新等保解决方案产品销售指导.pptx
合集下载
等保2.0详细解读PPT课件
2021/6/4 Nhomakorabea7
等保2.0测评变化
• 测评
• 及格分从60分改为75分
• 安全要求
• 由“安全要求”改为“安全通用要求和安全扩展要求” • 新增扩展要求:云计算、移动互联网、物联网、工业控制、大数据安全
• 评测周期
• 由原先四级系统每半年需要复查一次改为三级以上系统一年复查一次
• 要求分类精简
• 把管理要求和通用要求纳入到技术要求中 • 分类由10类改为8类
系统备案 已运行的系统在安全保护等级确定后30日内 ,由其运营、使用单位到所在地设区的市级 以上公安机关办理备案手续。新建的系统, 在通过立项申请后30日内办理。
材料不齐
公安机关审核
定级不准
材料齐、定级准
颁发证书 公安机关颁发系统等级保护备案证书。
分析安全需求 对照等保有关规定和标准分析系统安全建设整改需求,可委 托安全服务机构、等保技术支持单位分析。对于整改项目, 还可委托测评机构通过等保测评、风险评估等方法分析整改 需求。
建设整改 根据需求制订建设整改方案,按照国家相关规范和技术 标准,使用符合国家有关规定,满足系统等级需 求,开展信息系统安全建设整改。
不合格
等保测评 选择第三方测评机构进行测评。其 中对于新建系统可在试运行阶段进
行测评。
提交报告 系统运营、使用单位向地级以上市公安机关报测评报告 。项目验收文档中也须含有测评报告。
公民、法人和其他组 织的合法权益
社会秩序、公共利益
国家安全
一般损 害
第一级
对客体的侵害程度
严重损害
特别严重损害
第二级
第三级
第二级 第三级
第三级 第四级
第四级 第五级
等保2.0测评变化
• 测评
• 及格分从60分改为75分
• 安全要求
• 由“安全要求”改为“安全通用要求和安全扩展要求” • 新增扩展要求:云计算、移动互联网、物联网、工业控制、大数据安全
• 评测周期
• 由原先四级系统每半年需要复查一次改为三级以上系统一年复查一次
• 要求分类精简
• 把管理要求和通用要求纳入到技术要求中 • 分类由10类改为8类
系统备案 已运行的系统在安全保护等级确定后30日内 ,由其运营、使用单位到所在地设区的市级 以上公安机关办理备案手续。新建的系统, 在通过立项申请后30日内办理。
材料不齐
公安机关审核
定级不准
材料齐、定级准
颁发证书 公安机关颁发系统等级保护备案证书。
分析安全需求 对照等保有关规定和标准分析系统安全建设整改需求,可委 托安全服务机构、等保技术支持单位分析。对于整改项目, 还可委托测评机构通过等保测评、风险评估等方法分析整改 需求。
建设整改 根据需求制订建设整改方案,按照国家相关规范和技术 标准,使用符合国家有关规定,满足系统等级需 求,开展信息系统安全建设整改。
不合格
等保测评 选择第三方测评机构进行测评。其 中对于新建系统可在试运行阶段进
行测评。
提交报告 系统运营、使用单位向地级以上市公安机关报测评报告 。项目验收文档中也须含有测评报告。
公民、法人和其他组 织的合法权益
社会秩序、公共利益
国家安全
一般损 害
第一级
对客体的侵害程度
严重损害
特别严重损害
第二级
第三级
第二级 第三级
第三级 第四级
第四级 第五级
新时代等级保护安全解决方案PPT资料【优质版】
国家网络安全等级保护制度2.0 国家新标准
国家新标准
《网络安全等级保护基 本要求》
GB/T 22239--
《网络安全等级保护安全 设计技术要求》 GB/T 25070--
《网络安全等级保护测评 要求》
GB/T 28448--
等级保护进入时代典型标志
新
时 代
网络安全法
《网络安全法》规定“国家实行网络安全 等级保护制度”。标志 了等级保护制度的 法律地位。
行业测评机构
地方测评机构
等级保护主要工作流程
监督检查是保护能力不断提高的保障
一 定级
二 备案
三 建设整改
四 等级测评
等级测评是评价安全保护状况的方法 建设整改是等级保护工作落实的关键
备案是等级保护的核心 定级是等级保护的首要环节
等级保护安全技术方案
应用安全扩展要求”的要求内容
为了适应移动互联、云计算、大数据、物联网和工业控制I等n新te技r术n、et新应用情况下信息安全等级保护工作的开展,需对GB/T 22239—
的
网
络
新条例
