1、網(wǎng)絡(luò)安全等級保護(hù)2.0交流目 錄CONTENTS 01 等級保護(hù)2.0介紹 02 等級保護(hù)2.0方案 03 等級保護(hù)案例分析等級保護(hù)2.0介紹a.基本介紹b.標(biāo)準(zhǔn)解讀01什么是等級保護(hù)網(wǎng)絡(luò)安全等級保護(hù)，采取分等級保護(hù)、分等級監(jiān)管。將全國的信息系統(tǒng)（包括網(wǎng)絡(luò)）按照重要性和遭受損壞后的危害性分成 5 個(gè)安全保護(hù)等級（從第一級到第五級，逐級增高）。系統(tǒng)等級監(jiān)管級別保護(hù)能力等級（GB 17859）第一級自主保護(hù)自主保護(hù)第二級指導(dǎo)保護(hù)系統(tǒng)審計(jì)保護(hù)第三級監(jiān)督保護(hù)安全標(biāo)記保護(hù)第四級強(qiáng)制保護(hù)結(jié)構(gòu)化保護(hù)第五級?？乇Ｗo(hù)訪問驗(yàn)證保護(hù)等級保護(hù)發(fā)展歷程經(jīng)過25年的發(fā)展，公安網(wǎng)安部門組織建立了等級保護(hù)的領(lǐng)導(dǎo)體系、政策體系

2、、標(biāo)準(zhǔn)體系和技術(shù)支撐體系，監(jiān)督、檢查、 指導(dǎo)重點(diǎn)行業(yè)、部門開展網(wǎng)絡(luò)安全等級保護(hù)工作，有效提升了 國家關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)能力。中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（1994 年 2 月 18 日中華人民共和國國務(wù)院令 147 號）2003 年 9 月中辦國辦頒發(fā)關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)2003 27 號）2004 年 11 月四部委會(huì)簽關(guān)于信息安全等級保護(hù)工作的實(shí)施意見（公通字2004 66 號）2005 年 9 月國信辦文件關(guān)于轉(zhuǎn)發(fā)電子政務(wù)信息安全等級保護(hù)實(shí)施指南的通知（國信辦2004 25 號）2006 年 1 月四部委會(huì)簽關(guān)于印發(fā)信息安全等級保護(hù)管理辦法的通知（公

3、通字2006 7 號）2007 年 6 月公安部、保密局、國密局、國信辦聯(lián)合印發(fā)信息安全等級保護(hù)管理辦法（公通字2007 43 號）2007 年 7 月關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知（公信安2007 861 號）2008年發(fā)布GB/T 222392008 信息系統(tǒng)安全等級保護(hù)基本要求GB/T 22240-2008 信息系統(tǒng)安全等級保護(hù)定級指南2009年公安部發(fā)文關(guān)于開展信息系統(tǒng)等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見（公信安2009 1429號）2010年3月公安部發(fā)文關(guān)于推動(dòng)信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知（公信安303號）至2018年8月，等保2.0系列標(biāo)

4、準(zhǔn)修訂完成，并報(bào)批；2019年5月10正式發(fā)布，12月1日實(shí)施等級保護(hù)2.0系列標(biāo)準(zhǔn)進(jìn)展2018年發(fā)布測評過程指南（2019年7月1日實(shí)施）測試評估技術(shù)指南（2019年4月1日實(shí)施）測評機(jī)構(gòu)能力要求和評估規(guī)范（2019年7月1日實(shí)施）安全管理中心技術(shù)要求（2019年7月1日實(shí)施）2019年發(fā)布基本要求（12月1號實(shí)施）測評要求（12月1號實(shí)施）安全設(shè)計(jì)技術(shù)要求（12月1號實(shí)施）實(shí)施指南（2020年3月1號實(shí)施）等待發(fā)布定級指南新時(shí)期等級保護(hù)依據(jù)的法律、法規(guī)法律、政策依據(jù)網(wǎng)絡(luò)安全法第二十一條明確要求：“國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度”。網(wǎng)絡(luò)安全等級保護(hù)條例第三條【確立制度】國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)

5、制度，對網(wǎng)絡(luò)實(shí)施分等級保護(hù)、分等級監(jiān)管（待發(fā)布）。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（待發(fā)布）。關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見（公信安 2009 1429號）。中央關(guān)于加強(qiáng)社會(huì)治安防控體系建設(shè)的意見、公安改革若干重大問題的框架意見要求“健全完善信息安全等級保護(hù)制度”。中央領(lǐng)導(dǎo)批示要求：健全完善以保護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施安全為重點(diǎn)的網(wǎng)絡(luò)安全等級保護(hù)制度。等級保護(hù)2.0政策、標(biāo)準(zhǔn)體系網(wǎng)絡(luò)安全等級保護(hù)條例（制訂中）（總要求/上位文件）計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB 17859-1999)（上位標(biāo)準(zhǔn)）網(wǎng)絡(luò)安全等級保護(hù) 基本要求(GB/T 22239-2019)網(wǎng)絡(luò)安全等級保護(hù)

