等保20標(biāo)準(zhǔn)體系詳細(xì)解讀培訓(xùn)課件

等保20標(biāo)準(zhǔn)體系詳細(xì)解讀培訓(xùn)課件等保20標(biāo)準(zhǔn)體系詳細(xì)解讀培訓(xùn)課件等級(jí)保護(hù)發(fā)展歷程1994國(guó)務(wù)院令第147號(hào)1999GB1785920032004200720172019中辦發(fā)[2003]27號(hào)公通字[2007]43號(hào)公通字[2004]66號(hào)網(wǎng)絡(luò)安全法等保2.0核心標(biāo)準(zhǔn)強(qiáng)制性標(biāo)準(zhǔn)：本標(biāo)準(zhǔn)規(guī)定了我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)第二十一條“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，從法規(guī)上升到法律層面《基本要求》《安全設(shè)計(jì)技術(shù)要求》《測(cè)評(píng)要求》正式發(fā)布第九條“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)”首次提出了等級(jí)保護(hù)的概念信息安全保障綱領(lǐng)性文件，明確指出“實(shí)行信息安全等級(jí)保護(hù)“主要任務(wù)進(jìn)一步明確了信息安全等級(jí)保護(hù)制度的職責(zé)分工和工作的要求等基本內(nèi)容明確了信息安全等級(jí)保護(hù)的五個(gè)動(dòng)作，為開(kāi)展等級(jí)保護(hù)工作提供了規(guī)范保障等級(jí)保護(hù)發(fā)展歷程1994國(guó)務(wù)院令第147號(hào)1999GB178《網(wǎng)絡(luò)安全法》之等級(jí)保護(hù)

第二十一條

國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

第三十一條

國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。

第五十九條

網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。十二屆全國(guó)人大常委會(huì)第十五次會(huì)議公開(kāi)征求意見(jiàn)十二屆全國(guó)人大常委會(huì)第二十一次會(huì)議十二屆全國(guó)人大常委會(huì)第二十四次會(huì)議2015.6.262016.8.42016.11.72016.10.312016.7.5公開(kāi)征求意見(jiàn)發(fā)布一審三審二審2015.7.62015.8.52016.6.28總則網(wǎng)絡(luò)安全支持與促進(jìn)網(wǎng)絡(luò)運(yùn)行安全網(wǎng)絡(luò)信息安全法律責(zé)任附則監(jiān)測(cè)預(yù)警與應(yīng)急處置第一章第二章第五章第四章第三章第六章第七章《網(wǎng)絡(luò)安全法》之等級(jí)保護(hù)第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保違法案例醫(yī)療行業(yè)違法案例企業(yè)單位違法案例政府事業(yè)單位違法案例國(guó)內(nèi)教育行業(yè)違法案例違法案例醫(yī)療行業(yè)違法案例企業(yè)單位違法案例政府事業(yè)單位違法案例實(shí)施等級(jí)保護(hù)的意義滿足合法合規(guī)要求，明確責(zé)任和工作方法，讓安全防護(hù)更加規(guī)范明確組織整體目標(biāo)，改變以往單點(diǎn)防御方式，讓安全建設(shè)更加體系化提高人員安全意識(shí)，樹(shù)立等級(jí)化防護(hù)思想，合理分配網(wǎng)絡(luò)安全投資實(shí)施等級(jí)保護(hù)的意義滿足合法合規(guī)要求，明確責(zé)任和工作方法，讓安標(biāo)準(zhǔn)詳細(xì)解析標(biāo)準(zhǔn)詳細(xì)解析等級(jí)保護(hù)2.0修訂背景傳統(tǒng)安全思維難以應(yīng)對(duì)新型攻擊以“勒索病毒”為代表的新型攻擊席卷全球，使傳統(tǒng)安全防護(hù)手段已經(jīng)難以有效保護(hù)網(wǎng)絡(luò)空間安全，網(wǎng)絡(luò)安全保護(hù)體系需要全面升級(jí)。

適應(yīng)新型的系統(tǒng)形態(tài)和網(wǎng)絡(luò)架構(gòu)新技術(shù)、新業(yè)務(wù)下的產(chǎn)品與服務(wù)不斷創(chuàng)新與升級(jí)，云大物移工等新技術(shù)廣泛應(yīng)用，使網(wǎng)絡(luò)安全范疇進(jìn)一步拓展，要求網(wǎng)絡(luò)安全的保護(hù)體系也隨之升級(jí)。現(xiàn)有等保體系需要完善升級(jí)等保1.0相關(guān)系列標(biāo)準(zhǔn)已使用多年，為配合《網(wǎng)絡(luò)安全法》的實(shí)施，對(duì)原有等保體系進(jìn)行修訂，在適用性、時(shí)效性、易用性、可操作性上進(jìn)行升級(jí)。等級(jí)保護(hù)2.0修訂背景傳統(tǒng)安全思維難以應(yīng)對(duì)新型攻擊以“勒索病等保2.0的典型變化兩個(gè)全覆蓋一是覆蓋各地區(qū)、各單位、各部門、各企業(yè)、各機(jī)構(gòu)，也就是覆蓋全社會(huì)。除個(gè)人及家庭自建網(wǎng)絡(luò)的全覆蓋。二是覆蓋所有保護(hù)對(duì)象，包括網(wǎng)絡(luò)、信息系統(tǒng)，以及新的保護(hù)對(duì)象，云平臺(tái)、物聯(lián)網(wǎng)、工控系統(tǒng)、大數(shù)據(jù)、移動(dòng)互聯(lián)等各類新技術(shù)應(yīng)用。四個(gè)特點(diǎn)等級(jí)保護(hù)2.0基本要求、測(cè)評(píng)要求、安全設(shè)計(jì)技術(shù)要求框架統(tǒng)一，即：安全管理中心支持下的三重防護(hù)結(jié)構(gòu)框架。通用安全要求+新型應(yīng)用安全擴(kuò)展要求，將云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等列入標(biāo)準(zhǔn)規(guī)范。把可信驗(yàn)證列入各級(jí)別和各環(huán)節(jié)的主要功能要求。體系升級(jí)五個(gè)規(guī)定動(dòng)作+新的安全要求?定級(jí)

?備案

?安全建設(shè)?等級(jí)測(cè)評(píng)?監(jiān)督檢查?安全檢測(cè)

?通報(bào)預(yù)警

?案事件調(diào)查?數(shù)據(jù)防護(hù)?災(zāi)難備份?應(yīng)急處理?風(fēng)險(xiǎn)評(píng)估等保2.0的典型變化兩個(gè)全覆蓋一是覆蓋各地區(qū)、各單位、各部門等級(jí)保護(hù)2.0主要變化信息系統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò)等《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》安全要求安全通用要求+安全擴(kuò)展要求名稱變化名稱變安全要求變化定級(jí)對(duì)象變化等級(jí)保護(hù)2.0主要變化信息系統(tǒng)《信息安全技術(shù)信息系統(tǒng)安全等等級(jí)保護(hù)2.0主要變化（續(xù)）等保五個(gè)規(guī)定動(dòng)作五個(gè)規(guī)定動(dòng)作+新的安全要求技術(shù)（物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)）+管理技術(shù)（物理環(huán)境、一中心三防護(hù)）+管理技術(shù)要求等保2.0安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心管理要求安全管理制度安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理等保1.0技術(shù)要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全管理要求安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理?定級(jí)

?備案

?安全建設(shè)?等級(jí)測(cè)評(píng)?監(jiān)督檢查內(nèi)容變化等保1.0等保2.0控制措施分類結(jié)構(gòu)變化名稱變內(nèi)容變化?定級(jí)

?備案

?安全建設(shè)?等級(jí)測(cè)評(píng)?監(jiān)督檢查?安全檢測(cè)

