网络安全等级保护介绍

当今社会是网络信息高速发展的社会，网络的安全发展及使用是社会迅猛发展的有力支撑。面对网络用户的复杂性，使很多居心不良的犯罪分子以各种目的肆意侵占网络资源，导致网络信息成为最有用却又最不可靠的应用途径。在这样的严峻形势下，网络安全的等级保护就显得尤为重要，而对于网络安全等级进行保护测评就成为网络有效应用的重要标准。

 

网络安全等级保护介绍

等级保护的政策依据
网络安全法
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。
在《网络安全法》实施之后，网络安全等级保护制度与目前的信息系统安全等级保护制度相衔接和融合，而不会成为两个并行的制度体系。

网络安全等级保护条例
· 适用范围更广、网络运营者皆受约束；
· 网络安全等级保护制度威慑力增强；
· 网络安全等保与网络安全法相结合，义务更加具体、操作性更强；

 

等级保护核心思想

01  LEVEL
用户自主保护级：防护
02  LEVEL
系统审计保护级：防护、监测
03  LEVEL
安全标记保护级：防护、监测、恢复、策略
04  LEVEL
结构化保护级：防护、监测、恢复、策略、响应
05  LEVEL
访问验证保护级：防护、监测、恢复、策略、响应

 

等级保护标准和内容

 

等级保护实施流程

等级保护2.0变化

等级保护2.0 VS 等级保护1.0

1. 新业务场景
增加新业务场景的保护要求，等级保护对象范围扩大；
2. 定级方式
定级方式调整，强化专家评审和审核；
3. 测评方法
测评方法细化，测评力度加强，更加注重防护效果的检测；
4. 判定标准提升
采用新的风险评估办法，量化了测评分数要求，70分以上为中，80分以上为良，90分以上为优；
5. 测评内容
测评架构和测评内容调整，充分体现一个中心，三重防御的思想；

 

引入新的防护思想

加强网络通信、网络区域边界的防护要求，内部网络的隔离将成为新的边界防护问题。

 

企业的影响与应对

企业所受的影响
保护范围扩大
利用移动互联技术、物联网、云计算的业务场景将纳入等级保护测评范围；
定级需要评审
系统定级需要自行组织网络安全专家和行业专家进行评审；
测评周期延长
测评更注重防护效果，测评工作量增加，工具接入位置和次数增加，必要时还需搭建测试场景；
安全成本增加
新业务场景、新技术、新测评关注点，对系统加固都提出了更多、更高的要求。

网络安全法

加强个人信息和重要数据保护
·责任原则
·最少够用原则
·质量保证原则
·主体参与原则
·目的明确原则
·同意和选择原则
·确保安全原则
·公开透明原则

互联通咨询服务内容

网络安全等级保护测评流程
01 差距分析
02 定级备案
03 咨询整改
04 指导现场测评

预测评工作
01 协助完善管理测评表
02 协助整改技术测评
03 协助修复扫描漏洞
04 协助渗透测试

协助整改服务
根据测评内容，测评机构出具《风险评估报告》 、《漏洞扫描报告》 、《渗透测试报告》；结合报告中的高危、中危等风险项，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而协助客户完成整改，为用户提供系统安全加固解决方案，在安全加固的过程中提供技术指导，派遣专业技术人员为客户提供驻场技术服务。

具体内容
01 系统安全加固落地 
02 云安全基线检查与安全配置
03 云主机安全加固与应用层修复验证测试 
04 云网络安全架构升级加固 

网络安全等级保护测评结果
· 复测评：针对初测《风险评估报告》 、《漏洞扫描报告》 、《渗透测试报告》中的：中、高危项进行复测。复测通过后，由测评机构编制《网络安全等级测评报告》，并提交至网安审核。 

· 等级保护测评周期：等级保护需在客户配合的前提下，技术测评及整改周期为2个月内完成。