二、三級等保申請流程，二、三級等保怎麼申請？二、三級等保是什麼？等保測評需要多少錢？

近期，因為政策的關係，大家對等保比較關注，那麼我們今天就來聊一聊等保2.0的那些事。

首先，我們先看來一下，什麼是二、三級等保？

一、等保2.0概述

2019年5月13日，國家市場監督管理總局、國家標準化管理委員會釋出《資訊保安技術 網路安全等級保護基本要求》（GB/T 22239-2019）（“《等保基本要求》”）、《資訊保安技術 網路安全等級保護測評要求》（GB/T 28448-2019）、《資訊保安技術 網路安全等級保護安全設計技術要求》（GB/T 25070-2019）三個網路安全領域的國家標準，共同構築新時代的網路安全等級保護制度，標誌著等保2.0的正式到來，新標準規範將於2019年12月1日開始實施。

網路安全等級保護制度是國家資訊保安保障工作的基礎，也是一項事關國家安全、社會穩定的政治任務。通過開展等級保護工作，發現網路和資訊系統與國家安全標準之間存在的差距，找到目前系統存在的安全隱患和不足，通過安全整改，提高資訊系統的資訊保安防護能力，降低系統被各種攻擊的風險。網路安全等級保護制度，作為國家網路安全的重要組成部分，對加強國家網路安全保障工作，提升網路安全保護能力具有重要意義。

二、為什麼要做二、三級等保？

政策法規

中華人民共和國網路安全法

第二十一條

國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路資料洩露或者被竊取、篡改 。

第三十一條

國家對公共通訊和資訊服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者資料洩露，在網路安全等級保護制度的基礎上，實行重點保護 。

第五十九條

網路運營者不履行本法第二十一條、第二十五條規定的網路安全保護義務的，由有關主管部門給予警告；拒不改正或者導致危害網路安全等後果的，處一萬元以上十萬元以下罰款 。

三、等保申請流程

1、系統定級

（1）協助定級、推薦測評機構（服務方義務）

（2）業務系統定級，與服務方簽訂服務合同。

通用等保測評流程

資訊系統運營單位按照《網路安全等級保護定級指南》，自行定級。三級以上系統定級結論需進行專家評審。

2、系統備案

（1）協助客戶完成備案（服務方義務）

（2）提交備案材料

通用等保測評流程

資訊系統定級申報獲得通過後，30日內到公安機關辦理備案手續。

3、建設整改

（1）提供技術方案建議書、協助整改（服務方義務）

（2）依據等級保護標準進行安全建設整改

通用等保測評流程

根據等保有關規定和標準，對資訊系統進行安全建設整改。

4、等級測評

（1）協助測評（服務方義務）

（2）配合測評機構測評，接收報告（專案完結）

通用等保測評流程

資訊系統運營單位選擇公安部認可的第三方等級測評機構進行測評，提供跨地市的情況下由本地（本省）測評機構交付的等保測評服務。

5、監督檢查（專案後）

（1）技術支援（服務方義務）

（2）安全運營、維護，保障日常系統合規

通用等保測評流程

當地網監定期進行監督檢查。

四、《網路安全等級保護基本要求》關鍵項分析

1、安全物理環境

（1）物理位置選擇

機房場地應選擇在具有防震、防風和防雨等能力的建築內。

（2）物理訪問控制

機房出入口應配置電子門禁系統，控制、鑑別和記錄進入的人員。

（3）基礎設施位置

應確保雲端計算基礎設施位於中國境內。

（4）防盜竊和防破壞

應設定機房防盜報警系統或設定有專人值守的視訊監控系統。

（5）電力供應

應設定冗餘或並行的電力電纜線路為計算機系統供電

（6）建設策略

華為雲基礎設施位於中國境內

物理和環境安全，直接複用華為雲等保測評結論即可。

2、安全通訊網路&區域邊界

（1）網路架構

根據雲租戶業務需求自主設定安全策略集，包括定義訪問路徑、選擇安全元件、配置安全策略。

（2）訪問控制

在不同等級的網路區域邊界部署訪問控制機制，設定訪問控制規則。

（3）通訊傳輸

應採用校驗碼技術或加解密技術保證通訊過程中資料的完整性。

（4）邊界防護

應保證跨越邊界的訪問和資料流通過邊界防護裝置提供的受控介面進行通訊。

（5）入侵防範

應在關鍵網路節點處檢測、防止或限制從外部發起的網路攻擊行為；當檢測到攻擊行為時，記錄攻擊源IP、攻擊型別、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。

