等保实施流程

  • ① 系统定级
  • ② 系统备案
  • ③ 建设整改
  • ④ 等级测评
  • ⑤ 监督检查

系统定级

信息系统运营使用单位按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草《网络安全等级保护定级报告》;三级以上系统,定级结论需要进行专家评审

  • 运营单位:确定安全保护等级,编写定级报告
  • 墨客:协调第三方机构为运营单位提供辅导服务
  • 咨询机构:辅导运营单位准备定级报告;组织专家评审(三级)

系统备案

信息系统安全保护等级为第二级以上时,备案时应当提交《网络安全等级保护备案表》和定级报告;第三级以上系统,还需提交专家评审意见、系统拓扑和说明、安全管理制度、安全建设方案等

  • 运营单位:准备备案材料,到当地公安机关备案
  • 墨客:协调第三方机构为运营单位提供辅导服务
  • 咨询机构 / 公安机关:辅导运营单位准备备案材料和备案 / 当地公安机关审核受理备案材料

建设整改

依据《网络安全等级保护基本要求》,利用自有或第三方的安全产品和专家服务,对信息系统进行安全建设和整改,同时制定相应的安全管理制度

  • 运营单位:建设符合等级要求的安全技术和管理体系
  • 墨客:提供符合等级要求必须的安全产品和服务
  • 咨询机构:辅导运营单位进行系统安全加固和制定安全管理制度

等级测评

运营使用单位应当选择合适的测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评

  • 运营单位:准备和接受测评机构测评
  • 墨客:提供云服务商安全资质、云平台通过等保的证明材料
  • 咨询机构 / 测评机构:协助运营单位参与等级测评过程并进行整改 / 测评机构对系统等级符合性状况进行测评

监督检查

公安机关及其他监管部门会在整个过程中,履行相应的监管、审核和检查等职责

  • 运营单位:接受公安机关的定期检查
  • 咨询机构 / 公安机构:协助运营单位接受检查和进行整改 / 公安机关监督检查运营单位开展等级保护工作

网络安全等级保护基本要求

  • 网络和通信安全
  • 设备和计算安全
  • 应用和数据安全
  • 物理和环境安全
  • 网络架构应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
  • 访问控制应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
  • 通信传输应采用校验码技术或加解密技术保证通信过程中数据的完整性;边界防护:应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信;
  • 入侵防范应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警;
  • 安全审计应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
  • 条款解读根据服务器角色和重要性,对网络进行安全域划分;在内外网的安全域边界设置访问控制策略,并要求配置到具体的端口;在网络边界处应当部署入侵防范手段,防御并记录入侵行为;对网络中的用户行为日志和安全事件信息进行记录和审计;
  • 应对策略 墨客下一代防火墙高防IP
  • 身份鉴别应对登录的用户进行身份标识和鉴别,身份标识具有唯一性;
  • 访问控制应根据管理用户的角色建立不同账户并分配权限,仅授予管理用户所需的最小权限,实现管理用户的权限分离;
  • 安全审计应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
  • 入侵防范应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警;
  • 恶意代码防范应采用免受恶意代码攻击的技术措施或采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性检测,并在检测到破坏后进行恢复;
  • 条款解读避免账号共享、记录和审计运维操作行为是最基本的安全要求;必要的安全手段保证系统层安全,防范服务器入侵行为;
  • 应对策略 堡垒机
  • 身份鉴别应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求;
  • 访问控制应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;
  • 安全审计应提供安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
  • 数据完整性应采用校验码技术或加解密技术保证重要数据在传输过程中的完整性和保密性;
  • 数据备份恢复应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
  • 条款解读应用是具体业务的直接实现,不具有网络和系统相对标准化的特点。大部分应用本身的身份鉴别、访问控制和操作审计等功能,都难以用第三方产品来替代实现;数据的完整性和保密性,除了在其他层面进行安全防护以外,加密是最为有效的方法;数据的异地备份是等保三级区别于二级最重要的要求之一,是实现业务连续最基础的技术保障措施;
  • 安全策略和管理制度安全策略和管理制度:应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系;
  • 安全管理机构和人员安全管理机构和人员:应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;
  • 安全建设管理应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,并形成配套文件;
  • 安全运维管理应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补;
  • 条款解读安全策略、制度和管理层人员,是保证持续安全非常重要的基础。策略指导安全方向,制度明确安全流程,人员落实安全责任;等保要求提供了一种方法论和最佳实践,安全可以按照等保的方法论进行持续的建设和管理;

云上等保合规

  • 合规责任共担
  • 等保合规生态
由墨客负责平台等保合规 由客户负责自身系统等保合规
  • 合规责任共担

    墨客平台与云上租户系统分别定级和测评

    墨客平台测评结论可供租户系统测评时复用

  • 墨客可提供

    墨客平台等保备案证明墨客测评报告关键页

    墨客云盾销售许可证墨客部分测评项说明

  • 责任分担详解

    ① 墨客通过等级保护三级备案和测评;

    ② 根据监管部门明确的结论复用原则,墨客上的租户系统通过等级保护测评时,物理安全、部分网络安全和安全管理的结论可以复用,墨客可提供相关证明;

    ③ 墨客平台完备的安全技术和管理架构,以及墨客提供的网站WAF和主机安全防护体系,更有利于租户通过等级保护测评。

生态
为了便于云上系统能够快速通过等保测评,墨客通过建立“等保合规生态”,提供一站式等保合规解决方案。

云上等保现状

大部分租户对等保不了解 不知道等保该如何入手

不善于与监管部门打交道 安全体系落后于业务发展

等保工作分工

墨客:整合服务机构能力,并提供安全产品 咨询厂商:提供全流程技术支撑和咨询服务 测评机构:提供测评服务 公安机关:负责备案审核和监督检查

安全合规架构

安全合规架构

基础合规架构

接入墨客,快速完成安全整改;

以最小的安全投入满足等保的基础合规技术要求。

等保基本要求

物理和环境安全网络和通信安全

设备和计算安全 应用和数据安全

主要云产品

WAF防火墙 高防IP服务

墨客IDS 堡垒机

方案优势

一站式等保测评服务
甄选并联合各地服务质量优异的咨询和测评机构,提供一站式、全流程合规,大大降低运营单位投入。

① 避免多点沟通和重复工作,减少运营单位投入

② 效率大大提高,最快两周完成测评

③ 墨客提供云上安全和合规最佳实践

平台合规助力租户合规
墨客通过等保三级,显著提高租户在墨客上系统的测评分数。

① 墨客云平台通过等保三级备案和测评

② 平台的高等级合规显著提高租户测评分数

完备的安全防护体系
通过完备的墨客安全架构和产品体系,运营单位可以使用墨客对应的产品,完成对不符合项的整改,快速满足等保要求。

① 攻击防护:高防IP、墨客WAF、墨客下一代防火墙

② 安全审计:堡垒机

③ 数据加密与安全管理:证书服务