等级保护2.0解决方案

背景介绍

发展历程

1994年《中华人民共和国计算机信息系统安全保护条例》(国务院147号令):第一次提出“计算机信息系统实行安全等级保护”概念。

1999年《计算机信息系统 安全等级保护划分准则》(GB17859):国家发布关于计算机信息系统安全保护等级划分准则强制性标准。

2007年《信息安全等级保护管理办法》(公通字[2007]43号):公安部发布管理办法,旨在加快推进、规范管理等级保护建设工作。

2008年《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008):明确对于各等级信息系统的安全保护基本要求。

2017年《中华人民共和国网络安全法》:第二十一条明确国家实行等级保护制度,落实等级保护制度已经上升到法律层面。

2019年5月《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》等核心标准正式发布。


法律要求

《中华人民共和国网络安全法》【第二十一条】国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

法律解读:国家明确实行等级保护制度,网络运营者应按等级保护要求开展网络安全建设。

《中华人民共和国网络安全法》【第三十一条】国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。(关键信息基础设施必须落实国家等级保护制度,突出保护重点)

法律解读:关键信息基础设施必须要落实等级保护制度,并要重点保护。

等保简介

基本概念

网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的体现。

网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。定级对象建设完成后,运营、使用单位或者其主管部门应当选择符合国家要求的测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对定级对象安全等级状况开展等级测评。

实施意义

  • 合法要求

    满足合法合规要求,清晰化责任和工作方法,让安全贯穿全生命周期。

  • 体系建设

    明确组织整体目标,改变以往单点防御方式,让安全建设更加体系化。

  • 等级防护

    提高人员安全意识,树立等级化防护思想,合理分配网络安全投资。

需求分析

监管要求不断加强,等保建设成为刚需

以《网络安全法》为标志的新的网络安全等级保护制度,较原等级保护制度在顶层文件支撑、核心文件体系、配套标准等方面都有了重大变化,总体来说,《网络安全法》为等级保护制度的推行提供了法律保障,在新的等级保护制度体系下,监管力度将越来越强,各单位的等级保护建设已经从“必要”变成了“必需”。

  • 监管力度加强

  • 各单位均需做等保认证

新IT技术环境下,传统安全体系亟需升级

随着云计算、大数据、移动办公、物联网、工业控制等技术的发展,新的IT技术和应用极大地改变了网络安全的外延和内涵,同时,在新技术环境下,新型网络安全攻击技术和手段层出不穷,改变了我们以往对信息安全威胁和风险的认知。
基于传统IT架构的信息安全体系在传统IT时代发挥了重大作用,但在新技术环境下,存在明显不足,表现为缺乏“联动”能力,缺乏“看见”能力,缺乏“管控”能力,缺乏“分析”能力和缺乏“免疫”能力。

  • 联动能力差

    传统安全设备各自为战,单点或单线防范,无法做到信息关联,有效联动。

  • 威胁检测能力差

    传统安全设备无法及时发现未知的高级威胁。

  • 运营机制不够完善

    重建设,轻运营,缺乏有效的安全运营工具和手段,没有能够快速响应的运营机制。

  • 溯源能力差

    对安全事件难以定位,无法溯源,导致应急处理不及时,安全事件频发。

  • 系统免疫力差

    由于历史原因,系统组件先天免疫力差,需要后天弥补。

新兴IT技术的应用促进了政企信息化的快速发展,同时,也带来了前所未有的安全挑战,信息安全体系需适应信息化快速发展的需要,采用新思路、新技术、新架构,不断提升信息安全防护能力。

方案设计

设计思路

以“一个中心、三重防护”要求为基础,构建满足等级保护2.0要求的技术能力;以体系化设计思路,按照基础架构安全、动态身份安全、纵深防御体系、全生命周期防护等实际安全需求,进行安全技术体系规划设计;以自适应的安全架构为目标,构建持续改进的安全运营体系,在安全运营过程中实现安全技术体系的持续优化完善;以安全管理体系的落地实践为导向,提升安全运营能力,更好地落实等级保护制度。

具体内容

☆ 安全规划:根据国家等级保护相关要求等,结合客户的组织架构、业务要求、实际情况,整理客户安全建设工作实际需求和目标,形成《调研报告》和《总体规划》;

☆ 定级备案:确定客户的定级范围,分析客户的组织架构、业务要求等内容,进行摸底调查,确定定级对象;针对定级对象,基于国家《定级指南》协助系统主管部门初步确定系统的等级,形成《定级报告》;协助进行专家评审和审批,协助完成定级备案工作;

☆ 风险评估:通过资产评估、漏洞扫描、审计、网络架构分析、数据流分析等方式,为客户全面分析信息系统的资产现状、主机、数据库、安全设备、网络的弱点、威胁和风险,形成《风险评估报告》(可选增值服务);

☆ 差距分析:按照等级保护相应级别的安全要求,对需要建设的系统进行安全体系等方面的差距分析,形成《差距分析报告》;

☆ 安全建设:根据确认的等级保护差距报告分析情况,制定整体的《解决方案》,协助方案评审,协助落实等级保护安全建设实施工作;

☆ 整改加固:根据相应级别等级保护对应的相应要求,制定所需安全管理制度、流程和表格、技术标准和规范等文档,并对主机、网络设备、数据库制定加固方案,通过打补丁、修改安全配置、增加安全机制等方法,合理加强设备的安全性,以满足等级要求;

☆ 辅助测评:为了更好的协助客户通过等级保护测评工作,提供辅助测评支持;

☆ 安全运维:主要包括安全巡检、风险评估、安全加固、应急响应及其他客户需要的安全运维工作,更好的确保系统稳定、安全的运行。

方案优势