等级保护2.0一站式解决方案
一、 行业背景
当前全球网络安全形势严峻,网络安全面临着各种新的挑战,与此同时,伴随我国信息化发展进入新阶段,云计算、大数据、移动办公等新技术新应用已经十分成熟,并大规模应用,新技术在促进信息化发展的同时也带来新的安全风险,原有安全防护体系的适应性和防护能力出现不足。
为应对网络安全面临的全新形势和挑战,2016年11月7日,《中华人民共和国网络安全法》发布,于2017年6月1日起正式施行,《网络安全法》进一步明确了信息化发展与网络安全并重的原则,指出“国家实行网络安全等级保护制度”,“对关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护”,并“保证安全技术措施同步规划、同步建设、同步使用”。
网络安全等级保护制度是我国在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度,2018年6月,由公安部牵头制定的《网络安全等级保护条例》发布征求意见稿,与此同时,等级保护核心系列标准也修订完成,并于2019年12月1日正式实施,在外部安全风险和内部合规要求的共同推动下,基于网络安全等级保护的安全建设已经成为广大政企单位今后信息安全工作中的一项重要基础工作。
二、 用户需求
2.1新IT技术环境下,传统安全体系需要升级
随着云计算、大数据、移动办公、物联网、工业控制等技术的发展,新的IT技术和应用极大地改变了网络安全的外延和内涵,同时,在新技术环境下,新型网络安全攻击技术和手段层出不穷,改变了我们以往对信息安全威胁和风险的认知。新兴IT技术的应用促进了政企信息化的快速发展,同时,也带来了前所未有的安全挑战,信息安全体系需适应信息化快速发展的需要,采用新思路、新技术、新架构,不断提升信息安全防护能力。
2.2合规监管要求不断加强,等级保护建设成为各单位安全建设刚需
以《网络安全法》为标志的新的网络安全等级保护制度,较原等级保护制度在顶层文件支撑、核心文件体系、配套标准等方面都有了重大变化,总体来说,《网络安全法》为等级保护制度的推行提供了法律保障,在新的等级保护制度体系下,监管力度将越来越强,各单位的等级保护建设已经从“必要”变成了“必需”。
三、 解决方案
3.1设计思路
网络安全等级保护建设思路既体现了对原有防护体系思想的继承,又体现了新IT技术架构下对等级保护建设的新要求、新思路。以“一个中心、三重防护”要求为基础,构建满足等级保护2.0要求的技术能力;以体系化设计思路,按照基础架构安全、动态身份安全、纵深防御体系、全生命周期防护等实际安全需求,进行安全技术体系规划设计;以自适应的安全架构为目标,构建持续改进的安全运营体系,在安全运营过程中实现安全技术体系的持续优化完善;以安全管理体系的落地实践为导向,提升安全运营能力,更好地落实等级保护制度。设计思路如下图:
3.2解决方案
3.2.1协助定级/备案
根据用户单位实际情况,结合各地方公安网监的要求,制作、检查符合要求的定级备案材料,编制《定级报告》、《定级备案表》等相关材料,并协助用户单位完成定级备案。对于公安机关有特殊要求的(如专家评审材料),中安网盾将提出建议并协助用户单位完成定级备案工作,取得定级备案证明或定级备案回执。
3.2.2差距分析
依据国家《网络安全技术信息系统安全等级保护基本要求》以及《信息系统安全等级保护测评指南》的要求,通过采用实地察看、文档审查、访谈、配置核查、工具测试的测评方法分析信息系统在等级保护方面与标准要求的差距,对不符合测评要求的,编制《信息系统问题单及整改建议》,明确指出每项待整改项的风险程度,并依照《信息系统问题单及整改建议》的内容,形成《差距分析报告》,作为安全整改建设的依据。
3.2.3安全整改建设
中安网盾网络安全等级保护建设以“一个中心、三重防护”为核心,充分考虑新型IT架构下对安全防护体系建设的新需求,以业务安全为目标,以安全能力建设为导向,不断提升单位的安全保障能力。
3.2.4安全管理体系建设
中安网盾从用户单位的实际情况出发,依据GB/T 20269-2006信息系统安全管理要求,GB/T 22239-2019 网络安全等级保护管理要求,提供多维度的信息安全管理体系咨询和实施服务,从管理、技术、人员、过程的角度来定义、建立、实施信息安全体系,保障组织的信息安全“滴水不漏”,确保组织业务的持续运营,维护用户单位的竞争优势。
协助用户单位梳理已有信息安全管理制度,根据自身业务特殊性建立有针对性、贴合客户安全需求的信息安全管理体系,建立涵盖总体安全方针策略、各环节安全管理制度、各项操作规程/作业指导书、各类记录表等四层金字塔型管理体系,从根本上提升客户信息安全管理能力,达到并超过行业主管部门监管要求。
四、 方案优势
4.1资深服务团队
具有多名等级保护测评师及注册信息安全专业人员(CISP),均从事网络安全工作10年以上,深刻领会国家等保政策及标准要求,为客户提供定制化解决方案,确保信息系统达到等级保护要求。
4.2全方位服务
提供定级、备案、差距分析、安全整改建设、验收测评、监督检查“一站式”无忧服务,彻底解决用户在等保建设过程中配合难、推进难、整改难的被动局面。
4.3规范的项目管理过程
获得ISO质量管理体系认证,拥有一套完善的项目管理规范,为客户提供专业、细致、及时、周到的安全服务。
4.4自主研发的安全工具
依托于专业的安全研发团队,自主研发了多款内部专用的安全服务工具,能够更好地为用户提供差异化服务。
4.5专业、高效
灵活安排,快速实施,缩短认证时间。