当前位置:首页>云上服务>信息系统安全等级保护>

信息系统安全等级保护测评

智政科技联合网络安全等保测评机构,为用户提供一站式网站安全等保合规安全解决方案,帮助用户构建安全体系、提升安全防护能力,快速高效地满足等保合规要求。


服务详情

一、等保2.0介绍与解读

“网络安全等级保护” 是指对网络和信息系统按照重要性等级分级别保护的网络安全保护制度,是国家信息安全保障工作的基本制度、基本国策,是开展信息安全工作的基本方法,是促进信息化、维护国家信息安全的根本保障。根据网络与信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。

(1)基本概念

以《中华人民共和国网络安全法》为法律依据,以2019年5月发布的《GB/T22239-2019 信息安全技术网络安全等级保护基本要求》为指导标准的网络安全等级保护办法,业内简称等保2.0。

(2)法律地位

《网络安全法》第二十一条规定 “国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。” 标志等级保护制度从标准提升为法律。

(3)涉及范围

依据相关国家规定,网络安全等级保护涉及到所有对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益相关的信息系统,即是覆盖全社会。保护对象涉及到相关的网络基础设施、信息系统等各方面,以及云平台、物联网、工控系统、大数据、移动互联等行业信息系统。

(4)核心变化

等保2.0提出新的技术要求和管理要求,强调“一个中心,三重防护”,关键点包括可信技术、安全管理中心,以及云计算、物联网等新兴领域的安全扩展要求。对应地,企业在安全防护体系建设、风险评估和管理上需要更加全面,并需关注所在行业的安全要求和定级标准。

二、《网络安全等级保护基本要求》关键项分析

(1)安全通信网络 

 根据系统和定级,对网络进行安全域划分,不同区域之间的访问应采取可靠的技术隔离手段;确保网络带宽和处理能力能满足业务高峰期需要;确保通信传输过程数据的完整性和保密性,可采用可信进行可信验证。

(2)安全区域边界 

在内外网的安全域边界设置访问控制策略,并要求配置到具体的端口;在网络边界处应当部署入侵防范手段,防御并记录入侵行为;对网络中的用户行为日志和安全事件信息进行记录和审计;可采用可信进行可信验证。

(3)安全计算环境 

针对服务器、数据库、应用系统等计算环境,借助第三方安全软件或通过应用本身的安全手段实现鉴权、账号安全、安全审计、数据安全保护等功能,保证系统层安全,防范入侵行为

(4)安全管理中心 

借助安全管理软件设立安全管理中心,对分散在网络中的各类设备、组件进行集中的管理控制,对设备产生对事件、告警和日志进行集中的检测和审计。对这些操作设立不同的管理员角色和对应的权限,并对操作进行审计。

(5)安全管理体系 

建立由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系安全管理机构。参考业界成熟的方法论和最佳实践,建立一套符合企业实际情况的信息安全管理体系,开展并落实持续的安全建设和安全管理。

三、服务方案

a3532891-948a-40e7-b086-bc52cf66cdc1.png


四、服务流程

746dbc06-6cb2-4306-91f4-8bb0fe5375f1.png

人才招聘
公众号
返回顶部