网络安全等级保护介绍
什么是等级保护?
根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。
为什么要开展等保工作?
通过等级保护工作发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,维护单位良好的形象。
等级保护是我国关于信息安全的基本政策,国家法律法规、相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。
很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育等行业等。
落实个人及单位的网络安全保护义务,合理规避风险。技术标准与法律依据
一、技术标准
网络安全等级保护条例(总要求)
计算机信息系统安全保护等级划分准则(GB 17859-1999)
网络安全等级保护实施指南(GB/T25058)
网络安全等级保护定级指南(GB/T22240)
网络安全等级保护基本要求(GB/T22239-2019)
网络安全等级保护设计技术要求(GB/T25070-2019)
网络安全等级保护测评要求(GB/T28448-2019)
网络安全等级保护测评过程指南(GB/T28449-2018)二、法律依据
《中华人民共和国网络安全法》 第三章 第二十一条 国家实行网络安全等级保护制度。 《中华人民共和国计算机信息系统安全保护条例》(国务院147 号令) 第六条 公安部主管全国计算机信息系统安全保护工作。国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。 第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) “要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准相衔接的 中国特色的信息安全标准体系。” “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。
三、违法处罚措施第五十六条 省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。一站式解决方案
概述:
等保总包服务是创智灵云提供的一站式等保服务,包含等保咨询、整改服务,能帮助单位顺利完成等保建设工作。
总包优势:
1、交付效率高
创智灵云等保建设工程师有很多系统的等保落地经验,咨询、整改可同步进行,大大缩短了客户通过等保建设的时间。2、节约资金
等保建设总包服务费用比单独选择咨询、测评以及整改服务更具优势,单位也无需投入大量公司人力参与到等保建设中,节约了公司的人力成本。
3、客户省心
总包服务内容包括定级备案辅导、等保咨询建设落地、测评辅导等,创智灵云工程师全程参与,客户只需投入极少的人力物力即可顺利通过等保测评。
系统建设解决方案
1、围绕网络安全工作规划中“一个中心,三重防护”,对应到等保2.0中“安全管理中心”、“安全通信网络”,“安全区域边界”、“安全计算环境”,“安全物理环境”。
2、安全物理环境,按照等保2.0基本要求建设物理机房。
3、安全通信网络,考虑高峰期带宽保障,考虑安全域以及IP段的分配和预留;关键业务区和管理区,避免划分在网络边界;系统外联采用HTTP协议,采用SSL加密进行数据传输。
4、安全区域边界,网络边界部署防火墙,配置入站规则、访问控制策略;应用服务区前部署WAF(web应用防火墙),执行针对HTTP/HTTPS的安全策略,提供web应用保护。
5、安全计算环境,通过部署数据库审计与防护系统,实时监控、识别、阻断外部黑客攻击以及来自内部高权限用户的数据窃取行为,满足计算环境安全审计的合规性要求。
6、安全管理中心,安全管理中心区主要包括系统管理、审计管理、安全管理和集中管控;使用安全的信息传输路径(如SSH、HTTPS、VPN等),部署日志审计系统、运维审计系统、数据库审计系统、杀毒软件和补丁统一管理系统、安全事件管理系统(态势感知平台、IDPS、FW等)。等 保 复 测
根据《信息安全等级保护管理办法》第三章第十四条规定:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评。
公 司 优 势
一、创智灵云自身从事网络安全服务,拥有专业的安全维护服务与经验。无可比拟的安全服务优势让等保建设无忧。
二、与我司合作的测评机构遍布国内各省市,快速的解决用户等保问题。等保工作应选择有资质的整改咨询公司+有资质的测评机构。
三、丰富的等级保护项目服务经验,提供建设整改与咨询一站式服务,实施周期短,高效率通过等保测评,帮助客户提升安全等级,解决业务问题。
四、丰富的等保项目经验,客户涵盖政府、医疗、能源、金融、教育及运营商、互联网等行业等用户。作为一家广东省本地的安全公司,去除交付风险。
等级保护-行业案例
客户背景
某客户单位为国内知名央企,从自身信息系统安全角度考虑,单位需要建设自己的安全管理体系和技术体系的建设,提升整体信息系统及数据的安全性。
创智灵云对其系统进行了深入的调研和评估,梳理和整理了当前运行的所有业务系统,并依据《信息系统等级保护定级指南》对自身核心业务系统的保护进行了定级备案、差距分析与风险评估、安全规划等一系列准备工作。
安全需求
创智灵云为客户单位定级了若干重要信息系统,如业务支撑系统,项目管理系统。
信息系统网络架构为简单的B/S架构,整个系统除一台堡垒机外,其他安防手段、措施均缺失,距离等级保护二级要求有非常大的差距,安防状况堪忧。
根据等级保护建设前期调研、评估过程,依据《GB 17859-1999 信息安全技术 信息系统安全保护等级定级指南》和第三方等级保护咨询机构的建议,最终确定本次等级保护建设需求如下:
安全技术层面:
物理安全:物理机房设备摆放凌乱,缺乏完善的资产标签;无湿度控制装置;机房进出无审批流程,无记录;机房无防盗报警系统。机房监控日志留存时间不满足要求。不满足等保要求。
网络安全:缺少入侵防范、网络防火墙、内部用户私自外联行为、行为审计、单点冗余等措施,不满足等级保护要求。
主机安全:缺少对服务器主机的安全防范与威胁过滤措施,缺乏对恶意代码的防范措施,不满足等级保护要求。
应用安全:关键数据没有加密传输;用户密码为弱密码;不满足等级保护要求。
数据安全:数据备份后没有加密措施,数据备份时长不符合要求;数据访问缺少审计、防SQL注入、防攻击等保护数据库系统的措施;不满足等级保护要求。
安全管理层面:缺乏管理制度、管理机构、人员管理、系统建设管理、系统运维管理等方面的安全管理制度,不满足等级保护要求。
渗透测试:在客户授权许可的情况下,利用各种主流的攻击技术对网络做模拟攻击测试,以发现系统中的安全漏洞和风险点,提前发现系统潜在的各种高危漏洞和安全威胁。
漏洞扫描:通过扫描等手段对系统的安全脆弱性进行检测,并验证改漏洞是否可被利用,从而发现系统存在的漏洞问题。
用户收益
● 明确了重要系统的业务边界,优化原有的网络结构
依据等级保护分域保护思想,为该单位规划了不同功能的安全区域,为该单位今后业务发展以及后续网络安全基础设施的部署和安全策略的实现提供坚实的基础。
● 充分利用多种安全技术手段,提升了业务系统边界保护能力
依据相关等级别保护设计标准,通过部署下一代防火墙以及安全审计等多种安全防护产品,增强了不同区域间业务用户访问控制能力,提升了该单位边界抵御内部攻击行为的能力。
● 实现该单位对敏感个人隐私信息的有效保护
依据等级保护关于身份鉴别、可信数字电文的有关要求,实现对该单位业务系统敏感信息机密性、完整性的全面保护,保障了统计上报数据中关于个人及组织的合法利益。
● 明确人员安全管理职责,提高了系统安全运维安全管理水平
本次建设该单位在等级保护技术体系建设的同时,还配合大量的咨询、服务的配合与支撑,提高该单位业务系统安全运维的效率和管理水平。
