“网络安全等级保护” 是指对网络和信息系统按照重要性等级分级别保护的网络安全保护制度,是国家信息安全保障工作的基本制度、基本国策,是开展信息安全工作的基本方法 ,是促进信息化、维护国家信息安全的根本保障。根据网络与信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级;网络安全等级保护是提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
基本概念
以《中华人民共和国网络安全法》为法律依据,以2019年5月发布的《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求》为指导标准的网络安全等级保护办法,业内简称等保2.0。
法律地位
《网络安全法》第二十一条规定 “国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。” 标志等级保护制度从标准提升为法律。
涉及范围
依据相关国家规定,网络安全等级保护涉及到所有对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益相关的信息系统,即是覆盖全社会。保护对象涉及到相关的网络基础设施、信息系统等各方面,以及云平台、物联网、工控系统、大数据、移动互联等行业信息系统。
核心变化
等保2.0提出新的技术要求和管理要求,强调“一个中心,三重防护”,关键点包括可信技术、安全管理中心,以及云计算、物联网等新兴领域的安全扩展要求。对应地,企业在安全防护体系建设、风险评估和管理上需要更加全面,并需关注所在行业的安全要求和定级标准。
根据系统和定级,对网络进行安全域划分,不同区域之间的访问应采取可靠的技术隔离手段;确保网络带宽和处理能力能满足业务高峰期需要;确保通信传输过程数据的完整性和保密性,可采用可信进行可信验证
在内外网的安全域边界设置访问控制策略,并要求配置到具体的端口;在网络边界处应当部署入侵防范手段,防御并记录入侵行为;对网络中的用户行为日志和安全事件信息进行记录和审计;可采用可信进行可信验证
针对服务器、数据库、应用系统等计算环境,借助第三方安全软件或通过应用本身的安全手段实现鉴权、账号安全、安全审计、数据安全保护等功能,保证系统层安全,防范入侵行为
借助安全管理软件设立安全管理中心,对分散在网络中的各类设备、组件进行集中的管理控制,对设备产生对事件、告警和日志进行集中的检测和审计。对这些操作设立不同的管理员角色和对应的权限,并对操作进行审计。
建立由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系安全管理机构。参考业界成熟的方法论和最佳实践,建立一套符合企业实际情况的信息安全管理体系,开展并落实持续的安全建设和安全管理
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
云防火墙
应采用校验技术或密码技术保证数据完整性和保密性
SSL证书
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为
高防IP
应具有提供访问控制、边界防护、入侵防范等安全机制
Web应用防火墙
应对用户进行身份鉴别、访问控制、运维审计
堡垒机
应满足数据完整性和数据保密性的要求
主机加密
应能够检测到对重要节点进行入侵的行为,检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警
主机安全
应能发现已知漏洞,并在经过充分测试评估后,及时修补漏洞
漏洞扫描
应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
数据库审计
应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求
综合日志审计
角色 | 定级 | 备案 | 建议整改 | 等保评测 | 监督检查 |
客户 | 确定定级对象 | 准备好备案材料,到属地公安机关递交备案材料 | 准备好备案材料,到属地公安机关递交备案材料 | 准备和接受测评机构的测评 | 接受公安机关定期的网络安全检查,主动开展每年的定期测评 |
海融 | 协调第三方为客户提供咨询服务 | 协调第三方为客户提供咨询服务 | 提供符合等保相关要求的安全产品和服务,并协助客户部署 | 为客户提供云平台相关通过等保的证明材料 | |
咨询机构 | 辅导客户准备备案申请材料,定级报告,组织专家定级评审 | 辅导客户准备备案材料和备案 | 辅导客户将测评对象系统进行安全加固,并协助建立安全管理体系 | 协助并指导客户进行测评整改 | 协助客户接受检查并指导整改 |
测评机构 | 协助等保备案指导 | 对系统等级符合性状况进行测评,并出具测评报告 | |||
公安机关 | 审核并受理备案材料 | 监督检查单位开展等级保护工作情况,单位的网络安全运营情况 |
等保整改服务
海融拥有丰富的等保整改经验与成熟的技术团队,⾄今保持100%等保通过率。我们致⼒于帮助客户以最快的速度、最优的服务、最佳的⽅案通过等级保护测评
等级保护安全合规特价版套餐
1对1指导,30天过审,确保100%通过
安畅拥有丰富的等保整改经验与成熟的技术团队,⾄今保持100%等保通过率。我们致⼒于帮助客户以最快的速度、最优的服务、最佳的⽅案通过等级保护测评
什么是等级保护?
网络安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
等级保护的五个级别
《GB 17859-1999计算机信息系统安全保护等级划分准则》中定义了五个系统级别。
等级 | 合法权益 | 社会秩序和公共利益 | 国家安全 | ||||||
损害 | 严重伤害 | 特别严重伤害 | 损害 | 严重伤害 | 特别严重伤害 | 损害 | 严重伤害 | 特别严重伤害 | |
一级(用户自主保护级) | |||||||||
二级(系统审计保护级) | |||||||||
三级(安全标记保护级) | |||||||||
四级(结构化保护级) |
工作流程
网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。在等级保护全流程中,涉及到四个不同的角色,分别是:运营使用单位、公安机关、海融、测评机构。等级保护各工作流程内容及角色分工如下:
流程\角色 | 运营、使用单位 | 公安机关 | 海融天宇 | 测评机构 |
---|---|---|---|---|
定级 | 确定安全保护等级,填写定级备案表、编写定级报告 | 协助运营、使用单位确认定级对象,为其提供咨询服务,辅导运营、使用单位准备定级报告,并组织专家评审(二级以上) | 可承接运营、使用单位的定级咨询服务 | |
备案 | 准备备案材料,到当地公安机关备案 | 当地公安机关审核受理备案材料 | 辅导运营、使用单位准备备案材料和提交备案申请 | 可承接运营,使用单位的备案服务 |
建设整改 | 建设符合等级要求的安全技术和管理体系 | 依据相应等级要求对当前实际情况进行差距分析,针对不符合项以及行业特性要求进行个性化的整改方案设计,协助运营、使用单位完成建设整改工作 | 对等级保护对象符合性状况进行测评 | |
等级测评 | 准备和接受测评机构测评 | 公安机关监督检查运营、使用单位是否按要求开展等级保护工作 | 在测评阶段会指导运营、使用单位配合测评中心开展等级测评工作,并保障顺利通过等保测评获得测评报告 | |
监督检查 | 接受公安机关的定期检查 | 根据运营、使用单位需要配合完成自查工作,协助运营、使用单位接受检查和进行整改 |
方案设计
在方案设计阶段,海融以《网络安全等级保护基本要求》、《网络安全等级保护安全设计技术要求》等国家标准文件为基准,结合行业特性要求、监管单位要求、用户提出的额外安全需求进行系统性方案设计。在满足相应等级安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心及管理部分要求基础上,最大程度发挥安全措施的保护能力。