信息安全服務(wù)與等保2.0概述

1、信息安全服務(wù)與等保2.0概述等保實(shí)施流程信息安全服務(wù)目 錄等級(jí)保護(hù)2.0等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)在調(diào)整中，等保2.0新標(biāo)準(zhǔn)即將落地，除了傳統(tǒng)信息系統(tǒng)的安全防護(hù)外，新標(biāo)準(zhǔn)增加了云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制等新興領(lǐng)域的安全要求。信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)安全等級(jí)保護(hù)等級(jí)保護(hù)2.0安全保護(hù)等級(jí)定義的變化等級(jí)保護(hù)2.0受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第三級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共

2、利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)信息系統(tǒng)物理安全技術(shù)要求變化管理要求變化基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理物理和環(huán)境安全網(wǎng)絡(luò)和通信安全設(shè)備和計(jì)算安全應(yīng)用和數(shù)據(jù)安全安全策略和管理制度安全管理機(jī)構(gòu)和人員安全建設(shè)管理安全運(yùn)維管理等級(jí)保護(hù)基本要求文檔結(jié)構(gòu)（1.0到2.0變化）控制點(diǎn)名稱變更：4個(gè)新增控制點(diǎn)：7個(gè)（通信傳輸、集中管控、個(gè)人信息保護(hù)、安全策略、漏洞和風(fēng)險(xiǎn)管理 、配置管理、外包運(yùn)維管理）刪除控制點(diǎn)：5個(gè)合并控制點(diǎn)：4個(gè)等級(jí)保護(hù)2.0等保三級(jí)等保1.0等保2.0控制點(diǎn)73控制點(diǎn)71控制項(xiàng)290控制項(xiàng)23

3、1網(wǎng)絡(luò)和通信安全訪問(wèn)控制原控制項(xiàng)新控制項(xiàng) a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能； a) 應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信； b) 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)； b) 應(yīng)刪除多余或無(wú)效的訪問(wèn)控制規(guī)則，優(yōu)化訪問(wèn)控制列表，并保證訪問(wèn)控制規(guī)則數(shù)量最小化； c) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制； c) 應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出； d) 應(yīng)在

4、會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò) 連接； d) 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)； e) 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)； e) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)內(nèi)容的訪問(wèn)控制。 f) 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙； g) 應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶； h) 應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量。集中管控原控制項(xiàng)新控制項(xiàng) a) 應(yīng)劃分出特定的管理區(qū)域，對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控； b) 應(yīng)能夠建立一條安全的信息傳輸路徑，對(duì)網(wǎng)絡(luò)中

5、的安全設(shè)備或安全組件進(jìn)行管理； c) 應(yīng)對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測(cè)； d) 應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析； e) 應(yīng)對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理； f) 應(yīng)能對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析。網(wǎng)絡(luò)和通信安全安全建設(shè)管理集測(cè)試驗(yàn)收原控制項(xiàng)新控制項(xiàng) a) 應(yīng)委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告； a) 在制訂測(cè)試驗(yàn)收方案，并依據(jù)測(cè)試驗(yàn)收方案實(shí)施測(cè)試驗(yàn)收，形成測(cè)試收?qǐng)?bào)告； b)在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過(guò)程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果

6、，并形成測(cè)試驗(yàn)收?qǐng)?bào)告； b) 應(yīng)進(jìn)行上線前的安全性測(cè)試，并出具安全測(cè)試報(bào)告。 c) 應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定； d) 應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測(cè)試驗(yàn)收工作； e) 應(yīng)組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字確認(rèn)。漏洞和風(fēng)險(xiǎn)管理原控制項(xiàng)新控制項(xiàng) a)應(yīng)采取必要的措施識(shí)別安全漏洞和隱患，對(duì)發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn)行修補(bǔ)或評(píng)估可能的影響后進(jìn)行修補(bǔ)； b)應(yīng)定期開(kāi)展安全測(cè)評(píng)，形成安全測(cè)評(píng)報(bào)告，采取措施應(yīng)對(duì)發(fā)現(xiàn)的安全問(wèn)題。安全建設(shè)管理等級(jí)保護(hù)2.0信息安全服務(wù)目 錄等保實(shí)施流程將網(wǎng)絡(luò)系統(tǒng)按照重要性和遭受損壞后

7、的危害性分成五個(gè)安全保護(hù)等級(jí)等級(jí)確定后，第二級(jí)（含）以上信息系統(tǒng)到公安機(jī)關(guān)備案，公安機(jī)關(guān)審核后頒發(fā)備案證明根據(jù)信息系統(tǒng)安全等級(jí)，按照國(guó)家政策、標(biāo)準(zhǔn)開(kāi)展安全建設(shè)整改備案單位選擇符合國(guó)家規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)開(kāi)展等級(jí)測(cè)評(píng)公安機(jī)關(guān)定期開(kāi)展監(jiān)督、檢查、指導(dǎo)等級(jí)保護(hù)實(shí)施過(guò)程等級(jí)保護(hù)規(guī)定動(dòng)作系統(tǒng)定級(jí)備案建設(shè)整改等級(jí)測(cè)評(píng)監(jiān)督檢查系統(tǒng)定級(jí)備案風(fēng)險(xiǎn)評(píng)估差距分析安全規(guī)劃設(shè)計(jì)安全整改等級(jí)測(cè)評(píng)安全運(yùn)維等級(jí)保護(hù)的主要工作流程資產(chǎn)調(diào)查信息系統(tǒng)分析等級(jí)確定（將網(wǎng)絡(luò)系統(tǒng)按照重要性和遭受損壞后的危害性分成五個(gè)安全保護(hù)等級(jí)）編制定級(jí)報(bào)告專家評(píng)審（三級(jí)及以上系統(tǒng)需要）定級(jí)一般由客戶自主定級(jí)，或遵守上級(jí)主管部門指導(dǎo)意見(jiàn)（如有），信息安全

