方案概述
等級保護是我國關于信息安全的基本政策�,國家法律法規���、相關政策制度要求單位開展等級保護工作���。2019年5月13日《GB/T22239-2019 信息安全技術 網絡安全等級保護基本要求》標準的正式發布��,很多行業主管單位要求行業客戶開展等級保護工作�����,目前已經下發行業要求文件的有:金融���、電力�、廣電���、醫療��、教育等行業等��,落實個人及單位的網絡安全保護義務�,合理規避風險����,現在企業用戶也將等保作為網絡安全建設的參考�����。 等保2.0主要變化 √名稱的變化? 等保2.0將原來的標準《信息安全技術信息系統安全等級保護基本要求》改為《信息安全技術網絡安全等級保護基本要求》�。 √ 定級對象的變化? 新標準針對共性安全保護需求提出安全通用要求��,針對移動互聯���、云計算��、大數據�、物聯網和工業控制等新技術�����、新應用領域的個性安全保護需求提出安全擴展要求����,形成新的網絡安全等級保護基本要求標準�����。 √ 安全要求的變化 調整各個級別的安全要求為安全通用要求�����、云計算安全擴展要求�����、移動互聯安全擴展要求����、物聯網安全擴展要求和工業控制系統安全擴展要求�����。? √ 控制措施分類結構的變化 由原來的10個分類調整為8分���,分別為技術部分�����、管理部分���。 等保建設流程  方案內容 安全風險差距分析 安全風險與差距分析是信息系統安全等級保護建設項目的主要基礎工作之一����,通過對客戶信息系統的安全現狀進行詳細的調研��,了解客戶信息安全建設工作中的短板��,分析與等級保護體系的差距��,評估出現有的安全風險��,為下一階段的安全整改工作打下堅實的基礎����。? 具體方式: 問卷調查:通過問卷填寫方式全面了解信息安全技術與管理現狀�。 測試檢查:通過技術手段與專業經驗分析客戶信息系統與資產的技術防護短板�����。 現場調研:通過與人員現場詢問���、溝通���、了解的方式全面了解信息安全技術與管理現狀�����。 主要內容 ☆ 物理安全風險與差距分析 ☆ 計算環境安全風險與差距分析 ☆ 區域邊界安全風險與差距分析 ☆ 通信網絡安全風險與差距分析 等保2.0安全建設 安全技術體系建設 通過滿足安全物理環境���、安全通信網絡����、安全區域邊界�、安全計算環境����、安全管理中心五個方面基本技術要求進行技術體系建設���;為滿足安全管理制度�����、安全管理機構�、人員安全管理�、系統建設管理�、系統運維管理五個方面基本管理要求進行管理體系建設�����。使得客戶業務系統等級保護建設最終既可以滿足等級保護的相關要求�����,又能夠全方面為系統提供立體��、縱深的安全保障防御體系���,保證信息系統整體的安全保護能力��。 根據《信息系統安全等級保護基本要求》�����,分為技術和管理兩大類要求�,具體如下圖所示: 
安全物理環境建設 億口科技總結多年的機房安全工作經驗��,依據等保標準與要求�����,列舉出客戶機房物理安全環境中常見的安全問題與風險���,并針對這些問題提出明確的整改意見��,為了保護客戶網絡中的計算機通信具有一個良好的工作環境��。 安全網絡通信建設 ● 安全結構 ● 通信完整性與保密性 ● 安全通信的可信驗證 安全區域邊界建設 ● 邊界完整性檢查 ● 邊界訪問控制入侵防范 ● 邊界安全審計 安全計算環境建設 ● 身份鑒別 ● 訪問控制 ● 系統審計 ● 入侵防范 ● 惡意代碼防范 ● 軟件容錯 ● 數據完整性與保密性 ● 備份與恢復 安全管理中心建設 建立安全管理中心���,是有效幫助管理人員實施好安全措施的重要保障���,是實現業務穩定運行�、長治久安的基礎�����。通過安全管理中心的建設���,真正實現安全技術層面和管理層面的結合���,全面提升用戶網絡的信息安全保障能力�。 ● 系統管理 通過系統管理員對系統的服務器���、網絡設備����、安全設備��、應用系統進行統一的管理���。 ● 審計管理 通過安全審計員對分布在系統各個組成部分的安全審計機制進行集中管�。 ● 安全集中管理 集中進行系統安全監測�����,并為安全計算環境�����、安全區域邊界�、安全通信網絡進行統一的監控與告警�����。 安全管理體系建設 安全體系管理層面設計主要是依據《信息系統安全等級保護基本要求》中的管理要求而設計�。分別從以下方面進行設計: ● 安全管理制度 根據安全管理制度的基本要求制定各類管理規定��、管理辦法和暫行規定��。 ● 安全管理機構 根據基本要求設置安全管理機構的組織形式和運作方式��,明確崗位職責��。 ● 安全管理人員 根據基本要求制定人員錄用�,離崗�����、考核����、培訓幾個方面的規定���,并嚴格執行�;規定外部人員訪問流程����,并嚴格執行��。 ● 安全建設管理 根據基本要求制定系統安全建設管理制度���。 ● 安全運維管理 根據基本要求進行信息系統日常運行維護管理���,利用管理制度以及安全管理中心進行管理����。 部署架構樣例
客戶價值◆明確現有安全措施和基本要求的差距 ◆明確等級保護安全建設方向 ◆協助客戶完成等級保護制度建設 ◆協助客戶完成等級保護沒評工作 ◆為客戶提供安全 運維的支持 ◆滿足客戶行業及國家要求 ◆保護客戶業務系統能力 ◆提升客戶安全防護能力
|
電話
咨詢
微信
留言