罰款，并可以由有關(guān)主管部門責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照，對直接負責的主管人員和其他直接責任人員處五千元以上十萬元以下罰款。 尚不構(gòu)成犯罪的，由公安機關(guān)沒收違法所得，處五日以下拘留，可以并處五萬元以上五十萬元以下罰款；情節(jié)較重的，處五日以上十五日以下拘留，可以并處十萬元以上一百萬元以下罰款。 受到治安管理處罰的人員，五年內(nèi)不得從事網(wǎng)絡(luò)

9、安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工作；受到刑事處罰的人員，終身不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工作。 依照有關(guān)法律、行政法規(guī)的規(guī)定記入信用檔案，并予以公示,網(wǎng)絡(luò)安全法自2017年6月1日正式實施，網(wǎng)絡(luò)安全等級保護制度已經(jīng)上升為法律規(guī)定的強制義務(wù)，這是我國自1994年發(fā)布實施中華人民共和國計算機信息系統(tǒng)保護條例將“等級保護”明確為我國計算機安全保護的根本制度以來，首次將其寫入法律。 從實施以來已經(jīng)處罰騰訊微信、新浪微博、百度貼吧、boss直聘、京東、淘寶網(wǎng)、蝦米音樂網(wǎng)、蘑菇街互動網(wǎng)等上百家的企事業(yè)單位。 對于違反網(wǎng)絡(luò)安全法的處罰視情節(jié)嚴重，處罰措施分為： 1、責令改正，給予警告； 2、拒不改

10、正或者導致危害網(wǎng)絡(luò)安全等后果的，對企業(yè)處1-100萬罰款，對直接負責的主管員和其他直接責任人員處1-10萬罰款； 3、并可以責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照,二、信息安全等級保護,信息安全等級保護定義,信息安全等級保護管理辦法（試行）：信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。 信息安全等級保護管理辦法國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標準，組織公民、法人和

11、其他組織對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理,第一級為自主保護級，適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成一定損害，但不損害國家安全、社會秩序和公共利益,第二級為指導保護級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全,劃分準則-GB 17859-1999,第三級為監(jiān)督保護級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害,第四級為強制保護級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴

12、重損害,第五級為?？乇Ｗo級，適用于涉及國家安全的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會對國家安全造成特別嚴重損害,實施指南GB/T 25058-2010,等級保護實施過程,基本原則,主要過程及其活動,角色、職責,基本流程,等級變更,局部調(diào)整,信息系統(tǒng)定級,總體安全規(guī)劃,安全設(shè)計與實施,安全運行維護,信息系統(tǒng)終止,國家管理部門,信息系統(tǒng)主管部門,信息系統(tǒng)運營、使用單位,信息安全服務(wù)機構(gòu),信息安全等級測評機構(gòu),信息安全產(chǎn)品供應商,22,等級保護之十大標準,基礎(chǔ)類 計算機信息系統(tǒng)安全保護等級劃分準則GB 17859-1999 信息系統(tǒng)安全等級保護實施指南GB/T 25058-2010 應用

13、類 定級：信息系統(tǒng)安全保護等級定級指南GB/T 22240-2008 建設(shè)：信息系統(tǒng)安全等級保護基本要求GB/T 22239-2008 信息系統(tǒng)通用安全技術(shù)要求GB/T 20271-2006 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求GB/T 25070-2010 測評：信息系統(tǒng)安全等級保護測評要求GB/T 28448-2012 信息系統(tǒng)安全等級保護測評過程指南 GB/T 28449-2012 管理：信息系統(tǒng)安全管理要求GB/T 20269-2006 信息系統(tǒng)安全工程管理要求GB/T 20282-2006,23,7、系統(tǒng)服務(wù)安全等級,等級保護定級指南GB/T 22240,等級保護定級方法,保護對象,對客

14、體的侵害程度,客體：社會關(guān)系,受侵害的客體,信息系統(tǒng)安全,系統(tǒng)服務(wù)安全,業(yè)務(wù)信息安全,3、綜合評定對客體的侵害程度,2、確定業(yè)務(wù)信息安全受到破壞時所侵害的客體,6、綜合評定對客體的侵害程度,5、確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體,4、業(yè)務(wù)信息安全等級,8、定級對象的安全保護等級 8MAX（4，7,1、確定定級對象（系統(tǒng)邊界,一般流程,等級確定,24,基本保護要求（最低,保護能力,對抗能力恢復能力,技術(shù)要求管理要求,物理、網(wǎng)絡(luò)、主機、應用、數(shù)據(jù),制度、機構(gòu)、人員、建設(shè)、運維,縱深防御、互補關(guān)聯(lián)、強度一致、 平臺統(tǒng)一、集中安管,業(yè)務(wù)信息安全類要求 S,系統(tǒng)服務(wù)保證類要求 A,通用安全保護類要求

