北京其右合众科技有限公司
等级保护之整改解决方案
北京其右科技有限公司等级保护建设整改服务是面向等保客户提供的专业服务,通过咨询、规划、设计、选型推荐、整改部署等手段,加强和完善客户在管理和技术方面的安全保障能力,缩小安全现状与等级保护要求之间的差距,协助客户顺利完成等保测评备案工作。
整改方案咨询
根据差距评估结果,结合用户的业务现状,设计满足等级保护要求的整改方案。
整改产品选型
根据安全整改方案,协助客户完成安全产品的选型和采购。
整改方案部署
根据差距评估结果和整改方案,对网络、主机、数据库等相关系统根据等保要求进行技术整改。
安全管理咨询
根据等级保护对安全管理的要求,提供部分安全管理制度设计和执行指导。
等级保护2.0
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作。
信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。把需要保护的信息系统确定不同的安全等级,根据安全等级确定不同等级的安全目标,从而形成不同等级的安全措施进行保护。从而实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。
我国从1994年第“147号令”颁布开始实施信息系统等级保护。十几年来,在金融、能源、电信、医疗卫生等多个行业得到了广泛的应用与推广,收到了显著的效果。
等级标准也从等保1.0阶段发展到现在的等保2.0阶段。
2019年5月13日,国家市场监督管理总局、国家标准化管理委员会宣布等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术
网络安全等级保护测评要求》、《信息安全技术
网络安全等级保护安全设计技术要求》国家标准正式发布,并于2019年12月1日开始实施,标志着正式迈入“等保2.0”的时代。
等级保护2.0变化
名称的变化
为适应网络安全法,落实网络安全等级保护制度,名称上由“信息安全等级保护”变更为“网络安全等级保护”。
名称的变化所带来的防护理念变化,以及定级流程等一系列变化,也是显而易见的。一词之差,意味着其覆盖范围更加广泛。
法律效力不同
立法基础不同,等保1.0是以1994年国务院颁布的147号令《计算机信息系统安全保护条例》为立法依据,立法基础为行政法规。而等保2.0则是以经过全国人大通过的《中华人民共和国网络安全法》为立法依据,《网络安全法》第21条明确“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”。
以前是条例,现在是法律。
保护对象更加全面
等级保护1.0国家标准的保护对象为基础网络和信息系统。
等级保护2.0则将网络基础设施(广电网、电信网、企业网等)、信息系统(采用传统技术的系统)、云计算平台、大数据平台、移动互联网、物联网和工业控制系统等都纳入了等级保护对象范围。
通用要求变化
通用要求包括安全通用要求,云计算安全扩展要求,移动互联安全扩展要求,物联网安全扩展要求,工业控制系统安全扩展要求。等保2.0通用要求的核心是优化。
新增重点内容
控制措施分类不同
等保2.0的控制措施结构变化就是一句话“一个增加一个拆分三个合并”。
一个增加:增加“安全管理中心”,对应的控制项被具体强化。
一个拆分:网络安全拆分为“安全通信网络和安全区域边界”;
三个合并:合并主机安全、应用安全、数据安全为“安全计算环境”。
由此此带来的控制点数量上发生了变化。
等保2.0相对于等保1.0的控制点有所减少,从这些控制点减少可以看到其背后的原因是防护理念发生的变化。
通用要求方面,等保2.0标准的核心是“优化”。删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求。等保2.0标准依然采用“一个中心三重防护”的理念,从等保1.0标准的被动防御向事前预防、事中响应、事后审计的动态保障体系转变,注重全方位主动防御、安全可信、动态感知和全面审计。
定级备案流程变化
等保1.0定级原则是“自主定级、自主保护”。而等保2.0则采取了专家评审,主管部门审核的方式。将原有的30天内备案时间缩短为10个工作日,并明确了定级流程分为:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案。
等级测评要求不同
