等保2.0解讀課件

等保1.0

&等保2.0標準對比等保2.0解讀等級保護發(fā)展歷程簡介第九條：計算機信息系統(tǒng)實行安全等級保護。1994年-國務(wù)院147號令信息安全保障綱領(lǐng)性文件。第二條：實行信息安全等級保護。2003年-中辦發(fā)27號文強制性標準：規(guī)定了我國計算機信息系統(tǒng)安全保護能力的五個等級。1999年-GB

17859第二十一條：國家實行網(wǎng)絡(luò)安全等級保護制度。2017年-《網(wǎng)絡(luò)安全法》等保與《網(wǎng)絡(luò)安全法》及應(yīng)對思路第二十一條國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負責(zé)人，落實網(wǎng)絡(luò)安全保護責(zé)任；（二）采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。第三十一條國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護辦法由國務(wù)院制定。關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護等級不低于第三級不做等保就是違法！違反《網(wǎng)絡(luò)安全法》需承擔相關(guān)法律責(zé)任第五十九條網(wǎng)絡(luò)運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款；對直接負責(zé)的主管人員處五千元以上五萬元以下罰款。關(guān)鍵信息基礎(chǔ)設(shè)施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款；對直接負責(zé)的主管人員處一萬元以上十萬元以下罰款。《網(wǎng)絡(luò)安全法》部分執(zhí)法案例信息來源：“公安三所網(wǎng)絡(luò)安全法律研究中心”微信公眾號等級保護工作實施流程1.確定信息系統(tǒng)的安全防護等級，形成定級報告。2.持定級報告和備案表到當?shù)毓矙C關(guān)網(wǎng)監(jiān)部門進行備案。3.參照信息系統(tǒng)當前等級要求和標準，對信息系統(tǒng)進行整改加固。4.委托具備測評資質(zhì)的測評機構(gòu)對信息系統(tǒng)進行等級測評，形成正式的測評報告。5.向當?shù)毓矙C關(guān)網(wǎng)監(jiān)部門提交測評報告，配合完成對信息安全等級保護實施情況的檢查。定級備案建設(shè)整改等級測評監(jiān)督檢查信息來源：中國網(wǎng)絡(luò)安全等級保護網(wǎng)等保2.0來了，業(yè)界重新洗牌，

大家都在同一起跑線上！等保2.0標準發(fā)布情況介紹已發(fā)布（公安行標）信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南GA/T1389-2017信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第2部分：云計算安全擴展要求GA/T1390.2-2017信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第3部分：移動互聯(lián)安全擴展要求GA/T1390.3-2017信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第5部分：工業(yè)控制系統(tǒng)安全擴展要求GA/T1390.5-2017未發(fā)布（國標）信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求（送審稿）GB/T

22239-20XX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求（送審稿）GB/T

25070-20XX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求（送審稿）GB/T

28448-20XX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護實施指南（送審稿）GB/T

25058-20XX1等保2.0核心變化介紹等保2.0解讀等級保護2.0時代2016年10月10日，第五屆等級保護大會在昆明召開，業(yè)界一致認為，本次大會的召開，標志著等級保護進入2.0時代。＝＝＝標準歷程＝＝＝＝＝＝＝2014年初，公安部牽頭組織信息技術(shù)新領(lǐng)域等級保護標準申報工作。2015年初，標委會批準立項，建議形成基本要求和測評要求的系列標準。2015年中，標委會批準設(shè)計要求修訂立項，形成設(shè)計要求系列標準。2017年初，草案經(jīng)信安標委會投票通過，成為公開征求意見稿。4月推進為送審稿等保2.0解讀核心變化：重點保障關(guān)鍵信息基礎(chǔ)設(shè)施等級保護1.0網(wǎng)站信息系統(tǒng)傳統(tǒng)IT環(huán)境等級保護2.0關(guān)鍵信息基礎(chǔ)設(shè)施公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域云計算、物聯(lián)網(wǎng)、移動互聯(lián)、工控、大數(shù)據(jù)等新IT環(huán)境等保2.0解讀保護需求變化2023/6/10面對關(guān)鍵信息基礎(chǔ)設(shè)施，等級保護《基本要求》需要創(chuàng)新發(fā)展：適應(yīng)新型的系統(tǒng)形態(tài)和網(wǎng)絡(luò)架構(gòu)面對新技術(shù)新應(yīng)用的擴展使基本指標具有動態(tài)、可擴展性從合規(guī)測評到CIIP安全狀態(tài)評價等保2.0解讀管理策略的變化圍繞關(guān)鍵信息基礎(chǔ)設(shè)施保護特點，信息安全等級保護的管理策略也將發(fā)生相應(yīng)變化。自主定級、自主保護、監(jiān)督指導(dǎo)明確等級、增強保護、常態(tài)監(jiān)督

