等级保护2.0建设方案 .pdfVIP

等级保护2.0建设方案

等级保护2.0解决方案

2020年5月

目录

一、等级保护2.0技术要求(3)

1、测评对象及控制点(4)

2、技术要求解读(5)

2.1物理与环境要求(5)

2.2网络与通信安全(6)

2.3设备与计算安全(6)

2.4应用与数据安全(7)

3.管理要求解读(8)

3.1安全管理机构和人员(8)

3.2安全建设管理(9)

3.3安全运维管理(10)

二、等保2.0建设配置(11)

1、防火墙(13)

2、入侵防御(14)

3、WEB应用防火墙(15)

4、安全审计系统(16)

5、VPN设备(17)

6、堡垒机(18)

7、上网行为管理(19)

8、安全隔离网闸(23)

9、流量监控设备(24)

10、漏洞扫描设备(25)

11、态势感知(26)

三、不同场景下的等保建设方案(27)

1、等保一体机解决方案(27)

1.1配置组件(27)

1.2部署方式(30)

1.3方案优势(31)

2、等保云安全池解决方案(33)

2.1配置组件(33)

2.2部署方式(35)

2.3方案优势(36)

3、传统等保解决方案(37)

3.1配置组件(38)

3.2部署方式(39)

3.3方案优势(39)

一、等级保护2.0技术要求

等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本

要求》改为《信息安全技术网络安全等级保护基本要求》，与《中华

人民共和国网络安全法》中的相关法律条文保持一致。

为了配合《中华人民共和国网络安全法》的实施，同时适应移动

互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下

网络安全等级保护工作的开展，新标准针对共性安全保护需求提出安

全通用要求，针对移动互联、云计算、大数据、物联网和工业控制等

新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新

的网络安全等级保护基本要求标准。调整各个级别的安全要求为安全

通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安

全扩展要求和工业控制系统安全扩展要求。

类似地，除基本要求（GB/T22239）合并了以上5个部分，设计

要求（GB/T25070）和测评要求（GB/T28448）也由各自原有的5

个分册分别整合成一册。

等保1.0测评分数及格线是60分，近几年个别省份将分数线提高

到70分，互金类系统要90分。等保2.0新的及格线是75以上。控制

大项从原来的10项，改为8项，合并了数据和应用、机构和人员。

1、测评对象及控制点

2、技术要求解读

技术要求包括：物理和环境安全、网络和通信安全、设备和计算

安全、应用和数据安全。

2.1物理与环境要求

明确提出机房视频监控系统的要求，旧标准里没有，这部分就是

要求对机房横向和纵向都要有视频监控，整个机房不能存在监控死角。

防静电要求明确举例说明采用静电消除器、防静电手环；对于静

电防护要求更为细节化，操作服务器时都要预先消除人体所带静电，

合作和佩戴防静电手环来操作。

供电部分不再要求备用供电系统，但保留冗余电力电缆的要求，

这里说的冗余电力不是说从市政那边拉过来两条电缆就可以了，而是

两条不同电井的电缆，这样才算冗余，因为出现停电同一电井或线路

的电缆你拉多少条都是单链路的。

在云计算扩展要求中新增，物理机房必须要在境内。

2.2网络与通信安全

删除了重要系统不能直接外连外部网络的要求，删除了按业务优

先级分配带宽的SLA服务；新标准只要求通信线路、关键网络设备冗

余性。

在边界防护中提出了无线网络的安全要求，无线网络接入必须要

通过受控边界，也就是说无线网络接入到系统要通过安全设备进行访

问控制和授权后才可以访问互联网。

访问控制中新增内容过滤管理，要求在关键网络节点处对进出网

络的信息内容进行过滤，实现对内容的访问控制。

入侵防范的新要求，能够检测由内对外和由外对内的攻击，这里

就是我们常说的南北向双向检测，这就要求我们配置策略的时候要双

向应用，在接口的in和out方向