?通報(bào)預(yù)警

?案事件調(diào)查?數(shù)據(jù)防護(hù)?災(zāi)難備份?應(yīng)急處理?風(fēng)險(xiǎn)評(píng)估等級(jí)保護(hù)2.0主要變化（續(xù)）等保五個(gè)規(guī)定動(dòng)作技術(shù)（物理、網(wǎng)絡(luò)通用要求-安全技術(shù)要求的變化等級(jí)保護(hù)1.0技術(shù)要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)等級(jí)保護(hù)2.0安全物理環(huán)境技術(shù)要求安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心安全管理中心安全通信網(wǎng)絡(luò)安全物理環(huán)境物理位置選擇物理訪問(wèn)控制防盜竊和防破壞防雷擊防火防水和防潮防靜電安全區(qū)域邊界安全計(jì)算環(huán)境溫濕度控制電力供應(yīng)電磁防護(hù)系統(tǒng)管理審計(jì)管理安全管理集中管控網(wǎng)絡(luò)架構(gòu)通信傳輸可信驗(yàn)證邊界防護(hù)訪問(wèn)控制入侵防范安全審計(jì)可信驗(yàn)證惡意代碼和垃圾郵件防范身份鑒別訪問(wèn)控制安全審計(jì)入侵防范惡意代碼防范可信驗(yàn)證數(shù)據(jù)完整性數(shù)據(jù)保密性數(shù)據(jù)備份恢復(fù)剩余信息保護(hù)個(gè)人信息保護(hù)通用要求-安全技術(shù)要求的變化等級(jí)保護(hù)1.0技物理安全網(wǎng)絡(luò)安全通用要求-安全管理要求的變化等級(jí)保護(hù)1.0管理要求安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理等級(jí)保護(hù)2.0安全管理制度管理要求安全管理機(jī)構(gòu)安全人員管理安全建設(shè)管理安全運(yùn)維管理安全管理制度安全策略管理制度制定和發(fā)布評(píng)審和修訂安全管理機(jī)構(gòu)崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查安全管理人員人員錄用人員離崗安全意識(shí)教育和培訓(xùn)外部人員訪問(wèn)管理安全建設(shè)管理定級(jí)和備案安全方案設(shè)計(jì)產(chǎn)品采購(gòu)和使用自行軟件開(kāi)發(fā)外包軟件開(kāi)發(fā)工程實(shí)施測(cè)試驗(yàn)收系統(tǒng)交付等級(jí)測(cè)評(píng)服務(wù)供應(yīng)商選擇安全運(yùn)維管理環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備維護(hù)管理漏洞和風(fēng)險(xiǎn)管理網(wǎng)絡(luò)和系統(tǒng)安全管理惡意代碼防范管理配置管理密碼管理備份與恢復(fù)管理安全事件處置應(yīng)急預(yù)案管理外包運(yùn)維管理變更管理通用要求-安全管理要求的變化等級(jí)保護(hù)1.0管安全管理制度安全通用要求-安全物理環(huán)境部分變化列舉變化列舉建議措施物理安全控制點(diǎn)要求項(xiàng)物理位置的選擇2物理訪問(wèn)控制4防盜竊和防破壞6防雷擊3防火3防水和防潮4防靜電2溫濕度控制1電力供應(yīng)4電磁防護(hù)3合計(jì)32安全物理環(huán)境控制點(diǎn)要求項(xiàng)物理位置選擇2物理訪問(wèn)控制1防盜竊和防破壞3防雷擊2防火3防水和防潮3防靜電2溫濕度控制1電力供應(yīng)3電磁防護(hù)2合計(jì)22防靜電：新增靜電消除器、佩戴防靜電手環(huán)等防靜電產(chǎn)生措施電力供應(yīng)：加強(qiáng)短期備用電力供應(yīng)的要求防靜電：機(jī)房配備靜電消除器，出入機(jī)房佩戴防靜電手環(huán)電力供應(yīng)：選擇的短期備用電力供應(yīng)產(chǎn)品不僅僅只是滿足主要設(shè)備，要能保證整體物理環(huán)境的正常運(yùn)行通用要求-安全物理環(huán)境部分變化列舉變化列舉建議措施物理安全控通用要求-安全通信網(wǎng)絡(luò)部分變化列舉變化列舉建議措施網(wǎng)絡(luò)安全控制點(diǎn)要求項(xiàng)結(jié)構(gòu)安全7訪問(wèn)控制8安全審計(jì)4邊界完整性檢查2入侵防范2惡意代碼防范2網(wǎng)絡(luò)設(shè)備防護(hù)8合計(jì)33安全通信網(wǎng)絡(luò)控制點(diǎn)要求項(xiàng)

