網(wǎng)絡(luò)安全等級保護

網(wǎng)絡(luò)安全等級保護網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第1頁。01目錄CONTENTS網(wǎng)絡(luò)安全等級保護02等級保護2.0變化03企業(yè)合規(guī)應對網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第2頁。網(wǎng)絡(luò)安全等級保護介紹01網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第3頁。國務(wù)院頒布《中華人民共和國計算機信息系統(tǒng)安全保護條例》公安部標準《等級保護安全要求》《等級保護定級指南》《等級保護實施指南》《等級保護測評準則》四部委會簽公通字[2006]7號文件（關(guān)于印發(fā)《信息安全等級保護管理辦法（試行）》的通知）四部委會簽公通字[2007]43號文件《信息安全等級保護管理辦法》《安全通用要求以及云計算、移動互聯(lián)、工業(yè)控制、物聯(lián)網(wǎng)等擴展要求》征求意見稿發(fā)布《中華人民共和國網(wǎng)絡(luò)安全法》正式實施19942005200620072016.11.12017.6.1最先作為“按等級保護”的工作思路提出形成等級保護的基本理論框架，制定了方法，過程和標準提出了等級保護的推進和管理辦法擴展標準征求意見稿發(fā)布第二十一條配套標準發(fā)布測評過程指南、測評機構(gòu)評估規(guī)范2018.12.282019年7月1日實施等級保護-發(fā)展歷程等保1.0信息系統(tǒng)安全等級保護等保2.0即將到來《基本要求、測評要求》正式發(fā)布2019.5.132019年12月1日實施網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第4頁。繼承網(wǎng)絡(luò)運營者義務(wù)：落實身份識別、防惡意代碼、防攻擊等技術(shù)措施；落實數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密措施；落實事件監(jiān)測、日志審計及留存措施；落實等保工作責任制、建立安全管理制度等保工作流程：規(guī)定了包括網(wǎng)絡(luò)定級、定級評審、定級備案、備案審核、上線檢測、等級測評、安全整改、定期自查等一系列工作流程細化境內(nèi)建設(shè)、運營、維護、使用網(wǎng)絡(luò)的運營者，均需開展網(wǎng)絡(luò)安全等級保護工作；

適用范圍更廣、網(wǎng)絡(luò)運營者皆受約束網(wǎng)絡(luò)安全等保與網(wǎng)絡(luò)安全法相結(jié)合，義務(wù)更加具體、操作性更強網(wǎng)絡(luò)安全等級保護制度威懾力增強法律依據(jù)：違反網(wǎng)絡(luò)安全保護條例要求，依據(jù)《網(wǎng)絡(luò)安全法》進行處罰；管控云計算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、工控系統(tǒng)和移動互聯(lián)網(wǎng)等新技術(shù)、新應用帶來的安全風險。重大隱患處置：在責令整改的基礎(chǔ)上，增加行業(yè)主管部門和同級網(wǎng)信部門的通報，可約談法定代表人；事件調(diào)查：開展事件調(diào)查時可責令網(wǎng)絡(luò)運營者阻斷信息傳輸，暫停網(wǎng)絡(luò)運營。主管部門、