8、服務(wù)部門可提供定級(jí)咨詢常見(jiàn)客戶定級(jí)參考：三級(jí)醫(yī)院的HIS、LIS、PACS等系統(tǒng)建議定為三級(jí)；教育行業(yè)非985、211的學(xué)校，一般建議定為二級(jí)，教育廳、教育局的門戶網(wǎng)站，要求定為三級(jí)以上定級(jí)僅供參考1.系統(tǒng)定級(jí)等級(jí)保護(hù)的主要工作流程2.備案到當(dāng)?shù)毓矙C(jī)關(guān)的網(wǎng)安大隊(duì)或安支隊(duì)進(jìn)行備案（第二級(jí)（含）以上信息系統(tǒng)）。需提供“定級(jí)報(bào)告、備案表”（如是三級(jí)系統(tǒng)還需要提供：拓?fù)鋱D、組織結(jié)構(gòu)圖、系統(tǒng)安全方案、網(wǎng)絡(luò)安全設(shè)備列表及銷售許可證等）。公安機(jī)關(guān)審核后頒發(fā)備案證明。等級(jí)保護(hù)的主要工作流程等級(jí)保護(hù)的主要工作流程3.風(fēng)險(xiǎn)評(píng)估，差距分析（信息安全服務(wù)部門可提供此服務(wù)）風(fēng)險(xiǎn)評(píng)估資產(chǎn)評(píng)估威脅評(píng)估脆弱性評(píng)估安全措施評(píng)

9、估綜合風(fēng)險(xiǎn)分析差距分析按照等級(jí)保護(hù)基本要求每一條進(jìn)行對(duì)比分析，查看是否滿足對(duì)應(yīng)等級(jí)的要求。 技術(shù)差距分析 管理差距分析技術(shù)體系設(shè)計(jì)物理安全技術(shù)系統(tǒng)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)應(yīng)用安全技術(shù)數(shù)據(jù)安全及備份恢復(fù)技術(shù)管理體系設(shè)計(jì)制度管理機(jī)構(gòu)管理人員管理建設(shè)管理運(yùn)維管理等級(jí)保護(hù)的主要工作流程4.安全規(guī)劃設(shè)計(jì)（信息安全服務(wù)部門可提供此服務(wù)）安全技術(shù)整改物理安全系統(tǒng)安全網(wǎng)絡(luò)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)安全管理整改制度管理機(jī)構(gòu)管理人員管理建設(shè)管理運(yùn)維管理等級(jí)保護(hù)的主要工作流程5.安全整改（信息安全服務(wù)部門可提供此服務(wù)）測(cè)評(píng)內(nèi)容技術(shù)安全測(cè)評(píng)管理安全測(cè)評(píng) 測(cè)評(píng)方法配置檢查人員訪談文檔審查實(shí)地查看二級(jí)系統(tǒng)推薦每?jī)赡隃y(cè)評(píng)一

10、次，但標(biāo)準(zhǔn)沒(méi)有明確要求三級(jí)系統(tǒng)每年測(cè)評(píng)一次四級(jí)系統(tǒng)每半年測(cè)評(píng)一次等級(jí)保護(hù)的主要工作流程6.等級(jí)測(cè)評(píng)（信息安全服務(wù)部門可提供此協(xié)助測(cè)評(píng)服務(wù)）安全巡檢檢查與加固設(shè)備維護(hù)應(yīng)急保障安全培訓(xùn)安全監(jiān)控等級(jí)保護(hù)的主要工作流程6.安全運(yùn)維（正常業(yè)務(wù)的運(yùn)維，可提供此類安全服務(wù)） 信息系統(tǒng)定級(jí)階段總體安全規(guī)劃階段 安全設(shè)計(jì)與實(shí)施階段 安全運(yùn)行與維護(hù)階段等級(jí)保護(hù)咨詢服務(wù)安全調(diào)查信息系統(tǒng)分析等級(jí)保護(hù)定級(jí)咨詢等保定級(jí)咨詢服務(wù)風(fēng)險(xiǎn)評(píng)估差距分析總體安全規(guī)劃設(shè)計(jì)等保風(fēng)險(xiǎn)評(píng)估服務(wù)安全服務(wù)滲透測(cè)試漏洞掃描安全事件處置專家安全分析安全監(jiān)測(cè)及現(xiàn)狀分析測(cè)評(píng)咨詢服務(wù)等保安全建設(shè)服務(wù)安全方案詳細(xì)設(shè)計(jì)安全整改建設(shè)協(xié)助測(cè)評(píng)及運(yùn)維服務(wù)等級(jí)保護(hù)服

