网络安全等级保护2.0之基础知识篇
字数 2051 2025-08-18 11:39:19

网络安全等级保护2.0基础知识教学文档

一、基本概念

网络安全等级保护是指对网络(含信息系统、数据)实施:

  • 分等级保护、分等级监管
  • 对网络安全产品实行按等级管理
  • 对安全事件分等级响应、处置

二、发展历程

  1. 1994年:国务院颁布《中华人民共和国计算机信息系统安全保护条例》,首次规定计算机信息系统实行安全等级保护
  2. 后续发展:发布《网络安全等级保护基本要求》、《网络安全等级保护测评要求》等新标准
  3. 当前阶段:网络安全等级保护已进入2.0时代

三、等级保护测评基本流程

  1. 定级阶段

    • 确定定级对象并初步定级
    • 通过专家评审和主管部门审核
    • 定级对象包括:
      • 基础信息网络
      • 信息系统(网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、移动互联技术系统等)

  2. 备案阶段

    • 向公安部门提交定级结果备案审查
    • 最终确定安全保护等级(一级到五级,五级为最高)

  3. 安全建设与整改

    • 根据等级保护标准进行安全建设改造

  4. 等级测评阶段

    • 测评机构入场开展测评并出具报告

  5. 监督检查

    • 接受公安部门定期监督与检查

四、等级保护测评实施要求

1. 等保2.0特点

  • 实现对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖
  • 使用新技术的系统需满足"通用要求+安全扩展"要求
  • 采用"一个中心三重防御"理念:
    • 一个中心:安全管理中心
    • 三重防御:安全计算环境、安全区域边界、安全网络通信
  • 强调全方位主动防御、动态防御

2. 测评控制点数量

  • 二级系统:135个控制点
  • 三级系统:211个控制点

3. 测评内容(以三级系统为例)

(1) 安全物理环境(22个控制点)

  • 测评方式:人员访谈、文档审查、实地察看
  • 测评对象:机房物理环境
  • 测评单元(10个):
    • 物理位置的选择
    • 物理访问控制
    • 防盗窃和防破坏
    • 防雷击
    • 防火
    • 防水和防潮
    • 防静电
    • 温湿度控制
    • 电力供应
    • 电磁防护

(2) 安全通信网络(三重防御,8个控制点)

  • 测评方式:人员访谈、配置检查、工具测试
  • 测评对象:网络互联设备、网络安全设备、网络拓扑结构
  • 测评单元(3个):
    • 网络架构
    • 通信传输
    • 可信验证

(3) 安全区域边界(三重防御,20个控制点)

  • 测评方式:人员访谈、配置检查、工具测试
  • 测评对象:网络互联设备、网络安全设备、网络拓扑结构
  • 测评单元(6个):
    • 边界防护
    • 访问控制
    • 入侵防范
    • 恶意代码和垃圾邮件防范
    • 安全审计
    • 可信验证

(4) 安全管理中心(一个中心,12个控制点)

  • 测评方式:人员访谈、配置检查、工具测试
  • 测评对象:网络互联设备、网络安全设备、网络拓扑结构
  • 测评单元(4个):
    • 系统管理
    • 审计管理
    • 安全管理
    • 集中管控

(5) 安全计算环境(三重防御,34个控制点)

  • 测评方式:人员访谈、配置检查、工具测试
  • 测评对象:
    • 服务器操作系统
    • 数据库管理系统
    • 各类应用系统
    • 管理数据及业务数据
  • 测评单元(11个):
    • 身份鉴别
    • 访问控制
    • 安全审计
    • 入侵防范
    • 恶意代码防范
    • 可信验证
    • 数据完整性
    • 数据保密性
    • 数据备份恢复
    • 剩余信息保护
    • 个人信息保护

(6) 安全管理制度(7个控制点)

  • 测评方式:人员访谈、文档审查、实地察看
  • 测评单元(4个):
    • 安全策略
    • 管理制度
    • 制定和发布
    • 评审和修订

(7) 安全管理机构(14个控制点)

  • 测评方式:人员访谈、文档审查
  • 测评单元(5个):
    • 岗位设置
    • 人员配备
    • 授权和审批
    • 沟通和合作
    • 审核和检查

(8) 安全管理人员(12个控制点)

  • 测评方式:人员访谈、文档审查
  • 测评单元(5个):
    • 人员录用
    • 人员离岗
    • 人员考核
    • 安全意识教育和培训
    • 外部人员访问管理

(9) 安全建设管理(34个控制点)

  • 测评方式:人员访谈、文档审查
  • 测评单元(11个):
    • 系统定级
    • 安全方案设计
    • 产品采购和使用
    • 自行软件开发
    • 外包软件开发
    • 工程实施
    • 测试验收
    • 系统交付
    • 安全服务商选择
    • 系统备案
    • 系统测评

(10) 安全运维管理(48个控制点)

  • 测评方式:人员访谈、文档审查
  • 测评单元(14个):
    • 环境管理
    • 资产管理
    • 介质管理
    • 设备管理
    • 漏洞和风险管理
    • 网络和系统安全管理
    • 恶意代码防范管理
    • 配置管理
    • 密码管理
    • 变更管理
    • 备份与恢复管理
    • 安全事件处置
    • 应急预案管理
    • 外包运维管理

五、测评结果分析与报告编制

1. 分析依据

  • 《网络安全等级保护测评要求》
  • 《网络安全等级保护基本要求》
  • 《网络安全等级保护安全设计技术要求》

2. 分析方法

  1. 客观、准确分析测评证据
  2. 记录和汇总测评结果
  3. 从三个维度考虑:
    • 安全控制间
    • 层面间
    • 区域间
  4. 采用风险分析方法评估安全问题可能造成的影响