等保2.0解讀保護方法的變化通用要求中的基本指標行業(yè)標準的增加、增強指標新技術(shù)、新應(yīng)用的擴展指標定級對象的特殊安全需求指標從基本安全-到相對安全從統(tǒng)一基線-到針對性保護等保2.0解讀等級保護2.0圍繞關(guān)鍵信息基礎(chǔ)設(shè)施保護，信息安全等級保護制度進入新的歷史階段！等級保護2.0時代

?2.0時代,等級保護空前重要（我們要順勢而為）

2.0時代,等級保護制度上升為法律2.0時代,等級保護對象大擴展2.0時代,等級保護內(nèi)容大不同2.0時代,等級保護體系大升級等保2.0解讀定級對象大擴展2023/6/10定級對象信息系統(tǒng)業(yè)務(wù)處理類對象信息系統(tǒng)、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)系統(tǒng)等基礎(chǔ)服務(wù)類對象網(wǎng)絡(luò)、云服務(wù)平臺、大數(shù)據(jù)分析平臺等數(shù)據(jù)資源類對象等保2.0解讀《定級指南》修訂定級對象的擴展定級方法的變化等保2.0解讀定級方法的變化云服務(wù)方的云平臺與云租戶的應(yīng)用系統(tǒng)應(yīng)分別定級，平臺等級不低于所承載的應(yīng)用系統(tǒng)的安全保護等級。移動互聯(lián)應(yīng)用、物聯(lián)網(wǎng)應(yīng)用和工業(yè)控制系統(tǒng)依據(jù)業(yè)務(wù)系統(tǒng)重要性確定等級。等保2.0解讀等級保護體系大升級2023/6/10等保2.0解讀等保內(nèi)容大不同2023/6/10等級保護1.0定級備案建設(shè)整改等級測評監(jiān)督檢查等級保護2.0五個規(guī)定動作風(fēng)險評估安全檢測通報預(yù)警案事件調(diào)查數(shù)據(jù)防護災(zāi)難備份應(yīng)急處置……等保2.0解讀與時俱進的等級保護工作監(jiān)督檢查定級備案建設(shè)整改等級測評監(jiān)督檢查·定級備案建設(shè)整改信息共享態(tài)勢感知應(yīng)急演練。。。等級測評按需定制線上線下攻防對抗。。。運營使用單位/廠商測評機構(gòu)監(jiān)管機構(gòu)等保2.0解讀受侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公司、法人和其他組織的合法利益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級信息系統(tǒng)重要程度危害程度網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)、大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、移動互聯(lián)、工控系統(tǒng)等第三級不同等級的安全保護對象等保2.0解讀信息安全等級保護基本要求技術(shù)要求物理安全類控制點10具體要求項33網(wǎng)絡(luò)安全類控制點7具體要求項32主機安全類控制點9具體要求項36應(yīng)用安全類控制點11具體要求項36數(shù)據(jù)安全及備份恢復(fù)類控制點3具體要求項11管理要求安全管理制度類控制點3具體要求項14安全管理機構(gòu)類控制點5具體要求項20人員安全管理類控制點5具體要求項18系統(tǒng)建設(shè)管理類控制點11具體要求項48系統(tǒng)運維管理類控制點13具體要求項70信息系統(tǒng)方面類控制點項組織方式：等保1.