2026网络安全等级防护2.0建设方案

微信扫码，打开到小程序

网络安全等级防护 2.0 建设方案 汇报提纲 CONTENT 汇报提纲 CONTENT 02 等保建设思路 01 等保制度介绍 03 应用场景 等保制度介绍 01 等级保护基本概念 第五级 访问验证 保护级 第四级 结构化保护 第三级 安全标记级 第二级 系统审计保护级 第一级 用户自主保护级 • - 定义  等级保护全称为“信息系统安全等级保护”，现改为“网络安全等级保护”， 是指对网络和信息系统按照重要性等级分级别保护的一种工作；根据网络 与信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后 对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益 的危害程度等，由低到高被划分为五个安全保护等级 •- 概括说明  系统重要程度有多高，安全保护就应当有多强，既不能保护不足，也不能 过度保护。 • - 等级保护对客户意义  遵循客观规律，网络安全的等级是客观存在的  有利于突出重点，加强安全建设和管理  有利于控制信息安全建设的成本，平衡安全建设与成本 • - 等级保护对国家意义  制度：是为了构建国家信息安全保障体系。  抓手：提高信息系统安全防护能力。  带有很强技术性的国家风险管控行为 等级保护制度演进 网络安全等级保护制度是我国信息安全工作保障工作的基本制度和基本国策，是开展信息安全工作的基本方法，是促 进信息化、维护国家信息安全的基本保障。 根据信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公 民、法人和其他组织的合法权益的危害程度；将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。 1994 国务院令第 147 号 第九条“计算机信息系统实行安全等 级保护”首次提出了等级保护的概念 1999 GB17859 强制性标准：本标准规定了我国计 算机信息系统安全保护能力的五 个 等级 2003 中办发 [2003]27 号 信息安全保障纲领性文件，明确指 出“实行信息安全等级保护“主要 任务 2004 公通字 [2004]66 号 进一步明确了信息安全等级保护制 度的职责分工和工作的要求等基 本 内容 2007 2017 网络安全法 第二十一条“国家实行网络安全等级 保护制度”，从法规上升到法律层面 明确了信息安全等级保护的五个动作， 为开展等级保护工作提供了规范保障 公通字 [2007]43 号 2019 等保 2.0 核心标 准 《基本要求》《测评要求》 《安全设计技术要求》 正式发布 2019 等保 2.0 正式实 施 2019 年 12 月 1 日等保 2.0 正式 实施 网络安全法 《网络安全法》共 7 章 79 条法规，具体操作性的条款 38 条， 主 要分布在第三、四、五章。 根据中华人民共和国主席令第五十三 号令，《中华人民共和国网络安全法》 于 2017 年 6 月 1 日起正式实施 第一章 总则 14 条规定 第二章 网络安全支持与促进 6 条规定 第三章 网络运行安全 19 条规定 • 第一节 一般规定 10 条规定 • 第二节 关键信息基础设施的运行安全 9 条规定 第四章 网络信息安全 11 条规定 第五章 监测预警与应急处置 8 条规定 第六章 法律责任 17 条规定 第七章 附则 4 条规定 网络安全法—等保相关要求 作为我国第一部全面规范网络空间安全管理问题的基础性法律，《网络安全法》实现“防御、控制与惩 治 " 三位一体，其中第 21 条， 31 条及 59 条分别对等保要求、关保要求及处罚规定进行了明确 第二十一条 第三十一条 第五十九条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履 行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露 或者被窃取、篡改。 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业 和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计 民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管 部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万 元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。 