各級政府將等級保護工作納入績效考核評價，社會治安綜合治理考核。等保測評：統(tǒng)一調(diào)整為第三級以上網(wǎng)絡(luò)的運營則每年開展一次；涵蓋關(guān)鍵信息基礎(chǔ)設(shè)施運營者義務(wù)：落實態(tài)勢感知監(jiān)測預警措施；落實重要設(shè)備、鏈路、系統(tǒng)的冗余、備份、恢復措施；確定管理機構(gòu)，明確職責，重要事項逐級審批；對關(guān)鍵崗位進行背景審查，持證上崗；網(wǎng)絡(luò)安全法第二十一條國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。在《網(wǎng)絡(luò)安全法》實施之后，網(wǎng)絡(luò)安全等級保護制度與目前的信息系統(tǒng)安全等級保護制度相銜接和融合，而不會成為兩個并行的制度體系。網(wǎng)絡(luò)安全等級保護條例等級保護的政策依據(jù)網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第5頁。等級保護核心思想對國家秘密信息、法人和其他組織及公民的專有信息、公開信息分類分級進行管理和保護。01LEVEL用戶自主保護級防護系統(tǒng)審計保護級防護、監(jiān)測安全標記保護級防護、監(jiān)測、恢復、策略結(jié)構(gòu)化保護級防護、監(jiān)測、恢復、策略、響應訪問驗證保護級防護、監(jiān)測、恢復、策略、響應02LEVEL03LEVEL04LEVEL05LEVEL逐級增強相關(guān)等級網(wǎng)信部門統(tǒng)籌協(xié)調(diào)公安監(jiān)督檢查適度保護分等級保護和管理按需防護核心思想網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第6頁。GB/T22239-2008GB/T22240-2008信息系統(tǒng)安全等級保護基本要求框架等級保護標準和內(nèi)容-現(xiàn)行標準檢查訪談測試物理安全網(wǎng)絡(luò)安全主機安全應用安全數(shù)據(jù)備份與恢復安全管理制度安全管理機構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第7頁。系統(tǒng)識別與劃分網(wǎng)安審核NY定級備案階段建設(shè)整改階段確定系統(tǒng)安全等級填寫備案材料備案材料申報NY等級保護測評階段測評準備出具報告系統(tǒng)安全規(guī)劃方案評審與規(guī)劃設(shè)計系統(tǒng)安全建設(shè)/加固安全建設(shè)差距分析測評結(jié)論方案編制現(xiàn)場測評等級保護實施流程網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第8頁。等級保護實施流程-定級三級：1、核心信息系統(tǒng)（HIS、LIS、RIS、PACS、電子病歷核心數(shù)據(jù)庫等）2、區(qū)域核心業(yè)務(wù)系統(tǒng)（區(qū)域衛(wèi)生公共交換平臺、電子健康檔案等人口健康信息平臺等）3、承載公民個人信息（姓名、身份證號、個人生物識別、基因圖譜等）4、承載核心業(yè)務(wù)信息（預約掛號、診療診斷、健康體檢等）5、與核心信息系統(tǒng)雙向數(shù)據(jù)交換的或業(yè)務(wù)協(xié)同（網(wǎng)上簽約、問醫(yī)用藥、保險理賠等）6、其他重要信息系統(tǒng)（落實敏感信息保護-敏感疾病患者信息，醫(yī)院對外宣傳形象-門戶網(wǎng)站、移動OA、移動APP等）二級：7、宣傳類的網(wǎng)站系統(tǒng)（企業(yè)門戶網(wǎng)站、微信公眾號、微官網(wǎng)等）8、其他內(nèi)部系統(tǒng)（內(nèi)網(wǎng)OA等）初步

確定等級專家評審主管部門

審核公安機關(guān)

備案審查確定

定級對象根據(jù)基本特征和相關(guān)要求確定定級對象參照定級方法初步確定安全保護等級定級對象的運營、使用單位應將初步定級結(jié)果上報行業(yè)主管部門或上級主管部門進行審核定級對象的運營、使用單位應組織信息安全專家和業(yè)務(wù)專家等，對初步定級結(jié)果的合理性進行評審，出具專家評審意見（第二級及以上）定級對象的運營、使用單位應按照相關(guān)規(guī)定要求，將初步定級結(jié)果提交公安機關(guān)進行備案審查網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第9頁。等級保護的目的和意義-網(wǎng)絡(luò)安全合規(guī)底線滿足法律法規(guī)中對于網(wǎng)絡(luò)安全等級保護、應急、評估的要求全面評估機構(gòu)內(nèi)部現(xiàn)有的安全措施和存在的安全風險提高安全配置基線水平和安全防范意識為安全建設(shè)規(guī)劃提供技術(shù)支撐，為完善安全管理體系提供依據(jù)發(fā)生網(wǎng)絡(luò)安全事件，能夠更好的進行處置，配合監(jiān)管部門開展工作，降低事件對企業(yè)的影響系好安全帶不能保證萬無一失但不系安全帶災難面前后果不堪設(shè)想網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第10頁。等級保護2.0變化03網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第11頁。網(wǎng)絡(luò)安全等級保護2.0正式出臺安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計算環(huán)境安全管理機構(gòu)安全管理人員安全建設(shè)管理安全運維管理安全管理中心安全管理制度基本要求技術(shù)要求管理要求擴展要求云計算安全測評移動互聯(lián)安全測評物聯(lián)網(wǎng)安全測評工業(yè)控制系統(tǒng)測評一個中心三重防護：“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”、“安全計算環(huán)境”和“安全管理中心”

