- 政策法规
- 中华人民共和国网络安全法
- 第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改
- 第三十一条
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,在网络安全等级保护制度的基础上,实行重点保护。
- 第五十九条
网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款。
- 等保2.0概述
2019年5月13日,国家市场监督管理总局、国家标准化管理委员会发布《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)(“《等保基本要求》”)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)三个网络安全领域的国家标准,共同构筑新时代的网络安全等级保护制度,标志着等保2.0的正式到来,新标准规范将于2019年12月1日开始实施。
网络安全等级保护制度是国家信息安全保障工作的基础,也是一项事关国家安全、社会稳定的政治任务。通过开展等级保护工作,发现网络和信息系统与国家安全标准之间存在的差距,找到目前系统存在的安全隐患和不足,通过安全整改,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。网络安全等级保护制度,作为国家网络安全的重要组成部分,对加强国家网络安全保障工作,提升网络安全保护能力具有重要意义。
- 重大安全事件
- 全球网络安全事件
- 目前大多企业安全诉求
- 全栈安全防护体系
- 等保安全服务流程
- 系统定级
- 云南天成科技
协助定级、推荐测评机构
- 客户
业务系统定级,与云南天成科技签订服务合同。
- 通用等保测评流程
信息系统运营单位按照《网络安全等级保护定级指南》,自行定级。三级以上系统定级结论需进行专家评审。
- 系统备案
- 云南天成科技
协助客户完成备案
- 客户
提交备案材料
- 通用等保测评流程
信息系统定级申报获得通过后,30日内到公安机关办理备案手续
- 建设整改
- 云南天成科技
提供技术方案建议书、协助整改
- 客户
依据等级保护标准进行安全建设整改
- 通用等保测评流程
根据等保有关规定和标准,对信息系统进行安全建设整改
- 等级测评
- 云南天成科技
协助测评
- 客户
配合测评机构测评,接收报告(项目完结)
- 通用等保测评流程
信息系统运营单位选择公安部认可的第三方等级测评机构进行测评,提供跨地市的情况下由本地(本省)测评机构交付的等保测评服务。
- 监督检查(项目后)
- 云南天成科技
技术支持
- 客户
安全运营、维护,保障日常系统合规
- 通用等保测评流程
当地网监定期进行监督检查
- 等保工作分工
|
环节 |
单位 |
主管部门 |
|
定级 |
确定等级保护对象,确定安全保护等级,编制定级备案材料。 |
审查定级方法、工作过程、内容、结论等是否符合规定;组织专家对等级保护对象的定级情况进行评审。 |
|
备案 |
整理备案材料,向属地公安机关网安部门备案。 |
受理备案,实施备案审核,发放备案证明。 |
|
建设整改 |
依据等级保护国家标准和行业标准,开展安全技术和管理体系建设。 |
组织专家对等级保护对象的建设方案进行评审;审查等级保护对象的安全建设整改工作;对关键信息基础设施的安全建设工作重点审查。 |
|
等级测评 |
选择公安部公布的全国等级保护测评推荐目录中具有资质的测评机构,开展等级测评工作。 |
审查等级保护对象等级测评工作是否符合规定;对关键信息基础设施实行重点审查。 |
|
监督检查 |
接受并配合公安机关、上级主管部门的监督检查;定期开展安全自查工作。 |
定期针对等级保护对象开展网络安全执法检查;关键信息基础设施实施重点保护 |
|
备注 |
云南天成科技全程协助完成等保建设工作 |
|
- 等保2.0基本要求
- 安全物理环境
- 物理位置选择
机房场地应选择在具有防震、防风和防雨等能力的建筑内
- 物理访问控制
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员
- 基础设施位置
应确保云计算基础设施位于中国境内
- 防盗窃和防破坏
应设置机房防盗报警系统或设置有专人值守的视频监控系统
- 电力供应
应设置冗余或并行的电力电缆线路为计算机系统供电
- 安全通信网络&区域边界
- 网络架构
根据云租户业务需求自主设置安全策略集,包括定义访问路径、选择安全组件、配置安全策略
- 访问控制
在不同等级的网络区域边界部署访问控制机制,设置访问控制规则
- 通信传输
应采用校验码技术或加解密技术保证通信过程中数据的完整性
- 边界防护
应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信
- 入侵防范
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警