公安部会同中央网信办、国家保密局和国 家密码管理局,联合起草 并上报了《网络安全等级保护条例》(草案)。
安
全 观 新标准
国家新标准出台并实施。
没有网络安全就没有国家安全
新时期国家网络安全等级保护制度的鲜明特点
一.两个全覆盖
一是覆盖各地区、各单位、各部门、 各企 业、各机构,即是覆盖全社会。
THE BUSENESS PLAN 统等列入标准范围,构成了“安全通用要求+新型 可信验证列入各个级别并逐级提出各个环节 安全等级保护的对象包括网络基础设施(广电网、电信 网、专用通信网络等)、云计算平台/系统、大数据平 台/系统、物联网、工业 控制系统、采用移动互联技术 的系统等. 《网络安全等级保护测评要求》 《网络安全等级保护基本要求》
等级保护宣讲 ppt课件
等级保护交流
汇报人:
CONTENTS
背景知识 1
3 等级保护政策标准 2
4
等级保护流程 等级保护解决方案
PPT模板下载: 行业PPT模板:
节日PPT模板:
PPT素材下载:
PPT背景图片: PPT图表下载:
优秀PPT下载: PPT教程:
W ord教程:
Excel教程:
资料下载:
PPT课件下载:
范文下载:
利用等级保护 开展安全工作 是国家的唯一选择
政策支撑
①等级保护制度是所有 安全中发文次数最多最 权威的制度,22年历 史; ②等级保护是唯一建立 系列标准覆盖实施落地 全流程,并向云移工扩 展的安全管理要求。
执行队伍
① 建立由中央、省、 市、县四级的网络 警察队伍,警察的 执行力度在所有国 家机关中最强。 ②全国133家测评 中心的技术支撑单 位;
高端手法:信息安全集成(等级保护)独立运作
为什么选择等级保护? 1、国家政策 2、安全不是产品的简单堆积,也不是一次性的静态过程,它是
人员、技术、操作三者紧密结合的系统工程,是不断演进、循环 发展的动态过程
3、信息安全是一把手工程,信息安全是全员工程,信息安全工 作是三分技术、七分管理。
高层牵头 领导负责 全员参与
1 背景知识
用户开展等级保护建设的意义
安全建设体系化
以等级保护为标准开展安全 建设,让安全建设更加体系 化,可以从物理、网络、主 机、应用和数据多个方面成 体系的进行安全建设,再也 不是头痛医头脚痛医脚,对 本单位的安全建设有整体的 规划和思路。
安全 体系
责任 分担
责任更清晰
完成等保测评意味着公安机关 认可你的安全现状,一旦发生 安全事件是意外。如果没有进 行等级保护测评意味着你没有 达到国家要求,一旦发生安全 事件要自己承担相关责任。
汇报人:
CONTENTS
背景知识 1
3 等级保护政策标准 2
4
等级保护流程 等级保护解决方案
PPT模板下载: 行业PPT模板:
节日PPT模板:
PPT素材下载:
PPT背景图片: PPT图表下载:
优秀PPT下载: PPT教程:
W ord教程:
Excel教程:
资料下载:
PPT课件下载:
范文下载:
利用等级保护 开展安全工作 是国家的唯一选择
政策支撑
①等级保护制度是所有 安全中发文次数最多最 权威的制度,22年历 史; ②等级保护是唯一建立 系列标准覆盖实施落地 全流程,并向云移工扩 展的安全管理要求。
执行队伍
① 建立由中央、省、 市、县四级的网络 警察队伍,警察的 执行力度在所有国 家机关中最强。 ②全国133家测评 中心的技术支撑单 位;
高端手法:信息安全集成(等级保护)独立运作
为什么选择等级保护? 1、国家政策 2、安全不是产品的简单堆积,也不是一次性的静态过程,它是
人员、技术、操作三者紧密结合的系统工程,是不断演进、循环 发展的动态过程
3、信息安全是一把手工程,信息安全是全员工程,信息安全工 作是三分技术、七分管理。
高层牵头 领导负责 全员参与
1 背景知识
用户开展等级保护建设的意义
安全建设体系化
以等级保护为标准开展安全 建设,让安全建设更加体系 化,可以从物理、网络、主 机、应用和数据多个方面成 体系的进行安全建设,再也 不是头痛医头脚痛医脚,对 本单位的安全建设有整体的 规划和思路。
安全 体系
责任 分担
责任更清晰
完成等保测评意味着公安机关 认可你的安全现状,一旦发生 安全事件是意外。如果没有进 行等级保护测评意味着你没有 达到国家要求,一旦发生安全 事件要自己承担相关责任。
等级保护宣讲-ppt课件