网络安全专用产品名录 网络关键设备和网络安全专用产品目录 • 2017 年 6 月 9 日正式发布 • 其中防火墙、入侵检测、入侵防御产品也在此专用目录中 等保 2.0- 等级划分 使用对象：非涉密信息系统； 安全产品要求：等保三级以上系统，应优先考虑国内安全产品，除非国外安全产品无法使用国内产品替代时，才允许使用 国外安全产品。 测评要求：二级建议两年 1 次，三级，每年至少开展 1 次。 等级 对象 侵害客体 侵害程度 监管程度 定级参考 第一级 合法权益 损害 自主保护级 适用于小型私企、个体企业、中小学、乡镇所属信息系统、县级单位 中一般的信息系统。 第二级 一般系统 合法权益 严重损害 指导保护级 适用于县级某些单位中的重要的信息系统；地市级以上国家机关、企 事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏 感信息的办公系统和管理系统等。 社会秩序和公共利益 损害 第三级 重要系统 社会秩序和公共利益 严重损害 监督保护级 一般适用于地市级以上国家机关、企事业单位内部重要的信息系统， 例如省级门户网站和地市级及以上重要的业务网站需定为三级，地市 级及以上内部涉及到工作秘密、敏感信息重要信息的办公系统，管理 系统需要定到三级，跨省的用于生产、调度、管理、指挥等在省、市 的分支系统需要定为三级，跨省联结的网络系统要定为三级（这个一 般都是全国运营的专网系统）。 国家安全 损害 第四级 社会秩序和公共利益 特别严重损害 强制保护级 一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安 全，影响社会稳定的核心系统。例如电力生产控制系统、银行核心业 务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。 国家安全 严重损害 第五级 极端重要 系统 国家安全 特别严重损害 专控保护级 一般适用于国家重要领域，信息系统受到破坏后，会对国家安全造成 特别严重损害的系统。 等保 2.0- 行业化要求 1. 政 府 2. 医 疗 4. 教 育 3. 企 业 新等保安全体系框架 网络安全总体战略目标 技 术 支 撑 体 系 安 全 运 营 体 系 安全通信网 络 安全运营和管理中心 安全计算环境 合规要求、业务安全需求 总体安全策略 安全区域边界 新 技 术 安 全 防 护 体 系 安 全 管 理 体 系 网络架构 通信完整性 通信保密性 可信验证 边界防护 入侵防范 病毒 \ 垃圾邮件防范 访问控制 安全审计 身份鉴别 安全审计 入侵防范 病毒防范 访问控制 备份恢复 安全管 理制度 安全管 理机构 安全建 设管理 安全运 维管理 日常 安全 运营 重要 时期 保障 专家 分析 等保 咨询 及培 训 技术体系总体策略 管理体系总体策略 运营体系总体策略 安全管 理人员 可信验证 数据完整性 剩余 / 个人信息保 护 可信验 证 安 全 基 础 设 施 安 全 物 理 环 境 机房位置 防水 \ 防 潮 温湿度 电力供应 防静电 \ 电 磁 防盗 \ 防 火 数据保密性 物理访问控制 统一身份管理 统一认证管理 统一授权管理 统一密钥管理 以“一个中心、三 重防护、三个体 系”为核心指导思 想，构建集防护、 检测、响应、恢 复于一体的全面 的安全保障体系。 等保 2.0 核心变化点—“ 235” 两个全覆盖 三个特点 五个主要变化 一是覆盖各地区、各单位、各 部门、各企业、各机构，也就 是覆盖全社会。除个人及家庭 自建网络的全覆盖。 二是覆盖所有保护对象，包括 网络、信息系统，以及新的保 护对象，云平台、物 联 网、工 控系统、大数据、移动互联等 各类新技术应用。 等级保护 2.0 基本要求、测评要求、 安全设计技术要求框架统一，即： 安全管理中心支持下的三重防护 结构框架。 通用安全要求 + 新型应用安全扩 展要求，将云计算、移动互联、 物 联 网、工业控制系统等列入标 准规范。 把可信验证列入各级别和各环节 的主要功能要求。 名称变化 定级对象变化 安全要求变化 控制措施分类结构变化 内容变化 三个核心标准结构的统一 体系结构 安全技术要求 安全管理要求 物理安全 网络安全 主机安全 应用安全 数据安全 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 安全物理环境 安全通信网络 安全区域边界 安全计算环境 安全管理中心 安全管理制度 安全管理机构 安全管理人员 安全建设管理 安全运维管理 与 GB/T 25070 《网络 安全等级保护安全设计 技术要求》的体系结构 保持一致 . 