- 建设策略
1.推荐安全组、网络ACL通过设置基本的访问控制策略,对进出安全区域边界的数据信息进行控制,阻止非授权及越权访问
2.推荐v*n、安全证书服务,采取加密措施,防止数据在传输过程中遇到破坏、窃取等各种攻击
3.推荐DDoS高防,云WAF服务,针对日渐增多的DDoS、Web攻击进行防御,精准有效地实现对流量型攻击和应用层攻击的全面防护
- 安全计算环境
- 身份鉴别
当进行远程管理时,管理终端和云计算平台边界设备之间建立双向身份验证机制
- 安全审计
根据云服务方和云租户的职责划分,收集各自控制部分的审计数据并实现集中审计
- 入侵防范
虚拟机之间的资源隔离失效,并进行告警
- 恶意代码防范
应能够检测恶意代码感染及在虚拟机间蔓延的情况,并提出告警
- 数据完整性和保密性
应采用校验码技术或加解密技术保证重要数据在传输/存储过程中的完整性和保密性
- 建设策略
1.推荐堡垒机、数据库安全服务对服务器和数据库的运维及操作行为进行审计
2.管理员使用各自的账户进行管理,管理员的权限仅分配其所需的最小权限,在制定好的访问控制策略下进行操作,杜绝越权非法操作
推荐主机安全服务,防止各类具有针对性的入侵威胁,发现常见操作系统存在的各种安全漏洞,及时更新恶意代码库.
- 安全管理中心
- 系统管理
通过安全管理中心对被保护系统和安全管理中心自身的运行状态进行监控
- 审计管理
通过部署安全管理中心、业务安全审计平台,对被保护系统和安全管理中心的相关重要安全事件和用户操作行为进行审计
- 安全管理
通过部署安全管理中心、业务安全审计平台,并对安全管理员进行身份鉴别,对主体进行授权,配置可信验证策略等
- 集中管控
通过部署安全管理中心、业务安全审计平台、APT威胁检测系统,并对分布在网络中的安全设备、网络设备和服务器等的运行状况进行集中监测与管控
- 建设策略
1.通过安全事件管理等模块协助实施应急响应机制
2.确保用户行为的可追溯性,及时发现异常的安全行为,同时为综合分析提供数据支撑
3.数据收集、安全策略、恶意代码、补丁升级等安全相关事项和各类安全事件进行集中管理,分析。
- 安全管理制度
- 安全管理制度
应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系
- 安全管理机构
应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权
- 安全管理人员
人员录用、人员离岗、人员考核、安全意识教育及培训、外部人员访问管理
- 安全建设管理
应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,并形成配套文件
- 安全运维管理
应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补
应设置冗余或并行的电力电缆线路为计算机系统供电
- 建设策略
1.企业应制定完善的安全管理制度,根据基本要求设置安全管理机构,梳理管理文件,明确组织人员的岗位职责,定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等
2.推荐漏洞扫描服务、安全体检服务,检测租户站点的漏洞,提前防范黑客利用漏洞进行攻击,防止利益损失和数据泄露
- 等保合规安全产品需求
- 等保二级方案
适用于用户量和敏感数据较少,如果发生安全问题,不会对企业自身及用户造成特别严重影响的。如普通企业的门户网站,企业内部用的OA系统。
- 等保三级方案(基础版)
适用于存有用户敏感信息,信息外泄会造成特别严重影响,甚至会社会秩序和公共利益造成损失的。
- 等保三级方案(高级版)
适用于存有用户敏感信息,信息外泄会造成特别严重影响,甚至会社会秩序和公共利益造成损失的。如政务、教育、医疗、物流、金融等相关行业。
安全服务产品选择如下表:
|
服务类型 |
等保二级 |
等保三级 (基础版) |
等保三级 (高级版) |
|
|
网络安全&应用安全 |
Web应用防火墙 |
√ |
√ |
√ |
|
Anti-DDoS |
√ |
√ |
- |
|
|
DDoS高防 |
- |
- |
√ |
|
|
主机安全 |
企业主机安全 |
√ |
√ |
√ |
|
网页防篡改 |
- |
- |
√ |
|
|
数据传输安全 |
SSL证书管理 |
√ |
√ |
√ |
|
运维安全 |
云堡垒机 |
可选 |
√ |
√ |
|
云日志 |
可选 |
√ |
√ |
|
|
运用运维管理AOM |
可选 |
- |
√ |
|
|
数据库安全 |
数据库安全服务 |
可选 |
√ |
√ |
|
安全管理 |
漏洞扫描服务 |
可选 |
√ |
√ |
|
安全态势感知 |
态势感知 |
可选 |
√ |
√ |
|
数据安全 |
数据加密服务 |
可选 |
可选 |
√ |
|
备注 |
打 √ 为必选产品 |
|||
- 等级保护常见问题
- 什么是等级保护?
