等保2.0新政策解讀
32:13等保2.0新政策解讀
32:13等保方案分享
31:52案例分享
12:39應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處,重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段
云防火墻
應(yīng)采用校驗技術(shù)或密碼技術(shù)保證數(shù)據(jù)完整性和保密性
SSL證書
應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為
高防IP
應(yīng)具有提供訪問控制、邊界防護、入侵防范等安全機制
Web應(yīng)用防火墻
應(yīng)對用戶進行身份鑒別、訪問控制、運維審計
堡壘機
應(yīng)滿足數(shù)據(jù)完整性和數(shù)據(jù)保密性的要求
主機加密
應(yīng)能夠檢測到對重要節(jié)點進行入侵的行為,檢測惡意代碼感染及在虛擬機間蔓延的情況,并進行告警
主機安全
應(yīng)能發(fā)現(xiàn)已知漏洞,并在經(jīng)過充分測試評估后,及時修補漏洞
漏洞掃描
應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計
數(shù)據(jù)庫審計
應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規(guī)要求
綜合日志審計
青云通過與專業(yè)的第三方咨詢機構(gòu)、測評機構(gòu)、安全廠商合作,為客戶提供完整的解決方案、優(yōu)質(zhì)的云安全產(chǎn)品、貼心的咨詢及測評服務(wù)
青云借助自身的安全產(chǎn)品以及第三方專業(yè)安全合作商的能力,為客戶提供多場景的的安全產(chǎn)品打包組合,節(jié)省客戶時間及成本。
青云整合行業(yè)資深專家以及服務(wù)商,為客戶提供專業(yè)、安全、可靠的咨詢、測評服務(wù)。
青云結(jié)合自身多年產(chǎn)品及服務(wù)經(jīng)驗,并整合業(yè)界優(yōu)質(zhì)資源,可以快速高效地幫助客戶通過等保認證。
角色 | 定級 | 備案 | 建議整改 | 等保評測 | 監(jiān)督檢查 | |
客戶? | 確定定級對象 | 準備好備案材料,到屬地公安機關(guān)遞交備案材料 | 準備好備案材料,到屬地公安機關(guān)遞交備案材料 | 準備和接受測評機構(gòu)的測評 | 接受公安機關(guān)定期的網(wǎng)絡(luò)安全檢查,主動開展每年的定期測評 | |
青云QingCloud | 提供定級輔導(dǎo)服務(wù) | 提供備案指引服務(wù) | 提供符合等保相關(guān)要求的安全產(chǎn)品和服務(wù),并協(xié)助客戶部署 | 為客戶提供云平臺相關(guān)通過等保的證明材料 | ||
咨詢機構(gòu) | 輔導(dǎo)客戶準備備案申請材料,定級報告,組織專家定級評審 | 輔導(dǎo)客戶準備備案材料和備案 | 輔導(dǎo)客戶將測評對象系統(tǒng)進行安全加固,并協(xié)助建立安全管理體系 | 協(xié)助并指導(dǎo)客戶進行測評整改 | 協(xié)助客戶接受檢查并指導(dǎo)整改 | |
測評機構(gòu)? | 協(xié)助等保備案指導(dǎo) | 對系統(tǒng)等級符合性狀況進行測評,并出具測評報告 | ||||
公安機關(guān) | 審核并受理備案材料 | 監(jiān)督檢查單位開展等級保護工作情況,單位的網(wǎng)絡(luò)安全運營情況 |
根據(jù)系統(tǒng)和定級,對網(wǎng)絡(luò)進行安全域劃分,不同區(qū)域之間的訪問應(yīng)采取可靠的技術(shù)隔離手段;確保網(wǎng)絡(luò)帶寬和處理能力能滿足業(yè)務(wù)高峰期需要;確保通信傳輸過程數(shù)據(jù)的完整性和保密性,可采用可信進行可信驗證
在內(nèi)外網(wǎng)的安全域邊界設(shè)置訪問控制策略,并要求配置到具體的端口;在網(wǎng)絡(luò)邊界處應(yīng)當部署入侵防范手段,防御并記錄入侵行為;對網(wǎng)絡(luò)中的用戶行為日志和安全事件信息進行記錄和審計;可采用可信進行可信驗證
針對服務(wù)器、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等計算環(huán)境,借助第三方安全軟件或通過應(yīng)用本身的安全手段實現(xiàn)鑒權(quán)、賬號安全、安全審計、數(shù)據(jù)安全保護等功能,保證系統(tǒng)層安全,防范入侵行為
借助安全管理軟件設(shè)立安全管理中心,對分散在網(wǎng)絡(luò)中的各類設(shè)備、組件進行集中的管理控制,對設(shè)備產(chǎn)生對事件、告警和日志進行集中的檢測和審計。對這些操作設(shè)立不同的管理員角色和對應(yīng)的權(quán)限,并對操作進行審計。
建立由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的信息安全管理制度體系安全管理機構(gòu)。參考業(yè)界成熟的方法論和優(yōu)秀實踐,建立一套符合企業(yè)實際情況的信息安全管理體系,開展并落實持續(xù)的安全建設(shè)和安全管理
“網(wǎng)絡(luò)安全等級保護” 是指對網(wǎng)絡(luò)和信息系統(tǒng)按照重要性等級分級別保護的網(wǎng)絡(luò)安全保護制度,是國家信息安全保障工作的基本制度、基本國策,是開展信息安全工作的基本方法 ,是促進信息化、維護國家信息安全的根本保障。根據(jù)網(wǎng)絡(luò)與信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等,由低到高被劃分為五個安全保護等級;網(wǎng)絡(luò)安全等級保護是提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設(shè)健康發(fā)展的一項基本制度。
基本概念
以《中華人民共和國網(wǎng)絡(luò)安全法》為法律依據(jù),以2019年5月發(fā)布的
《GB/T22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》為指導(dǎo)標準的網(wǎng)絡(luò)安全等級保護辦法,業(yè)內(nèi)簡稱等保2.0。
法律地位
《網(wǎng)絡(luò)安全法》第二十一條規(guī)定 “國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求,履行下列安全保護義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。” 標志等級保護制度從標準提升為法律。
涉及范圍
依據(jù)相關(guān)國家規(guī)定,網(wǎng)絡(luò)安全等級保護涉及到所有對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益相關(guān)的信息系統(tǒng),即是覆蓋全社會。保護對象涉及到相關(guān)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)等各方面,以及云平臺、物聯(lián)網(wǎng)、工控系統(tǒng)、大數(shù)據(jù)、移動互聯(lián)等行業(yè)信息系統(tǒng)。
核心變化
等保2.0提出新的技術(shù)要求和管理要求,強調(diào)“一個中心,三重防護”,關(guān)鍵點包括可信技術(shù)、安全管理中心,以及云計算、物聯(lián)網(wǎng)等新興領(lǐng)域的安全擴展要求。對應(yīng)地,企業(yè)在安全防護體系建設(shè)、風險評估和管理上需要更加全面,并需關(guān)注所在行業(yè)的安全要求和定級標準。
咨詢等保合規(guī)安全解決方案,為您提供專業(yè)、安全、可靠的咨詢、測評服務(wù)!