在信息化浪潮的推动下,企业面临着越来越复杂的网络安全威胁。网络攻击、恶意软件、数据泄露等安全事件频繁发生,严重危害了企业的经济利益和声誉。为了加强企业信息安全的保护,国家制定了网络安全等级保护(CNS)制度,该制度通过分级保护、安全要求和技术措施等方式,为企业提供了一套完整的信息安全管理体系。经过多年的发展,CNS标准从最初的等保1.0时代逐步升级到现在的等保2.0时代,逐步完善和优化,以适应不断变化的网络安全形势。本文将详细介绍网络安全等级保护制度,解析其在企业信息安全保护中的重要作用,以及如何做好网络安全等级保护认证,助力企业更好地保护信息安全。
企业如何安全上云、云等保如何落地、云上数据资产如何得到保护等问题,是现代企业必须直面的生存与发展命题。“道高一尺,魔高一丈。”与过去十年相比,云安全现在面临的风险、威胁和挑战,实际上已经变得愈发严峻。
没错!云计算的江湖从来不是那么平静,一眼望去似乎波澜不惊,实际上暗流汹涌。那么,企业应当如何高效、平稳地满足等保合规,从而将云真正转化成为自身发展的动力源泉呢?
一、网络安全等级保护的定义
《中华人民共和国网络安全法》(以下称《网络安全法》)第二十一条规定:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。”自此,网络安全等级保护正式进入等保2.0时代,以《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019,以下称《网络安全等级保护基本要求》)为指导标准,提出了新的网络安全技术要求和管理要求,着重“一个中心,三重防护”,其中包含可信技术、安全管理中心、云计算以及物联网等新兴领域的安全扩展要求。
根据《网络安全等级保护基本要求》及相关规定,网络安全等级保护是指对国家秘密信息、法人或其他组织和公民专有信息、公开信息以及储存、传输、处理这些信息的网络实施分等级保护,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。因此,企业理应更注重完善建设安全防护体系、评估和管理风险,必要时还需关注所在行业的特定安全要求和定级标准。
也就是说,只要是中国境内运营的,政府、事业单位、对外提供服务业务系统和产品的企业都需要做等级测评。故而这些政企单位在进行招标工作时,也通常要求投标单位在投标书中附上安全等级保护测评报告或备案证明。
二、网络安全等级保护的等级划分
网络安全等级保护分为五个等级,从低到高分别为:一级、二级、三级、四级和五级。不同等级的保护对象、保护要求和保护措施各不相同。其中,一级等保适用于一般信息系统,五级等保适用于国家重要信息系统,等保要求越高,安全保障措施越严格。
第一级
(自主保护级)
无需测评、不用备案、无测评周期限制。
等保一级是“用户自主保护级”,属于等保中最低的级别,只会对公民、法人和其他组织的合法权益造成损害,仅需要向公安部门提交相关申请资料,通过审核即可。
第二级
(指导保护级)
公安部备案,每两年测评一次。
等保二级是“系统审计保护级”,是目前使用最多的等保方案,适用范围为“信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全”。可支持到地级市以上的各国家机关、企业或事业单位内部一般的信息系统,非涉及秘密、敏感信息的办公系统,比如人事系统等。
第三级
(监督保护级)
公安部备案,每一年测评一次。
等保三级是“安全标记保护级”,级别更高,适用于“信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。”这一范围的网站,主要是地级市以上的国家机关、企业、事业单位的内部重要信息系统,比如省级政府官网,以及其他用户数量极大、具有交易功能的电商网站等。三级等保也是除国家外能自主制作的最高级别等保网站。
第四级
(强制保护级)
公安部备案,每半年测评一次。
等保四级是“结构化保护级”,该级别适用于国家重要领域、涉及国家安全、国计民生的核心系统,中国人民银行是目前国内唯一四级等保的中国央行门户集群。
第五级
(专控保护级)
公安部备案,依据特殊安全需求进行。
等保五级是“访问验证保护级”,是目前等保的最高级别,应用于国家的重大信息系统,如国家机密部门等,目前尚未有任何民用系统评为等保五级。
三、企业做好网络安全等级
保护认证的合规建议
网络安全等级保护认证是一项比较复杂、专业性强的工作,企业在进行网络安全等级保护认证时,需要遵循一系列规定和要求,作为企业确保信息安全的重要手段,专业人士如律师在网络安全等级保护认证的申请和管理过程中起着至关重要的作用,为企业提供帮助和支持。
【制定合规性管理规范】
