网络安全等级保护2.0


一、等级保护简介

网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的体现。

网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。定级对象建设完成后,运营、使用单位或者其主管部门应当选择符合国家要求的测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对定级对象安全等级状况开展等级测评。


二、通用要求

16.png

图1 安全通用要求基本分类


安全通用要求细分为技术要求和管理要求。其中技术要求包括“ 安全物理环境” 、“ 安全通信网络” 、“ 安全区域边界” 、“ 安全计算环境” 和“ 安全管理中心” ; 管理要求包括“ 安全管理制度” 、“ 安全管理机构” 、“ 安全管理人员” 、“ 安全建设管理” 和“ 安全运维管理” 。两者合计10大类, 如图1所示。


三、安全扩展要求

安全扩展要求是采用特定技术或特定应用场景下的等级保护对象需要增加实现的安全要求。《GB/T 22239-2019》提出的安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。


四、建设流程

官方规定了网络安全等级保护工作的五个步骤:定级、备案、建设整改、等级测评、监督检查。

image.png


五、角色分工

在等级保护全流程中,涉及到四个不同的角色,分别是:运营使用单位、公安机关、安全服务商、测评机构。各个角色在不同的阶段的分工如下:

5F4MDXFMSJXKTWD[LYR{J2G.png


六、方案设计(三级系统)

方案设计必须基于网络安全等级保护基本要求,包括了网络边界防护、入侵检测和入侵防御、Web应用防护、恶意代码检测防护、网络安全审计、数据库审计、安全管理平台等多种安全产品构成的技术保障体系,以及安全评估、安全管理制度建设、应急响应、安全培训、等级保护定级及测评支撑等多种咨询服务构成的服务保障体系。

等级保护合规建设伟德体育,不仅能够对系统面临的入侵攻击、恶意代码、勒索病毒、违规操作等安全威胁进行有针对性的安全控制,同时能够确保满足等级保护系统的监管合规要求,符合《网络安全法》所规定的关于网络服务运营者责任和义务的法律要求。


1、网络安全战略规划目标

13.png


2、三级系统安全保护环境基本要求与对应产品

image.png


3、安全防护系统架构

11.png