6、安全設(shè)計(jì)技術(shù)要求(GB/T 25070-2019) 網(wǎng)絡(luò)安全等級保護(hù) 測評要求(GB/T 28448-2019)網(wǎng)絡(luò)安全等級保護(hù) 實(shí)施指南(GB/T 25058-2019)網(wǎng)絡(luò)安全等級保護(hù)安全管理中心技術(shù)要求(GB/T 36958-2018)網(wǎng)絡(luò)安全等級保護(hù) 測評過程指南(GB/T 28449-2018) 網(wǎng)絡(luò)安全等級保護(hù) 定級指南(GB/T 22240-XXXX) （修訂）網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)職責(zé)工信部擬定實(shí)施行業(yè)規(guī)劃、產(chǎn)業(yè)政策和標(biāo)準(zhǔn)；指導(dǎo)推進(jìn)信息化建設(shè)；協(xié)調(diào)維護(hù)國家信息安全等；指導(dǎo)軟件發(fā)展；擬定并組織實(shí)施軟件、系統(tǒng)集成及服務(wù)的技術(shù)規(guī)范和標(biāo)準(zhǔn)；推動(dòng)軟件公共服務(wù)體系建設(shè)；指導(dǎo)、協(xié)調(diào)信息安全技術(shù)開發(fā)

7、等。中央網(wǎng)絡(luò)安全與信息化委員會(huì)著眼國家安全和長遠(yuǎn)發(fā)展，統(tǒng)籌協(xié)調(diào)涉及經(jīng)濟(jì)、政治、文化、社會(huì)及軍事等各個(gè)領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問題，研究制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策，推動(dòng)國家網(wǎng)絡(luò)安全和信息化法治建設(shè)，不斷增強(qiáng)安全保障能力。公安部負(fù)責(zé)公共信息網(wǎng)絡(luò)的安全監(jiān)察工作、信息安全及等級保護(hù)的監(jiān)督管理工作和信息安全產(chǎn)品的銷售許可工作等。國家版權(quán)局主管全國新聞出版事業(yè)與著作權(quán)管理工作，負(fù)責(zé)軟件著作權(quán)的登記和管理工作國家保密局管理和指導(dǎo)保密技術(shù)工作，負(fù)責(zé)辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)的保密管理，指導(dǎo)保密技術(shù)產(chǎn)品的研制和開發(fā)應(yīng)用，對從事涉密信息系統(tǒng)集成的企業(yè)資質(zhì)進(jìn)行認(rèn)定。國家密碼管理局主管全國商用

8、密碼管理工作，包括認(rèn)定商用密碼產(chǎn)品的科研、生產(chǎn)、銷售單位，批準(zhǔn)生產(chǎn)的商用密碼產(chǎn)品品種和型號等。010203040506等級保護(hù)2.0主要解決哪些問題新的安全風(fēng)險(xiǎn)APT攻擊無線安全內(nèi)容安全個(gè)人信息管轄權(quán)新技術(shù)新應(yīng)用防護(hù)云計(jì)算移動(dòng)互聯(lián)網(wǎng)物聯(lián)網(wǎng)工業(yè)控制系統(tǒng)大數(shù)據(jù)CII是等級保護(hù)的防護(hù)重點(diǎn)國家網(wǎng)絡(luò)安全等級保護(hù)制度是對關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)的基礎(chǔ)。關(guān)鍵信息基礎(chǔ)設(shè)施的范圍是在定級備案的第三級（含）以上的保護(hù)對象中確定。關(guān)鍵信息基礎(chǔ)設(shè)施必須按照國家網(wǎng)絡(luò)安全等級保護(hù)制度要求，開展定級備案、等級測評、安全建設(shè)整改、安全檢查等強(qiáng)制性、規(guī)定性工作。沒有國家網(wǎng)絡(luò)安全等級保護(hù)制度，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)就失去了基礎(chǔ)

9、。等保2.0監(jiān)管對象廣泛，保護(hù)措施完善等級保護(hù)對象進(jìn)一步擴(kuò)充將網(wǎng)絡(luò)基礎(chǔ)設(shè)施、重要信息系統(tǒng)、網(wǎng)站、大數(shù)據(jù)中心、云計(jì)算平臺、物聯(lián)網(wǎng)、工控系統(tǒng)、公眾服務(wù)平臺等全部納入等級保護(hù)監(jiān)管。將互聯(lián)網(wǎng)企業(yè)納入等級保護(hù)管理，保護(hù)互聯(lián)網(wǎng)企業(yè)健康發(fā)展。等級保護(hù)措施進(jìn)一步完善完善等級保護(hù)工作措施。將風(fēng)險(xiǎn)評估、安全監(jiān)測、通報(bào)預(yù)警、事件調(diào)查、應(yīng)急演練、災(zāi)難備份、自主可控、供應(yīng)鏈安全、效果評價(jià)、綜治考核等重點(diǎn)措施納入等級保護(hù)制度實(shí)施。等級保護(hù)1.0 VS 2.0標(biāo)準(zhǔn)體系名稱發(fā)生了變化信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求改為信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求，與網(wǎng)絡(luò)安全法一致；（Information systemc