第五阶段:由于公安的强势管理和重视安全的企业的自我觉醒,民企发现,做安全,除等保外没有别的选择。
部委
省厅单位
三甲医院、高校、央企 省属国企、大金融、运营商
地级市委办局、县委办局、普教 普通医院、市属国企、其他事业单位
民营企业包括:互联网、电子商务、小金融、 物流、具有品牌影响力的公司和其他规模公司
目前,全国范围内正在处于第三阶段,落后地区第二阶段还只完成部分,发达地区已经尝试从第三阶段迈入第四第五阶段。
1
背景知识
用户开展等级保护建设的意义
安全体系
责任分担
以等级保护为标准开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。
安全建设体系化
责任更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件要自己承担相关责任。
3
等保工作
3
等保工作
等保 工作
新系统上线、网络架构调整时,都要再重新做等保规划建设; 等保建设是持续性的,每年测评只要有问题,就要做整改。
等级保护建设中的角色
公安机关备案的测评机构
主要承担系统测评的工作,只有在当地公安机关备案的测评机构才可以开展测评工作。
集成商、安全厂商
根据咨询服务单位提供的整改方案,要采购相应的安全设备和服务,这些内容由集成商和安全厂商提供。
3
等保工作
等级保护的等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
部委
省厅单位
三甲医院、高校、央企 省属国企、大金融、运营商
地级市委办局、县委办局、普教 普通医院、市属国企、其他事业单位
民营企业包括:互联网、电子商务、小金融、 物流、具有品牌影响力的公司和其他规模公司
目前,全国范围内正在处于第三阶段,落后地区第二阶段还只完成部分,发达地区已经尝试从第三阶段迈入第四第五阶段。
1
背景知识
用户开展等级保护建设的意义
安全体系
责任分担
以等级保护为标准开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。
安全建设体系化
责任更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件要自己承担相关责任。
3
等保工作
3
等保工作
等保 工作
新系统上线、网络架构调整时,都要再重新做等保规划建设; 等保建设是持续性的,每年测评只要有问题,就要做整改。
等级保护建设中的角色
公安机关备案的测评机构
主要承担系统测评的工作,只有在当地公安机关备案的测评机构才可以开展测评工作。
集成商、安全厂商
根据咨询服务单位提供的整改方案,要采购相应的安全设备和服务,这些内容由集成商和安全厂商提供。
3
等保工作
等级保护的等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息安全等级保护与整体解决方案PPT课件
2005年12月,公安部《信息系统安全等级保护实施指 南》、《信息系统安全等级保护定级要求》、《信息 系统安全等级保护基本要求》、《信息系统安全等级 保护测评准则》(GB送审稿陆续出台)
2006年3月开始实施的公安部、国家保密局、国家密码 管理局、国信办四部委(局办)发布7号文 《等级保 护管理办法》
信息安全等级保护与 等级化安全体系解决方案
1
INDEX
网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案
2
网络安全与信息安全
安全定义 安全基本要求 安全技术体系 安全模型
3
安全定义
防止任何对数据进行未授权访问的措施,或者造 成信息有意无意泄漏、破坏、丢失等问题的发生, 让数据处于远离危险、免于威胁的状态或特性。
10
对等级保护的理解
等级保护是我国信息安全领域的一项基本政策
1994年,《中华人民共和国计算机信息系统安全保护条 例》的发布
1999年,《计算机信息系统安全保护等级划分准则》 GB17859-1999发布
2003年,中央办公厅、国务院办公厅转发《国家信息化 领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27号文)
12
对等级保护的理解(续二)
等级保护的核心是将传统的定性设计逐步进化为 定量的安全保障设计