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
- 为什么要开展等级保护工作?
《网络安全法》在2017年6月1日正式实施,其中第二十一条明确规定“国家实行网络安全等级保护制度”。国家层面强调各网络运营者必须严格对照自身属性和等级分类,积极开展网络安全等级保护工作,增强网络安全防护能力,切实保障网络运行安全。
等级保护工作不但是国家信息安全的基本制度,同时还是企业自身信息安全防护能力的重要体现,做好等级保护工作可以实现:
1)满足国家相关法律法规和制度的要求;
2)降低信息安全风险,提高信息系统的安全防护能力;
3)合理地规避或降低风险;
4)履行和落实网络信息安全责任义务。
- 等级保护工作具体包含哪些内容?
信息安全等级保护工作包括定级、备案、安全建设和整改、等级保护测评、安全检查等五个阶段。
- 去哪里进行信息系统的定级备案工作?
区县—先将资料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案。
地级—各地级市的单位将定级资料交给各自地级市的网安支队。
省级—省级单位将资料交给省公安网安总队。
PS:特殊行业按特定要求执行。
- 什么是等级保护测评?
等级保护测评是等级保护工作的重要环节,信息系统备案单位通过委托测评机构开展等级测评,可以查找系统安全隐患和薄弱环节,明确系统与相应等级标准要求的差距和不足,有针对性地进行安全建设整改。
- 等级保护测评一般多长时间能测完?
一个二级或三级的系统现场测评周期一般一周左右,具体时间还要根据信息系统数量及信息系统的规模,有所增减。小规模安全整改2-3周,出具报告时间一周,整体持续周期1-2个月。如果整改不及时或牵涉到购买设备,时间不好说,但总的要求一年内要完成。
- 等级保护测评多久需要测一次?
三级及以上信息系统要求每年至少开展一次测评;二级信息系统建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。
- 等级保护测评的费用是多少?
测评的费用首先是按照信息系统来算,不是按照一个单位,不同等级的测评费用不一样,最后测评的费用也和信息系统的资产规模相关,规模越大相应的测评费用会高些。费用每个省市具体情况不一样,通常每个省市都有自己的一个价格体系,二级和三级系统的测评费用相对都是固定的,具体可以向当地测评机构咨询。
|
云南省收费基数(A)计算表 |
|||
|
信息系统等级 |
测评指标项数量 |
单项收费标准(元/项) |
收费基数(万元) |
|
二级 |
175以上 |
300 |
6 |
|
三级 |
290以上 |
300 |
8-12 |
|
备注 |
测评项目及费用根据企业具体情况来计算 |
||
- 测评机构的选择有哪些要求?
委托的测评机构需要拥有等级保护测评资质,是在中国网络安全等级保护网可查“全国等级保护测评机构推荐目录”中测评机构,云南省目前测评机构有如下几家:
|
推荐证书编号 |
测评机构名称 |
注册地址 |
推荐有效期至 |
|
DJCP2011530149 |
云南南天电子信息产业股份有限公司信息安全测评中心 |
云南省昆明市环城东路455号 |
2020年3月 |
|
DJCP2014530151 |
云南联创网安科技有限公司 |
云南省昆明市盘龙区金州湾.蓝屿A区2幢1单元1001号 |
2020年12月 |
|
DJCP2015530152 |
云南厚壁信息安全测评有限公司 |
云南省昆明市经济技术开发区佳逸盛景花园二期Ⅲ区1幢1111号 |
2021年7月 |
|
DJCP2018530153 |
云南电信公众信息产业有限公司 |
昆明市丽苑路电信枢纽大楼辅楼3楼 |
2021年5月 |
|
DJCP2018530154 |
云南无线数字电视文化传媒有限公司 |
云南省昆明市人民西路182号 |
2021年5月 |
|
备注 |
测评机构选择由云南天成科技推荐 |
||
- 哪些行业需要开展等级保护工作?
政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等。
金融行业:金融监管机构、各大银行、证券、保险公司等。
电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等。
能源行业:电力公司、石油公司、烟草公司。
企业单位:大中型企业、央企、上市公司等。