網(wǎng)絡(luò)架構(gòu)5通信傳輸2可信驗(yàn)證1合計(jì)8網(wǎng)絡(luò)架構(gòu)：加強(qiáng)網(wǎng)絡(luò)設(shè)備滿足業(yè)務(wù)高峰期需要能力；新增通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的硬件冗余要求通信傳輸：加強(qiáng)密碼技術(shù)的應(yīng)用可信驗(yàn)證：新增可信驗(yàn)證要求網(wǎng)絡(luò)架構(gòu)：所有網(wǎng)絡(luò)設(shè)備需要考慮滿足業(yè)務(wù)高峰期需要，防止網(wǎng)絡(luò)設(shè)備成為瓶頸；同時(shí)在做架構(gòu)規(guī)劃時(shí)充分考慮提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的硬件冗余，保障業(yè)務(wù)連續(xù)性通信傳輸：要求整個(gè)通信鏈路的加密，對(duì)密碼技術(shù)的使用要求加強(qiáng)，建議用戶考慮通信傳輸中密碼技術(shù)應(yīng)用的實(shí)現(xiàn)可信驗(yàn)證：將可信驗(yàn)證列入各級(jí)別和各環(huán)節(jié)的主要功能要求?？筛鶕?jù)業(yè)務(wù)需要將可信加入規(guī)劃落實(shí)通用要求-安全通信網(wǎng)絡(luò)部分變化列舉變化列舉建議措施網(wǎng)絡(luò)安全控通用要求-安全區(qū)域邊界部分變化列舉變化列舉建議措施網(wǎng)絡(luò)安全控制點(diǎn)要求項(xiàng)結(jié)構(gòu)安全7訪問(wèn)控制8安全審計(jì)4邊界完整性檢查2入侵防范2惡意代碼防范2網(wǎng)絡(luò)設(shè)備防護(hù)8合計(jì)33安全區(qū)域邊界控制點(diǎn)要求項(xiàng)邊界防護(hù)4訪問(wèn)控制5入侵防范4惡意代碼和垃圾郵件防范2安全審計(jì)4可信驗(yàn)證1合計(jì)20邊界防護(hù)：三級(jí)新增對(duì)無(wú)線網(wǎng)絡(luò)使用的限制，保證無(wú)線網(wǎng)絡(luò)通過(guò)受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)訪問(wèn)控制：加強(qiáng)對(duì)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問(wèn)控制入侵防范：加強(qiáng)對(duì)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)/外部發(fā)起的網(wǎng)絡(luò)攻擊行為；新增實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析惡意代碼和垃圾郵件防范：新增垃圾郵件防護(hù)安全審計(jì)：新增對(duì)遠(yuǎn)程訪問(wèn)的用戶行為、訪問(wèn)互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析邊界防護(hù)：第三級(jí)及以上無(wú)線網(wǎng)絡(luò)單獨(dú)組網(wǎng)通過(guò)受控的邊界防護(hù)設(shè)備接入到內(nèi)部有線網(wǎng)絡(luò)訪問(wèn)控制：部署下一代防火墻或相關(guān)安全組件，實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問(wèn)控制入侵防范：使用有雙向安全檢測(cè)能力的產(chǎn)品或措施；部署安全感知等新型產(chǎn)品或措施實(shí)現(xiàn)新型網(wǎng)絡(luò)攻擊行為的分析惡意代碼和垃圾郵件防范：有自建郵件系統(tǒng)建議在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署防垃圾郵件產(chǎn)品安全審計(jì)：遠(yuǎn)程訪問(wèn)的用戶行為、訪問(wèn)互聯(lián)網(wǎng)的用戶行為，應(yīng)單獨(dú)進(jìn)行審計(jì)分析通用要求-安全區(qū)域邊界部分變化列舉變化列舉建議措施網(wǎng)絡(luò)安全控通用要求-安全計(jì)算環(huán)境部分變化列舉變化列舉建議措施安全計(jì)算環(huán)境控制點(diǎn)要求項(xiàng)身份鑒別4訪問(wèn)控制7安全審計(jì)4入侵防范6惡意代碼防范1可信驗(yàn)證1數(shù)據(jù)完整性2數(shù)據(jù)保密性2數(shù)據(jù)備份恢復(fù)3剩余信息保護(hù)2個(gè)人信息保護(hù)2合計(jì)34身份鑒別：加強(qiáng)用戶身份鑒別，采用兩種或兩種以上鑒別方式，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)入侵防范：新增已知漏洞發(fā)現(xiàn)并及時(shí)修補(bǔ)漏洞要求；加強(qiáng)對(duì)重要節(jié)點(diǎn)入侵行為的檢測(cè)及發(fā)生嚴(yán)重入侵事件報(bào)警要求數(shù)據(jù)完整性、數(shù)據(jù)保密性：加強(qiáng)密碼技術(shù)的應(yīng)用數(shù)據(jù)備份恢復(fù)：加強(qiáng)對(duì)數(shù)據(jù)備份恢復(fù)要求，異地實(shí)時(shí)備份，重要數(shù)據(jù)實(shí)時(shí)備份至備份場(chǎng)地；加強(qiáng)重要數(shù)據(jù)處理系統(tǒng)的熱冗余要求，保證系統(tǒng)的高可用性個(gè)人信息保護(hù)：新增個(gè)人信息保護(hù)要求身份鑒別：雙因素認(rèn)證入侵防范：通過(guò)漏洞掃描、滲透測(cè)試等方式核查高風(fēng)險(xiǎn)漏洞，評(píng)估后及時(shí)修補(bǔ)漏洞；在重要節(jié)點(diǎn)部署檢測(cè)探針或其它措施，對(duì)重要節(jié)點(diǎn)入侵行為進(jìn)行檢測(cè)，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警數(shù)據(jù)完整性；數(shù)據(jù)保密性：加強(qiáng)了密碼技術(shù)在數(shù)據(jù)完整性要求的應(yīng)用。如系統(tǒng)使用HTTPS，SSL等數(shù)據(jù)備份恢復(fù)：三級(jí)系統(tǒng)要求雙活熱備主機(jī)安全身份鑒別7訪問(wèn)控制7安全審計(jì)6剩余信息保護(hù)2入侵防范3惡意代碼防范3資源控制5應(yīng)用安全身份鑒別5訪問(wèn)控制6安全審計(jì)4剩余信息保護(hù)2通信完整性1通信保密性2抗抵賴2軟件容錯(cuò)2資源控制7數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性2數(shù)據(jù)保密性2備份和恢復(fù)4通用要求-安全計(jì)算環(huán)境部分變化列舉變化列舉建議措施安全計(jì)算環(huán)通用要求-安全管理中心部分變化列舉變化列舉建議措施安全管理中心控制點(diǎn)要求項(xiàng)系統(tǒng)管理2審計(jì)管理2安全管理2集中管控6合計(jì)12系統(tǒng)管理：二級(jí)及以上系統(tǒng)有此要求審計(jì)管理：二級(jí)及以上系統(tǒng)有此要求安全管理：三級(jí)及以上系統(tǒng)有此要求集中管控：三級(jí)及以上系統(tǒng)有此要求集中管控部分要求有審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求；對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理；網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析集中管控：劃分運(yùn)維管理域，使用專用安全產(chǎn)品對(duì)安全設(shè)備或安全組件集中管理建立一條安全的信息傳輸路徑，如使SSH、HTTPS等安全加密協(xié)議進(jìn)行遠(yuǎn)程連接對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測(cè)使用日志審計(jì)設(shè)備對(duì)審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析，并保證審計(jì)記錄的留存時(shí)間6個(gè)月以上對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理，如使用網(wǎng)絡(luò)版殺毒軟件、部署WSUS補(bǔ)丁服務(wù)器等能對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析，如部署安全感知平臺(tái)通用要求-安全管理中心部分變化列舉變化列舉建議措施安全管理中通用要求-安全管理制度部分變化列舉安全管理制度控制點(diǎn)要求項(xiàng)安全策略1管理制度3制定和發(fā)布2評(píng)審和修訂1合計(jì)7安全管理制度控制點(diǎn)要求項(xiàng)管理制度4制定和發(fā)布5評(píng)審和修訂2合計(jì)11安全策略：新增控制點(diǎn)。等保1.0管理制度中的第1項(xiàng)要求單獨(dú)作為一個(gè)控制點(diǎn)，體現(xiàn)對(duì)組織總體方針及策略的重視程度增加管理制度：安全管理制度體系文件構(gòu)成強(qiáng)調(diào)了記錄表單制定和發(fā)布：取消制度的論證和審定過(guò)程，發(fā)布范圍和收發(fā)文登記，只需控制好版本，正式有效發(fā)布即可評(píng)審和修訂：取消必須由信息安全領(lǐng)導(dǎo)小組進(jìn)行評(píng)審的要求，但增強(qiáng)了評(píng)審周期，由定期或不定期增強(qiáng)為定期變化列舉建議措施加強(qiáng)對(duì)總體方針和安全策略重視；管理制度體系中注意記錄表單生成；簡(jiǎn)化制度制定和發(fā)布流程；定期組織論證和審定工作通用要求-安全管理制度部分變化列舉安全管理制度控制點(diǎn)要求項(xiàng)安通用要求-安全管理機(jī)構(gòu)管理部分變化列舉授權(quán)和審批：取消授權(quán)和審批過(guò)程文檔記錄的要求，在安全管理制度體系文件構(gòu)成強(qiáng)調(diào)了記錄表單的構(gòu)成，不再贅述溝通和合作：取消聘請(qǐng)信息安全專家作為常年的安全顧問(wèn)來(lái)指導(dǎo)安全工作變化列舉建議措施安全管理機(jī)構(gòu)控制點(diǎn)要求項(xiàng)崗位設(shè)置3人員配備2授權(quán)和審批3溝通和合作3審核和檢查3合計(jì)14安全管理機(jī)構(gòu)控制點(diǎn)要求項(xiàng)崗位設(shè)置4人員配備3授權(quán)和審批4溝通和合作5審核和檢查4合計(jì)20無(wú)通用要求-安全管理機(jī)構(gòu)管理部分變化列舉授權(quán)和審批：取消授權(quán)和通用要求-安全管理人員部分變化列舉安全管理人員控制點(diǎn)要求項(xiàng)人員錄用3人員離崗2安全意識(shí)教育和培訓(xùn)3外部人員訪問(wèn)管理4合計(jì)12人員安全管理控制點(diǎn)要求項(xiàng)人員錄用4人員離崗3人員考核3安全意識(shí)教育和培訓(xùn)4外部人員訪問(wèn)管理2合計(jì)16人員離崗：增強(qiáng)人員離崗要求，所有人員離崗均需簽署保密協(xié)議安全意識(shí)教育和培訓(xùn)：增強(qiáng)安全意識(shí)教育和培訓(xùn)要求，增加相關(guān)的安全責(zé)任和懲戒措施外部人員訪問(wèn)管理：增強(qiáng)外部人員訪問(wèn)管理，增加外部人員離場(chǎng)后清除權(quán)限以及和外部授權(quán)人員簽署保密協(xié)議的要求變化列舉建議措施修訂完善安全管理人員制度，重點(diǎn)增強(qiáng)人員離崗、安全意識(shí)教育和培訓(xùn)以及外部人員訪問(wèn)等方面管理通用要求-安全管理人員部分變化列舉安全管理人員控制點(diǎn)要求項(xiàng)人通用要求-安全建設(shè)管理部分變化列舉定級(jí)和備案：等保1.0中系統(tǒng)定級(jí)和系統(tǒng)備案進(jìn)行了合并自行軟件開(kāi)發(fā)：增強(qiáng)自行軟件開(kāi)發(fā)相關(guān)安全要求，增加軟件開(kāi)發(fā)過(guò)程中和軟件安裝前的安全測(cè)試，且要求自行軟件開(kāi)發(fā)人員為專職人員并控制、監(jiān)視和審查開(kāi)發(fā)活動(dòng)安全方案設(shè)計(jì)：整體進(jìn)行了優(yōu)化，安全方案的設(shè)計(jì)中重點(diǎn)強(qiáng)調(diào)了密碼技術(shù)工程實(shí)施：新增通過(guò)第三方工程監(jiān)理控制項(xiàng)目的實(shí)施過(guò)程服務(wù)供應(yīng)商選擇：安全服務(wù)商選擇改為服務(wù)供應(yīng)商選擇，新增對(duì)服務(wù)供應(yīng)商提供服務(wù)定期監(jiān)督、評(píng)審和審核的要求，并對(duì)其變更服務(wù)內(nèi)容加以控制變化列舉建議措施安全建設(shè)管理控制點(diǎn)要求項(xiàng)定級(jí)和備案4安全方案設(shè)計(jì)3產(chǎn)品采購(gòu)和使用3自行軟件開(kāi)發(fā)7外包軟件開(kāi)發(fā)3工程實(shí)施3測(cè)試驗(yàn)收2系統(tǒng)交付3等級(jí)測(cè)評(píng)3服務(wù)供應(yīng)商選擇3合計(jì)34系統(tǒng)建設(shè)管理控制點(diǎn)要求項(xiàng)系統(tǒng)定級(jí)4安全方案設(shè)計(jì)5產(chǎn)品采購(gòu)和使用4自行軟件開(kāi)發(fā)5外包軟件開(kāi)發(fā)4工程實(shí)施3測(cè)試驗(yàn)收5系統(tǒng)交付5系統(tǒng)備案3等級(jí)測(cè)評(píng)4安全服務(wù)商選擇3合計(jì)45修訂完善安全建設(shè)管理制度，重點(diǎn)增強(qiáng)自行軟件開(kāi)發(fā)交付前的安全測(cè)試和專職人員控制，安全方案設(shè)計(jì)強(qiáng)調(diào)密碼技術(shù)的設(shè)計(jì)，有條件的在工程實(shí)施中采購(gòu)第三方工程監(jiān)理，并增強(qiáng)對(duì)服務(wù)供應(yīng)商的監(jiān)督和評(píng)審等內(nèi)容通用要求-安全建設(shè)管理部分變化列舉定級(jí)和備案：等保1.0中系通用要求-安全運(yùn)維管理部分變化列舉設(shè)備維護(hù)管理：新增含有存儲(chǔ)介質(zhì)的設(shè)備帶出工作環(huán)境時(shí)，其中重要數(shù)據(jù)必須加密；存儲(chǔ)介質(zhì)的設(shè)備在報(bào)廢或重用前，保證該設(shè)備上的敏感數(shù)據(jù)和授權(quán)軟件無(wú)法被恢復(fù)重用監(jiān)控管理和安全管理中心：刪除了該控制點(diǎn)漏洞和風(fēng)險(xiǎn)管理：新增漏洞和風(fēng)險(xiǎn)管理控制點(diǎn)。