0等保2.0解讀方面控制點項類保護對象網(wǎng)絡(luò)安全等級保護基本要求（1）安全通用要求技術(shù)要求物理和環(huán)境安全控制點10具體要求項24網(wǎng)絡(luò)和通信控制點8具體要求項34設(shè)備和計算安全控制點6具體要求項28應(yīng)用和數(shù)據(jù)安全控制點10具體要求項29管理要求安全策略和管理制度控制點4具體要求項8安全管理機構(gòu)和人員控制點9具體要求項27安全建設(shè)管理控制點10具體要求項35安全運維管理控制點14具體要求項50組織方式：等保2.0等保2.0解讀方面控制類二級三級四級技術(shù)要求物理安全101010網(wǎng)絡(luò)安全677主機安全679應(yīng)用安全7911數(shù)據(jù)安全及備份恢復(fù)333管理要求安全管理制度333安全管理機構(gòu)555人員安全管理555系統(tǒng)建設(shè)管理91111系統(tǒng)運維管理121313合計/667377級差//74方面控制類二級三級四級技術(shù)要求物理和環(huán)境安全101010網(wǎng)絡(luò)和通信安全688設(shè)備和計算安全666應(yīng)用和數(shù)據(jù)安全91010管理要求安全策略和管理制度344安全管理機構(gòu)和人員999系統(tǒng)安全建設(shè)管理91010系統(tǒng)安全運維管理141414合計/667171級差//5/級差：控制點的分布等保2.0解讀方面控制類二級三級四級技術(shù)要求物理安全193233網(wǎng)絡(luò)安全183332主機安全193236應(yīng)用安全193136數(shù)據(jù)安全及備份恢復(fù)4811管理要求安全管理制度71114安全管理機構(gòu)92020人員安全管理111618系統(tǒng)建設(shè)管理284548系統(tǒng)運維管理426270合計/175290318級差//11528方面控制類二級三級四級技術(shù)要求物理和環(huán)境安全162124網(wǎng)絡(luò)和通信安全143334設(shè)備和計算安全172828應(yīng)用和數(shù)據(jù)安全213529管理要求安全策略和管理制度578安全管理機構(gòu)和人員162427系統(tǒng)安全建設(shè)管理253435系統(tǒng)安全運維管理334950合計/147231235級差//844級差：控制項的分布等保2.0解讀2等保2.0核心標準介紹等保2.0解讀等保2.0標準解讀等保2.0解讀安全通用要求2023/6/10等保2.0解讀物理安全——物理與環(huán)境安全（三級）2023/6/10要求項變化內(nèi)容解讀物理位置的選擇降低要求,以前明確要求不得在頂層戒者地下室,現(xiàn)在是可以,只要有加強措施即可。物理訪問控制降低要求,原三級丏人職守和電子門禁等其他很多內(nèi)容,新要求都取消了值要求配置電子門禁即可。防盜竊和防破壞取消要求:不再要求介質(zhì)安全,不再要求光電報警、監(jiān)控報警等防雷擊取消要求,取消建筑物的避雷要求,這方面要求對于IT部門往往不好實現(xiàn)。防火表述方式調(diào)整,更加精準可實施,基本內(nèi)容不變。防水和防潮取消要求,取消水管安裝不得穿過機房屋頂和活勱地板下的要求。防靜電新增要求,提出需要靜電消除器、防靜電手環(huán)等。溫濕度控制無變化電力供應(yīng)增強要求:原備用電力供應(yīng)(UPS)只要求支持關(guān)鍵設(shè)備,現(xiàn)在要求支持所有設(shè)備。