15、 G,整體安全保護能力,關(guān)鍵控制點,安全類,具體要求項,控制強度,基本要求GB/T 22239,基本保護要求（最低,保護能力,對抗能力恢復能力,物理、網(wǎng)絡(luò)、主機、應用、數(shù)據(jù),制度、機構(gòu)、人員、建設(shè)、運維,縱深防御、互補關(guān)聯(lián)、強度一致、 平臺統(tǒng)一、集中安管,通用安全保護類要求 G,關(guān)鍵控制點,安全類,等級保護的內(nèi)容十個方面,業(yè)務(wù)安全,物理安全,技術(shù)要求,管理要求,基本要求,網(wǎng)絡(luò)安全,主機安全,應用安全,數(shù)據(jù)安全,安全管理機構(gòu),安全管理制度,人員安全管理,系統(tǒng)建設(shè)管理,系統(tǒng)運維管理,控制項,28,基本要求GB/T 22239,物理位置的選擇,基本防護能力,高層、地下室,物理訪問控制,基本出入控制,

16、分區(qū)域管理,在機房中的活動,電子門禁,防盜竊和防破壞,存放位置、標記標識,監(jiān)控報警系統(tǒng),防雷擊,建筑防雷、機房接地,設(shè)備防雷,防火,滅火設(shè)備、自動報警,自動消防系統(tǒng),區(qū)域隔離措施,防靜電,關(guān)鍵設(shè)備,主要設(shè)備,防靜電地板,電力供應,穩(wěn)定電壓、短期供應,主要設(shè)備,冗余/并行線路,備用供電系統(tǒng),電磁防護,線纜隔離,接地防干擾,電磁屏蔽,防水和防潮,溫濕度控制,物理安全的整改要點,結(jié)構(gòu)安全,關(guān)鍵設(shè)備冗余空間,主要設(shè)備冗余空間,訪問控制,訪問控制設(shè)備（用戶、網(wǎng)段,應用層協(xié)議過濾,撥號訪問限制,會話終止,安全審計,日志記錄,審計報表,邊界完整性檢查,內(nèi)部的非法聯(lián)出,非授權(quán)設(shè)備私自外聯(lián),網(wǎng)絡(luò)安全的整改要點,

17、子網(wǎng)/網(wǎng)段控制,核心網(wǎng)絡(luò)帶寬,整體網(wǎng)絡(luò)帶寬,重要網(wǎng)段部署,路由控制,帶寬分配優(yōu)先級,端口控制,最大流量數(shù)及最大連接數(shù),防止地址欺騙,審計記錄的保護,定位及阻斷,入侵防范,檢測常見攻擊,記錄、報警,惡意代碼防范,網(wǎng)絡(luò)邊界處防范,網(wǎng)絡(luò)設(shè)備防護,基本的登錄鑒別,組合鑒別技術(shù),特權(quán)用戶的權(quán)限分離,身份鑒別,基本的身份鑒別,訪問控制,安全策略,管理用戶的權(quán)限分離,特權(quán)用戶的權(quán)限分離,安全審計,服務(wù)器基本運行情況審計,審計報表,剩余信息保護,空間釋放及信息清除,主機安全的整改要點,組合鑒別技術(shù),敏感標記的設(shè)置及操作,審計記錄的保護,入侵防范,最小安裝原則,重要服務(wù)器：檢測、記錄、報警,惡意代碼防范,主機與

18、網(wǎng)絡(luò)的防范產(chǎn)品不同,資源控制,監(jiān)視重要服務(wù)器,最小服務(wù)水平的檢測及報警,重要客戶端的審計,升級服務(wù)器,重要程序完整性,防惡意代碼軟件、代碼庫統(tǒng)一管理,對用戶會話數(shù)及終端登錄的限制,身份鑒別,基本的身份鑒別,訪問控制,安全策略,最小授權(quán)原則,安全審計,運行情況審計（用戶級,審計報表,剩余信息保護,空間釋放及信息清除,應用安全的整改要點,組合鑒別技術(shù),敏感標記的設(shè)置及操作,審計過程的保護,通信完整性,校驗碼技術(shù),密碼技術(shù),軟件容錯,自動保護功能,資源控制,資源分配限制、資源分配優(yōu)先級,最小服務(wù)水平的檢測及報警,數(shù)據(jù)有效性檢驗、部分運行保護,對用戶會話數(shù)及 系統(tǒng)最大并發(fā)會話數(shù)的限制,審計記錄的保護,

19、通信保密性,初始化驗證,整個報文及會話過程加密,敏感信息加密,抗抵賴,數(shù)據(jù)完整性,鑒別數(shù)據(jù)傳輸?shù)耐暾?備份和恢復,重要數(shù)據(jù)的備份,數(shù)據(jù)安全及備份恢復的整改要點,各類數(shù)據(jù)傳輸及存儲,異地備份,網(wǎng)絡(luò)冗余、硬件冗余,本地完全備份,硬件冗余,檢測和恢復,數(shù)據(jù)保密性,鑒別數(shù)據(jù)存儲的保密性,各類數(shù)據(jù)的傳輸及存儲,每天1次,備份介質(zhì)場外存放,合理分域，準確定級,信息系統(tǒng)等級保護以系統(tǒng)所處理信息的最高重要程度來確定安全等級 在合理劃分安全域邊界安全可控的情況下，各安全域可根據(jù)信息的最高重要程度單獨定級，實施“分域分級防護”的策略，從而降低系統(tǒng)建設(shè)成本和管理風險 信息系統(tǒng)安全域之間的邊界應劃分明確，安全域與安全域之間的所有數(shù)據(jù)通信都應安全可控 對于不同等級的安全域間通信，應實施有效的訪問控制策略和機制，控制高密級信息由高等級安全域流向低等級安全域,安全域 （第3級,安全域 （第2