什么是等级保护？

1、基本概念

网络安全等级保护是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应处置。

2、法律地位

《网络安全法》第二十一条规定“国家实行网络安全等级保护制度”，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。标志了等保的法律地位。

3、涉及范围

国家规定网络安全等级保护涉及范围分为两个层面：一是覆盖各地区、各单位、各部门、各企业、各机构，即覆盖全社会。二是覆盖所有保护对象，包括网络、信息系统、信息，以及云平台、物联网、工控、大数据、移动互联等各类新技术应用。

4、等保2.0新标准

网络安全等级保护2.0新标准依据主要包含有：GB/T 22239-2019《网络安全等级保护基本要求》；GB/T 25070-2019《网络安全等级保护安全设计技术要求》；GB/T 28448-2019《网络安全等级保护测评要求》。

5、等保合规流程介绍

系统定级：北京旗云天下科技有限公司等保咨询专家提供定级辅导服务，并协调完成专家评审工作。

系统备案：北京旗云天下科技有限公司等保咨询专家辅导完成备案材料，并提供备案指引服务。

建设整改：北京旗云天下科技有限公司等保咨询专家辅导部署相关安全产品，并辅导完成系统加固。

等级测评：北京旗云天下科技有限公司等保咨询专家对接当地测评机构，辅导客户完成测评。

监督检查：北京旗云天下科技有限公司等保咨询专家向当地公安网监提交测评报告，配合完成检查。

6、《网络安全等级保护基本要求》关键项解读

6.1 安全通信网络

网络架构

划分不同的网络区域，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段，建设高可用、冗余的网络

通信传输

应采用校验技术、密码技术保证通信过程中数据的完整性和保密性

可信验证

可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心

条款解读

根据服务器角色和重要性，对网络进行安全域划分；确保网络带宽和处理能力能满足业务高峰期需要；确保通信传输过程数据的完整性和保密性，可采用可信进行可信验证

6.1 安全区域边界

边界防护

应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信，对非授权的内部/外部联接进行检查和限制

恶意代码防范

应在关键网络节点处对恶意代码、垃圾邮件进行检测和防护，并维护恶意代码、垃圾邮件防护机制的升级和更新

安全审计

应在网络边界、重要网络节点对每个用户及重要用户和重要安全事件进行安全审计，并记录和保护审计信息；应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析

条款解读

在内外网的安全域边界设置访问控制策略，并要求配置到具体的端口；在网络边界处应当部署入侵防范手段，防御并记录入侵行为；对网络中的用户行为日志和安全事件信息进行记录和审计；可采用可信进行可信验证

6.3安全计算环境

身份鉴别

应对登录的用户进行身份标识和鉴别，同时对身份标识和鉴别有相关安全策略要求，包括身份唯一性、密码策略、账号安全策略、双因素鉴别等

安全审计

应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；并记录和保护审计信息；应对审计进程进行保护，防止未经授权的中断

可信验证

可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心

条款解读

针对服务器、数据库、应用系统等计算环境，借助第三方安全软件或通过应用本身的安全手段实现鉴权、账号安全、安全审计、数据安全保护等功能，保证系统层安全，防范入侵行为

6.4 安全管理中心

系统管理

应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作（系统资源和运行的配置、控制和管理），并对这些操作进行审计

审计管理

应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计

安全管理

应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并对这些操作进行审计

集中管控

对安全设备、安全组件进行集中管控，对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测，对各个设备上的审计数据进行集中审计和分析

条款解读

借助第三方安全管理软件设立安全管理中心，对分散在网络中的各类设备、组件进行集中的管控、检测和审计

6.5 安全管理体系

安全管理制度

应建立由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系

安全管理机构

应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权

安全管理人员

应制定人员方面的安全管理策略，确保人员录用、人员离岗、人员培训及外包人员的安全管理

安全建设管理

应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全建设

安全运维管理

应采取必要的措施进行环境、资产、介质、设备维护、漏洞和风险、密码、变更等的安全运维管理

条款解读

参考业界成熟的方法论和最佳实践，建立一套符合企业实际情况的信息安全管理体系，开展并落实持续的安全建设和安全管理