0371-60127539
400-6620-135
等級保護總包

等級保護介紹

● 什么是等級保護?

等級保護是我們國家的基本網(wǎng)絡(luò)安全制度、基本國策,也是一套完整和完善的網(wǎng)絡(luò)安全管理體系。遵循等級保護相關(guān)標(biāo)準(zhǔn)開始安全建設(shè)是目前企事業(yè)單位的普遍要求,也是國家關(guān)鍵信息基礎(chǔ)措施保護的基本要求。

● 為什么要開展等保工作?

通過等級保護工作發(fā)現(xiàn)單位信息系統(tǒng)存在的安全隱患和不足,進行安全整改之后,提高信息系統(tǒng)的信息安全防護能力,降低系統(tǒng)被各種攻擊的風(fēng)險,維護單位良好的形象。

等級保護是我國關(guān)于信息安全的基本政策,國家法律法規(guī)、相關(guān)政策制度要求單位開展等級保護工作。如《網(wǎng)絡(luò)安全等級保護管理辦法》和《中華人民共和國網(wǎng)絡(luò)安全法》。

很多行業(yè)主管單位要求行業(yè)客戶開展等級保護工作,目前已經(jīng)下發(fā)行業(yè)要求文件的有:金融、電力、廣電、醫(yī)療、教育等行業(yè)等。

落實個人及單位的網(wǎng)絡(luò)安全保護義務(wù),合理規(guī)避風(fēng)險。

技術(shù)標(biāo)準(zhǔn)與法律依據(jù)

● 技術(shù)標(biāo)準(zhǔn)

網(wǎng)絡(luò)安全等級保護條例(總要求)

計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則(GB 17859-1999))

網(wǎng)絡(luò)安全等級保護實施指南(GB/T25058)

網(wǎng)絡(luò)安全等級保護定級指南(GB/T22240)

網(wǎng)絡(luò)安全等級保護基本要求(GB/T22239-2019)

網(wǎng)絡(luò)安全等級保護設(shè)計技術(shù)要求(GB/T25070-2019)

網(wǎng)絡(luò)安全等級保護測評要求(GB/T28448-2019)

網(wǎng)絡(luò)安全等級保護測評過程指南(GB/T28449-2018)

● 法律依據(jù)

《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定國家實行網(wǎng)絡(luò)安全等級保護制度,網(wǎng)絡(luò)運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬元以上十萬元以下罰款,對直接負責(zé)的主管人員處五千元以上五萬元以下罰款。

《中華人民共和國網(wǎng)絡(luò)安全法》

第二十一條國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求,履行下列安全保護義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改:

(一)制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡(luò)安全負責(zé)人,落實網(wǎng)絡(luò)安全保護責(zé)任;

(二)采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;

(三)采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月;

(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;

(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。

一站式解決方案

● 方案介紹

總包概述:

等??偘?wù)是金瀚信息提供的一站式等保服務(wù),包含等保咨詢、整改、測評服務(wù),能幫助單位順利完成等保建設(shè)工作。

總包優(yōu)勢:

1、交付效率高

金瀚等保建設(shè)工程師有超過50個系統(tǒng)的等保落地經(jīng)驗,咨詢、整改可同步進行,大大縮短了客戶通過等保建設(shè)的時間。

2、節(jié)約資金

總包服務(wù)費用比單獨選擇咨詢、測評以及整改服務(wù)更具優(yōu)勢,單位也無需投入大量公司人力參與到等保建設(shè)中,節(jié)約了公司的人力成本。

