一、方案背景

《網絡安全法》出臺后，等級保護進入2.0 時代，這意味著 2007 年四部門建立的“信息安全等級保護體系”已 全面升級到“網絡安全等級保護 2.0 體系”。網絡安全等級保護是國家網絡安全保障的基本制度、基本策略、基 本方法。開展網絡安全等級保護工作是保護信息化發(fā)展、維護網絡安全的根本保障，是網絡安全保障工作中國 家意志的體現(xiàn)。

2019 年 5 月 13 日，國家市場監(jiān)督管理總局、國家標準化管理委員會召開新聞發(fā)布會，網絡安全等級保護制度2.0 標準正式發(fā)布，包括網絡安全等級保護的基本要求、測評要求、安全設計技術要求三個核心標準文件，實施時間為 2019 年 12 月 1 日。

二、解決方案內容

網絡安全等級保護工作包括定級、備案、建設整改、等級測評、監(jiān)督檢查五個階段。在等級保護 2.0 解決方案中，涉及到四個不同的角色，分別是：運營使用單位、公安機關、測評機構、安全集成商。

1、定級與備案

1>定級：根據(jù)信息系統(tǒng)的業(yè)務重要性、數(shù)據(jù)敏感性等因素，合理確定信息系統(tǒng)的安全保護等級。

2>備案：將定級結果報送公安機關進行備案，確保信息系統(tǒng)的安全保護等級得到官方認可。

2、建設整改

1>安全通信網絡：構建安全可靠的通信網絡，采用加密技術保護通信數(shù)據(jù)的安全傳輸。

2>安全區(qū)域邊界：設置防火墻、入侵檢測系統(tǒng)等安全設備，對進出網絡的數(shù)據(jù)進行嚴格的訪問控制和安全檢測。

3>安全計算環(huán)境：加強操作系統(tǒng)、數(shù)據(jù)庫等計算環(huán)境的安全防護，實施最小權限原則，定期更新系統(tǒng)補丁和防病毒軟件。

4>安全管理中心：建立統(tǒng)一的安全管理平臺，對全網的安全事件進行集中監(jiān)控、分析和響應。

3、等級測評

1>測評準備：制定詳細的測評計劃，明確測評范圍、方法和標準。

2>現(xiàn)場測評：通過技術手段和管理手段對信息系統(tǒng)的安全保護狀況進行全面測評。

3>結果分析：根據(jù)測評結果，分析信息系統(tǒng)的安全漏洞和風險點，提出整改建議。

4、監(jiān)督檢查

1>日常監(jiān)督：定期對信息系統(tǒng)的安全保護狀況進行監(jiān)督檢查，確保各項安全措施得到有效執(zhí)行。

2>應急響應：建立應急響應機制，對突發(fā)的安全事件進行快速響應和處置。

三、解決方案特色

1、合規(guī)性：嚴格遵循國家等級保護相關標準和法律法規(guī)要求，確保信息系統(tǒng)的安全保護符合合規(guī)要求。

2、體系化：通過等級劃分和相應的防護措施構建體系化的安全防護體系，提高信息系統(tǒng)的整體安全水平。

3、靈活性：結合行業(yè)特性和用戶實際需求進行定制化設計，滿足不同用戶的安全保護需求。

4、持續(xù)性：通過定期測評和監(jiān)督檢查確保信息系統(tǒng)的安全保護狀況持續(xù)改進和提升。

網絡安全等級保護2.0解決方案是保障信息系統(tǒng)安全穩(wěn)定運行的重要手段。通過定級、備案、建設整改、等級測評、監(jiān)督檢查五個階段的實施構建符合等級保護要求的信息安全防護體系可以有效提高信息系統(tǒng)的安全保護水平。