一、方案背景

《網(wǎng)絡(luò)安全法》出臺(tái)后，等級(jí)保護(hù)進(jìn)入2.0 時(shí)代，這意味著 2007 年四部門(mén)建立的“信息安全等級(jí)保護(hù)體系”已 全面升級(jí)到“網(wǎng)絡(luò)安全等級(jí)保護(hù) 2.0 體系”。網(wǎng)絡(luò)安全等級(jí)保護(hù)是國(guó)家網(wǎng)絡(luò)安全保障的基本制度、基本策略、基 本方法。開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)網(wǎng)絡(luò)安全的根本保障，是網(wǎng)絡(luò)安全保障工作中國(guó) 家意志的體現(xiàn)。

2019 年 5 月 13 日，國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)召開(kāi)新聞發(fā)布會(huì)，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0 標(biāo)準(zhǔn)正式發(fā)布，包括網(wǎng)絡(luò)安全等級(jí)保護(hù)的基本要求、測(cè)評(píng)要求、安全設(shè)計(jì)技術(shù)要求三個(gè)核心標(biāo)準(zhǔn)文件，實(shí)施時(shí)間為 2019 年 12 月 1 日。

二、解決方案內(nèi)容

網(wǎng)絡(luò)安全等級(jí)保護(hù)工作包括定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查五個(gè)階段。在等級(jí)保護(hù) 2.0 解決方案中，涉及到四個(gè)不同的角色，分別是：運(yùn)營(yíng)使用單位、公安機(jī)關(guān)、測(cè)評(píng)機(jī)構(gòu)、安全集成商。

1、定級(jí)與備案

1>定級(jí)：根據(jù)信息系統(tǒng)的業(yè)務(wù)重要性、數(shù)據(jù)敏感性等因素，合理確定信息系統(tǒng)的安全保護(hù)等級(jí)。

2>備案：將定級(jí)結(jié)果報(bào)送公安機(jī)關(guān)進(jìn)行備案，確保信息系統(tǒng)的安全保護(hù)等級(jí)得到官方認(rèn)可。

2、建設(shè)整改

1>安全通信網(wǎng)絡(luò)：構(gòu)建安全可靠的通信網(wǎng)絡(luò)，采用加密技術(shù)保護(hù)通信數(shù)據(jù)的安全傳輸。

2>安全區(qū)域邊界：設(shè)置防火墻、入侵檢測(cè)系統(tǒng)等安全設(shè)備，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行嚴(yán)格的訪(fǎng)問(wèn)控制和安全檢測(cè)。

3>安全計(jì)算環(huán)境：加強(qiáng)操作系統(tǒng)、數(shù)據(jù)庫(kù)等計(jì)算環(huán)境的安全防護(hù)，實(shí)施最小權(quán)限原則，定期更新系統(tǒng)補(bǔ)丁和防病毒軟件。

4>安全管理中心：建立統(tǒng)一的安全管理平臺(tái)，對(duì)全網(wǎng)的安全事件進(jìn)行集中監(jiān)控、分析和響應(yīng)。

3、等級(jí)測(cè)評(píng)

1>測(cè)評(píng)準(zhǔn)備：制定詳細(xì)的測(cè)評(píng)計(jì)劃，明確測(cè)評(píng)范圍、方法和標(biāo)準(zhǔn)。

2>現(xiàn)場(chǎng)測(cè)評(píng)：通過(guò)技術(shù)手段和管理手段對(duì)信息系統(tǒng)的安全保護(hù)狀況進(jìn)行全面測(cè)評(píng)。

3>結(jié)果分析：根據(jù)測(cè)評(píng)結(jié)果，分析信息系統(tǒng)的安全漏洞和風(fēng)險(xiǎn)點(diǎn)，提出整改建議。

4、監(jiān)督檢查

1>日常監(jiān)督：定期對(duì)信息系統(tǒng)的安全保護(hù)狀況進(jìn)行監(jiān)督檢查，確保各項(xiàng)安全措施得到有效執(zhí)行。

2>應(yīng)急響應(yīng)：建立應(yīng)急響應(yīng)機(jī)制，對(duì)突發(fā)的安全事件進(jìn)行快速響應(yīng)和處置。

三、解決方案特色

1、合規(guī)性：嚴(yán)格遵循國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和法律法規(guī)要求，確保信息系統(tǒng)的安全保護(hù)符合合規(guī)要求。

2、體系化：通過(guò)等級(jí)劃分和相應(yīng)的防護(hù)措施構(gòu)建體系化的安全防護(hù)體系，提高信息系統(tǒng)的整體安全水平。

3、靈活性：結(jié)合行業(yè)特性和用戶(hù)實(shí)際需求進(jìn)行定制化設(shè)計(jì)，滿(mǎn)足不同用戶(hù)的安全保護(hù)需求。

4、持續(xù)性：通過(guò)定期測(cè)評(píng)和監(jiān)督檢查確保信息系統(tǒng)的安全保護(hù)狀況持續(xù)改進(jìn)和提升。

網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0解決方案是保障信息系統(tǒng)安全穩(wěn)定運(yùn)行的重要手段。通過(guò)定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查五個(gè)階段的實(shí)施構(gòu)建符合等級(jí)保護(hù)要求的信息安全防護(hù)體系可以有效提高信息系統(tǒng)的安全保護(hù)水平。