要求識(shí)別漏洞和隱患，對(duì)發(fā)現(xiàn)漏洞和風(fēng)險(xiǎn)進(jìn)行評(píng)估、修補(bǔ)惡意代碼防范管理：新增定期檢驗(yàn)技術(shù)措施的有效性配置管理：新增配置管理控制點(diǎn)。要求記錄和保存基本配置信息，并將配置變更納入管理進(jìn)行控制外包運(yùn)維管理：新增外包運(yùn)維管理控制點(diǎn)。增強(qiáng)對(duì)外包運(yùn)維的整體安全管理變化列舉建議措施安全運(yùn)維管理控制點(diǎn)要求項(xiàng)環(huán)境管理3資產(chǎn)管理3介質(zhì)管理2設(shè)備維護(hù)管理4漏洞和風(fēng)險(xiǎn)管理2網(wǎng)絡(luò)和系統(tǒng)安全管理10惡意代碼防范管理2配置管理2密碼管理2變更管理3備份與恢復(fù)管理3安全事件處置4應(yīng)急預(yù)案管理4外包運(yùn)維管理4合計(jì)48系統(tǒng)運(yùn)維管理控制點(diǎn)要求項(xiàng)環(huán)境管理4資產(chǎn)管理4介質(zhì)管理6設(shè)備管理5監(jiān)控管理和安全管理中心3網(wǎng)絡(luò)安全管理8系統(tǒng)安全管理7惡意代碼防范管理4密碼管理1變更管理4備份與恢復(fù)管理5安全事件處置6應(yīng)急預(yù)案管理5合計(jì)62修訂安全運(yùn)維管理制度，重點(diǎn)加強(qiáng)設(shè)備維護(hù)、漏洞和風(fēng)險(xiǎn)、惡意代碼防范、配置及外包運(yùn)維管理制度完善通用要求-安全運(yùn)維管理部分變化列舉設(shè)備維護(hù)管理：新增含有存儲(chǔ)等保2.0建設(shè)10類建議（技術(shù)部分）訪問(wèn)控制傳輸保密性非法內(nèi)外聯(lián)惡意代碼防范等保建設(shè)10類建議雙因素認(rèn)證重大漏洞修補(bǔ)數(shù)據(jù)備份安全審計(jì)事件發(fā)現(xiàn)處置內(nèi)外網(wǎng)防護(hù)等保2.0建設(shè)10類建議（技術(shù)部分）訪問(wèn)控制傳輸保密性非法內(nèi)等保2.0建設(shè)重點(diǎn)措施（技術(shù)部分）詳解一重點(diǎn)措施高危隱患判定條件補(bǔ)償措施安全通信網(wǎng)絡(luò)互聯(lián)網(wǎng)邊界訪問(wèn)控制互聯(lián)網(wǎng)出口無(wú)任何訪問(wèn)控制措施；配置不當(dāng)有較大安全隱患；配置措施失效無(wú)法起到訪問(wèn)控制功能。部署訪問(wèn)控制設(shè)備并合理配置，確保控制措施有效。傳輸保密性口令、密鑰等重要敏感信息在網(wǎng)絡(luò)中明文傳輸。相關(guān)設(shè)備開(kāi)啟SSH或HTTPS協(xié)議或創(chuàng)建加密通道，通過(guò)這些加密方式傳輸敏感信息。安全區(qū)域邊界內(nèi)聯(lián)檢查措施非授權(quán)設(shè)備能夠直接接入重要網(wǎng)絡(luò)區(qū)域，如服務(wù)器區(qū)、管理網(wǎng)段等，且無(wú)任何告警、限制、阻斷等措施。部署能夠?qū)Ψ欠▋?nèi)聯(lián)行為進(jìn)行檢查、定位和阻斷的安全準(zhǔn)入產(chǎn)品。外聯(lián)檢查措施核心重要服務(wù)器設(shè)備、重要核心管理終端，如無(wú)法對(duì)非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制，或內(nèi)部人員可旁路、繞過(guò)邊界訪問(wèn)控制設(shè)備私自外聯(lián)互聯(lián)網(wǎng)。部署能夠?qū)Ψ欠ㄍ饴?lián)行為進(jìn)行檢查、定位和阻斷的安全管理產(chǎn)品。內(nèi)部網(wǎng)絡(luò)攻擊防御關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)(如核心服務(wù)器區(qū)與其他內(nèi)部網(wǎng)絡(luò)區(qū)域邊界處)未采取任何防護(hù)措施，無(wú)法檢測(cè)、阻止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。部署相關(guān)的防護(hù)設(shè)備，檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。外部網(wǎng)絡(luò)攻擊防御關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)(如互聯(lián)網(wǎng)邊界處)未采取任何防護(hù)措施，無(wú)法檢測(cè)、阻止或限制互聯(lián)網(wǎng)發(fā)起的攻擊行為。在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)(如互聯(lián)網(wǎng)邊界處)部署入侵防御、WAF等對(duì)可攻擊行為進(jìn)行檢測(cè)、阻斷或限制的設(shè)備，或購(gòu)買云防等外部抗攻擊服務(wù)。惡意代碼防范主機(jī)和網(wǎng)絡(luò)層均無(wú)任何惡意代碼檢測(cè)和清除措施的。在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署惡意代碼檢測(cè)和清除產(chǎn)品，且與主機(jī)層惡意代碼防范產(chǎn)品形成異構(gòu)模式，有效檢測(cè)及清除可能出現(xiàn)的惡意代碼攻擊。網(wǎng)絡(luò)安全審計(jì)措施在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)無(wú)任何安全審計(jì)措施，無(wú)法對(duì)重要的用戶行為和重要安全事件進(jìn)行日志審計(jì)。建議在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)，對(duì)重要的用戶行為和重要安全事件進(jìn)行日志審計(jì)，便于對(duì)相關(guān)事件或行為進(jìn)行追溯。等保2.0建設(shè)重點(diǎn)措施（技術(shù)部分）詳解一重點(diǎn)措施高危隱患判定等保2.0建設(shè)重點(diǎn)措施（技術(shù)部分）詳解二重點(diǎn)措施高危隱患判定條件補(bǔ)償措施安全計(jì)算環(huán)境網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)雙因素認(rèn)證重要核心設(shè)備、操作系統(tǒng)等未采用兩種或兩種以上鑒別技術(shù)對(duì)用戶身份進(jìn)行鑒別。增加除用戶名/口令以外的身份鑒別技術(shù)，如密碼/令牌、生物鑒別方式等，實(shí)現(xiàn)雙因子身份鑒別，增強(qiáng)身份鑒別的安全力度。安全設(shè)備、應(yīng)用系統(tǒng)安全審計(jì)重要核心網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)等未開(kāi)啟任何審計(jì)功能，無(wú)法對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)，也無(wú)法對(duì)事件進(jìn)行溯源。重要核心設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)性能允許的前提下，開(kāi)啟用戶操作類、安全事件類和重要用戶操作、行為操作審計(jì)策略或使用第三方日志審計(jì)工具。已知重大漏洞修補(bǔ)對(duì)于一些互聯(lián)網(wǎng)直接能夠訪問(wèn)到的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等，如存在外界披露的重大漏洞，未及時(shí)修補(bǔ)更新；應(yīng)用系統(tǒng)所使用的環(huán)境、框架、組件等存在可被利用的高風(fēng)險(xiǎn)漏洞，導(dǎo)致敏感數(shù)據(jù)泄露、網(wǎng)頁(yè)篡改、服務(wù)器被入侵等安全事件的發(fā)生，可能造成嚴(yán)重后果的。訂閱安全廠商漏洞推送或本地安裝安全軟件，及時(shí)了解漏洞動(dòng)態(tài)，在充分測(cè)試評(píng)估的基礎(chǔ)上，彌補(bǔ)嚴(yán)重安全漏洞；定期對(duì)應(yīng)用系統(tǒng)進(jìn)行漏洞掃描，對(duì)可能存在的已知漏洞，在重復(fù)測(cè)試評(píng)估后及時(shí)進(jìn)行修補(bǔ)，降低安全隱患。數(shù)據(jù)備份措施應(yīng)用系統(tǒng)未提供任何數(shù)據(jù)備份措施，一旦遭受數(shù)據(jù)破壞，無(wú)法進(jìn)行數(shù)據(jù)恢復(fù)的。建立備份恢復(fù)機(jī)制，定期對(duì)重要數(shù)據(jù)進(jìn)行備份以及恢復(fù)測(cè)試，確保在出現(xiàn)數(shù)據(jù)破壞時(shí)，可利用備份數(shù)據(jù)進(jìn)行恢復(fù)。異地備份措施對(duì)系統(tǒng)、數(shù)據(jù)容災(zāi)要求較高的系統(tǒng)，如金融、醫(yī)療衛(wèi)生、社會(huì)保障等行業(yè)系統(tǒng)，如無(wú)異地?cái)?shù)據(jù)災(zāi)備措施，或異地備份機(jī)制無(wú)法滿足業(yè)務(wù)需要。設(shè)置異地災(zāi)備機(jī)房，并利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時(shí)備份至備份場(chǎng)地。安全管理中心運(yùn)行監(jiān)控措施對(duì)可用性要求較高的系統(tǒng)，若沒(méi)有任何監(jiān)測(cè)措施，發(fā)生故障時(shí)難以及時(shí)對(duì)故障進(jìn)行定位和處理。對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測(cè)。日志集中收集存儲(chǔ)相關(guān)設(shè)備日志留存不滿足法律法規(guī)相關(guān)要求。部署日志服務(wù)器，統(tǒng)一收集各設(shè)備的審計(jì)數(shù)據(jù)，進(jìn)行集中分析，并根據(jù)法律法規(guī)的要求留存日志。安全事件發(fā)現(xiàn)處置措施未部署相關(guān)安全設(shè)備，識(shí)別網(wǎng)絡(luò)中發(fā)生的安全事件，并對(duì)重要安全事件進(jìn)行報(bào)警。部署相關(guān)專業(yè)防護(hù)設(shè)備，對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析，確保相關(guān)安全事件得到及時(shí)發(fā)現(xiàn)，及時(shí)處置。等保2.0建設(shè)重點(diǎn)措施（技術(shù)部分）詳解二重點(diǎn)措施高危隱患判定等保2.0通用方案設(shè)計(jì)思路分級(jí)分域——?jiǎng)澐植煌?jí)別安全域通信網(wǎng)絡(luò)——網(wǎng)絡(luò)架構(gòu)及通信傳輸區(qū)域邊界——訪問(wèn)控制及檢測(cè)防護(hù)計(jì)算環(huán)境——入侵防范及數(shù)據(jù)安全管理中心——集中管控及安全審計(jì)二級(jí)等保安全產(chǎn)品（服務(wù)）列表必選建議可選下一代防火墻SSLVPN數(shù)據(jù)庫(kù)審計(jì)殺毒軟件