10、yber security）等級保護(hù)基本要求結(jié)構(gòu)的變化基本要求（GB/T 22239-2019）的內(nèi)容由一個(gè)基本要求變化成安全通用要求、云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)的新基本要求；定級矩陣，定級流程發(fā)生了改變等保2.0下，針對公民、法人和其他組織的合法權(quán)益遭受特別嚴(yán)重?fù)p害時(shí)，安全保護(hù)等級由第二級調(diào)整為第三級；等級保護(hù)由1.0時(shí)期的自主定級到2.0下科學(xué)定級的變化；等級保護(hù)安全要求的變化突出“一個(gè)中心，三重防護(hù)”思路；增加了可信計(jì)算的安全要求；備案機(jī)關(guān)調(diào)整到縣級以上公安機(jī)關(guān)備案機(jī)關(guān)由原來的地市級以上公安機(jī)關(guān)調(diào)整到縣級以上公安機(jī)關(guān)；等保護(hù)1.0 VS 2.0基本要求的變化等保1.0-基本要

11、求技術(shù)要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)管理要求安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理等保2.0-新基本要求安全物理環(huán)境技術(shù)要求安全通用要求安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心安全管理制度管理要求安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理等級保護(hù)基本要求（GB/T 22239-2019）信息技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求（GB/T 22239-2019）安全要求一級二級三級四級五級8.1 安全通用要求技術(shù)要求安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心安全物理環(huán)境安全通信

12、網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心略管理要求安全管理制度安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理安全管理制度安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理安全管理制度安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理安全管理制度安全管理機(jī)構(gòu)安全管理人員安全建設(shè)管理安全運(yùn)維管理8.2 云計(jì)算安全擴(kuò)展要求技術(shù)要求安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心

13、管理要求安全建設(shè)管理安全建設(shè)管理安全運(yùn)維管理安全建設(shè)管理安全運(yùn)維管理安全建設(shè)管理安全運(yùn)維管理8.3 移動(dòng)互聯(lián)安全擴(kuò)展要求技術(shù)要求安全物理環(huán)境安全區(qū)域邊界安全計(jì)算環(huán)境安全物理環(huán)境安全區(qū)域邊界安全計(jì)算環(huán)境安全物理環(huán)境安全區(qū)域邊界安全計(jì)算環(huán)境安全物理環(huán)境安全區(qū)域邊界安全計(jì)算環(huán)境管理要求安全建設(shè)管理安全建設(shè)管理安全建設(shè)管理安全運(yùn)維管理安全建設(shè)管理安全運(yùn)維管理8.4 物聯(lián)網(wǎng)安全擴(kuò)展要求技術(shù)要求安全物理環(huán)境安全區(qū)域邊界安全物理環(huán)境安全區(qū)域邊界安全物理環(huán)境安全區(qū)域邊界安全計(jì)算環(huán)境安全物理環(huán)境安全區(qū)域邊界安全計(jì)算環(huán)境管理要求安全運(yùn)維管理安全運(yùn)維管理安全運(yùn)維管理安全運(yùn)維管理8.5 工業(yè)控制系統(tǒng)安全擴(kuò)展要求技術(shù)要

14、求安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全物理環(huán)境安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境管理要求安全建設(shè)管理安全建設(shè)管理安全建設(shè)管理等保1.0 VS 2.0基本要求控制點(diǎn)/要求項(xiàng)的變化基本要求（GB/T 22239-2008）基本要求（安全通用要求）（GB/T 22239-2019）類別第二級第三級類別第二級第三級技術(shù)要求物理安全1932安全物理環(huán)境1522網(wǎng)絡(luò)安全1833安全通信網(wǎng)絡(luò)48主機(jī)安全1932安全區(qū)域邊界1120應(yīng)用安全1931安全計(jì)算環(huán)境2334數(shù)據(jù)安全及備份恢復(fù)48安全管理

15、中心412管理要求安全管理制度711安全管理制度67安全管理機(jī)構(gòu)920安全管理機(jī)構(gòu)914人員安全管理1116安全管理人員712系統(tǒng)建設(shè)管理2845安全建設(shè)管理2534系統(tǒng)運(yùn)維管理4162安全運(yùn)維管理3148總計(jì)/175290/135211實(shí)行全新的等保測評體系測評對象進(jìn)一步擴(kuò)充；等級測評報(bào)告模板升級；等級測評結(jié)論復(fù)用（引入云平臺測評結(jié)果復(fù)用）；加大了對測評單位管理力度；測評結(jié)果打破60分合格的底線（中-70分以上）；安全通信網(wǎng)絡(luò)（第三級）類別控制點(diǎn)要求項(xiàng)總結(jié)合規(guī)性分析安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)要求劃分不同的安全區(qū)域，重要區(qū)域與其他區(qū)域采用安全技術(shù)隔離；要求網(wǎng)絡(luò)資源能夠滿足業(yè)務(wù)高峰的需要，增加硬件冗余