对信息系统实施不同等级的安全保护 对信息系统中使用的安全产品实施分等级管理 对信息系统发生的安全事件分等级响应和处置
13
对等级保护的理解(续三)
等级保护体现了差异化的安全保障思想
由系统使命决定系统的等级,充分考虑业务信息安全性和业 务服务保证性
2004年,四部委(公安部、国家保密局、国家密码管理 局、国信办)联合签发了《关于信息安全等级保护工作 的实施意见 》(公通字[2004]66号文)
2006年3月开始实施的公安部、国家保密局、国家密码 管理局、国信办四部委(局办)发布7号文 《等级保 护管理办法》
信息安全等级保护与 等级化安全体系解决方案
1
INDEX
网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案
2
网络安全与信息安全
安全定义 安全基本要求 安全技术体系 安全模型
3
安全定义
防止任何对数据进行未授权访问的措施,或者造 成信息有意无意泄漏、破坏、丢失等问题的发生, 让数据处于远离危险、免于威胁的状态或特性。
10
对等级保护的理解
等级保护是我国信息安全领域的一项基本政策
1994年,《中华人民共和国计算机信息系统安全保护条 例》的发布
1999年,《计算机信息系统安全保护等级划分准则》 GB17859-1999发布
2003年,中央办公厅、国务院办公厅转发《国家信息化 领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27号文)
12
对等级保护的理解(续二)
等级保护的核心是将传统的定性设计逐步进化为 定量的安全保障设计
对信息系统实施不同等级的安全保护 对信息系统中使用的安全产品实施分等级管理 对信息系统发生的安全事件分等级响应和处置
13
对等级保护的理解(续三)
等级保护体现了差异化的安全保障思想
由系统使命决定系统的等级,充分考虑业务信息安全性和业 务服务保证性
2004年,四部委(公安部、国家保密局、国家密码管理 局、国信办)联合签发了《关于信息安全等级保护工作 的实施意见 》(公通字[2004]66号文)
信息安全等级保护与解决方案ppt
• 2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》 (公通字[2004]66号)也指出:“信息系统安全等级保护制度是国家在 国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维 护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一 项基本制度”。
信息安全等级保护发展历程
信息安全等级保护与解决方案
信息安全等级保护与解决方案
• 信息安全等级保护
信息安全现状与问题 信息安全等级保护简介
• 信息安全解决方案
信息安全技术 信息安全管理 信息安全方案
信息安全现状
• 日益增长的安全威胁
– 攻击技术越来越复杂 – 入侵条件越来越简单
信息安全问题
• 安全事件
– 每年都有上千家政府网站被攻击
• 安全影响
– 任何网络都可能遭受入侵
信息系统安全等级保护
• 信息系统安全等级保护简介 • 信息系统安全保护等级划分 • 信息系统安全保护定级指南
等级保护出台是信息安全发展的需要
信息安全问题层出不穷 安全保护措施、安全管理建设不足,导致各种安全事故发生 国内缺乏相类似的安全标准 国家、服务商和用户在安全建设过程中缺乏参考依据 随着信息安全技术的发展 随着安全意识的提高 随着安全服务范围增大 对信息安全管理需要实行等级化保护(目标/要求/能力)
信息系统所属类型赋值表
信息系统所属类型举例
赋
信息系统的社会影响
值
属于一般企事业单位,处理其内部事 1 信息系统资产受到破坏会对本单
务的信息系统。
位利益有直接影响。
属于重要行业、重要领域和国家基础 设施,为国计民生、经济建设等提供 重要服务的信息系统,或本身虽属一 般企事业单位,但为党政或重要信息 系统提供支撑服务的信息系统。
信息安全等级保护发展历程
信息安全等级保护与解决方案
信息安全等级保护与解决方案
• 信息安全等级保护
信息安全现状与问题 信息安全等级保护简介
• 信息安全解决方案
信息安全技术 信息安全管理 信息安全方案
信息安全现状
• 日益增长的安全威胁
– 攻击技术越来越复杂 – 入侵条件越来越简单
