信息安全服務(wù)與等保2.0概述

1、信息安全服務(wù)與等保2.0概述等保實(shí)施流程信息安全服務(wù)目 錄等級保護(hù)2.0等級保護(hù)相關(guān)標(biāo)準(zhǔn)在調(diào)整中，等保2.0新標(biāo)準(zhǔn)即將落地，除了傳統(tǒng)信息系統(tǒng)的安全防護(hù)外，新標(biāo)準(zhǔn)增加了云計(jì)算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制等新興領(lǐng)域的安全要求。信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)安全等級保護(hù)等級保護(hù)2.0安全保護(hù)等級定義的變化等級保護(hù)2.0受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益第一級第二級第三級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共

2、利益第二級第三級第四級國家安全第三級第四級第五級信息系統(tǒng)物理安全技術(shù)要求變化管理要求變化基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理物理和環(huán)境安全網(wǎng)絡(luò)和通信安全設(shè)備和計(jì)算安全應(yīng)用和數(shù)據(jù)安全安全策略和管理制度安全管理機(jī)構(gòu)和人員安全建設(shè)管理安全運(yùn)維管理等級保護(hù)基本要求文檔結(jié)構(gòu)（1.0到2.0變化）控制點(diǎn)名稱變更：4個新增控制點(diǎn)：7個（通信傳輸、集中管控、個人信息保護(hù)、安全策略、漏洞和風(fēng)險(xiǎn)管理 、配置管理、外包運(yùn)維管理）刪除控制點(diǎn)：5個合并控制點(diǎn)：4個等級保護(hù)2.0等保三級等保1.0等保2.0控制點(diǎn)73控制點(diǎn)71控制項(xiàng)290控制項(xiàng)23

3、1網(wǎng)絡(luò)和通信安全訪問控制原控制項(xiàng)新控制項(xiàng) a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能； a) 應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信； b) 應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級； b) 應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化； c) 應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制； c) 應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出； d) 應(yīng)在

4、會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò) 連接； d) 應(yīng)能根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級； e) 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)； e) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對內(nèi)容的訪問控制。 f) 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙； g) 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個用戶； h) 應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。集中管控原控制項(xiàng)新控制項(xiàng) a) 應(yīng)劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控； b) 應(yīng)能夠建立一條安全的信息傳輸路徑，對網(wǎng)絡(luò)中

5、的安全設(shè)備或安全組件進(jìn)行管理； c) 應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測； d) 應(yīng)對分散在各個設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析； e) 應(yīng)對安全策略、惡意代碼、補(bǔ)丁升級等安全相關(guān)事項(xiàng)進(jìn)行集中管理； f) 應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別、報(bào)警和分析。網(wǎng)絡(luò)和通信安全安全建設(shè)管理集測試驗(yàn)收原控制項(xiàng)新控制項(xiàng) a) 應(yīng)委托公正的第三方測試單位對系統(tǒng)進(jìn)行安全性測試，并出具安全性測試報(bào)告； a) 在制訂測試驗(yàn)收方案，并依據(jù)測試驗(yàn)收方案實(shí)施測試驗(yàn)收，形成測試收報(bào)告； b)在測試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測試驗(yàn)收方案，在測試驗(yàn)收過程中應(yīng)詳細(xì)記錄測試驗(yàn)收結(jié)果

6、，并形成測試驗(yàn)收報(bào)告； b) 應(yīng)進(jìn)行上線前的安全性測試，并出具安全測試報(bào)告。 c) 應(yīng)對系統(tǒng)測試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定； d) 應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測試驗(yàn)收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測試驗(yàn)收工作； e) 應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗(yàn)收報(bào)告進(jìn)行審定，并簽字確認(rèn)。漏洞和風(fēng)險(xiǎn)管理原控制項(xiàng)新控制項(xiàng) a)應(yīng)采取必要的措施識別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和隱患及時進(jìn)行修補(bǔ)或評估可能的影響后進(jìn)行修補(bǔ)； b)應(yīng)定期開展安全測評，形成安全測評報(bào)告，采取措施應(yīng)對發(fā)現(xiàn)的安全問題。安全建設(shè)管理等級保護(hù)2.0信息安全服務(wù)目 錄等保實(shí)施流程將網(wǎng)絡(luò)系統(tǒng)按照重要性和遭受損壞后