16、要求。網(wǎng)絡(luò)區(qū)域劃分、網(wǎng)絡(luò)冗余設(shè)計(jì)、邊界防火墻、綜合網(wǎng)管系統(tǒng)通信傳輸要求使用校驗(yàn)技術(shù)或密碼技術(shù)保證數(shù)據(jù)的完整性，同時(shí)要求使用密碼技術(shù)對敏感信息字段或報(bào)文進(jìn)行加密通信。VPN設(shè)備（國密）應(yīng)用加密傳輸SSL可信驗(yàn)證要求對系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證，并對應(yīng)用程序關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，同時(shí)送安全管理中心?？尚跑浻布踩珔^(qū)域邊界類別控制點(diǎn)要求項(xiàng)總結(jié)合規(guī)性分析安全區(qū)域邊界邊界防護(hù)要求通過受控端口進(jìn)行通信（邊界設(shè)備設(shè)置特定端口，供跨邊界流量通信）；要求對非授權(quán)設(shè)備接入限制，內(nèi)部用戶非授權(quán)連接外部網(wǎng)絡(luò)進(jìn)行限制或檢查，同時(shí)要求限制無線網(wǎng)絡(luò)使用。下一代防火墻網(wǎng)閘、網(wǎng)絡(luò)終

17、端準(zhǔn)入、無線防護(hù)系統(tǒng)、訪問控制主要在網(wǎng)絡(luò)邊界處設(shè)置訪問控制規(guī)則，優(yōu)化訪問控制列表；對數(shù)據(jù)的過濾增強(qiáng)為根據(jù)會(huì)話狀態(tài)信息進(jìn)行過濾，控制粒度為端口級，明確了允許拒絕能力；將過濾的粒度擴(kuò)展到應(yīng)用協(xié)議和應(yīng)用內(nèi)容。下一代防火墻（ACL）網(wǎng)閘入侵防范要求在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從內(nèi)外部發(fā)起的網(wǎng)絡(luò)攻擊行為，對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析。IDPS、抗APT攻擊系統(tǒng)、全流量系統(tǒng)（回溯）、抗DDOS攻擊系統(tǒng)、威脅情報(bào)惡意代碼和垃圾郵件防范要求在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處進(jìn)行惡意代碼和垃圾郵件防范并維護(hù)更新。防病毒網(wǎng)關(guān)、垃圾郵件防護(hù)系統(tǒng)安全審計(jì)要求對重要的用戶行為和安全事件等基本情況進(jìn)行審計(jì)，對審計(jì)記錄提出了保

18、護(hù)要求；要求對遠(yuǎn)程訪問行為和訪問互聯(lián)網(wǎng)行為等進(jìn)行單獨(dú)審計(jì)。安全審計(jì)系統(tǒng)、上網(wǎng)行為管理系統(tǒng)可信驗(yàn)證要求對系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證，并對應(yīng)用程序關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，同時(shí)送安全管理中心。可信軟硬件安全計(jì)算環(huán)境（1/2）類別控制點(diǎn)要求項(xiàng)總結(jié)合規(guī)性分析安全計(jì)算環(huán)境身份鑒別要求對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識和鑒別應(yīng)滿足相關(guān)要求，并實(shí)現(xiàn)登錄失敗處理功能；增加對遠(yuǎn)程管理的要求；要求兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。統(tǒng)一身份認(rèn)證、堡壘機(jī)訪問控制要求對登錄的用戶分配賬戶和權(quán)限，重命名或刪除默認(rèn)賬戶，

19、修改默認(rèn)賬戶的默認(rèn)口令，及時(shí)刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；要求授予管理用戶最小權(quán)限；要求主體對客體的訪問控制策略；重要主體和客體設(shè)置安全標(biāo)記，訪問控制主體為用戶級或進(jìn)程級，客體為文件、數(shù)據(jù)庫表級。安全加固、堡壘機(jī)（雙因素認(rèn)證）安全審計(jì)要求進(jìn)行安全審計(jì)，并對審計(jì)記錄進(jìn)行保護(hù)，且審計(jì)記錄的留存時(shí)間要符合要求；要求對審計(jì)進(jìn)程保護(hù)，防止未經(jīng)授權(quán)的終端。綜合安全審計(jì)數(shù)據(jù)庫審計(jì)系統(tǒng)入侵防范要求系統(tǒng)遵循最小安裝原則，關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；增加對管理終端的地址限定和漏洞修補(bǔ)要求；要求對重要節(jié)點(diǎn)的嚴(yán)重入侵檢測和報(bào)警。滲透測試、安全加固、漏洞掃描系統(tǒng)、全流量審計(jì)惡意代碼防范

