什么是等级保护?
  • 等保1.0的概念

    以1994年国务院颁布的147号令《计算机信息系统安全保护条例》为指导标准,以2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求》 为指导的网络安全等级保护办法,业内简称等保,即目前的等保 1.0。

  • 等保2.0的概念

    以《中华人民共和国网络安全法》为法律依据,以2019年5月发布的《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求》为指导标准的网络安全等级保护办法,业内简称等保2.0。

  • 分类结构的变化

    等保2.0提出新的技术要求和管理要求,强调“一个中心,三重防护”,关键点包括可信技术、安全管理中心,以及云计算、物联网等新兴领域的安全扩展要求。对应地,企业在安全防护体系建设、风险评估和管理上需要更加全面,并需关注所在行业的安全要求和定级标准。

等级保护2.0变化
  • 命名的变化

    原标准《信息安全技术信息系统安全等级保护基本要求》变换为等保2.0标准的《信息安全技术网络安全等级保护基本要求》,在命名上与《网络安全法》中的相关法律条文保持一致。

  • 法律规则的变化

    等保2.0时代既是制度的修订和技术的升级,更是法律效力的提升,《网络安全法》明确规定必须开展等级保护,否则即违法。

  • 分类结构的变化

    分类框架统一了“基本要求、设计要求和测评要求”的标准,形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”的三位一体防护体系架构

  • 可信计算的变化

    等保2.0强化了可信计算技术使用的要求,在各级别层面均增加了可信验证控制。

  • 对象范围的变化

    等保2.0将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。

等级保护测评实施流程

  • 定级备案

    天磊卫士依据《网络安全等级保护定级指南》辅助用户进行定级,组织专家评审,协助向公安机关备案。

  • 差距分析

    分析已定级的信息系统所采取的安全保护措施与等保2.0标准要求之间的差距,提出整改建议。

  • 整改加固

    依据差距分析结果,对信息系统进行安全建设和整改。

  • 辅助测评

    辅助测评机构,现场协助用户对定级系统进行等级测评。

等级保护测评依据

法律法规

  • 《中华人民共和国网络安全法》(2017年6月1日)
  • 国务院第147号令《中华人民共和国计算机信息系统安全保护条例》
  • 《国家信息化领导小组关于加强信息安全保障工作的意见》
  • 《关键信息基础设施安全保护条例》征求意见稿
  • 《电力行业信息安全等级保护管理办法》国能安全[2014]318号
  • 公安部《信息安全等级保护管理办法》公通字[2007]43号
  • 公安部《网络安全等级保护条例》征求意见稿

主要标准

  • 计算机信息系统安全保护等级划分准则(GB 17859-1999)
  • 网络安全等级保护实施指南(GB/T25058)
  • 网络安全等级保护定级指南(GB/T22240)
  • 网络安全等级保护基本要求(GB/T22239-2019)
  • 网络安全等级保护设计技术要求(GB/T25070-2019)
  • 网络安全等级保护测评要求(GB/T28448-2019)
  • 网络安全等级保护测评过程指南(GB/T28449-2018)
等级保护测评流程
  • 测评准备

    1. 基本情况调研
    2. 结果数据分析
    3. 测评工具准备
  • 方案编制

    1. 选择测评对象
    2. 选择测评指标
    3. 确定测评方法
    4. 编制测评计划
  • 现场测评

    1. 网络安全测评
    2. 管理安全测评
    3. 物理安全测评
    4. 应用安全测评
    5. 主机安全测评
  • 报告编制

    1. 单项符合性判定
    2. 整体测评
    3. 安全问题分析
    4. 形成测评结论
    5. 提出整改建议
等级保护整改服务
  • 信息系统加固落地实施

    依据差距分析,提供专业的系统安全加固建议意见,并采用技术手段,从网络、主机、应用、数据库层面进行技术加固实施落地。

  • 主机基线核查与配置

    对信息系统的主机基线进行配置及加固,消除弱口令与权限风险,防止潜在风险攻击与数据泄露。

  • 主机漏洞扫描服务

    用专业扫描工具以及人工验证等手段,检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患,风险隐患和漏洞,形成《漏洞扫描报告》,给出漏洞修复意见并落地修复高危风险项。

  • 网络架构升级加固

    对网络架构进行安全加固升级,完善网络配置(含云上安全产品的测试与配置),以及适应等级保护网络安全的要求并修正运维环境下的不符合项目。

  • 管理制度与文档体系的完善

    按照等级保护管理部分标准,从5个方面帮助客户补充及完善等级保护要求的管理体系建设中涉及到的制度文档,以及相关记录的完善。

等级保护整改产品推荐
下一代防火墙

新一代Web应用网关、系统自动学习、可对网站结构进行备份并定期进行检查和全面安全保护的Web应用防护系统。

数据库审计(审计合规)

产品提供数据库实时攻击检测、监控和审计等功能,提升数据库和业务系统的整体安全水平。

安全运维审计系统(堡垒机)

一款满足行业内部规范合规性和安全管理4A高级要求的新一代操作行为管理安全审计系统。

渗透测试(应用安全合规)

模拟黑客攻击,对业务系统进行安全性测试,及时发现可导致企业数据泄露、被篡改等漏洞,并协助客户修复。

web应用防火墙

通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,主要用于防御针对网络应用层的攻击,像SQL注入、跨站脚本攻击、参数篡改、应用平台漏洞攻击、拒绝服务攻击等。

网页防篡改

事前阻止黑客篡改、事后自动恢复被篡改网页,支持IPv6、docker容器、国产化,满足等保2.0要求。

等级保护测评常见问题
  • 信息系统的测评多久需要测一次?

    四级信息系统要求每半年至少开展一次测评;三级信息系统要求每年至少开展一次测评;二级信息系统一般每两年开展一次测评,时间上没有强制要求,部分行业有行业标准要求,如电力行业明确二级系统两年做一次测评。

  • 网络安全等级保护之备案

    网络安全等级保护备案工作包括信息系统备案、受理、审核和备案信息管理等工作。在备案时需提交备案所需资料,并遵从备案工作流程。

  • 网络安全等级保护之物理安全建设

    等级保护基本技术要求涉及物理安全、网络安全、主机安全、应用和数据安全等几个重要的方面,本文以机房建设为例来探讨一下等级保护中物理安全建设问题。

  • 新形势下网络安全法与等级保护二者的关系

    国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

天磊等保案例展示
深圳-等保二级案例 深圳-等保二级案例 深圳-等保二级案例 深圳-等保二级案例