等保背景
什么是等级保护2.0?
等级保护全称为“网络安全等级保护”,是指对网络和信息系统按照重要性等级分级别保护的一种工作;根据网络与信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。
“等级保护2.0”或“等保2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12月1日,《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》正式实施为象征性标志。
等级保护工作是保障我国网络安全的基本动作,目前各单位需按照所在行业及保护对象重要程度,依据网络安全法及相关部门要求,按照“同步规划、同步建设、同步使用”的原则,开展等级保护工作。
等级保护发展历程
国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。等级保护制度适用于在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,个人及家庭自建自用的网络除外。
网络安全等级保护有哪些规范标准?
等级保护涉及面广,相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个:
- 等级保护工作标准
- 《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》
- 《GB/T 22240-2020 信息安全技术 网络安全安全等级保护定级指南》
- 《GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南》
- 《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》
- 《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指》
- 等级保护配套标准
- 《GB 17859-1999 计算机信息系统安全保护划分准则》
- 《GB/T 31167-2014 信息安全技术 云计算服务安全指南》
- 《GB/T 31168-2014 信息安全技术 云计算服务安全能力要求》
- 《GB/T 36326-2018 信息技术 云计算云服务运营通用要求》
- 《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》
- 《GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求》
- 《GM/T 0054-2018 信息系统密码应用基本要求》
- 《GB/T 35273-2020 信息安全技术 个人信息安全规范》
开展网络安全等保的意义?
网络安全等保安全建设有着重大的意义,首先是满足合法合规要求,使安全建设更加规范;其次是体系化的安全建设,改变以往的单点防御防护思想;最后是提高整体人员安全意识,使各位具备等级化防护思想,按重要程度合理分配网络安全投资。
降低网络安全风险
提高系统防护能力
开展网络安全等级保护的首重要原因是为了通过等级保护工作,发现单位系统内部存在的安全隐患和不足,通过安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。
整合现有网络资源
优化安全管理体系
实施网络等级保护制度有利于在信息化建设过程中同步建设网络安全设施,优化组织资源配置,建立网络安全相关管理制度,树立等级化防护思想,合理分配网络安全投资。
遵循相关法律法规
响应国家网络安全
网络安全等保工作是衡量一个企业信息安全与否的一个重要标准,不仅可以有效的解决和规避安全风险,同时等级保护也是是国家基本信息安全制度要求。
方案概述
网络安全等级保护建设流程包括定级备案、现状调研、差距分析、建设整改、等保测评、安全运维六个阶段,银科数安可在各阶段提供安全咨询服务,确保用户信息系统满足国家监管要求。
详细概述
定级、备案是开展本次等级保护测评服务工作的前提和基础,是整个信息安全等级保护服务过程有效性的保证。系统定级、备案直接关系到后续工作能否顺利开展。为此,银科数安根据客户的组织架构、业务特点等协助客户确定定级对象、编写定级报告、填报备案申请表、提交相关定级备案材料,为客户提供最周到的定级咨询和备案服务。
◎ 工作目标
本阶段目标是依据《信息安全等级保护管理办法》和《信息安全等级保护定级指南》,协助各单位完成三级信息系统定级、备案工作。并获得公安部门颁发的信息系统备案证明。
◎ 工作流程
现状调研是以调查或查阅资料的方式了解信息系统的构成,银科数安根据客户现状情况编写包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等资料,为最终的等保测评做好准备。
◎ 工作目标
明确不同等级信息系统的范围和边界,初步确定信息系统的分析对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、应用系统等。
◎ 工作流程
通过信息安全等级保护基本要求现状调查,对信息安全现状有一个全面的了解,根据等级保护标准要求,结合等级保护咨询服务信息安全最佳实践,制定详细的现状调查方案,现状调研工作流程图如右图所示。
现状调研的内容主要是与信息安全等级保护基本要求相关的组织结构、业务特征、制度规范、IT基础设施、日常管理、运行操作、系统安全等内容进行调查,调查可以选择一些有代表性的系统、设备和人员进行,从而了解各单位信息安全管理与技术现状。
现状调研的内容包括资料收集、现场访谈、问卷调研、技术调研等方式,其中问卷调研、技术调研可以在项目涉及范围内展开,现场访谈选择一些有代表性的人员进行。
银科数安通过检查客户当前的信息安全控制现状与GB/T 22239-2019 《信息安全技术信息系统安全等级保护基本要求》进行对比,得出在信息安全管理与控制方面与标准要求的差距,为等级保护建设整改提供依据。
◎ 工作目标
通过信息系统安全等级保护差距分析工作,明确信息系统当前安全防护情况,了解系统的基本安全状况、防护能力和现有安全措施和设备发挥作用的情况以及管理体系的健全程度,同时明确与信息安全等级保护要求的差距及不符合项。