20、要求采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制進(jìn)行惡意代碼防范。殺毒軟件、可信計(jì)算安全計(jì)算環(huán)境（2/2）類別控制點(diǎn)要求項(xiàng)總結(jié)合規(guī)性分析安全計(jì)算環(huán)境可信驗(yàn)證要求對系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證，并對應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，同時(shí)送安全管理中心?？尚跑浻布?shù)據(jù)完整性要求采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性；要求采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過程中的完整性。應(yīng)用加密技術(shù)、文檔加解密系統(tǒng)、數(shù)據(jù)庫脫敏數(shù)據(jù)保密性要求采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲(chǔ)過程中的保密性。應(yīng)用加密傳輸、加密存儲(chǔ)數(shù)據(jù)備份恢復(fù)要求提供重要數(shù)據(jù)的本

21、地?cái)?shù)據(jù)備份與恢復(fù)功能；要求異地?cái)?shù)據(jù)實(shí)時(shí)備份、重要數(shù)據(jù)處理系統(tǒng)熱冗余，保證系統(tǒng)高可用。備份系統(tǒng)（備份恢復(fù)）、異地備份、設(shè)備HA剩余信息保護(hù)要求鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全清除；要求敏感數(shù)據(jù)的存儲(chǔ)空間被釋放或重新分配前得到完全清除。數(shù)據(jù)擦除設(shè)計(jì)（內(nèi)存回收機(jī)制）個(gè)人信息保護(hù)要求僅采集和保存業(yè)務(wù)必需的用戶個(gè)人信息，并禁止未授權(quán)訪問和非法使用用戶個(gè)人信息。數(shù)據(jù)匿名、脫敏、個(gè)人信息管理制度安全管理中心類別控制點(diǎn)要求項(xiàng)總結(jié)合規(guī)性分析安全管理中心系統(tǒng)管理要求系統(tǒng)管理員通過管理工具或平臺進(jìn)行管理操作，且這些操作能夠被審計(jì)。 規(guī)定系統(tǒng)管理員的操作內(nèi)容及相關(guān)要求，應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運(yùn)

22、行進(jìn)行配置、控制和管理，包括用戶身份、資源配置、 加載和啟動(dòng)、運(yùn)行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。集中管理系統(tǒng)審計(jì)管理要求審計(jì)管理員通過管理工具或平臺進(jìn)行安全審計(jì)操作，且這些操作能夠被審計(jì)。規(guī)定審計(jì)管理員的操作內(nèi)容及相關(guān)要求，應(yīng)通過審計(jì)管理員對審計(jì)記錄進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理，包括根據(jù)安全審計(jì)策略對審計(jì)記錄進(jìn)行存儲(chǔ)、管理和查詢等。綜合安全審計(jì)系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)、態(tài)勢感知系統(tǒng)安全管理要求安全管理員通過管理工具或平臺進(jìn)行安全管理操作，且這些操作能夠被審計(jì)。規(guī)定安全管理操作的內(nèi)容及相關(guān)要求。應(yīng)通過安全管理員對系統(tǒng)中的安全策略進(jìn)行配置，包括安全參數(shù)的設(shè)置，主體、客體進(jìn)行 統(tǒng)一安全標(biāo)記，

23、對主體進(jìn)行授權(quán)，配置可信驗(yàn)證策略等。集中管理系統(tǒng)集中管控要求劃出特定的管理區(qū)域，對整體網(wǎng)絡(luò)安全狀態(tài)進(jìn)行監(jiān)控和管理；要求使用安全方式對網(wǎng)絡(luò)中安全設(shè)備或安全組件進(jìn)行遠(yuǎn)程管理；要求提供集中審計(jì)功能并根據(jù)法律法規(guī)要求留存審計(jì)信息；（至少6個(gè)月）對安全策略、惡意代碼、補(bǔ)丁升級進(jìn)行集中管理。劃分安全管理區(qū)、安全運(yùn)維技術(shù)、態(tài)勢感知系統(tǒng)、綜合安全審計(jì)系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)、殺毒補(bǔ)丁升級系統(tǒng)惡意代碼防范惡意代碼防范（安全計(jì)算環(huán)境）第一級應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件，并定期進(jìn)行升級和更新防惡意代碼庫。第二級應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件，并定期進(jìn)行升級和更新防惡意代碼庫。第三級應(yīng)采用免

24、受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識別入侵和病毒行為，并將其有效阻斷。第四級應(yīng)采用主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識別入侵和病毒行為，并將其有效阻斷?？尚膨?yàn)證可信驗(yàn)證（安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境）第一級可基于可信根對設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序等進(jìn)行可信驗(yàn)證， 并在檢測到其可信性受到破壞后進(jìn)行報(bào)警。第二級可基于可信根對設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在檢測到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。第三級可基于可信根對設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行