取消要求:取消備用供電系統(tǒng)(發(fā)電機)的要求電磁防護取消要求:取消電磁屏蔽要求,電磁屏蔽對三級來講要求過高。等保2.0解讀網(wǎng)絡(luò)安全——網(wǎng)絡(luò)與通信安全（三級）2023/6/10要求項變化內(nèi)容解讀網(wǎng)絡(luò)結(jié)構(gòu)---網(wǎng)絡(luò)架構(gòu)增強要求:原要求保障關(guān)鍵設(shè)備業(yè)務(wù)高峰期冗余,變化為所有設(shè)備的業(yè)務(wù)高峰期冗余要求。

取消要求:不再要求應(yīng)繪制與當前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖提出避免講重要網(wǎng)絡(luò)區(qū)域部屬在網(wǎng)絡(luò)邊界處并丐沒有防護。

取消要求:不再要求按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別,保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。新增通信傳輸要求項新增要求:應(yīng)采用校驗碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。應(yīng)對通信過程中的敏感信息字段戒整個報文進行加密。邊界完整性該要求項取消新增邊界防護要求項新增要求:應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界防護設(shè)備提供的受控接口進行通信。

新增要求:對接入和外聯(lián)設(shè)備進行限制戒檢查

新增要求:對無線網(wǎng)絡(luò)提出邊界防護要求等保2.0解讀網(wǎng)絡(luò)安全——網(wǎng)絡(luò)與通信安全（續(xù)）（三級）2023/6/10要求項變化內(nèi)容解讀入侵防范增強要求:以前只要求網(wǎng)絡(luò)邊界處進行入侵防范,現(xiàn)在改為關(guān)鍵節(jié)點處要進行入侵防范。

新增要求:提出要檢測進行從內(nèi)到外的攻擊行為。

新增要求:提出要針對未知威脅進行檢測;安全審計新增要求:提出要建立統(tǒng)一時鐘,保證審計結(jié)果精準。

新增要求:提出對遠程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨進行行為審計和數(shù)據(jù)分析。(數(shù)據(jù)中心必須有互聯(lián)網(wǎng)審計AC)網(wǎng)絡(luò)設(shè)備防護該要求項取消惡意代碼防范增強要求:原有的網(wǎng)絡(luò)邊界處進行惡意代碼檢測,變?yōu)殛P(guān)鍵節(jié)點處;

取消要求:病毒庫異構(gòu)要求取消

新增要求:要求在關(guān)鍵節(jié)點對垃圾郵件進行過濾;新增資源控制要求項新增要求:要求有單獨管理區(qū)域,并建立安全管理通道

新增要求:應(yīng)對鏈路和設(shè)備的運行狀態(tài)進行統(tǒng)一監(jiān)測(網(wǎng)管監(jiān)控平臺)

新增要求:對所有審計數(shù)據(jù)進行匯總和統(tǒng)一分析(綜合日志審計系統(tǒng))

新增要求:對安全策略、惡意代碼、補丁升級等進行集中管理;

新增要求:對網(wǎng)絡(luò)中的各種安全亊件進行識別、報警和分析;等保2.0解讀主機安全——節(jié)點與計算安全（三級）2023/6/10要求項變化內(nèi)容解讀身份鑒別表述方式調(diào)整,更加精準可實施,基本內(nèi)容不變。訪問控制表述方式調(diào)整,更加精準可實施,基本內(nèi)容不變。安全審計新增要求:提出要建立統(tǒng)一時鐘,保證審計結(jié)果精準。入侵防范增強要求:應(yīng)能發(fā)現(xiàn)可能存在的漏洞,并在經(jīng)過充分測試評估后,及時修補漏洞;(主機漏洞掃描)惡意代碼防范取消要求:取消病毒庫異構(gòu)要求

新增要求:要求采用可信計算技術(shù)建立從系統(tǒng)到應(yīng)用的信任鏈,實現(xiàn)系統(tǒng)運行過程中重要程序戒文件完整性檢測,并在檢測到破壞后進行恢復(fù)。