◎ 工作流程
在GB/T 22239-2019《信息安全技术 信息系统安全等级保护基本要求》和ISO 27001:2013《信息技术 安全技术 信息安全管理体系要求》的基础上,从安全技术、安全管理和安全操作三个方面进行差距分析,并对差距分析结果进行归纳总结。差距分析流程如下图所示。
建设整改是通过等级保护差距分析结果获取当前安全状态下的安全建设整改需求,并从技术和管理两个方面详细设计信息安全等级保护建设工作整改方案和实施计划。技术方面内容包括对网络整体架构依据纵深防御的理念进行安全域划分,为不同安全域部署相关安全设备,并对其已部署的安全设备进行安全加固;管理方面内容依据国家、行业政策,法规,标准(比如国内的信息安全等级保护制度、计算机信息系统安全保密防护要求及检测评估方法、风险评估准则等),结合安全实际需求,制定出符合各单位特征的安全制度、安全管理机构、安全建设管理、安全运维管理等安全策略。
◎ 工作目标
参考信息系统等级保护要求,结合信息系统的业务安全需求特点,从多个层面进行建设,构建以安全管理体系和安全技术体系为支撑的信息安全体系,使信息系统在物理安全、网络安全、主机安全、数据安全、应用安全、管理安全各个层面不仅达到对应等级保护要求,而且符合信息系统业务特点,为信息系统业务的运行提供安全保障。
◎ 工作流程
建设整改流程如图所示:
依据等保的要求,银科数安协助客户组织具备测评资质的等保测评机构对目标系统进行等保测评,并配合等保测评机构对目标系统进行等保测评,同时在测评过程中支持人员全程参与协助准备等级测评相关资料,在等级保护测评机构进行等级保护测评中做出专业应答,协助客户针对测评中发现的问题进行及时整改。
◎ 工作目标
协助提交等级保护测评申请,准备测评资料,测评过程中做专业应答,确保顺利通过等级保护测评,获得等级保护测评证书。
◎ 工作流程
等级保护测评流程如图所示:
网络安全等级保护的建设是一个持续的过程,对于项目后期安全运行维护阶段,银科数安提供目标系统定期风险评估、漏洞扫描、渗透测试、安全加固、安全应急响应服务。针对目标系统检测出的安全隐患,协助客户对目标系统进行安全加固,保障目标网站持续符合安全合规要求和系统的稳定运行。通过如上阶段提供的等保解决方案,系统可以形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障系统整体的安全。
6.1 风险评估服务
银科数安提供定期安全风险评估服务,综合国内外相关标准,根据客户需求定制,借助各项专业服务内容,对客户信息系统进行全面的资产分析、威胁分析、脆弱性检测,形成安全风险评估报告,并提供针对性的风险控制方法。从而实现帮助客户充分了解其自身信息系统的安全现状,明确当前风险,建立有效的IT资产管理及安全风险管理,合理规划未来安全建设和投入,同时通过评估工作的实施,提高客户技术、运维、业务人员的安全意识。
6.2 漏洞扫描服务
安全是一个动态的过程,近年来互联网不断爆出新漏洞,如Apache Struts2新型漏洞等,结合后续目标系统安全运营,银科数安提供定期漏洞扫描服务(以每月或每季度),避免漏洞风险存在。通过评估工具以本地扫描的方式对目标系统所包含的Web应用和服务器操作系统进行综合性安全扫描,能够发现目标存在的安全漏洞,挖掘出操作系统、Web服务和第三方应用存在的安全隐患,并提供修复指导,从根本上避免系统被已知漏洞攻击的可能。
6.3 渗透测试服务
银科数安提供定期渗透测试服务。银科数安专业的人工渗透,能在安全漏洞扫描的基础上进一步发现系统、应用、Web隐蔽性的安全漏洞,避免黑客渗透入侵客户系统,窃取敏感信息。渗透测试结束后提供专业的渗透测试成果报告,对渗透方法、渗透结果、及结果分析进行详尽的、专业的描述,并由安全专家根据渗透测试结果,提出完善合理的修复方案。
6.4 安全加固服务
安全基线(BaseLine)是保持信息系统安全的机密性、完整性、可用性的最小安全控制,是系统的最小安全保证,最基本的安全要求。为了避免日常运维过程中人为疏忽或错误,或使用默认的安全配置,给业务系统安全造成风险。银科数安提供定期安全加固服务,依照等保V2.0的标准,为目标系统提供安全基线检测,使目标系统持续性达到相对的安全指标要求。检测对象包含:操作系统、数据库、中间件、Web 应用等进行安全配置检查。并围绕网站安全监测、漏洞扫描与安全基线检测的结果,协助客户对目标系统进行安全加固与技术指导。通过人工咨询与人工安全加固的方式,对操作系统、数据库、中间件、网络设备、安全设备、应用系统等对象进行安全加固,增强目标系统抵抗攻击的能力,降低系统总体安全风险,提升信息系统安全防护水平,减少安全事件发生。
6.5 应急响应服务
对安全运行阶段的系统维护工作,银科数安提供安全应急响应服务。针对出现的网络安全事件进行发现、分析和确认,对其进行响应,以降低可能造成的风险和损失。比如黑客入侵、拒绝服务攻击、未经授权的网络通信、系统操作、网站页面被篡改、异常流量攻击、网络蠕虫传播等。
应急响应服务是为了应对各种意外事件的发生所做的准备以及事件发生后所采取的措施的服务。银科数安的“安全应急响应”服务向客户公司提供资源来完善安全防护,抵抗攻击,进行安全修复。安全应急响应服务提供了快捷的服务支持和 7*24 的紧急响应服务,保障网络安全无忧,预防危险发生。
优势价值
合规合法
满足合规要求,明确责任划分和工作方法,维护企业安全生命周期。
建设体系
从被动防御转变为主动防御,改变单点防御方式,加强企业安全体系建设。
创造价值
提高企业安全级别,保护社会、企业、人民合法权益,直接或间接为企业创造更高价值。
等保方案
根据网络安全等级保护V2.0的基本要求和等级保护安全框架,银科数安的方案将围绕着技术和管理两大类要求,进行整改建设方案的设计。通过为满足安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面基本技术要求进行技术体系建设;为满足安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面基本管理要求进行管理体系建设。
(以下方案参考等保2.0三级系统要求)
银数携手合作伙伴
