等保2.0 各级别基本要求与安全设备清单
Refer:https://zhuanlan.zhihu.com/p/159164906
一、等保服务类型
等保测评服务
等保整改咨询
等保安全产品
二、等级保护分级
在网络安全等级保护2.0国家标准(等保2.0)中,信息安全等级保护分为五级,分别是第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)和第五级(专控保护级),一至五级等级逐级增高。
等级保护对象的级别主要由两个定级要素决定:(1)受侵害的客体;(2)对客体的侵害程度。定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级也应由业务信息安全(S)和系统服务安全(A)两方面确定,根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级;根据系统服务的重要性和受到破坏后的危害性确定系统服务安全等级;由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。参考下列表格:
等保2.0二级安全设备清单
级别
基本要求
安全设备
二级
访问控制边界完整性检查入侵防范安全审计恶意代码防范备份和恢复网络安全管理
1.防火墙/web应用防火墙/防篡改系统2.日志审计系统3.日志服务器4.漏洞扫描设备*5.入侵检测系统IDS/入侵防御系统IPS*6.网络版杀毒软件
三级
访问控制边界完整性检查入侵防范安全审计恶意代码防范身份鉴别备份和恢复网络安全管理
1.防火墙/web应用防火墙/防篡改系统2.日志审计系统3.数据库审计系统4.日志服务器5.堡垒机+UKey认证6.数据备份系统7.漏洞扫描设备8.异地容灾*9.入侵检测系统IDS/入侵防御系统IPS*10.防病毒网关*11.网络版杀毒软件
*标注设备视具体情况需要具备
作为国家信息安全的基本制度,贯彻落实等级保护2.0是企业义不容辞的信息安全义务。为解决企事业单位等保合规建设难题,HD提供网络安全一站式解决方案,涵盖网站安全、云安全、边界安全、移动安全、数据安全、代码安全、终端安全等全领域安全产品,全方位助力互联网安全建设,加快保护信息安全,保障网络生态环境健康发展。
密评{密码卡、加密机、密钥管理}
等保{一级、二级、三级}
数据安全{数据分级分类、个人信息、数据泄漏、数据出境}
合规评估
风险测评
整改咨询
安全产品
*
*
*
华盾信卫为企业提供以下几类服务,密评、等保、数据合规、 安全服务、司法鉴定。
其中等保从等保咨询、等保备案、等保测评、等保建设、等保采购等全流程服务。信息安全服务资质(8):安全集成、安全运维、风险评估、应急处理、软件安全开发、灾难备份与恢复、工业控制安全、网络安全审计;以及其他网络、数据安全相关,风险评估、渗透测试、安全加固、安全培训、代码审计、应急响应、安全运维、APP测试等服务。
依据评估结论展现形式的不同,数据安全评估可以分为,“合规评估”和“风险评估”两大类。依据触发评估的场景的不同,数据安全评估可分为,数据出境安全评估、个人信息保护影响评估(隐私影响评估,PIA)、个人信息保护认证(个人信息跨境处理活动安全认证)、APP个人信息安全测评等。个人信息安全三重防线: App隐私合规检测、个人信息保护影响评估(PIA)和个人信息保护合规审计,构成了企业个人信息保护的核心框架。数据安全评估还包括以评估组织数据安全整体能力为目标的数据安全能力评估,如数据安全/管理能力成熟度评估(DSMM/DCMM)、数据安全治理能力评估(DSG),以评估数据安全厂商技术和产品能力为目标的数据安全技术产品测评等
一、等保三级的基本概念与适用范围
1.1 什么是等保三级?
等保三级全称为"网络安全等级保护第三级",属于"监督保护级",适用于一旦遭到破坏会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害的重要信息系统。与等保二级相比,三级系统在安全技术和管理要求上更加严格,需要满足更高的防护标准。
1.2 等保三级的核心要求
技术要求:包括物理安全、网络安全、主机安全、应用安全、数据安全等五个层面的防护
管理要求:涵盖安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等十个方面
测评要求:必须由具备资质的测评机构进行现场测评,每年至少一次
1.3 等保三级的法律依据
《网络安全法》第21条:国家实行网络安全等级保护制度
《关键信息基础设施安全保护条例》:明确关键行业的三级保护要求
...各行业主管部门制定的配套标准和规范
二、必须做等保三级的关键行业
2.1 政府机构与公共服务
(1)党政机关
省级以上党政机关的核心业务系统、涉及国家秘密的信息系统、电子政务外网三级节点
(2)公共服务
人口超过100万城市的社保、公积金系统省级以上民政部门的救灾指挥系统省级以上信访信息系统
2.2 金融行业
(1)银行业
核心业务系统(存款、贷款、支付清算等)网上银行、手机银行系统银行卡跨行交易系统省级以上银行的数据中心
(2)证券期货
证券交易系统期货交易系统客户资金管理系统
(3)保险业
核心业务系统保险精算系统客户信息管理系统
2.3 能源行业
(1)电力系统
省级以上电网调度系统发电集团的生产控制系统智能电网系统
(2)石油石化
油气长输管道SCADA系统炼化企业生产控制系统省级以上销售管理系统
2.4 交通运输
(1)民航
空管系统航班控制系统机场运行管理系统
(2)铁路
列车调度指挥系统高铁控制系统票务系统
(3)城市交通
地铁信号系统城市智能交通管理系统省级以上交通监控系统
2.5 医疗卫生
(1)大型医院
三级甲等医院的HIS系统电子病历系统医学影像系统
(2)公共卫生
省级以上疫情监测系统突发公共卫生事件应急系统血液管理系统
2.6 教育科研
(1)高等教育
"双一流"高校的核心业务系统研究生招生系统科研数据管理系统
(2)考试系统
国家教育考试管理系统省级以上招生考试系统
2.7 电信与互联网
(1)基础电信
核心网络设备省级以上运营支撑系统用户数据管理系统
(2)互联网
用户超过100万的网络平台省级以上新闻网站重要云计算平台
三、如何判断是否需要做等保三级
3.1 主管部门认定
各行业主管部门会根据《网络安全等级保护定级指南》制定本行业的定级标准,企业应咨询相关主管部门。
3.2 系统影响评估
从以下维度评估:受侵害的客体(公民、法人权益;社会秩序;国家安全)侵害程度(一般损害;严重损害;特别严重损害)
3.3 专家评审要求
三级系统定级必须组织专家评审,由运营使用单位、主管部门、公安部门共同参与。
四、等保三级建设实施建议
4.1 技术防护措施
部署下一代防火墙、WAF、IPS等边界防护设备实施数据库审计、堡垒机等运维审计措施建立完善的数据备份与灾难恢复机制
4.2 安全管理体系
设立专职网络安全管理部门制定完善的安全管理制度定期开展安全培训和应急演练
4.3 持续改进机制
每年开展安全测评建立漏洞管理制度持续监控安全态势
等保三级是我国网络安全保护的重要标准,涉及国计民生的关键行业必须严格落实三级保护要求。各行业单位应准确识别三级系统范围,按照"三同步"原则(同步规划、同步建设、同步运行)开展网络安全建设,切实履行网络安全主体责任。随着数字化转型的深入,等保三级的要求将持续演进,企业需要建立常态化的安全运营机制,确保关键信息基础设施的安全稳定运行。