（6）建設策略

①、推薦安全組、網路ACL通過設定基本的訪問控制策略，對進出安全區域邊界的資料資訊進行控制，阻止非授權及越權訪問。

②、推薦VPN、安全證書服務，採取加密措施，防止資料在傳輸過程中遇到破壞、竊取等各種攻擊。

③、推薦DDoS高防，雲WAF服務，針對日漸增多的DDoS、Web攻擊進行防禦，精準有效地實現對流量型攻擊和應用層攻擊的全面防護。

3、安全計算環境

（1）身份鑑別

當進行遠端管理時，管理終端和雲端計算平臺邊界裝置之間建立雙向身份驗證機制。

（2）安全審計

根據雲服務方和雲租戶的職責劃分，收集各自控制部分的審計資料並實現集中審計。

（3）入侵防範

虛擬機器之間的資源隔離失效，並進行告警。

（4）惡意程式碼防範

應能夠檢測惡意程式碼感染及在虛擬機器間蔓延的情況，並提出告警。

（5）資料完整性和保密性

應採用校驗碼技術或加解密技術保證重要資料在傳輸/儲存過程中的完整性和保密性。

（6）建設策略

①、推薦堡壘機、資料庫安全服務對伺服器和資料庫的運維及操作行為進行審計。

②、管理員使用各自的賬戶進行管理，管理員的許可權僅分配其所需的最小許可權，在制定好的訪問控制策略下進行操作，杜絕越權非法操作。

③、推薦主機安全服務，防止各類具有針對性的入侵威脅，發現常見作業系統存在的各種安全漏洞，及時更新惡意程式碼庫。

4、安全管理中心

（1）系統管理

通過安全管理中心對被保護系統和安全管理中心自身的執行狀態進行監控。

（2）審計管理

通過部署安全管理中心、業務安全審計平臺，對被保護系統和安全管理中心的相關重要安全事件和使用者操作行為進行審計。

（3）安全管理

通過部署安全管理中心、業務安全審計平臺，並對安全管理員進行身份鑑別，對主體進行授權，配置可信驗證策略等。

（4）集中管控

通過部署安全管理中心、業務安全審計平臺、APT威脅檢測系統，並對分佈在網路中的安全裝置、網路裝置和伺服器等的執行狀況進行集中監測與管控。

（5）建設策略

①、通過安全事件管理等模組協助實施應急響應機制。

②、確保使用者行為的可追溯性，及時發現異常的安全行為，同時為綜合分析提供資料支撐。

③、資料收集、安全策略、惡意程式碼、補丁升級等安全相關事項和各類安全事件進行集中管理，分析。

5、安全管理制度

（1）安全管理制度

應形成由安全策略、管理制度、操作規程、記錄表單等構成的全面的資訊保安管理制度體系。

（2）安全管理機構

應成立指導和管理資訊保安工作的委員會或領導小組，其最高領導由單位主管領導委任或授權。

（3）安全管理人員

人員錄用、人員離崗、人員考核、安全意識教育及培訓、外部人員訪問管理。

（4）安全建設管理

應根據保護物件的安全保護等級及與其他級別保護物件的關係進行安全整體規劃和安全方案設計，並形成配套檔案。

（5）安全運維管理

①、應採取必要的措施識別安全漏洞和隱患，對發現的安全漏洞和隱患及時進行修補或評估可能的影響後進行修補。

②、應設定冗餘或並行的電力電纜線路為計算機系統供電。

（6）建設策略

①、企業應制定完善的安全管理制度，根據基本要求設定安全管理機構，梳理管理檔案，明確組織人員的崗位職責，定期進行全面安全檢查，特別是系統日常執行、系統漏洞和資料備份等。

②、推薦漏洞掃描服務、安全體檢服務，檢測租戶站點的漏洞，提前防範黑客利用漏洞進行攻擊，防止利益損失和資料洩露。

五、我司提供的全棧安全服務 滿足等保要求

 

 

1、等保合規套餐

為客戶提供多場景的等保合規安全解決方案，滿足多行業業務訴求，快速省心過等保。

2、等保多場景介紹

（1）等保二級

適用於使用者量和敏感資料較少，如果發生安全問題，不會對企業自身及使用者造成特別嚴重影響，如入口網站。

（2）等保三級 基礎版

適用於存有使用者敏感資訊，資訊外洩會造成特別嚴重影響，甚至會對社會秩序和公共利益造成損失的系統，如物流、車聯網、物聯網。

（3）等保三級 高階版

滿足高分段等保測評需求，適用於存有使用者敏感資訊，資訊外洩會造成特別嚴重影響，甚至會對社會秩序和公共利益造成損失的系統，如線上教育、網際網路醫療、網際網路金融。

（4）多雲模式

適用於多雲業務場景，集中式安全防護及安全運營，如遊戲、直播、電商。

六、等保合規安全解決方案

 

1、等保合規架構

為客戶提供一站式安全技術方案，幫助客戶快速、低成本完成安全整改，輕鬆應對等保2.0合規測評。

2、等保2.0基本要求

（1）安全物理環境

主要包括物理位置選擇，物理位置訪問控制。

（2）安全通訊網路&區域邊界

主要包括網路架構、邊界防護、訪問控制、通訊傳輸、入侵防範、安全審計。

（3）安全計算環境

主要包括身份鑑別、訪問控制、安全審計、入侵防範、惡意程式碼防範、資料完整性和保密性、資料備份恢復。

（4）安全管理中心

主要包括系統管理、審計管理、安全管理、集中管控。

（5）安全管理制度

主要包括安全策略、安全管理制度與流程規範、人員組織、安全管理基線。