方案概述

等級(jí)保護(hù)是我國關(guān)于信息安全的基本政策，國家法律法規(guī)、相關(guān)政策制度要求單位開展等級(jí)保護(hù)工作。2019年5月13日《GB/T22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》標(biāo)準(zhǔn)的正式發(fā)布，很多行業(yè)主管單位要求行業(yè)客戶開展等級(jí)保護(hù)工作，目前已經(jīng)下發(fā)行業(yè)要求文件的有：金融、電力、廣電、醫(yī)療、教育等行業(yè)等，落實(shí)個(gè)人及單位的網(wǎng)絡(luò)安全保護(hù)義務(wù)，合理規(guī)避風(fēng)險(xiǎn)，現(xiàn)在企業(yè)用戶也將等保作為網(wǎng)絡(luò)安全建設(shè)的參考。

等保2.0主要變化

√名稱的變化?

等保2.0將原來的標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》。

√ 定級(jí)對(duì)象的變化?

新標(biāo)準(zhǔn)針對(duì)共性安全保護(hù)需求提出安全通用要求，針對(duì)移動(dòng)互聯(lián)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應(yīng)用領(lǐng)域的個(gè)性安全保護(hù)需求提出安全擴(kuò)展要求，形成新的網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求標(biāo)準(zhǔn)。

√ 安全要求的變化

調(diào)整各個(gè)級(jí)別的安全要求為安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求。?

√ 控制措施分類結(jié)構(gòu)的變化

由原來的10個(gè)分類調(diào)整為8分，分別為技術(shù)部分、管理部分。

等保建設(shè)流程

方案內(nèi)容

安全風(fēng)險(xiǎn)差距分析

 安全風(fēng)險(xiǎn)與差距分析是信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)項(xiàng)目的主要基礎(chǔ)工作之一，通過對(duì)客戶信息系統(tǒng)的安全現(xiàn)狀進(jìn)行詳細(xì)的調(diào)研，了解客戶信息安全建設(shè)工作中的短板，分析與等級(jí)保護(hù)體系的差距，評(píng)估出現(xiàn)有的安全風(fēng)險(xiǎn)，為下一階段的安全整改工作打下堅(jiān)實(shí)的基礎(chǔ)。?

 具體方式：

  問卷調(diào)查：通過問卷填寫方式全面了解信息安全技術(shù)與管理現(xiàn)狀。

  測(cè)試檢查：通過技術(shù)手段與專業(yè)經(jīng)驗(yàn)分析客戶信息系統(tǒng)與資產(chǎn)的技術(shù)防護(hù)短板。

  現(xiàn)場(chǎng)調(diào)研：通過與人員現(xiàn)場(chǎng)詢問、溝通、了解的方式全面了解信息安全技術(shù)與管理現(xiàn)狀。

主要內(nèi)容

☆  物理安全風(fēng)險(xiǎn)與差距分析

☆  計(jì)算環(huán)境安全風(fēng)險(xiǎn)與差距分析

☆  區(qū)域邊界安全風(fēng)險(xiǎn)與差距分析

☆  通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與差距分析

等保2.0安全建設(shè)

 安全技術(shù)體系建設(shè)

通過滿足安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心五個(gè)方面基本技術(shù)要求進(jìn)行技術(shù)體系建設(shè)；為滿足安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面基本管理要求進(jìn)行管理體系建設(shè)。使得客戶業(yè)務(wù)系統(tǒng)等級(jí)保護(hù)建設(shè)最終既可以滿足等級(jí)保護(hù)的相關(guān)要求，又能夠全方面為系統(tǒng)提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護(hù)能力。

根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，分為技術(shù)和管理兩大類要求，具體如下圖所示：

 安全物理環(huán)境建設(shè)

億口科技總結(jié)多年的機(jī)房安全工作經(jīng)驗(yàn)，依據(jù)等保標(biāo)準(zhǔn)與要求，列舉出客戶機(jī)房物理安全環(huán)境中常見的安全問題與風(fēng)險(xiǎn)，并針對(duì)這些問題提出明確的整改意見，為了保護(hù)客戶網(wǎng)絡(luò)中的計(jì)算機(jī)通信具有一個(gè)良好的工作環(huán)境。

 安全網(wǎng)絡(luò)通信建設(shè)

●  安全結(jié)構(gòu)

●  通信完整性與保密性

●  安全通信的可信驗(yàn)證

 安全區(qū)域邊界建設(shè)

●  邊界完整性檢查

●  邊界訪問控制入侵防范

●  邊界安全審計(jì)

 安全計(jì)算環(huán)境建設(shè)

●  身份鑒別

●  訪問控制

●  系統(tǒng)審計(jì)

●  入侵防范

●  惡意代碼防范

●  軟件容錯(cuò)

●  數(shù)據(jù)完整性與保密性

●  備份與恢復(fù)

 安全管理中心建設(shè)

建立安全管理中心，是有效幫助管理人員實(shí)施好安全措施的重要保障，是實(shí)現(xiàn)業(yè)務(wù)穩(wěn)定運(yùn)行、長(zhǎng)治久安的基礎(chǔ)。通過安全管理中心的建設(shè)，真正實(shí)現(xiàn)安全技術(shù)層面和管理層面的結(jié)合，全面提升用戶網(wǎng)絡(luò)的信息安全保障能力。

●   系統(tǒng)管理

通過系統(tǒng)管理員對(duì)系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一的管理。

●  審計(jì)管理

通過安全審計(jì)員對(duì)分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管。

●   安全集中管理

集中進(jìn)行系統(tǒng)安全監(jiān)測(cè)，并為安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)進(jìn)行統(tǒng)一的監(jiān)控與告警。

 安全管理體系建設(shè)

安全體系管理層面設(shè)計(jì)主要是依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的管理要求而設(shè)計(jì)。分別從以下方面進(jìn)行設(shè)計(jì)：

●  安全管理制度

根據(jù)安全管理制度的基本要求制定各類管理規(guī)定、管理辦法和暫行規(guī)定。

●  安全管理機(jī)構(gòu)

根據(jù)基本要求設(shè)置安全管理機(jī)構(gòu)的組織形式和運(yùn)作方式，明確崗位職責(zé)。

●  安全管理人員

根據(jù)基本要求制定人員錄用，離崗、考核、培訓(xùn)幾個(gè)方面的規(guī)定，并嚴(yán)格執(zhí)行；規(guī)定外部人員訪問流程，并嚴(yán)格執(zhí)行。

●  安全建設(shè)管理

根據(jù)基本要求制定系統(tǒng)安全建設(shè)管理制度。

●  安全運(yùn)維管理

根據(jù)基本要求進(jìn)行信息系統(tǒng)日常運(yùn)行維護(hù)管理，利用管理制度以及安全管理中心進(jìn)行管理。

部署架構(gòu)樣例

客戶價(jià)值

◆明確現(xiàn)有安全措施和基本要求的差距

◆明確等級(jí)保護(hù)安全建設(shè)方向

◆協(xié)助客戶完成等級(jí)保護(hù)制度建設(shè)

◆協(xié)助客戶完成等級(jí)保護(hù)沒評(píng)工作

◆為客戶提供安全 運(yùn)維的支持

◆滿足客戶行業(yè)及國家要求

◆保護(hù)客戶業(yè)務(wù)系統(tǒng)能力

◆提升客戶安全防護(hù)能力