網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第12頁。新業(yè)務(wù)場景增加新業(yè)務(wù)場景的保護要求，等級保護對象范圍擴大定級方式定級方式調(diào)整，強化專家評審和審核測評方法測評方法細化，測評力度加強，更加注重防護效果的檢測測評內(nèi)容測評架構(gòu)和測評內(nèi)容調(diào)整，充分體現(xiàn)一個中心，三重防御的思想等級保護2.0

VS等級保護1.0判定標準提升采用新的風險評估辦法，量化了測評分數(shù)要求，70分以上為中，80分以上為良，90分以上為優(yōu)網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第13頁。等保1.0:安全測評通用要求。01等保2.0：安全通用要求和安全擴展要求（云計算、移動互聯(lián)技術(shù)、物聯(lián)網(wǎng)、工業(yè)控制）02新業(yè)務(wù)場景的保護要求安全保護對象：基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)（例如工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術(shù)的信息系統(tǒng)以及其他信息系統(tǒng)）和大數(shù)據(jù)等。遠程診療、物聯(lián)網(wǎng)手術(shù)室、藥品追溯、智能輸液等物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)技術(shù)新場景將納入等級保護測評范圍網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第14頁。04010203確定定級對象初步確定等級專家評審主管部門審核05公安機關(guān)備案審查一般程度的損害嚴重程度的損害特別嚴重的損害公民、法人和其他組織的合法利益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家利益第三級第四級第五級第三級自主定級初步定級/審核定級定級方式調(diào)整強化專家評審和審核1、針對公民、法人和其他組織的合法利益進行了重點加強，針對特別嚴重的傷害從第二級調(diào)整為第三級。2、強化專家評審、主管部門審核的相關(guān)要求專家評審：組織信息安全專家和業(yè)務(wù)專家等，對初步定級結(jié)果的合理性進行評審，出具專家評審意見（第二級及以上）主管部門審核：將初步定級結(jié)果上報行業(yè)主管部門或上級主管部門進行審核網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第15頁。23測評方法舊版（現(xiàn)用版）新版（2.0版）測試利用技術(shù)工具對系統(tǒng)進行測試1、針對設(shè)備的漏洞掃描2、針對應用系統(tǒng)完整性和保密性要求進行協(xié)議分析3、基于一般脆弱性的內(nèi)部和外部滲透攻擊通過預定的方法/工具使測評對象產(chǎn)生特定的結(jié)果1、安全功能：驗證訪問控制功能2、安全操作：檢驗應急響應能力3、滲透測試核查1、采用上機驗證的方式檢查配置是否正確2、對文檔審核的內(nèi)容進行核實對測評對象進行觀察、查驗和分析1、安全文檔：審核安全策略、機房巡檢例程；分析軟件需求分析和詳細設(shè)計2、安全功能：核查、觀察安全部件/功能的運行3、安全行為：觀察備份操作1、擴充了測試，從工具測試擴展到人工的滲透測試，新增安全功能、安全操作的測試2、細化了核查，從單純的上機驗證，細分為查驗和分析，新增安全功能、安全行為的核查測評方法擴充注重防護效果的檢測1、增加測評設(shè)備接入的頻率和次數(shù)：需要從不同的區(qū)域多次進行接入，以驗證區(qū)域間的安全訪問控制策略是否有效2、部署特定的業(yè)務(wù)場景：需要對特定的數(shù)據(jù)進行流量和協(xié)議分析，可能要在測試工具上部署醫(yī)生工作站客戶端網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第16頁。23判定標準量化通過難度提升量化通過分數(shù)為70分，部分符合項的得分減半，整體提升了等級保護通過的難度網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第17頁。等級保護1.0物理安全網(wǎng)絡(luò)安全主機安全應用安全數(shù)據(jù)安全及備份恢復等級保護2.0安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計算環(huán)境安全管理中心控制點無變化身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計、可信驗證網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗證系統(tǒng)管理、審計管理、安全管理、集中管控數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復、剩余信息保護、個人信息保護控制項的變化網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)架構(gòu)新增測評內(nèi)容調(diào)整引入新的防護思想加強網(wǎng)絡(luò)通信、網(wǎng)絡(luò)區(qū)域邊界的防護要求，醫(yī)療內(nèi)外網(wǎng)隔離防護、根據(jù)系統(tǒng)類型劃分網(wǎng)絡(luò)區(qū)域，不能再采用大二層的網(wǎng)絡(luò)架構(gòu)，數(shù)據(jù)庫、客戶端的二層業(yè)務(wù)模式將面臨新的邊界防護問題網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第18頁。網(wǎng)絡(luò)架構(gòu)重點關(guān)注網(wǎng)絡(luò)可用性和冗余，強調(diào)帶寬和設(shè)備處理能力滿足業(yè)務(wù)需要，重點保障重要業(yè)務(wù)，要求通信鏈路和設(shè)備冗余；劃分網(wǎng)絡(luò)子網(wǎng)區(qū)域，區(qū)域間進行網(wǎng)絡(luò)隔離，重點保障重要區(qū)域。通信傳輸網(wǎng)絡(luò)層面增加數(shù)據(jù)傳輸?shù)耐暾?、保密性要求?/p>