上網(wǎng)行為管理堡壘機(jī)日志審計(jì)系統(tǒng)檢測(cè)探針+感知平臺(tái)云端安全服務(wù)

風(fēng)險(xiǎn)評(píng)估服務(wù)三級(jí)等保安全產(chǎn)品（服務(wù)）列表必選建議可選下一代防火墻SSLVPN廣域網(wǎng)優(yōu)化設(shè)備殺毒軟件

堡壘機(jī)風(fēng)險(xiǎn)評(píng)估服務(wù)日志審計(jì)系統(tǒng)負(fù)載均衡測(cè)試滲透服務(wù)上網(wǎng)行為管理檢測(cè)探針+感知平臺(tái)應(yīng)急響應(yīng)服務(wù)數(shù)據(jù)庫(kù)審計(jì)基線核查系統(tǒng)應(yīng)急演練服務(wù)云端安全服務(wù)

郵件網(wǎng)關(guān)說(shuō)明：產(chǎn)品（服務(wù)）列表主要針對(duì)左側(cè)通用場(chǎng)景拓?fù)淝闆r等保2.0通用方案設(shè)計(jì)思路分級(jí)分域——?jiǎng)澐植煌?jí)別安全域通信安全產(chǎn)品/服務(wù)全景圖下一代防火墻AF入侵防御系統(tǒng)IPSWeb應(yīng)用防火墻WAF終端檢測(cè)響應(yīng)平臺(tái)EDR企業(yè)移動(dòng)管理EMM邊界安全終端安全風(fēng)險(xiǎn)評(píng)估服務(wù)滲透測(cè)試服務(wù)漏洞掃描服務(wù)等級(jí)保護(hù)咨詢整體安全規(guī)劃設(shè)計(jì)安全評(píng)估安全規(guī)劃咨詢漏洞管理服務(wù)威脅監(jiān)測(cè)與主動(dòng)響應(yīng)應(yīng)急響應(yīng)服務(wù)應(yīng)急演練服務(wù)安全運(yùn)營(yíng)應(yīng)急響應(yīng)有效保護(hù)的安全產(chǎn)品人機(jī)共智的安全服務(wù)一體化安全平臺(tái)XSec云端安全服務(wù)SaaS合規(guī)類安全產(chǎn)品上網(wǎng)行為管理ACSSLVPN身份與訪問(wèn)安全安全感知平臺(tái)SIP安全云圖X-Central數(shù)據(jù)庫(kù)審計(jì)DAS威脅檢測(cè)安全審計(jì)與運(yùn)營(yíng)運(yùn)維堡壘機(jī)OSM日志審計(jì)系統(tǒng)LAS基線核查系統(tǒng)BVT合規(guī)審計(jì)風(fēng)險(xiǎn)評(píng)估云安全網(wǎng)閘GAP/光閘FGAP安全隔離安全產(chǎn)品/服務(wù)全景圖下一代防火墻AF終端檢測(cè)響應(yīng)平臺(tái)ED云計(jì)算擴(kuò)展要求-合規(guī)要點(diǎn)No.1云等保不是新鮮的事物,而是在原等?？蚣芟碌男率挛锏臄U(kuò)展,因此云等保各環(huán)節(jié)應(yīng)與傳統(tǒng)等保相同,包括定級(jí)、備案、建設(shè)整改、測(cè)評(píng)、監(jiān)督檢查等。等?？蚣芟滦略黾拥脑匦枰獙?duì)原有等級(jí)保護(hù)相關(guān)工作的具體內(nèi)容進(jìn)行擴(kuò)充并統(tǒng)一。云等保定位云計(jì)算平臺(tái)(采用云計(jì)算技術(shù)的系統(tǒng))自身安全防護(hù)要求。云計(jì)算平臺(tái)向其上租戶系統(tǒng)供安全防護(hù)的能力要求。云計(jì)算擴(kuò)展要求主要技術(shù)思想應(yīng)將云計(jì)算平臺(tái)/系統(tǒng)與云客戶側(cè)的等級(jí)保護(hù)對(duì)象劃分為不同的定級(jí)對(duì)象分別定級(jí)；對(duì)于大型云計(jì)算平臺(tái)，應(yīng)將云計(jì)算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級(jí)對(duì)象；提供多種服務(wù)模式（IaaS、PaaS）的云平臺(tái)，應(yīng)根據(jù)服務(wù)模式進(jìn)一步劃分為獨(dú)立的定級(jí)對(duì)象分別定級(jí)；國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施（重要云計(jì)算平臺(tái)）的安全保護(hù)等級(jí)應(yīng)不低于第三級(jí)云計(jì)算安全原則性要求云計(jì)算擴(kuò)展要求-合規(guī)要點(diǎn)No.1云等保不是新鮮的事物,而是在云計(jì)算擴(kuò)展要求-責(zé)任共擔(dān)模型云計(jì)算服務(wù)的場(chǎng)景中可以分為使用者和服務(wù)提供者使用者（上系統(tǒng)的安全責(zé)任客戶）和服務(wù)提供者（云服務(wù)商）共同承擔(dān)云按照從底層基礎(chǔ)設(shè)施到上層應(yīng)用系統(tǒng)及數(shù)據(jù)的順序，云服務(wù)商從下往上安全責(zé)任逐漸減弱，客戶責(zé)任逐漸增強(qiáng)。IaaSPaaSSaaS客

