方案概述
等級保護是我國關(guān)于信息安全的基本政策�,國家法律法規(guī)、相關(guān)政策制度要求單位開展等級保護工作���。2019年5月13日《GB/T22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》標準的正式發(fā)布����,很多行業(yè)主管單位要求行業(yè)客戶開展等級保護工作�,目前已經(jīng)下發(fā)行業(yè)要求文件的有:金融、電力、廣電�、醫(yī)療、教育等行業(yè)等�����,落實個人及單位的網(wǎng)絡(luò)安全保護義務(wù)��,合理規(guī)避風險����,現(xiàn)在企業(yè)用戶也將等保作為網(wǎng)絡(luò)安全建設(shè)的參考。 等保2.0主要變化 √名稱的變化? 等保2.0將原來的標準《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》改為《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》����。 √ 定級對象的變化? 新標準針對共性安全保護需求提出安全通用要求,針對移動互聯(lián)�����、云計算����、大數(shù)據(jù)��、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應用領(lǐng)域的個性安全保護需求提出安全擴展要求���,形成新的網(wǎng)絡(luò)安全等級保護基本要求標準���。 √ 安全要求的變化 調(diào)整各個級別的安全要求為安全通用要求、云計算安全擴展要求��、移動互聯(lián)安全擴展要求����、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求。? √ 控制措施分類結(jié)構(gòu)的變化 由原來的10個分類調(diào)整為8分���,分別為技術(shù)部分�、管理部分����。 等保建設(shè)流程  方案內(nèi)容 安全風險差距分析 安全風險與差距分析是信息系統(tǒng)安全等級保護建設(shè)項目的主要基礎(chǔ)工作之一,通過對客戶信息系統(tǒng)的安全現(xiàn)狀進行詳細的調(diào)研�����,了解客戶信息安全建設(shè)工作中的短板���,分析與等級保護體系的差距�����,評估出現(xiàn)有的安全風險����,為下一階段的安全整改工作打下堅實的基礎(chǔ)。? 具體方式: 問卷調(diào)查:通過問卷填寫方式全面了解信息安全技術(shù)與管理現(xiàn)狀��。 測試檢查:通過技術(shù)手段與專業(yè)經(jīng)驗分析客戶信息系統(tǒng)與資產(chǎn)的技術(shù)防護短板�����。 現(xiàn)場調(diào)研:通過與人員現(xiàn)場詢問���、溝通���、了解的方式全面了解信息安全技術(shù)與管理現(xiàn)狀。 主要內(nèi)容 ☆ 物理安全風險與差距分析 ☆ 計算環(huán)境安全風險與差距分析 ☆ 區(qū)域邊界安全風險與差距分析 ☆ 通信網(wǎng)絡(luò)安全風險與差距分析 等保2.0安全建設(shè) 安全技術(shù)體系建設(shè) 通過滿足安全物理環(huán)境���、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界����、安全計算環(huán)境�����、安全管理中心五個方面基本技術(shù)要求進行技術(shù)體系建設(shè)�;為滿足安全管理制度���、安全管理機構(gòu)�、人員安全管理�、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理五個方面基本管理要求進行管理體系建設(shè)�。使得客戶業(yè)務(wù)系統(tǒng)等級保護建設(shè)最終既可以滿足等級保護的相關(guān)要求,又能夠全方面為系統(tǒng)提供立體����、縱深的安全保障防御體系,保證信息系統(tǒng)整體的安全保護能力���。 根據(jù)《信息系統(tǒng)安全等級保護基本要求》����,分為技術(shù)和管理兩大類要求�����,具體如下圖所示: 
安全物理環(huán)境建設(shè) 億口科技總結(jié)多年的機房安全工作經(jīng)驗,依據(jù)等保標準與要求��,列舉出客戶機房物理安全環(huán)境中常見的安全問題與風險�����,并針對這些問題提出明確的整改意見���,為了保護客戶網(wǎng)絡(luò)中的計算機通信具有一個良好的工作環(huán)境�。 安全網(wǎng)絡(luò)通信建設(shè) ● 安全結(jié)構(gòu) ● 通信完整性與保密性 ● 安全通信的可信驗證 安全區(qū)域邊界建設(shè) ● 邊界完整性檢查 ● 邊界訪問控制入侵防范 ● 邊界安全審計 安全計算環(huán)境建設(shè) ● 身份鑒別 ● 訪問控制 ● 系統(tǒng)審計 ● 入侵防范 ● 惡意代碼防范 ● 軟件容錯 ● 數(shù)據(jù)完整性與保密性 ● 備份與恢復 安全管理中心建設(shè) 建立安全管理中心�,是有效幫助管理人員實施好安全措施的重要保障,是實現(xiàn)業(yè)務(wù)穩(wěn)定運行����、長治久安的基礎(chǔ)。通過安全管理中心的建設(shè)����,真正實現(xiàn)安全技術(shù)層面和管理層面的結(jié)合,全面提升用戶網(wǎng)絡(luò)的信息安全保障能力�。 ● 系統(tǒng)管理 通過系統(tǒng)管理員對系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備����、安全設(shè)備、應用系統(tǒng)進行統(tǒng)一的管理��。 ● 審計管理 通過安全審計員對分布在系統(tǒng)各個組成部分的安全審計機制進行集中管�。 ● 安全集中管理 集中進行系統(tǒng)安全監(jiān)測,并為安全計算環(huán)境�����、安全區(qū)域邊界�、安全通信網(wǎng)絡(luò)進行統(tǒng)一的監(jiān)控與告警。 安全管理體系建設(shè) 安全體系管理層面設(shè)計主要是依據(jù)《信息系統(tǒng)安全等級保護基本要求》中的管理要求而設(shè)計����。分別從以下方面進行設(shè)計: ● 安全管理制度 根據(jù)安全管理制度的基本要求制定各類管理規(guī)定、管理辦法和暫行規(guī)定��。 ● 安全管理機構(gòu) 根據(jù)基本要求設(shè)置安全管理機構(gòu)的組織形式和運作方式��,明確崗位職責����。 ● 安全管理人員 根據(jù)基本要求制定人員錄用,離崗�、考核��、培訓幾個方面的規(guī)定����,并嚴格執(zhí)行����;規(guī)定外部人員訪問流程,并嚴格執(zhí)行�。 ● 安全建設(shè)管理 根據(jù)基本要求制定系統(tǒng)安全建設(shè)管理制度。 ● 安全運維管理 根據(jù)基本要求進行信息系統(tǒng)日常運行維護管理�,利用管理制度以及安全管理中心進行管理。 部署架構(gòu)樣例
客戶價值◆明確現(xiàn)有安全措施和基本要求的差距 ◆明確等級保護安全建設(shè)方向 ◆協(xié)助客戶完成等級保護制度建設(shè) ◆協(xié)助客戶完成等級保護沒評工作 ◆為客戶提供安全 運維的支持 ◆滿足客戶行業(yè)及國家要求 ◆保護客戶業(yè)務(wù)系統(tǒng)能力 ◆提升客戶安全防護能力
|
電話
咨詢
微信
留言