3. 测评报告内容

  1. 概述
  2. 被测系统描述
  3. 测评对象说明
  4. 测评指标说明
  5. 测评内容和方法说明
  6. 单元测评
  7. 整体测评
  8. 测评结果汇总
  9. 风险分析和评价
  10. 等级测评结论
  11. 整改建议

4. 测评结果评分标准

  • 优:90分及以上
  • 良:80分及以上
  • 中:70分及以上
  • 差:低于70分

基本要求:需达到70分以上才算基本符合要求

5. 测评频率要求

  • 第三级以上的系统需每年开展一次测评
网络安全等级保护2.0基础知识教学文档 一、基本概念 网络安全等级保护是指对网络(含信息系统、数据)实施: 分等级保护、分等级监管 对网络安全产品实行按等级管理 对安全事件分等级响应、处置 二、发展历程 1994年 :国务院颁布《中华人民共和国计算机信息系统安全保护条例》,首次规定计算机信息系统实行安全等级保护 后续发展 :发布《网络安全等级保护基本要求》、《网络安全等级保护测评要求》等新标准 当前阶段 :网络安全等级保护已进入2.0时代 三、等级保护测评基本流程 定级阶段 确定定级对象并初步定级 通过专家评审和主管部门审核 定级对象包括: 基础信息网络 信息系统(网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、移动互联技术系统等) 备案阶段 向公安部门提交定级结果备案审查 最终确定安全保护等级(一级到五级,五级为最高) 安全建设与整改 根据等级保护标准进行安全建设改造 等级测评阶段 测评机构入场开展测评并出具报告 监督检查 接受公安部门定期监督与检查 四、等级保护测评实施要求 1. 等保2.0特点 实现对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖 使用新技术的系统需满足"通用要求+安全扩展"要求 采用"一个中心三重防御"理念: 一个中心:安全管理中心 三重防御:安全计算环境、安全区域边界、安全网络通信 强调全方位主动防御、动态防御 2. 测评控制点数量 二级系统:135个控制点 三级系统:211个控制点 3. 测评内容(以三级系统为例) (1) 安全物理环境(22个控制点) 测评方式:人员访谈、文档审查、实地察看 测评对象:机房物理环境 测评单元(10个): 物理位置的选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 温湿度控制 电力供应 电磁防护 (2) 安全通信网络(三重防御,8个控制点) 测评方式:人员访谈、配置检查、工具测试 测评对象:网络互联设备、网络安全设备、网络拓扑结构 测评单元(3个): 网络架构 通信传输 可信验证 (3) 安全区域边界(三重防御,20个控制点) 测评方式:人员访谈、配置检查、工具测试 测评对象:网络互联设备、网络安全设备、网络拓扑结构 测评单元(6个): 边界防护 访问控制 入侵防范 恶意代码和垃圾邮件防范 安全审计 可信验证 (4) 安全管理中心(一个中心,12个控制点) 测评方式:人员访谈、配置检查、工具测试 测评对象:网络互联设备、网络安全设备、网络拓扑结构 测评单元(4个): 系统管理 审计管理 安全管理 集中管控 (5) 安全计算环境(三重防御,34个控制点) 测评方式:人员访谈、配置检查、工具测试 测评对象: 服务器操作系统 数据库管理系统 各类应用系统 管理数据及业务数据 测评单元(11个): 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 可信验证 数据完整性 数据保密性 数据备份恢复 剩余信息保护 个人信息保护 (6) 安全管理制度(7个控制点) 测评方式:人员访谈、文档审查、实地察看 测评单元(4个): 安全策略 管理制度 制定和发布 评审和修订 (7) 安全管理机构(14个控制点) 测评方式:人员访谈、文档审查 测评单元(5个): 岗位设置 人员配备 授权和审批 沟通和合作 审核和检查 (8) 安全管理人员(12个控制点) 测评方式:人员访谈、文档审查 测评单元(5个): 人员录用 人员离岗 人员考核 安全意识教育和培训 外部人员访问管理 (9) 安全建设管理(34个控制点) 测评方式:人员访谈、文档审查 测评单元(11个): 系统定级 安全方案设计 产品采购和使用 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 安全服务商选择 系统备案 系统测评 (10) 安全运维管理(48个控制点) 测评方式:人员访谈、文档审查 测评单元(14个): 环境管理 资产管理 介质管理 设备管理 漏洞和风险管理 网络和系统安全管理 恶意代码防范管理 配置管理 密码管理 变更管理 备份与恢复管理 安全事件处置 应急预案管理 外包运维管理 五、测评结果分析与报告编制 1. 分析依据 《网络安全等级保护测评要求》 《网络安全等级保护基本要求》 《网络安全等级保护安全设计技术要求》 2. 分析方法 客观、准确分析测评证据 记录和汇总测评结果 从三个维度考虑: 安全控制间 层面间 区域间 采用风险分析方法评估安全问题可能造成的影响 3. 测评报告内容 概述 被测系统描述 测评对象说明 测评指标说明 测评内容和方法说明 单元测评 整体测评 测评结果汇总 风险分析和评价 等级测评结论 整改建议 4. 测评结果评分标准 优:90分及以上 良:80分及以上 中:70分及以上 差:低于70分 基本要求 :需达到70分以上才算基本符合要求 5. 测评频率要求 第三级以上的系统需每年开展一次测评