戶

的

責(zé)

任數(shù)據(jù)安全數(shù)據(jù)安全數(shù)據(jù)安全終端安全終端安全終端安全責(zé)任

共擔(dān)訪問(wèn)控制安全訪問(wèn)控制安全訪問(wèn)控制安全應(yīng)用安全應(yīng)用安全應(yīng)用安全云平

臺(tái)方

責(zé)任主機(jī)和網(wǎng)絡(luò)安全主機(jī)和網(wǎng)絡(luò)安全主機(jī)和網(wǎng)絡(luò)安全物理和基礎(chǔ)架構(gòu)安全物理和基礎(chǔ)架構(gòu)安全物理和基礎(chǔ)架構(gòu)安全某云基于信息資產(chǎn)和產(chǎn)品功能建立了如下的信息安全責(zé)任共擔(dān)模型，其中不同顏色定義云服務(wù)提供商應(yīng)負(fù)責(zé)責(zé)任部分、客戶應(yīng)負(fù)責(zé)責(zé)任部分，共同承擔(dān)責(zé)任部分《信息安全技術(shù)

云計(jì)算服務(wù)安全能力要求》（GB/T31168－2014）云計(jì)算擴(kuò)展要求-責(zé)任共擔(dān)模型云計(jì)算服務(wù)的場(chǎng)景中可以分為使用者云計(jì)算擴(kuò)展要求-重點(diǎn)要求安全物理環(huán)境控制點(diǎn)要求項(xiàng)基礎(chǔ)設(shè)施位置1重點(diǎn)要求基礎(chǔ)設(shè)施位置：應(yīng)保證云計(jì)算基礎(chǔ)設(shè)施位于中國(guó)境內(nèi)。數(shù)據(jù)完整性和保密性：應(yīng)確保云服務(wù)客戶數(shù)據(jù)、用戶個(gè)人信息等存儲(chǔ)于中國(guó)境內(nèi)；云計(jì)算環(huán)境管理：云計(jì)算平臺(tái)的運(yùn)維地點(diǎn)應(yīng)位于中國(guó)境內(nèi)；網(wǎng)絡(luò)架構(gòu)：應(yīng)保證云計(jì)算平臺(tái)不承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng);具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求提供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制的能力；入侵防范：應(yīng)能檢測(cè)到虛擬機(jī)與宿主機(jī)、虛擬機(jī)與虛擬機(jī)之間的異常流量；集中管控：應(yīng)能對(duì)物理資源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配；安全通信網(wǎng)絡(luò)控制點(diǎn)要求項(xiàng)網(wǎng)絡(luò)架構(gòu)5安全區(qū)域邊界控制點(diǎn)要求項(xiàng)訪問(wèn)控制2入侵防范4安全審計(jì)2安全計(jì)算環(huán)境控制點(diǎn)要求項(xiàng)身份鑒別1訪問(wèn)控制2入侵防范3鏡像和快照保護(hù)3數(shù)據(jù)完成性和保密性4數(shù)據(jù)備份恢復(fù)4剩余信息保護(hù)2安全管理中心控制點(diǎn)要求項(xiàng)集中管控4安全建設(shè)管理控制點(diǎn)要求項(xiàng)云服務(wù)商選擇5供應(yīng)鏈管理3安全運(yùn)維管理控制點(diǎn)要求項(xiàng)云計(jì)算環(huán)境管理1云計(jì)算擴(kuò)展要求-重點(diǎn)要求安全物理環(huán)境控制點(diǎn)要求項(xiàng)基礎(chǔ)設(shè)施位置移動(dòng)互聯(lián)擴(kuò)展要求-合規(guī)要點(diǎn)定級(jí)：采用移動(dòng)互聯(lián)技術(shù)的等級(jí)保護(hù)對(duì)象應(yīng)作為一個(gè)整體對(duì)象定級(jí)，主要包括移動(dòng)終端、移動(dòng)應(yīng)用、無(wú)線網(wǎng)絡(luò)以及相關(guān)應(yīng)用系統(tǒng)等。移動(dòng)終端通過(guò)無(wú)線通道連接無(wú)線接入設(shè)備接入，無(wú)線接入網(wǎng)關(guān)通過(guò)訪問(wèn)控制策略限制移動(dòng)終端的訪問(wèn)行為后臺(tái)的移動(dòng)終端管理系統(tǒng)負(fù)責(zé)對(duì)移動(dòng)終端的管理，包括向客戶端軟件發(fā)送移動(dòng)設(shè)備管理、移動(dòng)應(yīng)用管理和移動(dòng)內(nèi)容管理策略等移動(dòng)管理服務(wù)器業(yè)務(wù)系統(tǒng)服務(wù)器無(wú)線接入設(shè)備無(wú)線接入網(wǎng)關(guān)公共WIFI專用WIFI通用終端專用終端服務(wù)器區(qū)接入設(shè)備無(wú)線通道移動(dòng)終端移動(dòng)互聯(lián)擴(kuò)展要求-合規(guī)要點(diǎn)定級(jí)：移動(dòng)終端通過(guò)無(wú)線通道連接無(wú)線移動(dòng)互聯(lián)擴(kuò)展要求-重點(diǎn)要求安全物理環(huán)境控制點(diǎn)要求項(xiàng)無(wú)線接入點(diǎn)的物理位置1合計(jì)1安全區(qū)域邊界控制點(diǎn)要求項(xiàng)邊界防護(hù)1訪問(wèn)控制1入侵防范6合計(jì)8安全計(jì)算環(huán)境控制點(diǎn)要求項(xiàng)移動(dòng)終端管控1移動(dòng)應(yīng)用管控1合計(jì)2安全建設(shè)管理控制點(diǎn)要求項(xiàng)移動(dòng)應(yīng)用軟件采購(gòu)1移動(dòng)應(yīng)用軟件開(kāi)發(fā)1合計(jì)2安全運(yùn)維管理控制點(diǎn)要求項(xiàng)配置管理1合計(jì)1重點(diǎn)要求無(wú)線接入點(diǎn)的物理位置：應(yīng)為無(wú)線接入設(shè)備的安裝選擇合理位置，避免過(guò)度覆蓋和電磁干擾；訪問(wèn)控制：無(wú)線接入設(shè)備應(yīng)開(kāi)啟接入認(rèn)證功能，并支持采用認(rèn)證服務(wù)器認(rèn)證或國(guó)家密碼管理機(jī)構(gòu)批準(zhǔn)的密碼模塊進(jìn)行認(rèn)證；入侵防范：應(yīng)能夠檢測(cè)到非授權(quán)無(wú)線接入設(shè)備和非授權(quán)移動(dòng)終端的接入行為；應(yīng)能夠檢測(cè)到針對(duì)無(wú)線接入設(shè)備的網(wǎng)絡(luò)掃描、DDoS攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為；移動(dòng)終端管理：移動(dòng)終端應(yīng)接受移動(dòng)終端管理服務(wù)端的設(shè)備生命周期管理、設(shè)備遠(yuǎn)程控制，如:遠(yuǎn)程鎖定、遠(yuǎn)程擦除等移動(dòng)應(yīng)用軟件開(kāi)發(fā)：應(yīng)對(duì)移動(dòng)業(yè)務(wù)應(yīng)用軟件開(kāi)發(fā)者進(jìn)行資格審查