等保1.0要求三级系统至少每年进行一次等级测评,四级系统至少每半年进行一次等级测评。而等保2.0则要求网络运营者选择符合国家规定条件的测评机构,对三级以上系统每年开展等级测评,也就是说四级系统每年至少保证一次等级测评,降低了网络运营者的管理压力。
等级保护2.0工作流程
等级保护工作的主要流程是“系统定级”、“系统备案”、“建设整改”、“系统测评”、“监督管理”。
系统定级:确定被保护对象的安全等级;
系统备案:对定级对象到公安机关进行备案;
建设整改:对系统按照对应级别等保要求进行建设,不满足的地方进行整改;
系统测评:测评机构依据测评要求对系统是否符合等保要求进行测评,并给出测评结论;
监督管理:对系统进行周期性检查,以确定系统依然满足等级保护的要求
安全解决方案
2014年1月24日,中央国家安全委员会成立,习近平提醒:没有网络安全就没有国家安全;2014年2月27日,中央网络安全和信息化领导小组成立,习近平提出:“两个事关,两个没有,一体两翼,网络强国”论断。两个“事关”,即网络安全和信息化事关国家安全和发展,事关广大人民群众的生活。两个“没有”,即没有网络安全就没有国家安全,没有信息化就没有现代化,要把网络安全和信息化作为我们现代化事业的充分条件来看待。“一体两翼”,是说网络安全和信息化是一体之两翼,必须统筹领导。
目前中国IT领域发展,信息安全问题已经成为事关国家安全、经济发展、社会稳定和公众利益的重大而紧迫的问题。同时,随着信息技术应用的不断深入,信息系统集中程度的不断提高,业务对信息系统依赖程度的不断加大,信息系统安全建设工作已经成为信息化建设工作的重要组成部分。
其右合众立足自身技术优势和资源优势,为客户提供安全集成方案的设计及实施、等级保护咨询、信息安全管理体系咨询、风险评估、安全加固、安全运维外包等安全集成服务,为客户的信息安全保驾护航。
安全集成方案的设计及实施服务
通过对客户信息系统的需求分析,建立一套满足客户安全目标与需求的安全基础框架,并提供系统化的安全方案设计,其中包括安全信息系统的安全结构设计、执行和安全指南等。在安全方案的基础上,进行项目实施。保证系统安全设计的方案在将要运行的系统中得到有效实施,并保证安全控制得到正确的配置和使用。
等级保护咨询服务
等级保护已经成为国家信息安全的基本国策,政府企业都已经开展等级保护的建设,但是如何按照等级保护的基本要求进行合规性建设,仍然是一个复杂的过程。等级保护的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。整个过程中,将遵循国家等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。
信息安全管理体系咨询
信息安全管理体系是整个管理体系的一部分。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全。
信息安全管理体系咨询服务的主要工作包括:
-传递、培训国际信息安全管理体系标准及最新进展;
-分析客户的组织架构、业务要求,以及信息系统的特点,确定IT安全目标,建立安全组织架构;
-进行信息资产梳理,明确保护对象及保护等级;
-进行风险分析,并依据风险分析结果选择控制措施;
-制定可执行的信息安全管理体系。
风险评估
组织专业技术人员,针对用户重要信息资产从脆弱性、威胁性和安全措施进行风险评估;针对用户重要信息系统现状、需求、差距进行风险评估;针对客户系统所处的生命周期的不同阶段以及不同的系统类型,帮助客户在系统上线前及时发现安全隐患,为应用系统及无线网络,提供针对性的安全测试服务,并结合对业务流的梳理和分析,及时发现业务风险。
安全加固
安全加固服务是实现关键服务器、核心网络设备等重点保护对象自身安全的关键环节,我们将参照国际权威系统加固配置标准,并结合等级保护国家政策及行业规范,根据客户业务系统的安全等级划分和具体要求,对相应信息系统可以制定和实施不同策略的安全加固和配置优化,从而为系统及应用平台建立起一套适应性更强的安全保障基线。
安全运维外包
我们组织有关资源,为客户提供全面的IT系统安全运维服务,协助客户进行灾备信息系统安全建设和安全运维工作;主动发现并及时通知客户网络中的安全事故和潜在的安全隐患,最大限度的帮助客户预警安全事件,缩短事件响应时间,降低影响范围;使企业有更多的时间和精力关注其核心生产能力;减少部门设置和人员编制,降低企业管理成本;避免企业敏感信息的失窃、丢失和破坏;满足安全合规性要求。
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