3、客戶省心

總包服務(wù)內(nèi)容包括定級備案輔導(dǎo)、等保咨詢建設(shè)落地、測評輔導(dǎo)等,金瀚工程師全程參與,客戶只需投入極少的人力物力即可順利通過等保測評。

auto_1750

● 工作流程

工作實施流程

1.定級備案

1.定級備案 >2.調(diào)研梳理 >3.初步測評 >4.整改建設(shè) >5.正式測評 >

工作內(nèi)容:①我方人員協(xié)助客戶填寫備案資料,我方人員首輪審核,測評機構(gòu)而后審核。②審核后客戶提交到所屬區(qū)公安局。

輸出:合格的定級備案材料。

可定級備案指南

2.調(diào)研梳理

工作內(nèi)容:我方組織人員開始調(diào)研,提供咨詢服務(wù),核心目標(biāo):解決《管理制度文檔》;附帶解決部分明顯技術(shù)問題;機房可能涉及到提前架設(shè)設(shè)備,配置策略。

輸出:①全套管理制度文檔(包含記錄文檔)②《基礎(chǔ)環(huán)境調(diào)研表》③《漏洞掃描報告》④《滲透測試報告》。

系統(tǒng)建設(shè)解決方案

3.初步測評 

工作內(nèi)容:我方組織人員,核心目標(biāo)解決技術(shù)問題。

輸出:整改全套:包涵高、中、底危整改記錄及其他整改過程記錄。

4.整改建設(shè)

工作內(nèi)容:測評機構(gòu)執(zhí)行,我方人員協(xié)助完成,出具《差距性分析》或《整改問題匯總》。

輸出:①《差距性分析報告》②《整改意見書》(在問題匯總清單后撰寫落地解決方案)。

5.正式測評 

工作內(nèi)容:測評機構(gòu)執(zhí)行:根據(jù)整改結(jié)果復(fù)測達到目標(biāo)分數(shù)。

等級保護總包2

系統(tǒng)建設(shè)解決方案

● 物理環(huán)境

1、圍繞網(wǎng)絡(luò)安全工作規(guī)劃中“一個中心,三重防護”,對應(yīng)到等保2.0中“安全管理中心”、“安全通信網(wǎng)絡(luò)”,“安全區(qū)域邊界”、“安全計算環(huán)境”,“安全物理環(huán)境”。

2、安全物理環(huán)境,按照等保2.0基本要求建設(shè)物理機房。

3、安全通信網(wǎng)絡(luò),考慮高峰期帶寬保障,考慮安全域以及IP段的分配和預(yù)留;關(guān)鍵業(yè)務(wù)區(qū)和管理區(qū),避免劃分在網(wǎng)絡(luò)邊界;系統(tǒng)外聯(lián)采用HTTP協(xié)議,采用SSL加密進行數(shù)據(jù)傳輸。

4、安全區(qū)域邊界,網(wǎng)絡(luò)邊界部署防火墻,配置入站規(guī)則、訪問控制策略;應(yīng)用服務(wù)區(qū)前部署WAF(web應(yīng)用防火墻),執(zhí)行針對HTTP/HTTPS的安全策略,提供web應(yīng)用保護。

5、安全計算環(huán)境,通過部署數(shù)據(jù)庫審計與防護系統(tǒng),實時監(jiān)控、識別、阻斷外部黑客攻擊以及來自內(nèi)部高權(quán)限用戶的數(shù)據(jù)竊取行為,滿足計算環(huán)境安全審計的合規(guī)性要求。

6、安全管理中心,安全管理中心區(qū)主要包括系統(tǒng)管理、審計管理、安全管理和集中管控;使用安全的信息傳輸路徑(如SSH、HTTPS、VPN等),部署日志審計系統(tǒng)、運維審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、殺毒軟件和補丁統(tǒng)一管理系統(tǒng)、安全事件管理系統(tǒng)(態(tài)勢感知平臺、IDPS、FW等)。

等級保護物理環(huán)境部署圖

● 云環(huán)境

1、按照網(wǎng)絡(luò)安全等級保護相關(guān)政策和標(biāo)準(zhǔn),云計算平臺/系統(tǒng)的安全建設(shè)或安全整改需同時根據(jù)安全通用要求和安全擴展要求,構(gòu)建具有相應(yīng)等級安全防護能力的安全防御體系,多方面提升網(wǎng)絡(luò)安全防護能力,實現(xiàn)整個網(wǎng)絡(luò)構(gòu)建能夠被標(biāo)準(zhǔn)化和統(tǒng)一調(diào)度、統(tǒng)一管理。

