信息安全等保项目解读
一个网络安全拓扑必须要保证哪些安全、具有哪些产品、解决什么问题,都在等保中有明确规定。
等保分为五级,涉及三级的项目权重比较大,下面列出等保三级需求:
什么是等级保护?
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
一句话:系统重要程度有多高,安全保护就应当有多强,既不能保护不足,也不能过渡保护。
要点:平衡安全与成本
实行等级保护的目的
1、遵循客观规律,信息安全的等级是客观存在的;
2、有利于突出重点,加强安全建设和管理;
3、有利于控制安全的成本。
等级保护的实现原理
重点关注2、3级
等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
各级别概念
一级自主建设,基本没多少内容,可能会有少量的产品。
二级指导保护,比如市级信息系统,非核心业务系统都是此级别,此类系统需要备案,测评,等保建设以产品为主,有少量的安全服务。重点是产品。
三级监督保护,比如省级信息系统,核心业务系统等大都是此级别,此类项目需要备案,测评,并且每年检查一次,建设内容包括产品集成、安全服务,容易形成长期销售机会,应重点跟踪!重点是集成。
四级强制保护,比如中央核心系统,重要行业核心业务系统,建设内容很多,每年都要检查,容易形成长期销售机会,但是该级别信息系统数量很少,技术门槛很高,应谨慎跟踪(最好分期建设,先作容易的,后做难的)。
等级保护的目标客户
电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
市(地)级以上党政机关的重要网站和办公信息系统。
不是分级保护的范围,就是等级保护的范围。
其他已经定级的信息系统。
等级保护产业链
等级保护的建设过程
技术要求
管理要求
设计要求
一个中心三重防护
要理解更多的等级保护细节,需要多看些项目文档,对原有拓扑提出整改意见,积累经验。