《等级保护2.0安全解决方案ppt课件.pptx》由会员分享,可在线阅读,更多相关《等级保护2.0安全解决方案ppt课件.pptx(41页珍藏版)》请在三一办公上搜索。
1、,网络安全等级保护概述,目录CONTENTS,网络安全法解读,新等级保护差异变化,等级保护解读,网络安全法解读,2016.11网络安全法草案三审稿,2016.11.7人大常委会表决通过,2017年6月1日网络安全法实施,2015.7.7网络安全法草案一审稿,2016.6网络安全法草案二审稿,2014.2 网络安全法首次在政府工作报告中提及,网络安全法的背景和历程,网络安全法时间轴,“一法一决定”执法检查2017年9月至12月,开展“一法一决定”宣传教育情况;制定“一法一决定”配套法规规章情况;强化关键信息基础设施保护及落实网络安全等级保护制度情况;治理网络违法有害信息,维护网络空间良好生态情况
2、;落实公民个人信息 保护制度,查处侵犯公民个人信息及相关违法犯罪情况等. 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等行业。,网络安全法颁布网络领域的基本法,总体牵头:中央网信办总体牵头监管单位:公安/工信/广电/国办(非密领域管理指导监管检查) 国M/国A/保M/机要/中B/科工委(涉密领域管理指导监督检查),国家安全五个领域(海、陆、空、天、网)目标:网际空间自主可控安全可靠,重要系统基础设施安全领域,需求伴随十三五,辩证思维,网络安全上升为国家战略,成为总体国家安全观的重要组成部分,国家战略,统一体,合作共赢,将网络安全和信息化工作视为一个统一体,形成了一体两翼、驱动
3、 双轮的网络安全观,针对网络安全新形势、新特点,提出了整体、动态、开放、相对、共同的辩证网络安全观,针对全球互联网领域发展不平衡、规则不健全、秩序不合理等问题,提出了在相互尊重、相互信任基础上合作共赢的网络安全观,新 时 代 的 网 络 安 全 观,网络安全法的意义和作用,以人为本,将以人民为中心的发展思想贯穿到网络安全领域,形成了“网络安全为人民,网络安全靠人民”的以人为本的网络安全观,没有网络安全就没有国家安全,网络安全法解读,网络安全法整体框架,“防御、控制与惩治”三位一体 7章第79条,网络安全法解读(续),网络安全法解读(续),安全等保上升到法律高度,不做等保防护,是属违法!,网络安
4、全法解读(续),信息通报制度上升为法律,关键安全预防措施,加强网络入侵防护,关键基础设施一旦被入侵,危害极大,要重点进行网络入侵的防护。对于传统威胁,要做到快速、精准的防护;对于高级未知威胁,也要做到智能检测与防护。综上,建设和加强入侵防护是网络安全防护的核心关键工作,维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓“聪者听于无声,明者见于未形”。综上,感知网络安全态势是网络安防护中最基本、最基础的工作,建设安全态势平台,THE BUSENESS PLAN,等级保护解读,等级保护背景介绍发展历程,信息安全等级保护是党中央国务院决定在信息系统安全领域实施的基本国策信息
5、安全等级保护是国家信息安全保障工作的基本制度信息安全等级保护是国家信息安全保障工作的基本方法,起步阶段,发展阶段,推行阶段,新等保阶段,信息安全等级保护是基本制度、基本国策、基本方法,等级保护管理组织,指导监管部门:国家等保工作开展、推进、指导。,技术支撑部门:国家等保标准制定、修订、培训、技术指导以及全国测评单位管理。,国家测评机构,行业测评机构,地方测评机构,等级保护主要工作流程,一、系统定级,二、系统备案,三、建设整改,四、等级测评,五、监督检查,管理办法(43号文)规定的等级保护工作,n定级是等级保护的首要环节,n备案是等级保护的核心,n建设整改是等级保护工作落实的关键,n等级测评是评
