网络安全等级保护标准的主要特点 01将对象范围由原来的信息系统改为等级保护对象(信息系统、通信网络设施和数据资源等),对象包括网络基础设施(广电网、电信网、**通信网络 等)、云计算平台/系统、大数据平台/系统、物联网、工业控制 系统、采用移动互联技术的系统等。 02在1.0标准的基础上进行了优化,同时针对云计算、移动互联、物联网、工业控制系统及大数据等新技术和新应用领域提出新要求,形成了安全通用要求+新应用安全扩展要求构成的标准要求内容。 03采用了“一个中心,三重防护”的防护理念和分类结构,强化了建立纵深防御和精细防御体系的思想。 04强化了密码技术和可信计算技术的使用,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求,强调通过密码技术、可信验证、安全审计和态势感知等建立主动防御体系的期望。 等级保护安全通信方面基本要求。上海等级保护备案
在等级保护2.0中,涉及工业控制系统安全有较为详细的规定。其中,工控安全大致分为安全物理环境、安全通信网络、安全区域边界和安全计算环境以及安全建设管理。 首先是安全物理环境。其涉及两点要求:一是室外控制设备应放置于箱体或装置中,箱体或装置还要具备散热、防火和防雨等能力;二是设备远离强电磁干扰、强热源等环境。 重点是安全通信网络和安全区域边界。在网络上,要求重点提到了工业控制系统与企业其他系统之间划分区域,区域间应采用技术隔离手段。而在工业控制系统内部,又需要根据业务特点划分为不同的安全域。 注意,这里提到了两个关键点:工控系统与企业其他系统之间要隔离;工控系统内部又需要隔离。并且二级以上,“涉及实时控制和数据传输的工业控制系统,应使用单独的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离。 闵行区等级保护等级保护方案设计在等级保护2.0中,涉及工业控制系统安全有较为详细的规定。
在等级保护移动互联安全中整个重点是在数据和信息保护方面。第三级和第四级强调,云服务客户的数据、用户个人信息等存储于中国境内,并且只有在客户授权下,云服务商或第三方才具有云服务客户的数据的管理权限。规定也强调,在虚拟机迁移时,要保证数据的完整性,并在检测到完整性受到破坏时,采取必要的恢复措施。 数据备份、恢复和删除方面,云服务客户业务数据本地保存必不可少,并且云服务商还需要有保证数据有副本存储,并且支持客户业务系统迁移。规定也强调,“保证虚拟机所使用的内存和存储空间回收时得到完全删除”和“云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除”。
等级保护备案办理流程: 1、摸底调查:摸清信息系统底数,掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况。 2、确立定级对象:应用系统应按照业务类别不同单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象。 3、系统定级:定级是信息安全等级保护工作的首要环节,是开展信息系统安全建设、等级测评、监督检查等工作的重要基础。 4、**批审和主管部门审批:运营使用单位或主管部门在确定系统安全保护等级后,可以聘请**进行评审。 5、备案:备案单位准备备案工具,填写备案表,生成备案电子数据,到公安机关办理备案手续。 6、备案审核:受理备案地公安机关要及时公布备案受理地点、备案联系方式等,对备案材料进行完整性审核和定级准确审核。 7、系统测评:第三级以上信息系统按《信息系统安全等级保护备案表》要求提交材料。 8、整改实施:根据测评结果进行安全要求整改。 等级保护中二级系统在网络边界至少部署入侵检测系统。
网络安全等级保护2.0有5个运行步骤:定级、备案、建设和整改、等级测评、检查。同时,也分5个等级,即信息系统按重要程度由低到高,划分为5个等级,并分别实施不同的保护策略。 一级系统简单,不需要备案,影响程度很小,因此不作为重点监管对象;二级系统大概50万个左右;三级系统大概5万个;四级系统量级较大,比如支付宝、银行总行系统、国家电网系统,有1000个左右;五级系统属国家、**类的系统,比如核电站、通信系统。所以一般不会涉及。 网络安全等级保护备案办理流程。青浦区等保三级等级保护服务团队
网络安全等级保护管理制度要求。上海等级保护备案
等级保护2.0标准体系主要标准如下: 网络安全等级保护条例(总要求/上位文件) 计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准) 网络安全等级保护实施指南(GB/T25058-2020) 网络安全等级保护定级指南(GB/T22240-2020) 网络安全等级保护基本要求(GB/T22239-2019) 网络安全等级保护设计技术要求(GB/T25070-2019) 网络安全等级保护测评要求(GB/T28448-2019) 网络安全等级保护测评过程指南(GB/T28449-2018) 关键信息基础设施标准体系框架如下: 关键信息基础设施保护条例(征求意见稿)(总要求/上位文件) 关键信息基础设施安全保护要求(征求意见稿) 关键信息基础设施安全控制要求(征求意见稿) 关键信息基础设施安全控制评估方法(征求意见稿) 上海等级保护备案
上海旭安信息科技有限公司拥有软件、信息、计算机科技领域内的技术开发、技术咨询、技术服务、技术转让,软件开发,计算机系统集成服务,云平台服务,经济信息咨询, 计算机软硬件、机械设备、五金交电、电子产品、文化办公用品的销售等多项业务,主营业务涵盖等保测评,安全设备,SSL证书,ISO20001。公司目前拥有较多的高技术人才,以不断增强企业重点竞争力,加快企业技术创新,实现稳健生产经营。公司业务范围主要包括:等保测评,安全设备,SSL证书,ISO20001等。公司奉行顾客至上、质量为本的经营宗旨,深受客户好评。一直以来公司坚持以客户为中心、等保测评,安全设备,SSL证书,ISO20001市场为导向,重信誉,保质量,想客户之所想,急用户之所急,全力以赴满足客户的一切需要。