在通信傳輸層面實現(xiàn)數(shù)據(jù)保密和完整性，或在計算環(huán)境中實現(xiàn)均可，不必兩個層面都要實現(xiàn)，強調(diào)防護效果。測評內(nèi)容調(diào)整-要點解析網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)和安全設(shè)備采用硬件冗余模式部署根據(jù)系統(tǒng)類型劃分網(wǎng)絡(luò)區(qū)域，不能再采用大二層的網(wǎng)絡(luò)架構(gòu)，數(shù)據(jù)庫、客戶端的二層業(yè)務(wù)模式將面臨新的邊界防護問題內(nèi)網(wǎng)系統(tǒng)采用加密方式進行數(shù)據(jù)傳輸，現(xiàn)有的系統(tǒng)架構(gòu)面臨升級或重新開發(fā)網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第19頁。邊界防護強調(diào)邊界訪問控制，新增內(nèi)網(wǎng)邊界的防護要求，內(nèi)部系統(tǒng)邊界納入測評范圍，內(nèi)部不同級別的系統(tǒng)間也要進行訪問控制；新增無線網(wǎng)絡(luò)的接入要求，無線網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)邊界需要進行訪問控制。入侵防范內(nèi)部網(wǎng)絡(luò)發(fā)起的入侵行為同樣需要進行監(jiān)測；新增基于行為的入侵防護要求（基于大數(shù)據(jù)的態(tài)勢感知、深度威脅分析、蜜罐等）。訪問控制訪問控制策略的有效性、最小化、邏輯性納入測評；增加應用層防護要求（下一代防火墻、應用層設(shè)備）。測評內(nèi)容調(diào)整-要點解析醫(yī)療內(nèi)外網(wǎng)隔離防護、內(nèi)部系統(tǒng)間的邊界納入到防護范圍，服務(wù)器與醫(yī)生工作站間要部署防火墻或訪問控制業(yè)務(wù)需求需要重新梳理，明確具體的端口開放傳輸需求網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第20頁。安全管理中心（第二級及以上）劃分專門的安全管理區(qū)域，網(wǎng)絡(luò)架構(gòu)中設(shè)置運維管理區(qū)；建立安全的信息傳輸路徑，需要采用帶外管理、VPN通道、加密傳輸?shù)确绞竭M行管理；部署統(tǒng)一網(wǎng)管系統(tǒng)，對鏈路、設(shè)備性能統(tǒng)一進行監(jiān)控和告警；部署日志審計系統(tǒng)，對設(shè)備審計日志集中匯總、集中分析、統(tǒng)一保存；建立安全平臺和終端管理系統(tǒng)，對安全策略、惡意代碼、補丁升級等安全事項的集中管理；部署安全態(tài)勢感知，對各類安全事件進行識別、報警和分析；建立時鐘同步服務(wù)器，統(tǒng)一系統(tǒng)內(nèi)的時間的一致性。測評內(nèi)容調(diào)整-要點解析一體化的管控平臺？分散式的管控方式？日志審計系統(tǒng)、堡壘機、網(wǎng)管系統(tǒng)、終端管控系統(tǒng)、態(tài)勢感知系統(tǒng)共同組成安全管理中心網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第21頁。個人信息防護要求進行信息收集需求分析，根據(jù)業(yè)務(wù)最小化收集和保存?zhèn)€人信息；數(shù)據(jù)去標識化管理，采用加密技術(shù)對個人信息進行保護，避免數(shù)據(jù)泄露后識別到特定自然人；控制非授權(quán)訪問和非法使用，對個人信息進行加密存儲和傳輸、并采用授權(quán)機制進行訪問?？尚膨炞C系統(tǒng)文件、配置文件、應用程序的可信性驗證和檢測報警；能夠?qū)Ⅱ炞C結(jié)果形成審計記錄送至安全管理中心。測評內(nèi)容調(diào)整-要點解析可信驗證，安全發(fā)展的新方向網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第22頁。安全擴展要求云計算：基礎(chǔ)設(shè)施的位置、虛擬化安全保護、鏡像和快照保護、云服務(wù)商選擇和云計算環(huán)境管理。移動互聯(lián)：無線接入點的物理位置、移動終端管控、移動應用管控、移動應用軟件采購和移動應用軟件開發(fā)；物聯(lián)網(wǎng)：感知節(jié)點的物理防護、感知節(jié)點設(shè)備安全、感知網(wǎng)關(guān)節(jié)點設(shè)備安全、感知節(jié)點的管理和數(shù)據(jù)融合處理；工業(yè)控制系統(tǒng)：室外控制設(shè)備防護、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全、撥號使用控制、無線使用控制和控制設(shè)備安全。

