等級保護(hù)總包

等級保護(hù)介紹

● 什么是等級保護(hù)?

等級保護(hù)是我們國家的基本網(wǎng)絡(luò)安全制度、基本國策，也是一套完整和完善的網(wǎng)絡(luò)安全管理體系。遵循等級保護(hù)相關(guān)標(biāo)準(zhǔn)開始安全建設(shè)是目前企事業(yè)單位的普遍要求，也是國家關(guān)鍵信息基礎(chǔ)措施保護(hù)的基本要求。

● 為什么要開展等保工作?

通過等級保護(hù)工作發(fā)現(xiàn)單位信息系統(tǒng)存在的安全隱患和不足，進(jìn)行安全整改之后，提高信息系統(tǒng)的信息安全防護(hù)能力，降低系統(tǒng)被各種攻擊的風(fēng)險，維護(hù)單位良好的形象。

等級保護(hù)是我國關(guān)于信息安全的基本政策，國家法律法規(guī)、相關(guān)政策制度要求單位開展等級保護(hù)工作。如《網(wǎng)絡(luò)安全等級保護(hù)管理辦法》和《中華人民共和國網(wǎng)絡(luò)安全法》。

很多行業(yè)主管單位要求行業(yè)客戶開展等級保護(hù)工作，目前已經(jīng)下發(fā)行業(yè)要求文件的有：金融、電力、廣電、醫(yī)療、教育等行業(yè)等。

落實個人及單位的網(wǎng)絡(luò)安全保護(hù)義務(wù)，合理規(guī)避風(fēng)險。

技術(shù)標(biāo)準(zhǔn)與法律依據(jù)

● 技術(shù)標(biāo)準(zhǔn)

網(wǎng)絡(luò)安全等級保護(hù)條例(總要求)

計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則(GB 17859-1999))

網(wǎng)絡(luò)安全等級保護(hù)實施指南(GB/T25058)

網(wǎng)絡(luò)安全等級保護(hù)定級指南(GB/T22240)

網(wǎng)絡(luò)安全等級保護(hù)基本要求(GB/T22239-2019)

網(wǎng)絡(luò)安全等級保護(hù)設(shè)計技術(shù)要求(GB/T25070-2019)

網(wǎng)絡(luò)安全等級保護(hù)測評要求(GB/T28448-2019)

網(wǎng)絡(luò)安全等級保護(hù)測評過程指南(GB/T28449-2018)

● 法律依據(jù)

《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定國家實行網(wǎng)絡(luò)安全等級保護(hù)制度，網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。

《中華人民共和國網(wǎng)絡(luò)安全法》

第二十一條國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

(一)制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安全保護(hù)責(zé)任;

(二)采取防范計算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;

(三)采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月;

(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;

(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。

一站式解決方案

● 方案介紹

總包概述：

等?？偘?wù)是金瀚信息提供的一站式等保服務(wù)，包含等保咨詢、整改、測評服務(wù)，能幫助單位順利完成等保建設(shè)工作。

總包優(yōu)勢：

1、交付效率高

金瀚等保建設(shè)工程師有超過50個系統(tǒng)的等保落地經(jīng)驗，咨詢、整改可同步進(jìn)行，大大縮短了客戶通過等保建設(shè)的時間。

2、節(jié)約資金

總包服務(wù)費(fèi)用比單獨(dú)選擇咨詢、測評以及整改服務(wù)更具優(yōu)勢，單位也無需投入大量公司人力參與到等保建設(shè)中，節(jié)約了公司的人力成本。

3、客戶省心

總包服務(wù)內(nèi)容包括定級備案輔導(dǎo)、等保咨詢建設(shè)落地、測評輔導(dǎo)等，金瀚工程師全程參與，客戶只需投入極少的人力物力即可順利通過等保測評。