(可信計算落地問題難)剩余信息保護該要求項取消資源控制表述方式調(diào)整,更加精準可實施,基本內(nèi)容不變。等保2.0解讀應(yīng)用安全——應(yīng)用和數(shù)據(jù)安全（三級）2023/6/10要求項變化內(nèi)容解讀身份鑒別表述方式調(diào)整,更加精準可實施,基本內(nèi)容不變。訪問控制表述方式調(diào)整,更加精準可實施,基本內(nèi)容不變。安全審計新增要求:要求對審計記錄進行定期備份

新增要求:要求建立唯一確定時鐘,保證審計記錄的精準剩余信息保護該要求項取消取消通信完整性該要求項取消取消通信保密性該要求項取消抗抵賴該要求項取消軟件容錯新增要求:要求在故障發(fā)生時,應(yīng)能夠繼續(xù)提供一部分功能,確保能夠?qū)嵤┍匾拇胧?資源控制該要求項取消等保2.0解讀應(yīng)用安全——應(yīng)用和數(shù)據(jù)安全（續(xù)）（三級）2023/6/10要求項變化內(nèi)容解讀數(shù)據(jù)完整性表述方式調(diào)整,更加精準可實施,基本內(nèi)容不變。數(shù)據(jù)保密性表述方式調(diào)整,更加精準可實施,基本內(nèi)容不變。備份與恢復(fù)--數(shù)據(jù)備份恢復(fù)增強要求:原三級只需要異地定時備份即可,現(xiàn)在提出應(yīng)提供異地實時備份功能,利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實時備份至備份場地;新增要求:明確提出重要數(shù)據(jù)處理系統(tǒng)的熱冗余;(應(yīng)用級的容災(zāi)中心)新增個人信息保護要求項新增要求:a)應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個人信息;b)應(yīng)禁止未授權(quán)訪問、使用用戶個人信息。等保2.0解讀二級主要變化2023/6/10等保2.0解讀三級-主要變化12023/6/10等保2.0解讀三級-主要變化22023/6/10等保2.0解讀標準變化小結(jié)2023/6/10等保2.0解讀云計算安全擴展要求簡介等保2.0解讀云計算安全擴展要求

2023/6/10等保2.0解讀網(wǎng)絡(luò)和通信安全2023/6/10要求類別基本要求網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)架構(gòu)A實現(xiàn)不同云租戶之間網(wǎng)絡(luò)資源的隔離，并避免網(wǎng)絡(luò)資源的過量占用；B

繪制與當前運行情況相符的虛擬化網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖，并能對虛擬化網(wǎng)絡(luò)資源、網(wǎng)絡(luò)拓撲進行實時更新和集中監(jiān)控；C保證虛擬機只能接收到目的地址包括自己地址的報文；D保證云計算平臺管理流量與云租戶業(yè)務(wù)流量分離；E能識別、監(jiān)控虛擬機之間、虛擬機與物理機之間、虛擬機與宿主機之間的流量；F根據(jù)承載的業(yè)務(wù)系統(tǒng)安全保護等級劃分不同安全級別的資源池區(qū)域，并實現(xiàn)資源池之間的網(wǎng)絡(luò)隔離；G提供開放接口或開放性安全服務(wù)，允許云租戶接入第三方安全產(chǎn)品或在云平臺選擇第三方安全服務(wù)。加強云租戶虛擬機之間、安全區(qū)域之間的網(wǎng)絡(luò)安全防護能力；H根據(jù)云租戶的業(yè)務(wù)需求定義安全訪問路徑。訪問控制A

避免虛擬機通過網(wǎng)絡(luò)非授權(quán)訪問宿主機；B在虛擬化網(wǎng)絡(luò)邊界部署訪問控制機制，并設(shè)置訪問控制規(guī)則；C

保證當虛擬機遷移時，訪問控制策略隨其遷移；D

允許云租戶設(shè)置不同虛擬機之間的訪問控制策略；E在不同等級的網(wǎng)絡(luò)區(qū)域邊界部署訪問控制機制，設(shè)置訪問控制規(guī)則。遠程訪問A