保护要求精简 《基本要求》 1.0 （三级通用要求） 《基本要求》 2.0 （三级通用要求） 序号 安全控制类 安全控制点 安全要求项 序号 安全控制类 安全控制点 安全要求项 1 物理安全 10 32 1 安全物理环境 10 22 2 网络安全 7 33 2 安全通信网络 3 8 3 主机安全 8 32 3 安全区域边界 6 20 4 应用安全 8 31 4 安全计算环境 11 34 5 数据安全 3 8 5 安全管理中心 4 12 6 安全管理制度 3 11 6 安全管理制度 4 7 7 安全管理机构 5 20 7 安全管理机构 5 14 8 人员安全管理 5 16 8 安全管理人员 4 12 9 系统建设管理 11 45 9 安全建设管理 10 34 10 系统运维管理 13 62 10 安全运维管理 14 48 合计 73 290 合计 71 211 安全通信网络设计 网络架构要求项 1 通信传输要求项 2 传输数据完整性 — 完整性校验密码技术 传输数据保密性 — 密码技术 重要区域的位置和保护 可用性冗余 安全区域划分 设备处理能力满足业务需求 网络带宽满足业务需求 可信验证要求项 3 通信设备可信验证 应用程序可信验证 破坏报警 审计记录外发 从网络架构、设备、通信线路等方面对网络通信提出保密性、完整性和可用性安全保护要求 网 络 架 构 通 信 传 输 可 信 验 证 1 2 3 通信网络控制点 技术措施 防火墙 \ 网闸 路由器 \ 三层交换机 1 2 3 4 技术措施 IPSec VPN SSL VPN 1 2 3 技术措施 可信通信设备 1 2 3 集中审计系统 网关设备 \ 负载均衡设备 设备 \ 线路冗余 应用安全网关 可信组件 安全区域边界设计 边界防护要求项 1 无线网络受控接入 外联检查或限制 受控接口通信 入网检查或限制 入侵防范要求项 3 检测、防止或限制从外发起的网络攻击 检测和分析新型攻击 发现时记录和报警 从访问控制、入侵和恶意代码防范、网络审计等方面对网络和安全域边界提出可防、可控、可审和可信的安全保护要求 边 界 防 护 入 侵 防 范 安 全 审 计 访 问 控 制 恶意 代码 / 垃 圾邮 件防 范 可 信 验 证 1 3 5 区域边界控制点 技术措施 边界设备策略 网络准入系统 1 2 3 4 技术措施 1 2 3 4 入侵防御系统 违规外联检测 无线接入网关 2 4 6 访问控制要求项 2 基于会话的访问控制 访问控制策略 访问控制规则精简优化 技术措施 下一代防火墙 访问控制规则 1 2 应用层访问控制 检测、防止或限制从内发起的网络攻击 抗 DDOS 攻击系统 抗 APT 攻击系统 威胁情报 安全区域边界设计 恶意代码和垃圾邮件防范 要求项 4 垃圾邮件规则库升级 垃圾邮件检测和清除 网络恶意代码检测和清除 恶意代码库升级 从访问控制、入侵和恶意代码防范、网络审计等方面对网络和安全域边界提出可防、可控、可审和可信的安全保护要求 边 界 防 护 入 侵 防 范 安 全 审 计 访 问 控 制 恶意 代码 / 垃 圾邮 件防 范 可 信 验 证 1 3 5 区域边界控制点 技术措施 防病毒网关 / 功能模块 防垃圾邮件网关 / 功能模块 1 2 2 4 6 安全审计要求项 5 审计记录备份和保护要求 全用户审计和重要审计 审计记录项要求 技术措施 网络审计系统 上网行为管理系统 1 2 远程访问和访问互联网单独审计 堡垒机 3 边界设备可信验证 应用程序可信验证 破坏报警 审计记录外发 技术措施 可信验证要求项 6 可信边界设备 1 2 3 集中审计系统 可信组件 安全计算环境设计 身份鉴别要求项 1 访问控制要求项 2 分配账号和权限 默认账号和口令的处置 多余、过期账号的处置 角色划分和最小授权原则 访问控制策略和控制粒度 基于安全标记的强制访问控制 双因素鉴别机制—其中一种使用密码技术 远程管理的传输保护 用户标识和鉴别、鉴别信息复杂度 鉴别失败的处理机制 对环境内的网络设备、安全设备、服务器设备（包括虚拟机）、终端设备、业务应用系统、数据接提出安全保护要求。 