信息安全问题
• 安全事件
– 每年都有上千家政府网站被攻击
• 安全影响
– 任何网络都可能遭受入侵
信息系统安全等级保护
• 信息系统安全等级保护简介 • 信息系统安全保护等级划分 • 信息系统安全保护定级指南
等级保护出台是信息安全发展的需要
信息安全问题层出不穷 安全保护措施、安全管理建设不足,导致各种安全事故发生 国内缺乏相类似的安全标准 国家、服务商和用户在安全建设过程中缺乏参考依据 随着信息安全技术的发展 随着安全意识的提高 随着安全服务范围增大 对信息安全管理需要实行等级化保护(目标/要求/能力)
信息系统所属类型赋值表
信息系统所属类型举例
赋
信息系统的社会影响
值
属于一般企事业单位,处理其内部事 1 信息系统资产受到破坏会对本单
务的信息系统。
位利益有直接影响。
属于重要行业、重要领域和国家基础 设施,为国计民生、经济建设等提供 重要服务的信息系统,或本身虽属一 般企事业单位,但为党政或重要信息 系统提供支撑服务的信息系统。
等保交流-基础知识ppt课件
6
等级保护目标客户:
(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性 公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系 统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展 改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土 资源、能源、交通、文化、统计、工商行政管理、邮政、国防工业等关系到国计 民生的信息系统(生产、调度、管理、办公等重要信息系统)。
技术要求:
应用安全-身份鉴别、访问控制、安全审计 应用安全-通信保密性、通信完整性
方案:
SSL VPN:远程用户接入时的身份鉴别、权限控制、安全审计,并保证通信保密性和完 整性; 服务器群组防护:用户访问时进行身份鉴别,保证访问业务系统的安全性与边界隔离; 堡垒机:设备用户权限管理的安全问题;
22
安全管理中心
挖掘需求:
随着信息化建设的进行,服务器和网络设备越来越多,业务系统越来越多,用户没有 精力逐个监控,迫切的需要有一个系统能够监控整个网络的情况,尤其是监控所有业 务系统的健康状况,并且当业务系统出现问题时,能够进行即使的告警。另外,需要 实现对设备的统一的策略管理和下发。
技术要求:
应用安全-资源控制 主机安全-资源控制 监控管理和安全管理中心 网络安全管理
(三)教育、国家科研等单位的信息系统
(四)市(地)级以上党政机关的重要网站和办公信息系统
(五)中央企业以及国资委下属企业
7
• 目前国家出台了哪些有关等保的政策?
– 国家: • 国务院147号令《中华人民共和国计算机信息系统安全保护条例》(94年) • 公通字[2004]66号《关于信息安全等级保护工作的实施意见》 • 公通字[2007]43号《信息安全等级保护管理办法》
等保培训PPT课件
21
各级系统的保护要求差异
一级系统
计划和跟踪(主要制度)
二级系统
计划和跟踪(主要制度)
三级系统
良好定义(管理活动制度化)
四级系统
持续改进(管理活动制度化/及时改进)
22
构建系统模型_技术模型
应用系统
医疗
教育
科研
管理
主机系统
网络系统 物理环境
Web 服务 Mail 服务 数据库 多媒体平台 中间件 ……
32
物理安全
公通字[2007]43号文 测评周期要求 ➢ 第三级信息系统应当每年至少进行一次等级测评; ➢ 第四级信息系统应当每半年至少进行一次等级测评; ➢ 第五级信息系统应当依据特殊安全需求进行等级测评。 自查周期要求 ➢ 第三级信息系统应当每年至少进行一次自查; ➢ 第四级信息系统应当每半年至少进行一次自查; ➢ 第五级信息系统应当依据特殊安全需求进行自查。 根据测评、自查情况制定整改方案并实施。
除外); (三)从事相关检测评估工作两年以上,无违法记录; (四)工作人员仅限于中国公民; (五)法人及主要业务、技术人员无犯罪记录; (六)使用的技术装备、设施应当符合本办法对信息安全产品的要求; (七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全