11、務(wù)目標(biāo)（滿足法律法規(guī)要求、滿足業(yè)務(wù)安全要求、提升整體安全能力、增強(qiáng)人員安全意識(shí)）等級(jí)保護(hù)咨詢服務(wù)等級(jí)保護(hù)2.0等保實(shí)施流程目 錄信息安全服務(wù)010203由于網(wǎng)絡(luò)安全的動(dòng)態(tài)性特點(diǎn)，傳統(tǒng)安全產(chǎn)品已不能幫助客戶完全抵御各種風(fēng)險(xiǎn)，通過(guò)“工具+專業(yè)安服”來(lái)解決系統(tǒng)信息系統(tǒng)的安全問(wèn)題，成為降低安全風(fēng)險(xiǎn)、提高信息系統(tǒng)安全水平的一個(gè)重要手段。網(wǎng)絡(luò)安全法及各行業(yè)的監(jiān)管政策要求各企事業(yè)單位對(duì)信息進(jìn)行風(fēng)險(xiǎn)檢測(cè)，提高信息系統(tǒng)安全水平迫在眉睫。驗(yàn)證信息系統(tǒng)現(xiàn)有安全措施的防護(hù)能力,發(fā)現(xiàn)深層次安全風(fēng)險(xiǎn)。施行原因信息安全服務(wù)網(wǎng)絡(luò)安全服務(wù)系列產(chǎn)品，包含：風(fēng)險(xiǎn)檢測(cè)服務(wù)、安全專家服務(wù)、等級(jí)保護(hù)建設(shè)服務(wù)三大類共八項(xiàng)專業(yè)服務(wù)產(chǎn)品。通過(guò)

12、專業(yè)、持續(xù)、系統(tǒng)的安全服務(wù)，安全將助力企事業(yè)單位解決各類信息系統(tǒng)的安全問(wèn)題，從而降低安全風(fēng)險(xiǎn)、全面提高信息系統(tǒng)安全水平。信息安全服務(wù)分類服務(wù)名稱風(fēng)險(xiǎn)檢測(cè)服務(wù)安全檢測(cè)評(píng)估滲透測(cè)試漏洞掃描RG-WMS網(wǎng)站安全監(jiān)控安全專家服務(wù)WEB安全現(xiàn)狀分析專家安全分析及策略優(yōu)化安全事件處置等級(jí)保護(hù)服務(wù)等級(jí)保護(hù)建設(shè)服務(wù)xxx客戶，通過(guò)安全檢測(cè)評(píng)估服務(wù),發(fā)現(xiàn)其內(nèi)網(wǎng)存在：空口令、弱口令、跨站漏洞、目錄遍歷等20處嚴(yán)重漏洞。依據(jù)安全服務(wù)發(fā)現(xiàn)其內(nèi)網(wǎng)未按照等級(jí)保護(hù)要求進(jìn)行安全域劃分、內(nèi)網(wǎng)無(wú)嚴(yán)格安全防護(hù)、未采取安全服務(wù)措施及時(shí)主動(dòng)評(píng)估安全風(fēng)險(xiǎn)，內(nèi)網(wǎng)安全狀況目前為嚴(yán)重狀態(tài)案例案例對(duì)xxx互聯(lián)網(wǎng)系統(tǒng)進(jìn)行安全滲透測(cè)試，發(fā)現(xiàn)互聯(lián)網(wǎng)系統(tǒng)存在：跨站、管理后臺(tái)暴露且管理員口令可破解、敏感信息泄漏、測(cè)試腳本泄漏等漏洞?？傮w風(fēng)險(xiǎn)等級(jí)為嚴(yán)重狀態(tài)*用戶關(guān)注整體安全保障，希望主動(dòng)發(fā)現(xiàn)安全風(fēng)險(xiǎn)，安服中心專業(yè)評(píng)估用戶網(wǎng)絡(luò)系統(tǒng)存在的漏洞，發(fā)現(xiàn)系統(tǒng)深層次安全風(fēng)險(xiǎn)，從而提供全方位專業(yè)的安全解決方案序號(hào)項(xiàng)目?jī)?nèi)容1滲透測(cè)試服務(wù)2漏洞掃描服務(wù)3上線前安全檢查服務(wù)4應(yīng)急響應(yīng)服務(wù)5網(wǎng)站監(jiān)控服務(wù)（WMS）6安全咨詢服務(wù)7安全培訓(xùn)服務(wù)案例目前已經(jīng)給客戶輸出236份報(bào)告，包含： 滲透測(cè)試報(bào)告 漏洞掃描報(bào)告 新系統(tǒng)上線前安全檢查報(bào)告 信息系統(tǒng)等級(jí)保護(hù)定級(jí)劃分建議報(bào)告 網(wǎng)站安全監(jiān)控周報(bào) IT