网络安全等级保护 2.0 ——关键安全技术应用探讨 自然资源部信息中心 网络安全等级保护 2.0 ——从1.0 到 2.0 的变与不变 网络安全法 被动保护、主动防御 态势感知、攻防对抗 三重防护一个中心 可信计算，基于可信根的验证 密码技术 基本要求目录结构变化  网络安全等级保护 2.0 ——从1.0 到 2.0 的变与不变 有新的概念 再次重申的旧概念 ——可信与密码、三重防护一个中心 尚有一些疑惑？ ——可信到底如何可信 ——安全管理中心与态势感知平台 怎么办 —— 新旧的衔接 网络安全等级保护 2.0 ——等保 1.0 回顾 1.0 初始 ——起始的“缺啥补啥” ——按基本要求测评基本通过 只要有安全意识，开始做，开始测评就很不错了 （国土资源部方案 沈院士修改 方案集成产品选择 郭总主持 ）　 1.0 中期 　 ——整体防护，渗透测试，合规不等于安全 欧亿·体育（中国）有限公司等级保护全面开展，等保深入人心.......... 1.0 后期 　 ——主动防御、态势感知，攻防对抗 ——云与大数据，工控安全、移动安全 国家安全层面，实质性安全 ，数据安全，真攻真防............. 网络安全等级保护 2.0 ——1.0 与 2.0 一脉相承 1.0 到 2.0 ——是等保1.0 的深化，两者一脉相承 1.0 到 2.0 ——没有否定，没有颠覆，只有发展 （标准研讨中，有争议太也正常，但不是否定） 等保1.0的作用 普及了等保概念，强化了安全意识 从单个系统到部门、到欧亿·体育（中国）有限公司，直到上升到国家层面 从合规到攻防对抗，较大提升了网络安全保障能力 技术、人才的积累，为 2.0 提供有力支撑 网络安全等级保护 1.0 一路风风雨雨，真不容易 网络安全等级保护 2.0 —— 如何做，合规是底线 安全-远离红线 ——不仅是态度，更是责任 无论涉密还是非涉密 首先是合规 满足管理层的基本要求 网络安全等级保护 2.0 ——合规不等于安全，标准不是真理 合规不等于安全 ——强化针对主要威胁的实质性安全措施 标准不是真理 ——遵从标准，不固守标准 ——若标准不符合现实，更改标准 ——标准也要接受实际工作检验 探讨 1 ：可信计算 —— 2.0 最大变化之一 基本要求（报批稿）： 从第1 到 第 4 级 分别在安全通信网络、安全区域边界、安全计算环境 3 个方面 提出可信验证要求 基于可信根对设备的系统引导程序、系统程序、重要配置参数、应 用程序进行可信验证 检测到可信受到破坏后： 进行报警 进行报警，日志报送安管中心 关健环节动态验证 +报警+安管中心 关健环节动态验证+动态关联感知+报警+安管中心 探讨 1 ：可信计算 —— 现实中的使用情况 可用、可行： 等保初始，就按可信计算思路进行设计的 对于服务器主机，可信的有效性，到目前为止，未证明无效 多年多次渗透测试，也证明一般性漏洞并不能对系统造成致命伤害 但是： 服务器端：配置比较麻烦，可忍受 客户端： 现有产品性能很差，实用性急需提高 操作上： 通过服务外包解决麻烦 探讨 1 ：可信计算 —— 未形成产业链，没有生态 疑惑： 可信到底如何做？成本多少？有啥产品？ 全面可信具备不具备实施条件？ 三级是 “可” 还是 “应” ？ 一级、二级还要不要可信？面广量大，操作性到底如何？ 而现实： 产品单一 厂商有限 价格太高 性能太差 没有形成一个良性的生态 ？！ 决策难啊！