管理制度; (八)对国家安全、社会秩序、公共利益不构成威胁。
目录
□等级保护基本知识介绍 □等级保护基本要求的具体介绍 □信息安全等级保护检查问题发现和总结
1
等级保护基本知识介绍
□等级保护的政策依据 □等级保护的关键环节(流程) □等级保护的现实意义 □等级保护的相关标准 □《基本要求》核心思想解读
2
等级保护政策依据
✓ 《国家信息化领导小组关于加强信息安全保障工作的意见 》(中办发[2003]27号 )
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
新等保解决方案产品销售指导
正式版 V1.0
产品与解决方案中心 王亮 张培蔚
CONTENTS
• 等级保护通用要求 • 三级等保方案介绍 • 方案优势&价值 • 典型案例 • 可销售产品清单
2
等级保护有法可依违法必究
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按 照网络安全等级保护制度的要求,履行下列安全保护义务,保障 网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或 者被窃取、篡改… 第五十九条 网络运营者不履行本法第二十一条、第二十五条规 定的网络安全保护义务的,由有关主管部门责令改正,给予警告 ;拒不改正或者导致危害网络安全等后果的,处一万元以上十万 元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚 款。
系统调查 系统定级 定级报告 专家评审 协助备案
基础环境评估 服务
现场评估 报告编制
安全规划设计 服务
安全需求分析 安全策略设计 解决方案设计 安全建设规划
等保集成服务
详细设计 技术实现 管理实现 安全培训
安全运维服务
运行管理 服务商管控 等级测评 检测改进
安全应急服务
应急预案 监测响应 评估改进 应急保障
等级保护安全架构
策略制度
策略制度 等保咨询
管 理
建设管理
建设管理 等保集成
基础环境 评估
安全培训
代码卫士
要
机构人员
机构人员 等保咨询
求
安全运维
安全运维
日志审计 LAS
堡垒机
应急响应 驻场保障
SNI NGSOC
渗透测试
应用和数 数据
据安全
应用
DB审计 WAF
DLP
网页 防篡改
容灾备份
鹰眼
应用改造 邮件网关
10 TL9000电讯业质量管理体系认证
安全服务类
1 信息安全等级保护建设服务机构能力评估合格证书
2 ISCCC信息安全服务资质-应急处理服务
3 ISCCC信息安全服务资质-风险评估服务
4 ISCCC信息安全服务资质-信息系统安全集成服务
5 国测信息安全服务资质-安全开发类
6 国测信息安全服务资质-安全工程类
网神 启明星辰 绿盟科技
二级 √ √ √ √ √ √ √ √ ×
二级 √ √ √ √ × √ √ × ×
二级 √ √ √ √ × √ × × ×
√ 一级 一级 一级 一级 二级
√
二级
√ 一级 一级 一级 一级 二级
√
一级
√ 一级 一级 一级 一级 二级
×
二级
二级
二级
二级
一级
一级
一级
一级
一级
一级
国家级 √
等保2.0扩展—安全通用要求+五个扩展分册
• GB/T22239.1-XXXX 信息安全技术 网络 安全等级保护基本要求
第1部分 安全通用要求 • GB/T 22239.2-XXXX信息安全技术 网络
安全等级保护基本要求 第2部分 云计算安全扩展要求 • GB/T 22239.3-XXXX信息安全技术 网络
7 CISP授权服务机构
8
通信网络安全服务能力评定证书 安全设计与集成(三级为最高级)
9
通信网络安全服务能力评定证书 风险评估(三级为最高级)
10
通信网络安全服务能力评定证书 应急响应(三级为最高级)
11
通信网络安全服务能力评定证书 安全培训(三级为最高级)
服务支撑类 1 CNCERT/CC网络安全应急服务支撑单位 2 CNCERT 网络安全信息通报单位
设备和计算安全
安全管理机构和人员
网络和通信安全
安全建设管理
物理和环境安全
安全运维管理
三级安全控制项2.0: 229项 技术116 管理113
等保2.0控制域控制项变化示例
CONTENTS
• 等级保护通用要求 • 三级等保方案介绍 • 方案优势&价值 • 典型案例 • 可销售产品清单
