《中华人民共和国网络安全法》第二十一条规定国家实行网络安全等级保护制度,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
网络安全等级保护测评方案
格凡安信提供“持续保护、不‘止’合规”的等级保护解决方案
技术标准与法律依据
- 技术标准
- 法律依据
网络安全等级保护条例(总要求)
计算机信息系统安全保护等级划分准则(GB 17859-1999)
网络安全等级保护实施指南(GB/T25058)
网络安全等级保护定级指南(GB/T22240)
网络安全等级保护基本要求(GB/T22239-2019)
网络安全等级保护设计技术要求(GB/T25070-2019)
网络安全等级保护测评要求(GB/T28448-2019)
网络安全等级保护测评过程指南(GB/T28449-2018)
等级保护介绍
什么是等级保护?
根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。
等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。
为什么要开展等保工作?
通过等级保护工作发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,维护单位良好的形象。
等级保护是我国关于信息安全的基本政策,国家法律法规、相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。
很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育等行业等。
落实个人及单位的网络安全保护义务,合理规避风险。
不做等保,等于违法!
一站式解决方案
- 方案介绍
- 工作流程
概述
一站式等保服务包含等保咨询、整改、测评服务,能帮助单位顺利完成等保建设工作。
总包优势:
1、交付效率高
格凡安信有丰富的等保落地经验,咨询、整改可同步进行,大大缩短了客户通过等保建设的时间。
2、节约资金
总包服务费用比单独选择咨询、测评以及整改服务更具优势,单位也无需投入大量公司人力参与到等保建设中,节约了公司的人力成本。
3、客户省心
总包服务内容包括定级备案辅导、等保咨询建设落地、测评辅导等,客户只需投入极少的人力物力即可顺利通过等保测评。
1.定级备案
①我方人员协助客户填写备案资料,我方人员第一轮审核,测评机构最终审核。②审核后客户提交到所属区公安局。
2.调研梳理
我方组织人员开始调研,提供咨询服务,核心目标:解决《管理制度文档》;附带解决部分明显技术问题;机房可能涉及到提前架设设备,配置策略。
3.初步测评
我方组织人员,核心目标解决技术问题。
4.整改建设
测评机构执行,我方人员协助完成,出具《差距性分析》或《整改问题汇总》。
3.正式测评
测评机构执行:根据整改结果复测达到目标分数。
涉及人员
等级保护建设整改过程中,会涉及到四个不同的角色,分别是:客户单位、公安机关、建设服务商、测评机构。
客户单位
等级保护建设整改过程中,会涉及到四个不同的角色,分别是:客户单位、公安机关、建设服务商、测评机构。
公安机关
公安机关对备案材料进行审核、下发备案号、最后颁发备案证书。
等保服务商
格凡安信对单位系统与业务进行调研、提供等级保护咨询、建设、整改、安全运维等服务。
测评机构
依据法律规定对单位系统按照测评标准进行测评,最终出具《网络安全等级保护测评报告》。
系统建设解决方案
- 物理环境
- 云环境
- 混合环境
1、围绕网络安全工作规划中“一个中心,三重防护”,对应到等保2.0中“安全管理中心”、“安全通信网络”,“安全区域边界”、“安全计算环境”,“安全物理环境”。
2、安全物理环境,按照等保2.0基本要求建设物理机房。
3、安全通信网络,考虑高峰期带宽保障,考虑安全域以及IP段的分配和预留;关键业务区和管理区,避免划分在网络边界;系统外联采用HTTP协议,采用SSL加密进行数据传输。
4、安全区域边界,网络边界部署防火墙,配置入站规则、访问控制策略;应用服务区前部署WAF(web应用防火墙),执行针对HTTP/HTTPS的安全策略,提供web应用保护。
5、安全计算环境,通过部署数据库审计与防护系统,实时监控、识别、阻断外部黑客攻击以及来自内部高权限用户的数据窃取行为,满足计算环境安全审计的合规性要求。
6、安全管理中心,安全管理中心区主要包括系统管理、审计管理、安全管理和集中管控;使用安全的信息传输路径(如SSH、HTTPS、VPN等),部署日志审计系统、运维审计系统、数据库审计系统、杀毒软件和补丁统一管理系统、安全事件管理系统(态势感知平台、IDPS、FW等)。
1、按照网络安全等级保护相关政策和标准,云计算平台/系统的安全建设或安全整改需同时根据安全通用要求和安全扩展要求,构建具有相应等级安全防护能力的安全防御体系,全面提升网络安全防护能力,实现整个网络构建能够被标准化和统一调度、统一管理。
2、云服务商和云租户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。云计算平台/系统由设施、硬件、资源抽象控制层组成;云租户控制范围包括虚拟化计算资源、软件平台和应用软件。
3、云服务商应获取等级保护证书及合格测评报告,提供基础的安全能力。
4、云租户在选择云平台服务商时应选择已通过相应级别或高于自己应用系统级别等级测评的云平台服务商,并要求云平台服务商提供通过相应级别等级测评的证明材料。
5、安全通信网络,根据控制范围,云计算定级对象可分为云服务商控制部分(如云计算平台)和云服务客户控制部分(如业务应用系统),分别进行定级,且云服务商控制部分比云服务客户控制部分高,云服务商的测评可以被复用。
6、安全区域边界,除了物理区域边界和网络节点,还需关注虚拟化网络边界和网络节点,以及虚拟机与物理机、虚拟机与虚拟机间的网络流量,做好访问控制和入侵防范。
7、安全计算环境,云服务商提供加固的镜像,利用完整性校验防止被恶意篡改;确保虚拟机的CPU、内存和存储等资源的隔离;云租客定期做安全检查,进行安全加固,利用防病毒软件保护虚拟机。
8、安全管理中心,建立安全态势感知、攻击行为回溯分析和监测预警;应用在虚拟网络上的运行与在物理网络上完全相同,提供统一的管理功能;部署VPN、数据库审计、运维审计堡垒机、日志审计等。
1、云+物理环境下两个环境区域可通过VPN、IDC专线等多种方式连接交互。
2、云上包括云计算、云存储、云数据库等云产品的底层管理和使用管理;网络层面包括虚拟网络、负载均衡、安全网关、VPN、专线链路等方面;云计算环境下的业务相关应用系统的安全管理,包括应用的设计、开发、发布、配置和使用等方面;
3、物理+云环境涉及机房建设、网络、硬件、软件系统开发和测试、运维等各个方面,在等保2.0中,安全物理环境、安全通信网络、安全区域边界、安全计算环境与安全计算中心五个方面同样需满足以上两种情形的要求。
等保复测
根据《信息安全等级保护管理办法》第三章第十四条规定:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评。
格凡安信优势
专业的安全厂商
公司自身从事网络安全产品的生产、研发,拥有专业的安全开发技术与经验。无可比拟的安全研发优势让等保建设无忧。稳建的测评机构合作关系
与我司合作的测评机构遍布国内各省市,快速的解决用户等保问题。 等保工作应选择有资质的整改咨询公司+有资质的测评机构。实施交付效率高
丰富的等级保护项目服务经验与专业的安全产品研发经验,提供建设整改与咨询一站式服务,实施周期短,高效率通过等保测评,帮助客户提升安全等级,解决业务问题。本土化服务、涉及领域广
丰富的等保项目经验,客户涵盖政府、医疗、连锁、纺织、能源、金融、教育及运营商、互联网等行业等用户。作为一家湖南本土的安全公司,去除交付风险