7、的危害性分成五個安全保護(hù)等級等級確定后，第二級（含）以上信息系統(tǒng)到公安機(jī)關(guān)備案，公安機(jī)關(guān)審核后頒發(fā)備案證明根據(jù)信息系統(tǒng)安全等級，按照國家政策、標(biāo)準(zhǔn)開展安全建設(shè)整改備案單位選擇符合國家規(guī)定條件的測評機(jī)構(gòu)開展等級測評公安機(jī)關(guān)定期開展監(jiān)督、檢查、指導(dǎo)等級保護(hù)實(shí)施過程等級保護(hù)規(guī)定動作系統(tǒng)定級備案建設(shè)整改等級測評監(jiān)督檢查系統(tǒng)定級備案風(fēng)險(xiǎn)評估差距分析安全規(guī)劃設(shè)計(jì)安全整改等級測評安全運(yùn)維等級保護(hù)的主要工作流程資產(chǎn)調(diào)查信息系統(tǒng)分析等級確定（將網(wǎng)絡(luò)系統(tǒng)按照重要性和遭受損壞后的危害性分成五個安全保護(hù)等級）編制定級報(bào)告專家評審（三級及以上系統(tǒng)需要）定級一般由客戶自主定級，或遵守上級主管部門指導(dǎo)意見（如有），信息安全

8、服務(wù)部門可提供定級咨詢常見客戶定級參考：三級醫(yī)院的HIS、LIS、PACS等系統(tǒng)建議定為三級；教育行業(yè)非985、211的學(xué)校，一般建議定為二級，教育廳、教育局的門戶網(wǎng)站，要求定為三級以上定級僅供參考1.系統(tǒng)定級等級保護(hù)的主要工作流程2.備案到當(dāng)?shù)毓矙C(jī)關(guān)的網(wǎng)安大隊(duì)或安支隊(duì)進(jìn)行備案（第二級（含）以上信息系統(tǒng)）。需提供“定級報(bào)告、備案表”（如是三級系統(tǒng)還需要提供：拓?fù)鋱D、組織結(jié)構(gòu)圖、系統(tǒng)安全方案、網(wǎng)絡(luò)安全設(shè)備列表及銷售許可證等）。公安機(jī)關(guān)審核后頒發(fā)備案證明。等級保護(hù)的主要工作流程等級保護(hù)的主要工作流程3.風(fēng)險(xiǎn)評估，差距分析（信息安全服務(wù)部門可提供此服務(wù)）風(fēng)險(xiǎn)評估資產(chǎn)評估威脅評估脆弱性評估安全措施評

9、估綜合風(fēng)險(xiǎn)分析差距分析按照等級保護(hù)基本要求每一條進(jìn)行對比分析，查看是否滿足對應(yīng)等級的要求。 技術(shù)差距分析 管理差距分析技術(shù)體系設(shè)計(jì)物理安全技術(shù)系統(tǒng)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)應(yīng)用安全技術(shù)數(shù)據(jù)安全及備份恢復(fù)技術(shù)管理體系設(shè)計(jì)制度管理機(jī)構(gòu)管理人員管理建設(shè)管理運(yùn)維管理等級保護(hù)的主要工作流程4.安全規(guī)劃設(shè)計(jì)（信息安全服務(wù)部門可提供此服務(wù)）安全技術(shù)整改物理安全系統(tǒng)安全網(wǎng)絡(luò)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)安全管理整改制度管理機(jī)構(gòu)管理人員管理建設(shè)管理運(yùn)維管理等級保護(hù)的主要工作流程5.安全整改（信息安全服務(wù)部門可提供此服務(wù)）測評內(nèi)容技術(shù)安全測評管理安全測評 測評方法配置檢查人員訪談文檔審查實(shí)地查看二級系統(tǒng)推薦每兩年測評一

10、次，但標(biāo)準(zhǔn)沒有明確要求三級系統(tǒng)每年測評一次四級系統(tǒng)每半年測評一次等級保護(hù)的主要工作流程6.等級測評（信息安全服務(wù)部門可提供此協(xié)助測評服務(wù)）安全巡檢檢查與加固設(shè)備維護(hù)應(yīng)急保障安全培訓(xùn)安全監(jiān)控等級保護(hù)的主要工作流程6.安全運(yùn)維（正常業(yè)務(wù)的運(yùn)維，可提供此類安全服務(wù)） 信息系統(tǒng)定級階段總體安全規(guī)劃階段 安全設(shè)計(jì)與實(shí)施階段 安全運(yùn)行與維護(hù)階段等級保護(hù)咨詢服務(wù)安全調(diào)查信息系統(tǒng)分析等級保護(hù)定級咨詢等保定級咨詢服務(wù)風(fēng)險(xiǎn)評估差距分析總體安全規(guī)劃設(shè)計(jì)等保風(fēng)險(xiǎn)評估服務(wù)安全服務(wù)滲透測試漏洞掃描安全事件處置專家安全分析安全監(jiān)測及現(xiàn)狀分析測評咨詢服務(wù)等保安全建設(shè)服務(wù)安全方案詳細(xì)設(shè)計(jì)安全整改建設(shè)協(xié)助測評及運(yùn)維服務(wù)等級保護(hù)服

