遮天辰东小说,辰东全部小说

解決方案

基本概念

網絡安全等級保護是國家網絡安全保障的基本制度、基本策略、基本方法。開展網絡安全等級保護工作是保護信息化發(fā)展、維護網絡安全的根本保障，是網絡安全保障工作中國家意志的體現。

網絡安全等級保護工作包括定級、備案、建設整改、等級測評、監(jiān)督檢查五個階段。定級對象建設完成后，運營、使用單位或者其主管部門應當選擇符合國家要求的測評機構，依據《網絡安全等級保護測評要求》等技術標準，定期對定級對象安全等級狀況開展等級測評。

實施意義

● 合法要求：

滿足合法合規(guī)要求，清晰化責任和工作方法，讓安全貫穿全生命周期。

● 體系建設：

明確組織整體目標，改變以往單點防御方式，讓安全建設更加體系化。

● 等級防護：

提高人員安全意識，樹立等級化防護思想，合理分配網絡安全投資。

發(fā)展歷程

● 1994年《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務院147號令)：第一次提出“計算機信息系統(tǒng)實行安全等級保護”概念。

● 1999年《計算機信息系統(tǒng) 安全等級保護劃分準則》（GB17859）：國家發(fā)布關于計算機信息系統(tǒng)安全保護等級劃分準則強制性標準。

● 2007年《信息安全等級保護管理辦法》（公通字[2007]43號）：公安部發(fā)布管理辦法，旨在加快推進、規(guī)范管理等級保護建設工作。

● 2008年《信息安全技術信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）：明確對于各等級信息系統(tǒng)的安全保護基本要求。

● 2017年《中華人民共和國網絡安全法》：第二十一條明確國家實行等級保護制度，落實等級保護制度已經上升到法律層面。

● 2019年5月《信息安全技術網絡安全等級保護基本要求》、《信息安全技術網絡安全等級保護測評要求》等核心標準正式發(fā)布。

法律要求

《中華人民共和國網絡安全法》【第二十一條】國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。

法律解讀：國家明確實行等級保護制度，網絡運營者應按等級保護要求開展網絡安全建設。

《中華人民共和國網絡安全法》【第三十一條】國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。（關鍵信息基礎設施必須落實國家等級保護制度，突出保護重點）

法律解讀：關鍵信息基礎設施必須要落實等級保護制度，并要重點保護。

等保合規(guī)服務流程

系統(tǒng)定級：與信息系統(tǒng)運營使用單位相關人員一起，對信息系統(tǒng)進行定級。

差距評估：依據等級保護基本要求，對信息系統(tǒng)進行差距評估，識別存在的安全問題。

規(guī)劃設計：根據差距評估結果，進行安全規(guī)劃設計，制定整改方案。

安全整改：按照整改方案進行安全整改，包括技術整改和管理整改。

等級測評：委托具有資質的第三方測評機構對信息系統(tǒng)進行等級測評，驗證其是否符合等級保護要求。

持續(xù)運維：提供持續(xù)的運維服務，確保信息系統(tǒng)始終符合等級保護要求。

等保合規(guī)2.0架構

安全物理環(huán)境

針對物理機房提出的安全控制要求。主要對象為物理環(huán)境、物理設備和物理設施等；涉及的安全控制點包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護。

安全通信網絡

針對通信網絡提出的安全控制要求。主要對象為廣域網、城域網和局域網等；涉及的安全控制點包括網絡架構、通信傳輸和可信驗證。

安全區(qū)域邊界

針對網絡邊界提出的安全控制要求。主要對象為系統(tǒng)邊界和區(qū)域邊界等；涉及的安全控制點包括邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計和可信驗證。

安全計算環(huán)境

針對邊界內部提出的安全控制要求。主要對象為邊界內部的所有對象，包括網絡設備、安全設備、服務器設備、終端設備、應用系統(tǒng)、數據對象和其他設備等；涉及的安全控制點包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份與恢復、剩余信息保護和個人信息保護。

安全管理中心

針對整個系統(tǒng)提出的安全管理方面的技術控制要求，通過技術手段實現集中管理；涉及的安全控制點包括系統(tǒng)管理、審計管理、安全管理和集中管控。

安全管理制度

針對整個管理制度體系提出的安全控制要求，涉及的安全控制點包括安全策略、管理制度、制定和發(fā)布以及評審和修訂。

安全管理機構

針對整個管理組織架構提出的安全控制要求，涉及的安全控制點包括崗位設置、人員配備、授權和審批、溝通和合作以及審核和檢查。

安全管理人員

針對人員管理提出的安全控制要求，涉及的安全控制點包括人員錄用、人員離崗、安全意識教育和培訓以及外部人員訪問管理。

安全建設管理

針對安全建設過程提出的安全控制要求，涉及的安全控制點包括定級和備案、安全方案設計、安全產品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、等級測評和服務供應商管理。

安全運維管理

針對安全運維過程提出的安全控制要求，涉及的安全控制點包括環(huán)境管理、資產管理、介質管理、設備維護管理、漏洞和風險管理、網絡和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理和外包運維管理。