2、云服務(wù)商和云租戶對計算資源擁有不同的控制范圍,控制范圍則決定了安全責(zé)任的邊界。云計算平臺/系統(tǒng)由設(shè)施、硬件、資源抽象控制層組成;云租戶控制范圍包括虛擬化計算資源、軟件平臺和應(yīng)用軟件。

3、云服務(wù)商應(yīng)獲取等級保護證書及合格測評報告,提供基礎(chǔ)的安全能力。

4、云租戶在選擇云平臺服務(wù)商時應(yīng)選擇已通過相應(yīng)級別或高于自己應(yīng)用系統(tǒng)級別等級測評的云平臺服務(wù)商,并要求云平臺服務(wù)商提供通過相應(yīng)級別等級測評的證明材料。

5、安全通信網(wǎng)絡(luò),根據(jù)控制范圍,云計算定級對象可分為云服務(wù)商控制部分(如云計算平臺)和云服務(wù)客戶控制部分(如業(yè)務(wù)應(yīng)用系統(tǒng)),分別進行定級,且云服務(wù)商控制部分比云服務(wù)客戶控制部分高,云服務(wù)商的測評可以被復(fù)用。

6、安全區(qū)域邊界,除了物理區(qū)域邊界和網(wǎng)絡(luò)節(jié)點,還需關(guān)注虛擬化網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)節(jié)點,以及虛擬機與物理機、虛擬機與虛擬機間的網(wǎng)絡(luò)流量,做好訪問控制和入侵防范。

7、安全計算環(huán)境,云服務(wù)商提供加固的鏡像,利用完整性校驗防止被惡意篡改;確保虛擬機的CPU、內(nèi)存和存儲等資源的隔離;云租客定期做安全檢查,進行安全加固,利用防病毒軟件保護虛擬機。

8、安全管理中心,建立安全態(tài)勢感知、攻擊行為回溯分析和監(jiān)測預(yù)警;應(yīng)用在虛擬網(wǎng)絡(luò)上的運行與在物理網(wǎng)絡(luò)上完全相同,提供統(tǒng)一的管理功能;部署VPN、數(shù)據(jù)庫審計、運維審計堡壘機、日志審計等。

等級保護物理環(huán)境部署圖

● 混合環(huán)境

1、云+物理環(huán)境下兩個環(huán)境區(qū)域可通過VPN、IDC專線等多種方式連接交互。

2、云上包括云計算、云存儲、云數(shù)據(jù)庫等云產(chǎn)品的底層管理和使用管理;網(wǎng)絡(luò)層面包括虛擬網(wǎng)絡(luò)、負載均衡、安全網(wǎng)關(guān)、VPN、專線鏈路等方面;云計算環(huán)境下的業(yè)務(wù)相關(guān)應(yīng)用系統(tǒng)的安全管理,包括應(yīng)用的設(shè)計、開發(fā)、發(fā)布、配置和使用等方面;

3、物理+云環(huán)境涉及機房建設(shè)、網(wǎng)絡(luò)、硬件、軟件系統(tǒng)開發(fā)和測試、運維等各個方面,在等保2.0中,安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境與安全計算中心五個方面同樣需滿足以上兩種情形的要求。

等級保護物理環(huán)境部署圖

等保復(fù)測

根據(jù)《信息安全等級保護管理辦法》第三章第十四條規(guī)定:信息系統(tǒng)建設(shè)完成后,運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機構(gòu),依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標(biāo)準(zhǔn),定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次等級測評,第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次等級測評。

等級保護復(fù)測流程

方案優(yōu)勢

等級保護總包3

上一篇:等級保護咨詢

下一篇:等級保護備案