25、環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，在檢測到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。第四級可基于可信根對設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，在檢測到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心，并進(jìn)行動(dòng)態(tài)關(guān)聯(lián)感知。安全通用要求的變化總結(jié)分類控制點(diǎn)新增主要變化安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)通信傳輸增加對通信設(shè)備的可信驗(yàn)證要求，但要求屬于可實(shí)現(xiàn)，非應(yīng)實(shí)現(xiàn)安全區(qū)域邊界邊界防護(hù)訪問控制入侵防范惡意代碼和垃圾郵件防范安全審計(jì)無線網(wǎng)絡(luò)統(tǒng)一組網(wǎng)，通過受控邊界防護(hù)設(shè)備統(tǒng)一接入有線網(wǎng)絡(luò)。提出應(yīng)該對信息內(nèi)

26、容進(jìn)行過濾，實(shí)現(xiàn)對內(nèi)容的訪問控制。明確提出包含從內(nèi)到外雙向的攻擊檢測，新型攻擊分析，檢測位置上升到關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)將惡意代碼防范要求從網(wǎng)絡(luò)邊界上升到關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)將審計(jì)從網(wǎng)絡(luò)設(shè)備和流量層面直接要求到所有用戶的行為和重要安全事件。提出遠(yuǎn)程訪問的用戶、訪問互聯(lián)網(wǎng)的用戶應(yīng)該單獨(dú)審計(jì)。增加對邊界設(shè)備的可信驗(yàn)證要求，但要求屬于可實(shí)現(xiàn)，非應(yīng)實(shí)現(xiàn)安全計(jì)算環(huán)境身份鑒別訪問控制可信驗(yàn)證日志6個(gè)月、強(qiáng)化漏掃應(yīng)用，三級及以上強(qiáng)化了“雙因素鑒別”和“基于標(biāo)記訪問控制”取消病毒異構(gòu)，集中強(qiáng)調(diào)“剩余信息保護(hù)”和“個(gè)人信息保護(hù)”二、三級均要求異地備份；三級明確要求系統(tǒng)冗余增加對計(jì)算 設(shè)備的可信驗(yàn)證要求，但要求屬于可實(shí)現(xiàn)，非應(yīng)實(shí)現(xiàn)

27、安全管理中心系統(tǒng)/審計(jì)/安全管理明確提出集中監(jiān)控、管理、日志統(tǒng)一分析等。等級保護(hù)2.0方案a.一體化安全方案02等級保護(hù)全流程方案定級、備案整改設(shè)計(jì)等級測評運(yùn)行維護(hù)整改實(shí)施等保咨詢服務(wù)差距分析服務(wù)風(fēng)險(xiǎn)評估服務(wù)收集資料-管理類-技術(shù)類-規(guī)劃類-監(jiān)管類梳理業(yè)務(wù)系統(tǒng)-用戶范圍-業(yè)務(wù)功能-業(yè)務(wù)數(shù)據(jù)-網(wǎng)絡(luò)部署梳理資產(chǎn)-網(wǎng)絡(luò)設(shè)備-安全設(shè)備-主機(jī)虛擬機(jī)-啞終端-數(shù)據(jù)庫、中間件涉及安全產(chǎn)品涉及安全服務(wù)設(shè)計(jì)建設(shè)整改方案-技術(shù)體系設(shè)計(jì)-管理體系設(shè)計(jì)-運(yùn)營體系設(shè)計(jì)整改建設(shè)方案云計(jì)算安全方案工控系統(tǒng)安全方案物聯(lián)網(wǎng)安全方案移動(dòng)互聯(lián)安全方案安全加固服務(wù)滲透測試服務(wù)安全培訓(xùn)服務(wù)技術(shù)體系整改安全域整改安全產(chǎn)品部署安全策略實(shí)施

28、管理體系整改管理制度整改梳理安全管理機(jī)構(gòu)梳理安全管理人員梳理安全建設(shè)管理梳理安全運(yùn)維管理制度差距分析等保咨詢服務(wù)協(xié)助準(zhǔn)備定級備案資料協(xié)助定級評審-信息系統(tǒng)安全等級保護(hù)定級報(bào)告-信息系統(tǒng)安全等級保護(hù)定級備案表協(xié)助實(shí)施備案-提交備案表-領(lǐng)取信息系統(tǒng)安全等級保護(hù)備案證明等保咨詢服務(wù)測評機(jī)構(gòu)入場-測評對象-測評計(jì)劃-測評配合人員協(xié)助管理測評-協(xié)助管理訪談-協(xié)助介紹、說明管理制度體系協(xié)助技術(shù)測評-協(xié)助技術(shù)訪談-協(xié)助說明已實(shí)施的技術(shù)措施威脅管理與響應(yīng)服務(wù)（MDR）應(yīng)急響應(yīng)服務(wù)應(yīng)急演練服務(wù)滲透測試服務(wù)重保安全服務(wù)我們在等保2.0合規(guī)市場能賣啥？產(chǎn)品、服務(wù)、運(yùn)營組合銷售模式賣點(diǎn)可賣的項(xiàng)目賣運(yùn)營威脅管理與響應(yīng)服

