信息安全等级保护解决方案

信息安全等级保护是我国信息安全保障的一项基本制度,是国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、

法人和其他组织对信息系统分等级实行安全保护。

立即提交等保申请
前言 FOREWORD
随着《网络安全法》的正式实施和十九大即将召开,信息安全被推上了前所未有的重要地位。根据《网络安全法》第二十一条提到的“国家实行网络安全等级保护制度”这一明确规定,要求网络经营者应按照网络安全等级保护制度的要求。为了帮助企业用户快速满足等保合规的要求,纵横数据凭借自有的纵横数据安全产品的技术优势,联合等保认证合作的测评/安全咨询机构,为企业用户提供一站式等保测评服务:攻击防护、网站入侵防护、私密数据加密等,帮助企业用户快速省心地通过等保合规!
信息安全等级保护知识普及 KNOWLEDGE POPULARIZATION
1

什么是信息安全等级保护?

信息安全等级保护(简称等保认证):是我国信息安全保障的一项基本制度,是国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护。等级保护根据信息系统的重要程度由低到高划分1到5个等级,根据安全等级实施不同的保护策略。

2

信息安全等级保护的五个等级是什么?

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 新修订定级指南对公民、法人和其他组织的合法权益造成特别严重损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

网络安全等级保护基本要求 重点解读 KEY INTERPRETATION

《网络安全法》第21条  国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

重点解析:

  • 安全管理制度
  • 网络安全行为的技术措施
  • 建立自身的网络日志存储
  • 重要数据备份、加密

安全管理制度

制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

应对策略:

安全策略、制度和管理层人员,是保证持续安全非常重要的基础。策略指导安全方向,制度明确安全流程,人员落实安全责任。安全策略、制度和管理层人员,需要客户管理层根据本企业的实际情况,进行梳理、准备和落实,并形成专门的文件。

网络安全行为的技术措施

计算机病毒:注意对系统文件、可执行文件和数据的写保护;使用新的计算机系统或软件时,先杀毒后使用;备份系统和参数,建立系统的应急计划等。

网站攻击:设置强有力的安全保障体系,在网络中层层设防,使每一层都成为一道关卡,从而让攻击者无隙可钻、无计可使!

入侵防范:应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

应对策略:

采用必要的安全手段保证系统层安全,防范服务器网络攻击、入侵行为等,推荐使用纵横数据的纵横数据抗D和纵横数据WAF专业的网络安全产品,能有效防御任何类型的DDoS攻击、CC攻击、7X24小时实时防御网站数据,提供专业网站防护服务、页面篡改防护服务、防黑客和内容过滤服务, 为您的网站提供一套完善的安全防护解决方案。

建立自身的网络日志存储

网络日志存储:网络经营者采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。

应对策略:

日志的存储对于云服务提供商非常重要,不但是对于安全法的要求,对于公司内部的安全性以及出现网络安全事件后协助公安排查都显得必不可少!纵横数据网络作为国内重要的IDC服务提供商以及云计算服务商,拥有10余年的数据中心管理经验及成熟的网络日志抓取及分析能力,并已经形成自己完善的日志管理系统。日志管理系统可达到每秒百G级别的流量数据实时抓取以及PB级别的日志存储能力,基本能够满足各类企业对日志系统的使用需求。特此,纵横数据网络向企业用户免费发放1000套“纵横数据日志系统”,作为企业用户的日常使用!

重要数据备份、加密

身份鉴别:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求;

数据完整性:应采用校验码技术或加解密技术保证重要数据在传输过程中的完整性和保密性;

数据备份恢复:应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;

应对策略:

推荐使用纵横数据SSL证书,实现HTTPS,确保数据在传输的过程中保持处于加密状态;数据备份,推荐使用异地容灾自动实现数据备份,亦可以将数据库备份文件手工同步到纵横数据其他地区的服务器。

信息安全等级保护的实施流程 IMPLEMENTING PROCESS
  • 第一阶段:系统定级
  • 第二阶段:系统备案
  • 第三阶段: 建设整改
  • 第四阶段:等级测评
  • 第五阶段:监督检查

第一阶段:系统定级

信息系统运营使用单位按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草《网络安全等级保护定级报告》;三级以上系统,定级结论需要进行专家评审。

第二阶段:系统备案

信息系统安全保护等级为第二级以上时,备案时应当提交《网络安全等级保护备案表》和定级报告;第三级以上系统,还需提交专家评审意见、系统拓扑和说明、安全管理制度、安全建设方案等。

第三阶段: 建设整改

依据《网络安全等级保护基本要求》,利用自有或第三方的安全产品和专家服务,对信息系统进行安全建设和整改,同时制定相应的安全管理制度;

第四阶段:等级测评

运营使用单位应当选择合适的测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。

第五阶段:监督检查

公安机关及其他监管部门会在整个过程中,履行相应的监管、审核和检查等职责。

网络安全等级保护基本要求 重点解读 KEY INTERPRETATION

合规责任共担

纵横数据与租户系统分别定级和测评;

纵横数据测评结论可供租户系统测评时复用;

纵横数据可提供

纵横数据用户等保备案证明

纵横数据测评报告关键页

纵横数据安全产品销售许可证

纵横数据部分测评项说明

责任分担详解

纵横数据网络2004年成立,拥有十多年的数据中心管理及安全运营经验,纵横数据IDC综合系统已通过了公安部颁发的三级等保认证,并且其旗下全资子公司纵横数据信息科技有限公司也通过了工信部颁发的可信云平台认证;根据监管部门明确的结论复用原则,纵横数据的用户通过等级保护测评时,物理安全、部分网络安全和安全管理的结论可以复用,纵横数据可提供说明;纵横数据完备的安全技术和管理架构,以及纵横数据提供的云安全防护体系,更有利于用户通过等级保护测评。

400-188<span></span>6560
400-188<span></span>6560 400-1886560
返回顶部
返回顶部 返回顶部