實時監(jiān)視云計算平臺的遠程訪問，并在發(fā)現(xiàn)未授權(quán)連接時，采取恰當?shù)膽?yīng)對措施；B

對遠程執(zhí)行特權(quán)命令進行限制并進行審計；C

當進行遠程管理時，管理終端和云計算平臺邊界設(shè)備之間應(yīng)建立雙向身份驗證機制。入侵防范A能監(jiān)測到云租戶的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等；B向云租戶提供互聯(lián)網(wǎng)發(fā)布內(nèi)容監(jiān)測功能，便于云租戶對其發(fā)布內(nèi)容中的有害信息進行實時監(jiān)測和告警。安全審計A

根據(jù)云服務(wù)方和云租戶的職責(zé)劃分，收集各自控制部分的審計數(shù)據(jù)；B

為安全審計數(shù)據(jù)的匯集提供接口，并可供第三方審計；C

根據(jù)云服務(wù)方和云租戶的職責(zé)劃分，實現(xiàn)各自控制部分的集中審計。等保2.0解讀設(shè)備和計算安全2023/6/10要求類別基本要求設(shè)備和計算安全身份鑒別應(yīng)在網(wǎng)絡(luò)策略控制器和網(wǎng)絡(luò)設(shè)備（或設(shè)備代理）之間建立雙向身份驗證機制。訪問控制A當進行遠程管理時，防止遠程管理設(shè)備同時直接連接其他網(wǎng)絡(luò)；B

確保只有在云租戶授權(quán)下，云服務(wù)方或第三方才具有云租戶數(shù)據(jù)的管理權(quán)限；C

提供云計算平臺管理用戶權(quán)限分離機制，為網(wǎng)絡(luò)管理員、系統(tǒng)管理員建立不同賬戶并分配相應(yīng)的權(quán)限。安全審計A

根據(jù)云服務(wù)方和云租戶的職責(zé)劃分，收集各自控制部分的審計數(shù)據(jù)；B

保證云服務(wù)方對云租戶系統(tǒng)和數(shù)據(jù)的操作可被云租戶審計；C

保證審計數(shù)據(jù)的真實性和完整性；D

為安全審計數(shù)據(jù)的匯集提供接口，并可供第三方審計；E

根據(jù)云服務(wù)方和云租戶的職責(zé)劃分，實現(xiàn)各自控制部分的集中審計。入侵防范A

虛擬機對宿主機資源的異常訪問，并進行告警；B

虛擬機之間的資源隔離失效，并進行告警；C

非授權(quán)新建虛擬機或者重新啟用虛擬機，并進行告警惡意代碼防范應(yīng)能夠檢測惡意代碼感染及在虛擬機間蔓延的情況，并提出告警。資源控制A

屏蔽虛擬資源故障，某個虛擬機崩潰后不影響虛擬機監(jiān)視器及其他虛擬機；B

對物理資源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配；C

保證虛擬機僅能使用為其分配的計算資源；D

保證虛擬機僅能遷移至相同安全等級的資源池；E

保證分配給虛擬機的內(nèi)存空間僅供其獨占訪問；F

對虛擬機的網(wǎng)絡(luò)接口的帶寬進行設(shè)置，并進行監(jiān)控；G

為監(jiān)控信息的匯集提供接口，并實現(xiàn)集中監(jiān)控。鏡像和快照保護A

提供虛擬機鏡像、快照完整性校驗功能，防止虛擬機鏡像被惡意篡改；B

采取加密或其他技術(shù)手段防止虛擬機鏡像、快照中可能存在的敏感資源被非法訪問；C

針對重要業(yè)務(wù)系統(tǒng)提供加固的操作系統(tǒng)鏡像。等保2.0解讀應(yīng)用和數(shù)據(jù)安全2023/6/10要求類別基本要求應(yīng)用和數(shù)據(jù)安全

