方案概述

等级保护是我国关于信息安全的基本政策，国家法律法规、相关政策制度要求单位开展等级保护工作。2019年5月13日《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求》标准的正式发布，很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育等行业等，落实个人及单位的网络安全保护义务，合理规避风险，现在企业用户也将等保作为网络安全建设的参考。

等保2.0主要变化

√名称的变化 

等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》。

√ 定级对象的变化 

新标准针对共性安全保护需求提出安全通用要求，针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。

√ 安全要求的变化

调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。 

√ 控制措施分类结构的变化

由原来的10个分类调整为8分，分别为技术部分、管理部分。

等保建设流程

方案内容

安全风险差距分析

 安全风险与差距分析是信息系统安全等级保护建设项目的主要基础工作之一，通过对客户信息系统的安全现状进行详细的调研，了解客户信息安全建设工作中的短板，分析与等级保护体系的差距，评估出现有的安全风险，为下一阶段的安全整改工作打下坚实的基础。 

 具体方式：

  问卷调查：通过问卷填写方式全面了解信息安全技术与管理现状。

  测试检查：通过技术手段与专业经验分析客户信息系统与资产的技术防护短板。

  现场调研：通过与人员现场询问、沟通、了解的方式全面了解信息安全技术与管理现状。

主要内容

☆  物理安全风险与差距分析

☆  计算环境安全风险与差距分析

☆  区域边界安全风险与差距分析

☆  通信网络安全风险与差距分析

等保2.0安全建设

 安全技术体系建设

通过满足安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面基本技术要求进行技术体系建设；为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得客户业务系统等级保护建设最终既可以满足等级保护的相关要求，又能够全方面为系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。

根据《信息系统安全等级保护基本要求》，分为技术和管理两大类要求，具体如下图所示：

 安全物理环境建设

四谷科技总结多年的机房安全工作经验，依据等保标准与要求，列举出客户机房物理安全环境中常见的安全问题与风险，并针对这些问题提出明确的整改意见，为了保护客户网络中的计算机通信具有一个良好的工作环境。

 安全网络通信建设

●  安全结构

●  通信完整性与保密性

●  安全通信的可信验证

 安全区域边界建设

●  边界完整性检查

●  边界访问控制入侵防范

●  边界安全审计

 安全计算环境建设

●  身份鉴别

●  访问控制

●  系统审计

●  入侵防范

●  恶意代码防范

●  软件容错

●  数据完整性与保密性

●  备份与恢复

 安全管理中心建设

建立安全管理中心，是有效帮助管理人员实施好安全措施的重要保障，是实现业务稳定运行、长治久安的基础。通过安全管理中心的建设，真正实现安全技术层面和管理层面的结合，全面提升用户网络的信息安全保障能力。

●   系统管理

通过系统管理员对系统的服务器、网络设备、安全设备、应用系统进行统一的管理。

●  审计管理

通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管。

●   安全集中管理

集中进行系统安全监测，并为安全计算环境、安全区域边界、安全通信网络进行统一的监控与告警。

 安全管理体系建设

安全体系管理层面设计主要是依据《信息系统安全等级保护基本要求》中的管理要求而设计。分别从以下方面进行设计：

●  安全管理制度

根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。

●  安全管理机构

根据基本要求设置安全管理机构的组织形式和运作方式，明确岗位职责。

●  安全管理人员

根据基本要求制定人员录用，离岗、考核、培训几个方面的规定，并严格执行；规定外部人员访问流程，并严格执行。

●  安全建设管理

根据基本要求制定系统安全建设管理制度。

●  安全运维管理

根据基本要求进行信息系统日常运行维护管理，利用管理制度以及安全管理中心进行管理。

部署架构样例

客户价值

◆明确现有安全措施和基本要求的差距

◆明确等级保护安全建设方向

◆协助客户完成等级保护制度建设

◆协助客户完成等级保护没评工作

◆为客户提供安全 运维的支持

◆满足客户行业及国家要求

◆保护客户业务系统能力

◆提升客户安全防护能力