移動(dòng)互聯(lián)擴(kuò)展要求-重點(diǎn)要求安全物理環(huán)境控制點(diǎn)要求項(xiàng)無(wú)線接入點(diǎn)物聯(lián)網(wǎng)擴(kuò)展要求-合規(guī)要點(diǎn)定級(jí)：作為一個(gè)整體對(duì)象定級(jí)，主要包括感知層、網(wǎng)絡(luò)傳輸層和處理應(yīng)用層等要素。感知層：包括傳感器節(jié)點(diǎn)和傳感網(wǎng)網(wǎng)關(guān)節(jié)點(diǎn)，或RFID標(biāo)簽和RFID讀寫器，也包括這些感知設(shè)備及傳感網(wǎng)網(wǎng)關(guān)、RFID標(biāo)簽與閱讀器之間的短距離通信(通常為無(wú)線)部分;網(wǎng)絡(luò)傳輸層：包括將這些感知數(shù)據(jù)遠(yuǎn)距離傳輸?shù)教幚碇行牡木W(wǎng)絡(luò)，包括互聯(lián)網(wǎng)、移動(dòng)網(wǎng)等，以及幾種不同網(wǎng)絡(luò)的融合;處理應(yīng)用層：包括對(duì)感知數(shù)據(jù)進(jìn)行存儲(chǔ)與智能處理的平臺(tái)，并對(duì)業(yè)務(wù)應(yīng)用終端提供服務(wù)。智能處理計(jì)算服務(wù)處理應(yīng)用層數(shù)據(jù)存儲(chǔ)電信網(wǎng)/互聯(lián)網(wǎng)移動(dòng)通信網(wǎng)網(wǎng)絡(luò)傳輸層專用網(wǎng)RFID讀寫器感知層RFID標(biāo)簽感知網(wǎng)關(guān)節(jié)點(diǎn)終端感知節(jié)點(diǎn)RFID系統(tǒng)傳感網(wǎng)絡(luò)物聯(lián)網(wǎng)擴(kuò)展要求-合規(guī)要點(diǎn)定級(jí)：感知層：包括傳感器節(jié)點(diǎn)和傳感網(wǎng)物聯(lián)網(wǎng)擴(kuò)展要求-重點(diǎn)要求安全物理環(huán)境控制點(diǎn)要求項(xiàng)感知節(jié)點(diǎn)設(shè)備物理防護(hù)4合計(jì)4安全區(qū)域邊界控制點(diǎn)要求項(xiàng)接入控制1入侵防范1合計(jì)8安全計(jì)算環(huán)境控制點(diǎn)要求項(xiàng)感知節(jié)點(diǎn)設(shè)備安全3網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全4抗數(shù)據(jù)重放2數(shù)據(jù)融合處理1合計(jì)10安全運(yùn)維管理控制點(diǎn)要求項(xiàng)感知節(jié)點(diǎn)管理3合計(jì)3重點(diǎn)要求感知節(jié)點(diǎn)設(shè)備物理防護(hù)：知節(jié)點(diǎn)設(shè)備所處的物理環(huán)境應(yīng)不對(duì)感知節(jié)點(diǎn)設(shè)備造成物理破壞，如擠壓、強(qiáng)振動(dòng);感知節(jié)點(diǎn)設(shè)備在工作狀態(tài)所處物理環(huán)境應(yīng)不對(duì)感知節(jié)點(diǎn)設(shè)備的正常工作造成影響，如強(qiáng)干擾、阻擋屏蔽等關(guān)鍵感知節(jié)點(diǎn)設(shè)備應(yīng)具有可供長(zhǎng)時(shí)間工作的電力供應(yīng)(關(guān)鍵網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備應(yīng)具有持久穩(wěn)定的電力供應(yīng)能力)入侵防范：應(yīng)能夠限制與感知節(jié)點(diǎn)/網(wǎng)關(guān)節(jié)點(diǎn)通信的目標(biāo)地址，以避免對(duì)陌生地址的攻擊行為；感知節(jié)點(diǎn)設(shè)備安全：應(yīng)保證只有授權(quán)的用戶可以對(duì)感知節(jié)點(diǎn)設(shè)備上的軟件應(yīng)用進(jìn)行配置或變更；