协助企业建立合规性管理规范,明确网络安全等级保护的标准和要求,包括等级划分、安全措施、风险评估等方面。此外,规范还应包括合规性审查和认证等流程的安排和规定,以确保企业达到等保认证的要求。
【设计网络安全等级保护方案】
与企业的信息安全专家、技术人员和管理人员合作,参与制定网络安全等级保护方案。这个方案包括安全管理制度、技术安全措施和应急预案等方面,提高企业应对突发事件的能力。可以帮助企业确定安全等级保护的目标和要求,并提供相应的法律意见和建议。
【协助企业进行风险评估】
可以帮助企业进行全面的风险评估,包括对业务流程、系统设施、技术措施等方面的风险评估,识别网络安全威胁和漏洞,制定相应的安全策略和措施,以确定安全等级和安全措施的具体要求,降低网络安全风险。
【协助企业进行等级划分】
协助企业进行等级划分,确保企业的安全水平符合等保认证的要求。企业应该根据自身的业务特点、信息系统规模和数据风险等级,合理划分网络安全等级,并建立相应的保护措施。
【协助企业进行合规性审查】
可以协助企业审查等保合规性,可以对企业的信息系统进行合规性审查,检查其是否符合网络安全等级保护制度的要求,发现并指出存在的安全隐患和不足,提出改进建议和措施,确保企业的网络和信息安全符合等保认证的要求。
【协助企业进行监督检查】
为企业提供监督检查前后的法律咨询和辅导,以及在监督检查中可能出现的问题或争议的处理方法。此外,律师在为企业选择合格的测评机构,协助企业与测评机构签订合同,监督测评过程,审核测评报告,确保测评结果真实有效,以及为企业提供应对行政处罚或司法诉讼等服务,维护企业的合法权益等也具有非常大的作用。
同时,企业自身还需要注意以下几点,以确保网络安全等级保护认证的顺利进行:
- 加强内部管理,完善信息安全管理制度,确保信息系统安全可控。
- 关注最新的网络安全威胁和漏洞,及时采取相应的安全防护措施,确保信息系统安全性。
- 建立完善的安全保护体系,包括安全培训、安全意识提升、安全事件应急预案等,提高企业安全防范能力。
- 注意个人信息保护,依据相关法律法规规定,对个人信息进行保护,确保用户隐私安全。
- 合理选择网络安全等级保护认证机构,选择具有资质、专业、可信度高的认证机构进行认证,确保认证结果合法有效。
四、等保测评-德迅云安全
德迅云安全,是一家专注于网络安全等级保护测评和信息安全解决方案的综合服务公司。公司主营业务包括网络安全等级保护测评、网络安全渗透测试、网络安全体系建设、网络安全运维、网络安全应急响应、网络安全管理咨询、网络安全培训、信息安全服务及信息安全风险评估管控等相关业务。
(1)德迅云安全等保合规优势
服务安全可靠
- 德迅云安全集结行业资深的专家服务团队,为您降低等保合规风险,提供安全、可靠、专业的安全合规产品和服务,快速、高效提升您的合规能力。
合规生态完备
- 无需头疼云上的信息系统综合规划建设,德迅云安全与专业的咨询机构、测评机构通力合作,为您提供完整、持续的等保合规咨询服务和等保测评服务。
防护架构严固
- 德迅云安全帮助您减少基础环境和安全产品投入,建立完整的安全技术架构,形成安全纵深防御,从而帮助您完成安全整改,以满足等保的合规技术要求。
合规产品优质
- 根据测评中发现的安全问题,德迅云安全为您提供周期的安全解决方案。结合灵活便捷、按需的选用安全合规产品和服务,极大节省您的合规成本。
(2)等保合规流程介绍
从定级到等保测评,德迅云安全依托自身优势与德迅云安全安全产品能力提供全面的安全产品和服务,提供一站式等保合规安全解决方案。
(3)《网络安全等级保护基本要求》关键项解读
安全通信网络
-
网络架构:划分不同的网络区域,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段,建设高可用、冗余的网络通信传输
-
通信传输: 应采用校验技术、密码技术保证通信过程中数据的完整性和保密性
-
可信验证:可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
-
条款解读:根据服务器角色和重要性,对网络进行安全域划分;确保网络带宽和处理能力能满足业务高峰期需要;确保通信传输过程数据的完整性和保密性,可采用可信进行可信验证
安全区域边界
-
边界防护:应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信,对非授权的内部/外部联接进行检查和限制
-
恶意代码防范:应在关键网络节点处对恶意代码、垃圾邮件进行检测和防护,并维护恶意代码、垃圾邮件防护机制的升级和更新
-
安全审计:应在网络边界、重要网络节点对每个用户及重要用户和重要安全事件进行安全审计,并记录和保护审计信息;应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析
-