技术措施 终端安全登录系统 身份认证系统 1 2 3 4 技术措施 配置核查工具 主机加固系统 1 2 3 4 应用单点登录 堡垒机 身 份 鉴 别 访 问 控 制 安 全 审 计 1 计算环境控制点 入 侵 防 范 恶 意 代 码 可 信 验 证 数 据 完 整 性 数 据 保 密 性 备 份 恢 复 剩余 信息 \ 个 人信 息保 护 4 2 3 5 6 9 7 8 10 应用访问控制功能 安全数据库 全用户审计和重要审计 审计记录项要求 审计记录备份和保护要求 审计进程保护 终端安全管理系统 1 2 3 应用系统审计功能 上网行为管理系统 安全审计要求项 3 技术措施 3 数据库审计系统 安全计算环境设计 入侵防范要求项 4 恶意代码防范要求项 5 采用防病毒或可信机制识别 入侵和病毒行为 对病毒或入侵有效阻断 最小化组件安装 关闭不必要的端口 限定管理终端 输入的有效性验证 漏洞发现、评估和修补 重要节点的攻击检测和报警 技术措施 配置检查工具 漏洞扫描系统 1 2 3 4 技术措施 防病毒系统 1 2 主机入侵防范系统 WAF 可信计算 计算设备可信验证 应用程序可信验证 破坏报警 审计记录外发 可信服务器 1 2 3 可信组件 可信终端 可信验证要求项 6 技术措施 对环境内的网络设备、安全设备、服务器设备（包括虚拟机）、终端设备、业务应用系统、数据接提出安全保护要求。 身 份 鉴 别 访 问 控 制 安 全 审 计 1 计算环境控制点 入 侵 防 范 恶 意 代 码 可 信 验 证 数 据 完 整 性 数 据 保 密 性 备 份 恢 复 剩余 信息 \ 个 人信 息保 护 4 2 3 5 6 9 7 8 10 安全计算环境设计 数据完整性要求项 7 备份恢复要求项 9 本地数据备份与恢复 异地实时备份 重要系统热冗余、高可用 传输完整性 存储完整性 剩余信息保护要求项 10 技术措施 SSL VPN 应用安全设计 1 2 3 4 技术措施 数据备份系统 备份策略 1 2 3 数据防泄密（ DLP ） 数据库加密 应用系统双冗余 鉴别信息清除 敏感信息清除 技术措施 应用安全功能 主机安全配置 1 2 3 个人 \ 敏感数据标识 数据保密性要求项 8 传输保密性 存储保密性 依赖基础 数据治理 数据分类 1 2 3 数据标识 身 份 鉴 别 访 问 控 制 安 全 审 计 1 计算环境控制点 入 侵 防 范 恶 意 代 码 可 信 验 证 数 据 完 整 性 数 据 保 密 性 备 份 恢 复 剩余 信息 \ 个 人信 息保 护 4 2 3 5 6 9 7 8 10 个人信息保护要求项 仅采集必需个人数据 禁止非授权访问和使用 对环境内的网络设备、安全设备、服务器设备（包括虚拟机）、终端设备、业务应用系统、数据接提出安全保护要求。 安全管理中心设计  身份识别  操作规范  行为审计  特定的管理区域  管理数据的安全传输  全面的集中监控  审计数据汇总和集中分析  安全策略、恶意代码、补丁升级等集中管理  安全事件识别、报警和分析 系 统 管 理 审 计 管 理 安 全 管 理 集 中 管 理 1 2 4 3 安全管理中心控 制点 1 2 3 集中管理要求项 4 技术措施 安全域划分 NGSOC 1 2 3 4 威胁情报 策略集中管理 5 基础 / 高级安全运营 堡垒机 1 2 NGSOC 技术措施 安全分析专家 安全处置人员 1 2 3 4 日常运维 通报预警 5 应急处置 人员设置 流程设置 三员分离 -- 系统管理员 -- 安全管理员 -- 审计管理员 定级备案证明 - 样例 测评报告 - 样例 等保建设思路 02 等保 2.0 建设思路 等保 2.0 设计思 路 1. 了解行业规范和标 准 2. 熟悉客户网络结 构 3. 等保 2.0 方案设 计 电子政务、金融、教育、医 疗 ..... 例如 ：电子政务相关规范申明确要求省市必须按照三级 要 求建设，区县必须满足二级要求 ，也可按三级进行 建设 1. 了解用户网络拓扑结构 2. 了解业务系统分布和流量走 向 3. 明确使用区域，这里指物理环境 （例如办公区 、生产区、管理区 等） 4. 明确需要过检的核 心业务所在以及访问该业务的 线路 5. 明确业务之间的隔离关系 （对于存在关联性的 业务，无法直接做隔离 ，则需要加设安全措施） 1. 查阅各行业定级指南 ，明确标注的业务中哪些做二级，哪些做 三级 2. 了解等保 2.0 通用要求和行业要求井对应到二级系统和三级系统所属的区 域 3. 针对 2 中各系统需要的能力选择我司合适的产品 以满足等保 2.0 要求 通过 1-5 ，快速了解用户整网结 构和备区域间业务访问关系， 有 助于后续详细设计建设方案 结合 架为害户进行设计说 明，注意不是 我