網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全：授權(quán)用戶應(yīng)能夠在設(shè)備使用過(guò)程中對(duì)關(guān)鍵密鑰進(jìn)行在線更新；抗數(shù)據(jù)重放：應(yīng)能夠鑒別數(shù)據(jù)的新鮮性，避免歷史數(shù)據(jù)的重放攻擊;感知節(jié)點(diǎn)管理：應(yīng)指定人員定期巡視感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備的部署環(huán)境，對(duì)可能影響感知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備正常工作的環(huán)境異常進(jìn)行記錄和維護(hù)物聯(lián)網(wǎng)擴(kuò)展要求-重點(diǎn)要求安全物理環(huán)境控制點(diǎn)要求項(xiàng)感知節(jié)點(diǎn)設(shè)備工業(yè)控制系統(tǒng)擴(kuò)展要求-合規(guī)要點(diǎn)定級(jí)：工業(yè)控制系統(tǒng)主要由生產(chǎn)管理層、現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層和過(guò)程監(jiān)控層構(gòu)成生產(chǎn)管理層的定級(jí)對(duì)象確定按照定級(jí)原則確定；現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層和過(guò)程監(jiān)控層應(yīng)作為一個(gè)整體對(duì)象定級(jí)，各層次要素不單獨(dú)定級(jí)。對(duì)于大型工業(yè)控制系統(tǒng)，可以根據(jù)系統(tǒng)功能、控制對(duì)象和生產(chǎn)廠商等因素劃分為多個(gè)定級(jí)對(duì)象。企業(yè)資源層生產(chǎn)管理層DCS系統(tǒng)PLC系統(tǒng)SCADA系統(tǒng)批過(guò)程/連續(xù)過(guò)程/離散過(guò)程層級(jí)0：現(xiàn)場(chǎng)設(shè)備層傳感和操作生產(chǎn)過(guò)程層級(jí)1：現(xiàn)場(chǎng)控制層傳感數(shù)據(jù)采集和生產(chǎn)過(guò)程控制實(shí)時(shí)性：秒、亞秒層級(jí)2：過(guò)程監(jiān)控層監(jiān)控、管理控制和自動(dòng)控制生產(chǎn)過(guò)程實(shí)時(shí)性：小時(shí)、分鐘、秒層級(jí)3：生產(chǎn)管理層工作流/處方控制老生產(chǎn)期望的終端產(chǎn)品維護(hù)記錄和優(yōu)化生產(chǎn)過(guò)程，調(diào)度生產(chǎn)細(xì)化生產(chǎn)調(diào)度過(guò)程，保證可靠性等實(shí)時(shí)性：日、工作班時(shí)、小時(shí)、分鐘、秒層級(jí)4：企業(yè)資源層建立基本工作生產(chǎn)調(diào)度、材料使用、運(yùn)輸、確定庫(kù)存等級(jí)、操作管理等實(shí)時(shí)性：月、周、日工業(yè)控制系統(tǒng)擴(kuò)展要求-合規(guī)要點(diǎn)定級(jí)：企業(yè)資源層生產(chǎn)管理層DC工業(yè)控制系統(tǒng)擴(kuò)展要求-重點(diǎn)要求安全物理環(huán)境控制點(diǎn)要求項(xiàng)室外控制設(shè)備物理防護(hù)2合計(jì)2安全通信網(wǎng)絡(luò)控制點(diǎn)要求項(xiàng)網(wǎng)絡(luò)架構(gòu)3通信傳輸1合計(jì)4安全區(qū)域邊界控制點(diǎn)要求項(xiàng)訪問(wèn)控制3撥號(hào)使用控制4無(wú)線使用控制2合計(jì)9安全計(jì)算環(huán)境控制點(diǎn)要求項(xiàng)控制設(shè)備安全5合計(jì)5安全建設(shè)管理控制點(diǎn)要求項(xiàng)產(chǎn)品采購(gòu)和使用1外包軟件開(kāi)發(fā)1合計(jì)2重點(diǎn)要求感知節(jié)點(diǎn)設(shè)備物理防護(hù)：室外控制設(shè)備應(yīng)放置于采用鐵板或其他防火材料制作的箱體或裝置中并緊固;箱體或裝置具有透風(fēng)、散熱、防盜、防雨和防火能力等;遠(yuǎn)離強(qiáng)電磁千擾、強(qiáng)熱源等環(huán)境，如尤法避免應(yīng)及時(shí)做好應(yīng)急處置及檢修，保證設(shè)備正常運(yùn)行網(wǎng)絡(luò)架構(gòu)：工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域，區(qū)域間應(yīng)采用單向的技術(shù)隔離手段；通信傳輸：在工業(yè)控制系統(tǒng)內(nèi)使用廣域網(wǎng)進(jìn)行控制指令或相關(guān)數(shù)據(jù)交換的應(yīng)采用加密認(rèn)證技術(shù)手段實(shí)現(xiàn)身份認(rèn)證、訪問(wèn)控制和數(shù)據(jù)加密傳輸；控制設(shè)備安全：應(yīng)在經(jīng)過(guò)充分測(cè)試評(píng)估后，在不影響系統(tǒng)安全穩(wěn)定運(yùn)行的情況下對(duì)控制設(shè)備進(jìn)行補(bǔ)丁更新、固件更新等工作;應(yīng)保證控制設(shè)備在上線前經(jīng)過(guò)安全性檢測(cè)，避免控制設(shè)備固件中存在惡意代碼程序產(chǎn)品采購(gòu)和使用：工業(yè)控制系統(tǒng)重要設(shè)備應(yīng)通過(guò)專業(yè)機(jī)構(gòu)的安全性檢測(cè)后方可采購(gòu)使用工業(yè)控制系統(tǒng)擴(kuò)展要求-重點(diǎn)要求安全物理環(huán)境控制點(diǎn)要求項(xiàng)室外控工業(yè)控制系統(tǒng)擴(kuò)展要求-防護(hù)方案工業(yè)控制系統(tǒng)擴(kuò)展要求-防護(hù)方案附錄H大數(shù)據(jù)應(yīng)用場(chǎng)景定級(jí)：應(yīng)將具有統(tǒng)一安全責(zé)任單位的大數(shù)據(jù)作為一個(gè)整體對(duì)象定級(jí)，或?qū)⑵渑c責(zé)任主體相同的相關(guān)支撐平臺(tái)統(tǒng)一定級(jí)。大數(shù)據(jù)系統(tǒng)的特征是數(shù)據(jù)體植大、種類多、聚合快、價(jià)值高，受到破壞、泄露或篡改會(huì)對(duì)國(guó)家安全、社會(huì)秩序或公共利益造成影響，大數(shù)據(jù)安全涉及大數(shù)據(jù)平臺(tái)的安全和大數(shù)據(jù)應(yīng)用的安全。原則上安全等級(jí)因?yàn)榈谌?jí)以上。應(yīng)用1大數(shù)據(jù)應(yīng)用應(yīng)用2。。。應(yīng)用N計(jì)算分析層數(shù)據(jù)平臺(tái)層基礎(chǔ)設(shè)施層大數(shù)據(jù)平臺(tái)大數(shù)據(jù)據(jù)管理平臺(tái)附錄H大數(shù)據(jù)應(yīng)用場(chǎng)景定級(jí)：應(yīng)用1大數(shù)據(jù)應(yīng)用2。。。應(yīng)用N計(jì)大數(shù)據(jù)安全要求-重點(diǎn)要求大數(shù)據(jù)控制點(diǎn)要求項(xiàng)安全物理環(huán)境1安全通信網(wǎng)絡(luò)2安全計(jì)算環(huán)境14安全建設(shè)管理3安全運(yùn)維管理4合計(jì)24重點(diǎn)要求應(yīng)保證承載大數(shù)據(jù)存儲(chǔ)、處理和分析的設(shè)備機(jī)房位于中國(guó)境內(nèi);應(yīng)保證大數(shù)據(jù)平臺(tái)不承載高于其安全保護(hù)等級(jí)的大數(shù)據(jù)應(yīng)用;大數(shù)據(jù)平臺(tái)應(yīng)對(duì)數(shù)據(jù)采集終端、數(shù)據(jù)導(dǎo)入服務(wù)組件、數(shù)據(jù)導(dǎo)出終端、數(shù)據(jù)導(dǎo)出服務(wù)組件的使用實(shí)施身份鑒別;

對(duì)外提供服務(wù)的大數(shù)據(jù)平臺(tái)或第三方只有在大數(shù)據(jù)應(yīng)用授權(quán)下才可以對(duì)大數(shù)據(jù)應(yīng)用的數(shù)據(jù)資源進(jìn)行訪問(wèn)、使用和管理;大數(shù)據(jù)平臺(tái)應(yīng)提供數(shù)據(jù)分類分級(jí)安全管理功能，供大數(shù)據(jù)應(yīng)用針對(duì)不同類別級(jí)別的數(shù)據(jù)采取不同的安全保護(hù)措施;大數(shù)據(jù)平臺(tái)應(yīng)為大數(shù)據(jù)應(yīng)用提供集中管控其計(jì)算和存儲(chǔ)資源使用狀況的能力;應(yīng)跟蹤和記錄數(shù)據(jù)采集、處理、分析和挖掘等過(guò)程，保證溯源數(shù)據(jù)能重現(xiàn)相應(yīng)過(guò)程，溯源數(shù)據(jù)滿足合規(guī)審計(jì)要求;大數(shù)據(jù)平臺(tái)應(yīng)提供靜態(tài)脫敏和去標(biāo)識(shí)化的工具或服務(wù)組件技術(shù);數(shù)據(jù)采集數(shù)據(jù)存儲(chǔ)數(shù)據(jù)應(yīng)用數(shù)據(jù)交換數(shù)據(jù)銷毀大數(shù)據(jù)安全要求-重點(diǎn)要求大數(shù)據(jù)控制點(diǎn)要求項(xiàng)安全物理環(huán)境1安全大數(shù)據(jù)安全要求-數(shù)據(jù)安全框架數(shù)據(jù)行為監(jiān)控及審計(jì)數(shù)據(jù)接入數(shù)據(jù)處理數(shù)據(jù)治理數(shù)據(jù)組織密鑰硬件存儲(chǔ)特權(quán)賬號(hào)管理數(shù)據(jù)操作審計(jì)數(shù)據(jù)授權(quán)、鑒權(quán)對(duì)賬服務(wù)訪問(wèn)控制數(shù)據(jù)分發(fā)數(shù)據(jù)采集傳輸加密采集設(shè)備認(rèn)證采集人員認(rèn)證數(shù)據(jù)服務(wù)數(shù)據(jù)服務(wù)訪問(wèn)控制數(shù)據(jù)服務(wù)化數(shù)據(jù)授權(quán)、鑒權(quán)數(shù)據(jù)安全可視化運(yùn)營(yíng)統(tǒng)一密鑰管理數(shù)據(jù)讀取訪問(wèn)控制元數(shù)據(jù)安全文件加密高敏感數(shù)據(jù)加密運(yùn)維、測(cè)試數(shù)據(jù)脫敏數(shù)據(jù)庫(kù)加密數(shù)據(jù)脫敏數(shù)據(jù)泄露檢測(cè)、溯源數(shù)據(jù)安全核心能力數(shù)據(jù)安全