条款解读:在内外网的安全域边界设置访问控制策略,并要求配置到具体的端口;在网络边界处应当部署入侵防范手段,防御并记录入侵行为;对网络中的用户行为日志和安全事件信息进行记录和审计;可采用可信进行可信验证
安全计算环境
-
身份鉴别:应对登录的用户进行身份标识和鉴别,同时对身份标识和鉴别有相关安全策略要求,包括身份唯一性、密码策略、账号安全策略、双因素鉴别等
-
安全审计:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;并记录和保护审计信息;应对审计进程进行保护,防止未经授权的中断
-
可信验证:可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
-
条款解读:针对服务器、数据库、应用系统等计算环境,借助第三方安全软件或通过应用本身的安全手段实现鉴权、账号安全、安全审计、数据安全保护等功能,保证系统层安全,防范入侵行为
安全管理中心
-
系统管理:应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作(系统资源和运行的配置、控制和管理),并对这些操作进行审计
-
审计管理:应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计
-
安全管理:应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计
-
集中管控:对安全设备、安全组件进行集中管控,对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测,对各个设备上的审计数据进行集中审计和分析
-
条款解读:借助第三方安全管理软件设立安全管理中心,对分散在网络中的各类设备、组件进行集中的管控、检测和审计
安全管理体系
-
安全管理制度:应建立由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系
-
安全管理机构:应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或 授权
-
安全管理人员:应制定人员方面的安全管理策略,确保人员录用、人员离岗、人员培训及外包人员的安全管理
-
安全建设管理:应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全建设
-
安全运维管理:应采取必要的措施进行环境、资产、介质、设备维护、漏洞和风险、密码、变更等的安全运维管理
-
条款解读:参考业界成熟的方法论和最佳实践,建立一套符合企业实际情况的信息安全管理体系,开展并落实持续的安全建设和安全管理
(4)等保合规相关产品
DDoS 高防(BGP)
满足等保要求中关于异常流量检测要求和业务高可用性要求,针对异常流量检测要求和业务高可用性要求、检测限制外部发起网络攻击的要求、网络各个部分的带宽满足业务高峰期需要。
数据安全网关(堡垒机)
满足等保要求中身份鉴别、访问控制和安全审计等要求;满足信息安全等级保护数据库管理要求以及访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
数据安全审计
满足等保要求中关于数据库安全审计的要求,满足信息安全等级保护数据库管理要求以及访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级,针对业务层面的审计。
SSL证书(CA)
具有服务器身份验证和数据传输加密功能的安全服务。满足等保对于链路加密https的要求,链路加密、禁止多个AP使用同一个认证密钥。
主机安全(云镜)
解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系,防止数据泄露。 满足等保要求中关于主机防病毒的要求。满足等保要求中关于对补丁统一升级要求。
安全运营中心
通过对海量数据进行多维、智能的持续分析,为用户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力,并采取相应的安全措施,保障信息系统安全,帮用户实现全生命周期安全运营。满足对分散的设备、组件、主机以及安全策略、事件等进行集中管控、审计、报警和分析。
结语
网络安全等级保护认证是企业保障信息系统安全的一项重要工作,企业做好网络安全等级保护认证,有助于企业建立健全的安全管理体系,提升安全防范意识和能力,增强企业信誉度,提高企业竞争力,减少安全事故的发生,从而有利于企业的长期稳定发展。在数字化转型的大背景下,企业应该高度重视网络安全问题,积极推进网络安全等级保护认证工作,增强防范和应对各种网络威胁和风险的能力,确保企业信息系统稳定可靠地运行。
