基本概念

        信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。開展信息安全等級保護工作是保護信息化發展、維護信息安全的根本保障,是信息安全保障工作中國家意志的體現。

        信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。信息系統建設完成后,運營、使用單位或者其主管部門應當選擇符合國家要求的測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。

意義

合法合規:

        履行國家《網絡安全法》法律義務、滿足行業監管機構在信息安全領域的合規要求,開展等級保護建設工作可以有效規避組織所面臨的信息安全法律及合規風險。

提高效率:

        以等級保護為標準開展安全建設,讓安全建設更加體系化,可以從物理、網絡、主機、應用和數據多個方面成體系的進行安全建設,避免頭痛醫頭、腳痛醫腳,實現體系化的建設提高安全運維效率的成果。

發展歷程

◆ 1994年《中華人民共和國計算機信息系統安全保護條例》(國務院147號令):第一次提出“計算機信息系統實行安全等級保護”概念。

1999年《計算機信息系統 安全等級保護劃分準則》(GB17859):國家發布關于計算機信息系統安全保護等級劃分準則強制性標準。

◆ 2007年《信息安全等級保護管理辦法》(公通字[2007]43號):公安部發布管理辦法,旨在加快推進、規范管理等級保護建設工作。

◆ 2008年《信息安全技術 信息系統安全等級保護基本要求》(GB/T 22239-2008):明確對于各等級信息系統的安全保護基本要求。

◆ 2017年《中華人民共和國網絡安全法》:第二十一條明確國家實行等級保護制度,落實等級保護制度已經上升到法律層面。

法律要求

      《中華人民共和國網絡安全法》【第二十一條】國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。

        法律解讀:國家明確實行等級保護制度,網絡運營者應按等級保護要求開展網絡安全建設。

      《中華人民共和國網絡安全法》【第三十一條】 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。(CII必須落實國家等級保護制度,突出保護重點)

        法律解讀:關鍵信息基礎設施必須要落實等級保護制度,并要重點保護。



等級保護建設流程


在等級保護建設整改過程中,涉及到四個不同的角色,分別是:建設單位、建設服務商、測評機構、公安機關。


             系統定級     →     差距評估         方案設計         建設整改          系統測評   


系統定級:編寫定級報告、填寫定級備案表,完成在公安機關的定級備案。    

差距評估:采用技術手段和訪談調查方式發現現狀與國家要求之間的差距。

方案設計:依照國家相關標準,完成等級保護建設整改方案設計。

建設整改:完成設備采購及調整、策略配置調優、完善管理制度等工作。

系統測評:請測評中心完成系統測評,獲得測評報告。



實施流程


1、定級備案

廣東IDC網會依據《定級指南》相關文件要求、結合行業特點對業務信息系統提供定級參考建議,并協助客戶完成定級備案工作

2、差距評估

廣東IDC網會協助完成人工檢查、風險評估、漏洞掃描、滲透測試等工作,為用戶快速精準地完成差距評估工作

3、方案設計

擁有業內資深專家,結合豐富的行業經驗,編寫出針對不同客戶特點的整體解決方案,滿足合規性的同時,也體現了用戶的安全價值

4、整改實施

整改實施階段,廣東IDC網的產品線能夠覆蓋等級保護核心安全產品

5、系統測評

系統測評階段,廣東IDC網會協助客戶配合測評中心完成系統測評工作,能夠幫助用戶順利通過系統測評

6、等保運維

廣東IDC網管到底的等保運維服務,為客戶的系統安全保駕護航,解除客戶的后顧之憂



方案設計

在方案設計階段,廣東IDC網以《信息系統安全等級保護基本要求》為基本準則,對安全現狀分析發現的問題進行加固整改,缺什么補什么;并且,廣東IDC網還可以進行總體的安全技術設計,通過將不同區域、不同層面的安全保護措施形成有機的安全保護體系,落實物理安全、網絡安全、主機安全、應用安全和數據安全等方面的基本要求,最大程度發揮安全措施的保護能力。

1519704052190166.jpg

下一代防火墻基礎級:訪問控制、入侵防范、安全審計、非法外聯檢測及阻斷。

下一代防火墻增強級:WEB應用防護、防掃描、防篡改、訪問控制、入侵防范、安全審計、非法外聯檢測及阻斷。


方案優勢

廣東IDC網踐行最新信息安全理念,打造信息安全生態圈,提倡“持續保護、不止合規”的等保核心價值。以可視化方式看清資產、業務關系,看懂威脅、安全風險;對網絡中各類風險持續檢測,將安全運營工作化繁為簡;通過廣東IDC網云安全平臺構建本地協同、云端聯動的動態保護體系。讓客戶感受到等級保護帶來的實際價值。


安全可視:采用可視化設計,提供多維度安全報表為安全決策提供數據支撐,提升組織安全管理效率

持續檢測:對企業核心資產、各類威脅與違規行為,網絡東西向、南北向流量進行持續檢測分析

協同防御:通過防御/檢測/響應/云防護/威脅情報的聯動構建本地協同、云端聯動的動態保護體系

等 保2.0 :簡單靈活的安全資源池組件,貼合等保2.0要求,解決云環境下安全問題


色情动漫插画手绘