● 工作流程

工作實施流程

1.定級備案

1.定級備案 >2.調(diào)研梳理 >3.初步測評 >4.整改建設(shè) >5.正式測評 >

工作內(nèi)容：①我方人員協(xié)助客戶填寫備案資料，我方人員首輪審核，測評機(jī)構(gòu)而后審核。②審核后客戶提交到所屬區(qū)公安局。

輸出：合格的定級備案材料。

可定級備案指南

2.調(diào)研梳理

工作內(nèi)容：我方組織人員開始調(diào)研，提供咨詢服務(wù)，核心目標(biāo)：解決《管理制度文檔》；附帶解決部分明顯技術(shù)問題;機(jī)房可能涉及到提前架設(shè)設(shè)備，配置策略。

輸出：①全套管理制度文檔（包含記錄文檔）②《基礎(chǔ)環(huán)境調(diào)研表》③《漏洞掃描報告》④《滲透測試報告》。

系統(tǒng)建設(shè)解決方案

3.初步測評 

工作內(nèi)容：我方組織人員，核心目標(biāo)解決技術(shù)問題。

輸出：整改全套：包涵高、中、底危整改記錄及其他整改過程記錄。

4.整改建設(shè)

工作內(nèi)容：測評機(jī)構(gòu)執(zhí)行，我方人員協(xié)助完成，出具《差距性分析》或《整改問題匯總》。

輸出：①《差距性分析報告》②《整改意見書》（在問題匯總清單后撰寫落地解決方案）。

5.正式測評 

工作內(nèi)容：測評機(jī)構(gòu)執(zhí)行：根據(jù)整改結(jié)果復(fù)測達(dá)到目標(biāo)分?jǐn)?shù)。

系統(tǒng)建設(shè)解決方案

● 物理環(huán)境

1、圍繞網(wǎng)絡(luò)安全工作規(guī)劃中“一個中心，三重防護(hù)”，對應(yīng)到等保2.0中“安全管理中心”、“安全通信網(wǎng)絡(luò)”，“安全區(qū)域邊界”、“安全計算環(huán)境”，“安全物理環(huán)境”。

2、安全物理環(huán)境，按照等保2.0基本要求建設(shè)物理機(jī)房。

3、安全通信網(wǎng)絡(luò)，考慮高峰期帶寬保障，考慮安全域以及IP段的分配和預(yù)留；關(guān)鍵業(yè)務(wù)區(qū)和管理區(qū)，避免劃分在網(wǎng)絡(luò)邊界；系統(tǒng)外聯(lián)采用HTTP協(xié)議，采用SSL加密進(jìn)行數(shù)據(jù)傳輸。

4、安全區(qū)域邊界，網(wǎng)絡(luò)邊界部署防火墻，配置入站規(guī)則、訪問控制策略；應(yīng)用服務(wù)區(qū)前部署WAF(web應(yīng)用防火墻)，執(zhí)行針對HTTP/HTTPS的安全策略，提供web應(yīng)用保護(hù)。

5、安全計算環(huán)境，通過部署數(shù)據(jù)庫審計與防護(hù)系統(tǒng)，實時監(jiān)控、識別、阻斷外部黑客攻擊以及來自內(nèi)部高權(quán)限用戶的數(shù)據(jù)竊取行為，滿足計算環(huán)境安全審計的合規(guī)性要求。

6、安全管理中心，安全管理中心區(qū)主要包括系統(tǒng)管理、審計管理、安全管理和集中管控;使用安全的信息傳輸路徑(如SSH、HTTPS、VPN等)，部署日志審計系統(tǒng)、運(yùn)維審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、殺毒軟件和補(bǔ)丁統(tǒng)一管理系統(tǒng)、安全事件管理系統(tǒng)（態(tài)勢感知平臺、IDPS、FW等）。