29、務(wù)（MDR）、網(wǎng)站安全監(jiān)測服務(wù)、安全值守服務(wù)；賣平臺態(tài)勢感知平臺、安全監(jiān)測與通報(bào)預(yù)警平臺（ISOP）；賣服務(wù)等保咨詢服務(wù)：通用等保咨詢服務(wù)、云等保咨詢服務(wù)、工控等保咨詢服務(wù)安全技術(shù)服務(wù)：風(fēng)險(xiǎn)評估、滲透測試、安全加固、應(yīng)急響應(yīng)、應(yīng)急演練、重保服務(wù)、安全培訓(xùn)服務(wù)等；賣產(chǎn)品傳統(tǒng)安全產(chǎn)品、虛擬化安全產(chǎn)品（安全資源池）、工控安全產(chǎn)品、物聯(lián)網(wǎng)安全產(chǎn)品、等保一體機(jī)+ESP-H、全流量分析系統(tǒng)、安全管理平臺；低中高傳統(tǒng)場景的等保需求傳統(tǒng)場景面臨的等保2.0監(jiān)管合規(guī)機(jī)會(huì)點(diǎn)機(jī)會(huì)點(diǎn)描述備注機(jī)會(huì)點(diǎn)1等保1.0時(shí)期，定級不合理，等保2.0下需要重新定級-備案-安全整改-等保測評；傳統(tǒng)場景：指的是承載環(huán)境非虛擬化、云計(jì)算

30、平臺。也不涉及物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、工控系統(tǒng)。例如:傳統(tǒng)數(shù)據(jù)中心、傳統(tǒng)網(wǎng)站安全建設(shè)。機(jī)會(huì)點(diǎn)2新建信息系統(tǒng)，需要面臨等保2.0全流程建設(shè)，定級-備案-安全建設(shè)-等保測評；機(jī)會(huì)點(diǎn)3等保1.0時(shí)期，等級測評在70分以下，在等保2.0實(shí)行后需要進(jìn)行安全整改建設(shè)；在傳統(tǒng)場景下，針對行業(yè)客戶我們賣啥？行業(yè)用戶-部委、省、市客戶、重點(diǎn)院校、科研院所等機(jī)會(huì)點(diǎn)整改建議可賣項(xiàng)目定級不合理重新過等保，需要重新定級、備案、安全建設(shè)、測評。賣等保咨詢服務(wù)、增加安全產(chǎn)品、安全技術(shù)服務(wù)、安全運(yùn)營服務(wù)；新建系統(tǒng)定級、備案、安全建設(shè)、測評。賣等保咨詢服務(wù)、安全產(chǎn)品、安全技術(shù)服務(wù)、安全運(yùn)營服務(wù)；等保測評在70分以下安全整改建設(shè)可賣T

31、AC、SEG（針對郵件系統(tǒng)）、EDR、全流量分析系統(tǒng)、NTI、安全管理平臺、等保咨詢服務(wù)（差距分析、整改方案、協(xié)助測評）；通用場景下的等保安全建設(shè)等保建設(shè)，高效便捷安全架構(gòu)清晰區(qū)域劃分合理技術(shù)體系科學(xué)符合等保要求規(guī)范用新一代的安全產(chǎn)品實(shí)現(xiàn)保護(hù)應(yīng)用創(chuàng)新產(chǎn)品加強(qiáng)保護(hù)多場景覆蓋，多體系融合適應(yīng)多種等場景的等保方案檢測、防護(hù)、響應(yīng)全周期覆蓋融合安全預(yù)警、運(yùn)維管理理念聚焦行業(yè)提供一體化安全方案教育部教育廳市教育局區(qū)縣電教館普通中小學(xué)市直屬中小學(xué)市屬高職市屬中職省屬高職省屬高校部屬高校工信部等省電教館省考試院市電教館市考試院省裝備處市裝備處信息中心計(jì)算機(jī)學(xué)院網(wǎng)安院系圖書館校企合作處科研處教育部電教館教育部

32、考試院教育部裝備處管理信息中心教指委科技發(fā)展中心行指委教育集團(tuán)民辦民辦民辦民辦民辦信息中心網(wǎng)安院系培訓(xùn)機(jī)構(gòu)教育云政府運(yùn)營商銀行云服務(wù)商教育行業(yè)細(xì)分地市、區(qū)、縣局283+374+2853普通高校2663本科、?？?245+1418中職技校10000+中小學(xué)2.43萬+16.18萬推廣形式開放合作、渠道主導(dǎo)、原廠支持標(biāo)桿示范、批量復(fù)制、地市團(tuán)隊(duì)下沉覆蓋橫縱向拉通縱向指導(dǎo)橫向支持渠道主導(dǎo)產(chǎn)品支撐教育行業(yè)營銷材料銷售指導(dǎo)固化方案等級保護(hù)一體化解決方案（一體機(jī)+小態(tài)勢）網(wǎng)絡(luò)架構(gòu)通信傳輸可信驗(yàn)證邊界防護(hù)入侵防范惡意代碼安全審計(jì)可信驗(yàn)證身份鑒別訪問控制安全審計(jì)入侵防范可信驗(yàn)證數(shù)據(jù)完整性數(shù)據(jù)備份恢復(fù)剩余信息保