11、務(wù)目標(biāo)（滿足法律法規(guī)要求、滿足業(yè)務(wù)安全要求、提升整體安全能力、增強(qiáng)人員安全意識）等級保護(hù)咨詢服務(wù)等級保護(hù)2.0等保實(shí)施流程目 錄信息安全服務(wù)010203由于網(wǎng)絡(luò)安全的動態(tài)性特點(diǎn)，傳統(tǒng)安全產(chǎn)品已不能幫助客戶完全抵御各種風(fēng)險(xiǎn)，通過“工具+專業(yè)安服”來解決系統(tǒng)信息系統(tǒng)的安全問題，成為降低安全風(fēng)險(xiǎn)、提高信息系統(tǒng)安全水平的一個重要手段。網(wǎng)絡(luò)安全法及各行業(yè)的監(jiān)管政策要求各企事業(yè)單位對信息進(jìn)行風(fēng)險(xiǎn)檢測，提高信息系統(tǒng)安全水平迫在眉睫。驗(yàn)證信息系統(tǒng)現(xiàn)有安全措施的防護(hù)能力,發(fā)現(xiàn)深層次安全風(fēng)險(xiǎn)。施行原因信息安全服務(wù)網(wǎng)絡(luò)安全服務(wù)系列產(chǎn)品，包含：風(fēng)險(xiǎn)檢測服務(wù)、安全專家服務(wù)、等級保護(hù)建設(shè)服務(wù)三大類共八項(xiàng)專業(yè)服務(wù)產(chǎn)品。通過

12、專業(yè)、持續(xù)、系統(tǒng)的安全服務(wù)，安全將助力企事業(yè)單位解決各類信息系統(tǒng)的安全問題，從而降低安全風(fēng)險(xiǎn)、全面提高信息系統(tǒng)安全水平。信息安全服務(wù)分類服務(wù)名稱風(fēng)險(xiǎn)檢測服務(wù)安全檢測評估滲透測試漏洞掃描RG-WMS網(wǎng)站安全監(jiān)控安全專家服務(wù)WEB安全現(xiàn)狀分析專家安全分析及策略優(yōu)化安全事件處置等級保護(hù)服務(wù)等級保護(hù)建設(shè)服務(wù)xxx客戶，通過安全檢測評估服務(wù),發(fā)現(xiàn)其內(nèi)網(wǎng)存在：空口令、弱口令、跨站漏洞、目錄遍歷等20處嚴(yán)重漏洞。依據(jù)安全服務(wù)發(fā)現(xiàn)其內(nèi)網(wǎng)未按照等級保護(hù)要求進(jìn)行安全域劃分、內(nèi)網(wǎng)無嚴(yán)格安全防護(hù)、未采取安全服務(wù)措施及時主動評估安全風(fēng)險(xiǎn)，內(nèi)網(wǎng)安全狀況目前為嚴(yán)重狀態(tài)案例案例對xxx互聯(lián)網(wǎng)系統(tǒng)進(jìn)行安全滲透測試，發(fā)現(xiàn)互聯(lián)網(wǎng)系統(tǒng)存在：跨站、管理后臺暴露且管理員口令可破解、敏感信息泄漏、測試腳本泄漏等漏洞?？傮w風(fēng)險(xiǎn)等級為嚴(yán)重狀態(tài)*用戶關(guān)注整體安全保障，希望主動發(fā)現(xiàn)安全風(fēng)險(xiǎn)，安服中心專業(yè)評估用戶網(wǎng)絡(luò)系統(tǒng)存在的漏洞，發(fā)現(xiàn)系統(tǒng)深層次安全風(fēng)險(xiǎn)，從而提供全方位專業(yè)的安全解決方案序號項(xiàng)目內(nèi)容1滲透測試服務(wù)2漏洞掃描服務(wù)3上線前安全檢查服務(wù)4應(yīng)急響應(yīng)服務(wù)5網(wǎng)站監(jiān)控服務(wù)（WMS）6安全咨詢服務(wù)7安全培訓(xùn)服務(wù)案例目前已經(jīng)給客戶輸出236份報(bào)告，包含： 滲透測試報(bào)告 漏洞掃描報(bào)告 新系統(tǒng)上線前安全檢查報(bào)告 信息系統(tǒng)等級保護(hù)定級劃分建議報(bào)告 網(wǎng)站安全監(jiān)控周報(bào) IT