● 云環(huán)境

1、按照網(wǎng)絡(luò)安全等級保護(hù)相關(guān)政策和標(biāo)準(zhǔn)，云計算平臺/系統(tǒng)的安全建設(shè)或安全整改需同時根據(jù)安全通用要求和安全擴(kuò)展要求，構(gòu)建具有相應(yīng)等級安全防護(hù)能力的安全防御體系，多方面提升網(wǎng)絡(luò)安全防護(hù)能力，實現(xiàn)整個網(wǎng)絡(luò)構(gòu)建能夠被標(biāo)準(zhǔn)化和統(tǒng)一調(diào)度、統(tǒng)一管理。

2、云服務(wù)商和云租戶對計算資源擁有不同的控制范圍，控制范圍則決定了安全責(zé)任的邊界。云計算平臺/系統(tǒng)由設(shè)施、硬件、資源抽象控制層組成；云租戶控制范圍包括虛擬化計算資源、軟件平臺和應(yīng)用軟件。

3、云服務(wù)商應(yīng)獲取等級保護(hù)證書及合格測評報告，提供基礎(chǔ)的安全能力。

4、云租戶在選擇云平臺服務(wù)商時應(yīng)選擇已通過相應(yīng)級別或高于自己應(yīng)用系統(tǒng)級別等級測評的云平臺服務(wù)商，并要求云平臺服務(wù)商提供通過相應(yīng)級別等級測評的證明材料。

5、安全通信網(wǎng)絡(luò)，根據(jù)控制范圍，云計算定級對象可分為云服務(wù)商控制部分（如云計算平臺）和云服務(wù)客戶控制部分（如業(yè)務(wù)應(yīng)用系統(tǒng)），分別進(jìn)行定級，且云服務(wù)商控制部分比云服務(wù)客戶控制部分高，云服務(wù)商的測評可以被復(fù)用。

6、安全區(qū)域邊界，除了物理區(qū)域邊界和網(wǎng)絡(luò)節(jié)點(diǎn)，還需關(guān)注虛擬化網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)節(jié)點(diǎn)，以及虛擬機(jī)與物理機(jī)、虛擬機(jī)與虛擬機(jī)間的網(wǎng)絡(luò)流量，做好訪問控制和入侵防范。

7、安全計算環(huán)境，云服務(wù)商提供加固的鏡像，利用完整性校驗防止被惡意篡改;確保虛擬機(jī)的CPU、內(nèi)存和存儲等資源的隔離；云租客定期做安全檢查，進(jìn)行安全加固，利用防病毒軟件保護(hù)虛擬機(jī)。

8、安全管理中心，建立安全態(tài)勢感知、攻擊行為回溯分析和監(jiān)測預(yù)警；應(yīng)用在虛擬網(wǎng)絡(luò)上的運(yùn)行與在物理網(wǎng)絡(luò)上完全相同，提供統(tǒng)一的管理功能;部署VPN、數(shù)據(jù)庫審計、運(yùn)維審計堡壘機(jī)、日志審計等。

● 混合環(huán)境

1、云+物理環(huán)境下兩個環(huán)境區(qū)域可通過VPN、IDC專線等多種方式連接交互。

2、云上包括云計算、云存儲、云數(shù)據(jù)庫等云產(chǎn)品的底層管理和使用管理；網(wǎng)絡(luò)層面包括虛擬網(wǎng)絡(luò)、負(fù)載均衡、安全網(wǎng)關(guān)、VPN、專線鏈路等方面；云計算環(huán)境下的業(yè)務(wù)相關(guān)應(yīng)用系統(tǒng)的安全管理，包括應(yīng)用的設(shè)計、開發(fā)、發(fā)布、配置和使用等方面；

3、物理+云環(huán)境涉及機(jī)房建設(shè)、網(wǎng)絡(luò)、硬件、軟件系統(tǒng)開發(fā)和測試、運(yùn)維等各個方面，在等保2.0中，安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境與安全計算中心五個方面同樣需滿足以上兩種情形的要求。

等保復(fù)測

根據(jù)《信息安全等級保護(hù)管理辦法》第三章第十四條規(guī)定：信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評。

方案優(yōu)勢