安全審計A

根據(jù)云服務(wù)方和云租戶的職責(zé)劃分，收集各自控制部分的審計數(shù)據(jù)；B保證云服務(wù)方對云租戶系統(tǒng)和數(shù)據(jù)的操作可被云租戶審計；C

保證審計數(shù)據(jù)的真實性和完整性；D

為安全審計數(shù)據(jù)的匯集提供接口，并可供第三方審計；E

根據(jù)云服務(wù)方和云租戶的職責(zé)劃分，實現(xiàn)各自控制部分的集中審計。資源控制A

能夠?qū)?yīng)用系統(tǒng)的運行狀況進行監(jiān)測，并在發(fā)現(xiàn)異常時進行告警；B

保證不同云租戶的應(yīng)用系統(tǒng)及開發(fā)平臺之間的隔離。接口安全應(yīng)保證云計算服務(wù)對外接口的安全性。數(shù)據(jù)完整性應(yīng)確保虛擬機遷移過程中，重要數(shù)據(jù)的完整性，并在檢測到完整性受到破壞時采取必要的恢復(fù)措施。數(shù)據(jù)保密性A

確保虛擬機遷移過程中，重要數(shù)據(jù)的保密性，防止在遷移過程中的重要數(shù)據(jù)泄露；B

支持云租戶部署密鑰管理解決方案，確保云租戶自行實現(xiàn)數(shù)據(jù)的加解密過程；C

對網(wǎng)絡(luò)策略控制器和網(wǎng)絡(luò)設(shè)備（或設(shè)備代理）之間網(wǎng)絡(luò)通信進行加密。數(shù)據(jù)備份恢復(fù)A

確保虛擬機遷移過程中，重要數(shù)據(jù)的保密性，防止在遷移過程中的重要數(shù)據(jù)泄露；B

支持云租戶部署密鑰管理解決方案，確保云租戶自行實現(xiàn)數(shù)據(jù)的加解密過程；C

對網(wǎng)絡(luò)策略控制器和網(wǎng)絡(luò)設(shè)備（或設(shè)備代理）之間網(wǎng)絡(luò)通信進行加密。數(shù)據(jù)備份恢復(fù)A

云租戶應(yīng)在本地保存其業(yè)務(wù)數(shù)據(jù)的備份；B

提供查詢云租戶數(shù)據(jù)及備份存儲位置的方式；C

保證不同云租戶的審計數(shù)據(jù)隔離存放；D

為云租戶將業(yè)務(wù)系統(tǒng)及數(shù)據(jù)遷移到其他云計算平臺和本地系統(tǒng)提供技術(shù)手段，并協(xié)助完成遷移過程。剩余信息保護應(yīng)保證虛擬機所使用的內(nèi)存和存儲空間回收時得到完全清除。等保2.0解讀云的定級對象硬件資源HostOS虛擬機監(jiān)視器/硬件模擬虛擬機VM應(yīng)用1GuestOS虛擬機VMGuestOS應(yīng)用2虛擬機VM應(yīng)用1GuestOS系統(tǒng)定級對象平臺定級對象云服務(wù)方的云平臺與云租戶的應(yīng)用系統(tǒng)應(yīng)分別定級，平臺等級不低于應(yīng)用的安全保護等級，云平臺先定級測評，再將已定級應(yīng)用系統(tǒng)向云平臺遷移，云上應(yīng)用定級參照傳統(tǒng)信息系統(tǒng)。等保2.0解讀云計算與傳統(tǒng)等保保護對象差異2023/6/10等保2.0解讀云平臺與云上系統(tǒng)保護差異2023/6/10層面云平臺保護對象云上系統(tǒng)保護對象物理和環(huán)境機房及相關(guān)設(shè)施網(wǎng)絡(luò)和通信傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)和虛擬化網(wǎng)絡(luò)結(jié)構(gòu)傳統(tǒng)網(wǎng)絡(luò)設(shè)備、