測評內(nèi)容調(diào)整-要點解析系統(tǒng)上云后，需同時參考云計算中云租戶的安全要求進行加固利用移動互聯(lián)技術(shù)、物聯(lián)網(wǎng)的業(yè)務(wù)場景，需參考移動互聯(lián)、物聯(lián)網(wǎng)要求進行加固網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第23頁。醫(yī)療行業(yè)的影響與應對03網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第24頁。01020304OPTIONOPTIONOPTIONOPTION保護范圍擴大利用移動互聯(lián)技術(shù)、物聯(lián)網(wǎng)的業(yè)務(wù)場景將納入等級保護測評范圍定級需要評審系統(tǒng)定級需要自行組織網(wǎng)絡(luò)安全專家和行業(yè)專家進行評審測評周期延長測評更注重防護效果，測評工作量增加，工具接入位置和次數(shù)增加，必要時還需搭建測試場景安全成本增加新業(yè)務(wù)場景、新技術(shù)、新測評關(guān)注點，測評標準的提升，對系統(tǒng)加固都提出了更多、更高的要求醫(yī)療行業(yè)的影響網(wǎng)絡(luò)安全等級保護全文共29頁，當前為第25頁。安全應對安全規(guī)劃與設(shè)計軟件開發(fā)與實施安全運維與外包數(shù)據(jù)安全防護電子門禁、靜電消除器物理環(huán)境社區(qū)醫(yī)療系統(tǒng)網(wǎng)絡(luò)拓撲需采用硬件冗余模式硬件冗余醫(yī)療行業(yè)的應對部署具有針對新型攻擊行為進行檢測、分析和報警功能的設(shè)備，如態(tài)勢感知未知威脅的監(jiān)測需要規(guī)劃獨立的地址段，并配置具有訪問控制功能的AC