這一期主要針對1.0與2.0的區別介紹。 下一期:針對 二級三級的檢查內容進行分析
等級測評
- 1.0與2.0
- 瞭解等保測評
- 信息安全等級保護測評,是經公安部認證的具有資質的測評機構,依據國家信息安全等級保護規範規定,受有關單位委託,按照有關管理規範和技術標準,對信息系統安全等級保護狀況進行檢測評估的活動。
- 等保1.0規定
- 2007年和2008年頒佈實施的<<信息安全等級保護管理辦法>>《信息安全等級保護基本要求》
- 等保2.0規定
- 2019年5月10日正式發佈,2019年12月1日開始實施。《信息安全技術網絡安全等級保護基本要求》
- 區別
- 1.0:主要強調物理主機、應用、數據、傳輸
- 2.0:在1.0的基礎上增加了對雲計算、移動互聯、物聯網、工業控制和大數據等新技術新應用的全覆蓋
- 等級級別
- 一級
- 自主建設-
- 二級
- 非核心業務
- 合法權益(企業個人)
- 社會秩序/公共利益
- 非核心業務
- 三級
- 核心業務
- 四級/五級
- 中央核心系統
- 一級
- 整體區別
- 法律規定的名稱改變
- 1.0:<<信息安全等級保護管理辦法>>《信息安全等級保護基本要求》
- 2.0:《信息安全技術網絡安全等級保護基本要求》
- 定級對象的改變
- 1.0針對信息系統
- 2.0針對:信息系統、基礎信息網絡、雲計算平臺、大數據平臺、物聯網系統、工業控制系統、採用移動互聯技術的網絡等。
- 安全要求變化
- 基本要求的內容,由安全要求變革爲安全通用要求與安全擴展要求(含雲計算、移動互聯、物聯網、工業控制)
- 控制措施分類結構變化
- 等保2.0依舊保留技術和管理兩個維度。
- 在技術上:由物理安全、網絡安全、主機安全、應用安全、數據安全、變更爲安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心;
- 在管理上:結構沒有太大的變化,從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理、調整爲安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理
- 具體內容發生的變化
- 從等保1.0的定級、備案、建設整改、等級評測和監督檢測五個常規動作,變更爲五個規定動作+新的安全要求(增加了風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處理等)
- 法律效力不同
- 《網絡安全法》第21條規定“國家實行網絡安全等級保護制度,要求網絡運營者應當按照網絡安全等級保護制度要求,履行安全保護義務。落實網絡安全等級保護制度上升爲法律義務。
- 法律規定的名稱改變
- 注意事項
- 等級測試並非安全認證:國家信息安全管理制度,企業符合法律法規的需求。
- 等級保護測評沒有相應的證書。
- 沒有發現高危安全漏洞,都可以通過評測,
- 不關在哪裏,只要是貴公司的都需要做等保測評(系統上雲或者託管在其他地方也需要做等保測評、雲平臺最少定級三級)
- 公司不能根據自己意願來做等保 (誰運營,誰負責,誰使用誰負責,誰主管誰負責的原則)
- 等保2.0 二級135項 三級211項,控制點:二級68個,三級71個
- 角色
- 公安機關網監部門 ——公安機關備案的測評機構——需要測評的用戶單位——集成商、安全廠商
- 瞭解等保測評
- 售前文檔編寫
- 1、概述
- 1.1 背景介紹
- 1.2 遵循依據
- 法律法規
- 法律標準
- 1.3 編制原則
- 符合性原則:
- 標準性原則
- 整體性原則:
- 保密原則
- 1.4 項目目標
- 1.5項目必須性
- 2、安全需求分析
- 2.1網絡安全現狀
- 2.2初步風險分析
- 2.3系統評測指標
- 等級保護二、三級測評指標(注:基本要求內加粗字體爲等級保護三級所包含測評指標,爲加粗字體爲等級保護二級標準)
- 分類 |子類| 基本要求| 測評項數
- 2.4需求分析
- 3、方案總體規劃
- 3.1方案總體規劃
- 3.2整改產品規劃
- 二級必須有的設備:防火牆/UTM、入侵檢測系統、網絡版防病毒軟件
- 三級必須有的設備:(雙機)網絡、應用防火牆 ,入侵檢測系統,入侵防禦系統、防病毒網關,綜合日誌審計系統,數據庫審計系統,網絡版防病毒軟件
- 3.2.1:網絡結構優化
- 3.2.1.1:核心交換機|基本參數
- 3.2.2:邊界安全防護
- 3.2.2.1:服務器邊界防火牆
- 3.2.2.2:入侵檢測系統
- 3.2.2.3:網絡准入控制系統
- 3.2.3:網絡環境安全防護
- 3.2.3.1:安全管理中心 SOC
- 3.2.3.2:運維管理審計系統(堡壘機)
- 3.2.3.3:安全態勢感知平臺
- 3.2.3.4:數據庫審計系統
- 3.2.3.5:綜合日誌管理系統 (最少保存6個月)
- 3.2.4:主機安全防護:
- 3.2.4.1:主機集中病毒防護軟件
- 3.2.5:應用安全防護
- 3.2.5.1:web應用防火牆系統
- 3.2.6:數據庫安全防護
- 3.2.6.1:數據防泄漏系統
- 3.3整改信息安全服務規劃
- 3.3.1 定級備案協助
- 3.3.2:安全差距評估
- 3.3.2.1:評估目錄
- 3.3.2.2:差距評估流程
- 1、確定評估方案
- 2、準備差距分析表
- 3、現場差距分析
- 4、生成差距分析報告
- 3.3.2.3:差距評估內容
- 1、安全技術評估
- 2、安全管理評估
- 3.3.3 安全整改設計
- 3.3.4 人工安全策略加固
- 3.3.5 管理制度建設與優化
- 3.3.6 等級保護驗收測評
- 3.3.6.1:測評流程
- 1、測評準備階段
- 2、方案編制階段
- 3、現場測評階段
- 4、分析與報告編制階段
- 3.3.6.2:測評方式
- 3.3.6.3:測評內容
- 1、安全技術評測
- 2、安全管理評測
- 3、系統整體評測
- 3.3.6.1:測評流程
- 4、項目整體清單預算
- 產品部分:
- 安全服務部分:
- 1、概述