33、護(hù)個(gè)人信息保護(hù)系統(tǒng)管理審計(jì)管理安全管理集中管控垃圾郵件惡意代碼防范數(shù)據(jù)保密性安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計(jì)算環(huán)境安全管理中心防火墻入侵檢測網(wǎng)絡(luò)防病毒VPN堡壘機(jī)日志審計(jì)數(shù)據(jù)庫審計(jì)終端安全小態(tài)勢ESP-H漏洞掃描等保一體機(jī)小態(tài)勢ESP-H等保一體機(jī)產(chǎn)品全景等保一體機(jī) 透明 單臂 路由下一代防火墻NGFW遠(yuǎn)程安全評估系統(tǒng)RSAS日志審計(jì)系統(tǒng)LAS數(shù)據(jù)庫審計(jì)DAS終端安全系統(tǒng)V9Kingsoft v9安全審計(jì)-堡壘機(jī)SAS-H等級保護(hù)2.0通用場景一體化解決方案+等保一體機(jī)核心功能組件下一代防火墻NGFW防火墻特性：應(yīng)用/用戶識別、訪問控制、流量分析與控制安全特性：入侵檢測、網(wǎng)絡(luò)防病毒、URL過濾、

34、內(nèi)容過濾漏洞掃描：主機(jī)掃描、WEB掃描、報(bào)告配置核查：等級保護(hù)配置核查用戶管理：多用戶管理、雙因子認(rèn)證運(yùn)維審計(jì)：服務(wù)器操作審計(jì)與策略控制遠(yuǎn)程安全評估系統(tǒng)RSAS安全審計(jì)-堡壘機(jī)SAS-H日志審計(jì)系統(tǒng)LAS日志接入：不同日志源的日志接入，我司設(shè)備/第三方設(shè)備/主機(jī)日志管理：日志存儲(chǔ)，事件定義查詢與監(jiān)控?cái)?shù)據(jù)庫審計(jì)：主流數(shù)據(jù)庫SQL操作解析與審計(jì)日志與報(bào)表：數(shù)據(jù)庫操作日志記錄與報(bào)表查詢數(shù)據(jù)庫審計(jì)系統(tǒng)DAS病毒掃描：磁盤病毒查殺、病毒文件隔離漏洞掃描：系統(tǒng)漏洞掃描、系統(tǒng)補(bǔ)丁管理、軟件管理終端安全系統(tǒng)V9Kingsoft v9等保一體機(jī)產(chǎn)品部署架構(gòu)等保一體機(jī)等保一體機(jī)快速接入無需修改網(wǎng)絡(luò)規(guī)劃更多網(wǎng)絡(luò)功能

35、NAT/VPN不改變原有網(wǎng)絡(luò)拓?fù)涔收蠒r(shí)自動(dòng)切換回原有網(wǎng)絡(luò)透明接入路由接入單臂接入雙機(jī)部署透明、路由、單臂雙機(jī)主備切換、冗余熱備等保一體機(jī)等保一體機(jī)小態(tài)勢ESP-H小態(tài)勢ESP-H小態(tài)勢ESP-H鏡像流量鏡像流量鏡像流量產(chǎn)品特點(diǎn)1、提供典型業(yè)務(wù)模板（例如等保三級、運(yùn)維審計(jì)）；2、快速交付、簡單高效1、軟件定義安全，安全能力虛擬化；2、按需開通軟件授權(quán)，靈活擴(kuò)展1、提供管理平臺，安全能力一體化管理；2、平臺提供實(shí)施監(jiān)測產(chǎn)品狀態(tài)、授權(quán)管理等1、提供不同維度場景的配置向?qū)В?、支持首次使用、網(wǎng)絡(luò)部署、場景部署的一站式指導(dǎo)模板交付彈性擴(kuò)展統(tǒng)一管理配置簡化等保一體化方案套餐產(chǎn)品方案組件構(gòu)成型號核心特點(diǎn)及優(yōu)勢等保二級低價(jià)沖標(biāo)方案NF-基礎(chǔ)+SAS-H+LAS+DAS1510/1710便宜、高性價(jià)比典型建設(shè)方案NF-基礎(chǔ)+SAS-H+LAS+DAS+RSAS1520/1720高分合規(guī)等保三級低價(jià)沖標(biāo)方案NF-增強(qiáng)+SAS-H+LAS+DAS-基礎(chǔ)1510/1710高性價(jià)比典型建設(shè)方案NF-增強(qiáng)+SAS-H+LAS+DAS+RSAS+KSV91530/1730高分合規(guī)高配建設(shè)方案兩