等保,即信息系統安全等級保護,旨在通過劃分不同安全保護等級,確保各類型信息系統的安全。其以《中華人民共和國網絡安全法》為法律依據,《GB/T22239-2019 信息安全技術 網絡安全等級保護基本要求》作為其指導標準,明確了各個等級的安全控制點和技術要求,為網絡運營者提供了實施等保的具體規范。
等級保護是什么?
等級保護制度
《網絡安全法》第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。
等保2.0
2008年初版等保標準稱為等保1.0,在2019年發布的等保新標準稱為等保2.0。2019年12月1日起,等保2.0將正式實施,各單位應遵循《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》等最新標準執行等級保護工作。
云上安全責任劃分
等保2.0中,依據云平臺與云用戶對計算資源擁有的控制范圍,確定雙方安全責任的邊界。云平臺與云用戶均須承擔自身安全責任,實施等級保護工作。新網云平臺已通過等保三級,為云用戶提供堅實的合規基礎。
一站式解決方案
幫助企業快速滿足等保合規的要求,新網聯合權威評測機構,為企業提供一體化整改服務方案,確保通過,大大降低運營單位投入。
系統頂級備案
系統差距分析
整改方案設計
系統測評
等保合規流程
從定級到等保測評,新網云依托自身優勢與新網云安全產品能力提供全面的安全產品和服務,提供一站式等保合規安全解決方案
系統定級
新網云提供定級輔導服務,并協調完成專家評審工作
系統備案
新網云輔導完成備案材料,并提供備案指引服務
建設整改
新網云輔導部署相關安全產品,并輔導完成系統加固
等級測評
新網云對接當地測評機構,輔導客戶完成測評
監督檢查
向當地公安網監提交測評報告,配合完成檢查
新網云等保合規優勢
全棧穩定的安全產品+管家級的企業服務,一價全含,快速、安心通過等保測評
01
一站式等保測評服務
從選擇專業測評機構,到進行安全改造,直至確保評估通過最終獲取測評報告,新網全程為企業提供咨詢與方案規劃整改服務
- 避免多點溝通和重復工作,減少運營單位投入
- 全程輔助企業效率大大提高,企業更省心
- 新網提供云上安全和合規最佳實踐
02
平臺合規助力企業合規
新網混合云通過等保三級,減少企業客戶在評測過程中的測評流程,并提升評分
- 新網混合云平臺通過等保三級備案和測評
- 平臺的高等級合規顯著提高租戶評測分數
- 整體解決方案降低客戶部署成本
03
顯著降低合規成本
新網根據企業整改需要,按需選用合適的云基礎環境與安全產品,形成整體解決方案,大大降低運營單位投入
- 攻擊防護:高防IP、web應用防火墻
- 安全審計:態勢感知、堡壘機、數據庫審計
- 數據加密與安全管理:SSL證書、安全管家
等保合規產品套餐
安全產品 | 關鍵項說明 | 等保二級 | 等保三級 |
---|---|---|---|
云防火墻 | 可提供互聯網邊界流量管控與安全防護,包括實時網絡入侵檢測、入侵記錄統計分析、網絡防病毒惡意代碼檢測、訪問控制策略等能力。 | ||
WEB應用防火墻 | 用于針對web網站的常見攻擊進行監測和阻斷。支持發現SQL注入、XSS跨站等web攻擊行為??梢詾橛脩艚档屯C時間、篡改和數據失竊的風險,并隱藏源站,防止對源站的直接攻擊。 | ||
數據庫審計 | 對網絡訪問數據庫操作行為進行細粒度分析和審計的安全系統,它可提供實時監控、違規響應、歷史行為回溯等操作分析功能,可詳細完整記錄數據庫的訪問行為,識別越權等違規操作,并可追蹤溯源,為數據庫安全管理及性能優化提供決策依據。同時提供符合法律法規的報告,滿足等級保護、企業內控等審計要求。 | ||
日志審計 | 基于多種協議進行日志采集,實現系統及應用日志統一采集,集中管理和高效監控,提高日志管理能力。 | ||
堡壘機 | 身份鑒別: 對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性;訪問控制: 根據管理用戶的角色建立不同賬戶并分配權限,僅授予管理用戶所需的最小權限,實現管理用戶的權限分離。 | ||
漏洞掃描 | 以企業IT資產為核心,提供全面、快速、精準的漏洞掃描及風險監測服務,幫助企業持續地發現暴露在互聯網邊界上的常見安全風險。 |
常見問題
1、法律合規要求:《中華人民共和國網絡安全法》強制要求信息系統運營和使用單位執行網絡安全等級保護制度,確保信息系統的安全符合國家規定的等級標準。不遵守等保制度將會面臨法律制裁,包括但不限于罰款、暫停業務、吊銷許可證等,這直接關系到企業的合法運營和信譽。
2、行業監管需求:眾多行業,特別是關鍵基礎設施領域(如金融、能源、電信、交通、水利、廣電、醫療、教育等),由于其信息系統對國家安全、社會穩定和公眾生活的重要性,其行業監管機構往往會制定更為嚴格的等保執行要求。完成等保不僅是行業準入的基本條件,也是持續運營的必要條件。
3、風險防范與安全管理:通過實施等保,企業能夠系統性地識別、分析和評估信息系統面臨的威脅與脆弱性,進而采取有針對性的防護措施。這有助于提前發現并修補安全漏洞,提升系統的整體防御能力,減少數據泄露、服務中斷等安全事件發生的可能性,保護企業的核心數據資產和業務連續性。
綜上,等保不僅是一項法定要求,也是企業自我保護、行業規范運作以及國家網絡安全戰略的重要組成部分,對于維護國家安全、社會穩定、公共利益和個人隱私具有不可替代的作用。
國家信息安全等級保護堅持自主定級、自主保護的原則。公安部在等保2.0宣貫會上提出了等級保護的工作范圍:
一是覆蓋各地區、 各單位、 各部門、 各企業、 各機構, 即是覆蓋全社會。
二是覆蓋所有保護對象, 包括網絡、 信息系統、 信息, 以及云平臺、 物聯網、 工控系統、 大數據、 移動互聯等各類新技術應用。
根據等級保護相關管理文件,等級保護對象的安全保護等級分為以下五級:
第一級,等級保護對象受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益;
第二級,等級保護對象受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全;
第三級,等級保護對象受到破壞后,會對公民、法人和其他組織的合法權益產生特別嚴重損害,或者對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害;
第四級,等級保護對象受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害;
第五級,等級保護對象受到破壞后,會對國家安全造成特別嚴重損害。
解讀:大多數系統均適用于于二級/三級,新網云為用戶提供等保二級/三級合規服務。當然,這基于新網云云平臺已高分通過等保三級測評,為用戶提供了合規基礎保障。
根據 “ 誰運營誰負責,誰使用誰負責,誰主管誰負責 ” 的原則,系統的責任主體還是屬于網絡運營者自己,所以云租戶還是得承擔相應的網絡安全責任。由于新網云平臺本身就已經通過等保,所以在做等保的過程中,云租戶無需再關注物理環境和網絡環境,只需關本身業務系統合規即可。