6、价安全保护状况的方法,n监督检查是等级测评整改的延续,监督检查是保护能力不断提高的保障,重要行业关键信息系统划分及定级建议,等级保护建设核心思想,信息系统的安全设计应基于业务流程自身特点,建立“可信、可控、可管”的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏。,可信,1,2,3,即以可信认证为基础,构建一个可信的业务系统执行环境,即用户、平台、程序都是可信的,确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行,不会出现非预期的流程,从而保障了业务系统安全可信。,即以访问控制技术为核心,实现主体对客体的受控访问,保证所有的访问
7、行为均在可控范围之内进行,在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作,永远都按系统设计的策略进行资源访问,保证了系统的信息安全可控。,即通过构建集中管控、最小权限管理与三权分立的管理平台,为管理员创建一个工作平台,使其可以进行技术平台支撑下的安全策略管理,从而保证信息系统安全可管。,可控,可管,等级保护总体设计流程,分析关键保护点,梳理主、客体及权限,对系统进行风险评估,梳理业务流程,分层分域设计,安全机制及策略设计,梳理业务流程是给系统量身定制安全设计方案的基础;通过业务流程的梳理,了解系统的现状、特点及特殊安全需求,为后续方
8、案设计奠定基础。,找出系统中的所有主体及客体;明确主体对客体的最小访问权限。,基于一个中心、三重防护,构建安全防护体系;从不同层次、不同位置设计纵深防御体系,防止单点失效。,设计身份认证及程序可信保护机制,确保主体可信;设计访问控制机制及策略,保证主体对客体的最小访问权限;设计保密性、完整性保护机制,确保重要客体的保密性及完整性不被破坏;设计安全管理中心,保证系统安全机制始终可管。,等级保护基本框架要求,物理安全,技术要求,管理要求,系统安全防护要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,安全产品协助防护,网络安全解读,要
9、点:主要设备冗余空间、安全路径控制、整体网络带宽、带宽优先级、重要网段部署,要点:端口控制、防地址欺骗协议过滤、会话控制最大流量数及最大连接数,要点:审计记录审计报表审计记录的保护,要点:非授权设备接入非授权网络联出,要点:记录、报警、阻断,要点:记录、报警、阻断,要点:组合鉴别技术特权用户权限分离,在云计算环境中,除以上必要的保护措施外,还需考虑云使用者利用云资源发起的网络攻击、云租户之间的隔离以及云租户与云服务商的审计独立,网络安全解读(1),网络安全解读(2),网络安全解读(3),网络安全解读(4),网络安全解读(5),应用及数据安全,应用安全解读(1),应用安全解读(2),应用安全解读
10、(3),应用安全解读(4),应用安全解读(5),数据安全解读(1),数据安全解读(2),等级保护安全技术方案,等级保护二、三级关键点说明,二级,三级,三级等保实施方案(通用),等级保护几点问题澄清,等保不仅仅是安全的舞台,像交换机、路由器都是需要的,数通安全同品牌可是我们克敌制胜法宝哦,等保是功能的要求,而不是设备的罗列,防火墙-必备入侵防御- 三级必备交换机等数通产品-必备网闸-四级以上漏扫-没要求堡垒机-推荐,我们设备种类全面满足等保的要求,华为的自主可控是最好的等保厂商,等级保护建设常见问题,各单位安全建设存在的相关问题,重要行业部门对网络安全认识不清,安全意识差,重视不够。缺少全局性的政策文件、标准,缺乏对整个工作的指导。管理体制机制不顺。管理制度不健全,责任部门、责任人不落实,安全责任不落实,职责不清,分工不明。缺乏在机构设置、人员配备、机制、能力等方面的整体考虑和统筹。网络建设落后。缺少安全技术措施和管理措施,发现入侵攻击、窃密和网络系统安全隐患、问题能力差是主动防护能力差。防攻击、防窃密、防篡改等技术措施和管理措施不落实。是应急处置能力差。缺少信息系统应急处置预案。缺乏组织应急演练,预案不起任何作用。,基于客户化场景的安全销售方案套餐包,基于场景分类特点的产品优势组合,谢谢!,夯实安全 有备无患,