7
安全产品与等保要求对应情况
技 术
操作系统 天擎
设备和计
NAC
漏扫
360ID
CA
要 求
算安全
虚拟化
虚拟化 安全
网络与通
信安全
网络
NGFW
Anti DDoS
漏扫
VPN
ICG
IPS 天眼
防病毒墙
网闸
天巡
SMAC
物理安全
物理环境 CCTV
防火
防水
电磁防护 电力保障 机房抗震
门禁
注:物理安全由等保防护对象或电信基础设施运营商提供
360 自 有 设 备 : 第三方设备:
CONTENTS
• 等级保护通用要求 • 三级等保方案介绍 • 方案优势&价值 • 典型案例 • 可销售产品清单
10
优势1-- 产品覆盖最全
一站式新等保三级解决方案
1
等保咨询
2
安全风险评估
3
安全架构设计 安全集成
4
安全运维
5
应急响应
优势2--公司资质最全
序号
资质名称
认定认可类
1 计算机信息系统集成企业资质(大型一级为最高级)
2 商用密码产品销售许可证
5 ISO9001:2008质量管理体系(包含网神科技)
6 ISO20000:2011信息技术服务管理体系
7 ISO27001:2005信息安全管理体系
8 ISO14000环境管理体系认证
9 ISO18000职业健康安全管理体系
等保二级 要求
等保二级 要求
等保三级 增加要求
等保三级 增加要求
等级保护生命周期安全服务(等保2.0)
行业/领域主管部门 属地公安机关
有等保建设资质的 厂商,设计院等
有等保建设资质的 厂商
等保用户 专业安全厂商
定级备案
总体安全规划
安全设计实施
安全运行维护
等保用户 专业安全厂商
应急响应保障
等保咨询服务
安全等级保护基本要求 第3部分 移动互联安全扩展要求 • GB/T 22239.4-XXXX信息安全技术 网络
安全等级保护基本要求 第4部分 物联网安全扩展要求 • GB/T 22239.5-XXXX信息安全技术 网络
安全等级保护基本要求 第5部分 工业控制安全扩展要求 • GB/T 22239.6-XXXX信息安全技术 网络
国家级 √
国家级 √
天融信
二级 √ √ √ √ √ √ √ × √
× 一级 一级 一级 一级 二级
√
二级
二级
一级
一级
国家级 √
深信服 华为 东软
×
一级 一级
√
√
√
×
×
×
√
√
√
√
√
√
×
√
√
×
√
√
×
√
√
×
√
√
×
√
×
×
×
×
×
一级 一级
×
一级 一级
×
一级 一级
安全等级保护基本要求 第6部分 大数据安全扩展要求
等保三级安全的控制项
技术要求
管理要求
数据安全及备份恢复
系统运维管理
应用安全
系统建设管理
主机安全
人员安全管理
网络安全
安全管理机构
物理安全
安全管理制度
三级安全控制项1.0: 290项 技术136 管理154
技术要求
管理要求
应用和数据安全
安全策略和管理制度
正式版 V1.0
产品与解决方案中心 王亮 张培蔚
CONTENTS
• 等级保护通用要求 • 三级等保方案介绍 • 方案优势&价值 • 典型案例 • 可销售产品清单
2
等级保护有法可依违法必究
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按 照网络安全等级保护制度的要求,履行下列安全保护义务,保障 网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或 者被窃取、篡改… 第五十九条 网络运营者不履行本法第二十一条、第二十五条规 定的网络安全保护义务的,由有关主管部门责令改正,给予警告 ;拒不改正或者导致危害网络安全等后果的,处一万元以上十万 元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚 款。
系统调查 系统定级 定级报告 专家评审 协助备案
基础环境评估 服务
现场评估 报告编制
安全规划设计 服务
安全需求分析 安全策略设计 解决方案设计 安全建设规划
等保集成服务
详细设计 技术实现 管理实现 安全培训
安全运维服务
运行管理 服务商管控 等级测评 检测改进
安全应急服务
应急预案 监测响应 评估改进 应急保障
等级保护安全架构
策略制度
策略制度 等保咨询
管 理
建设管理
建设管理 等保集成
基础环境 评估
安全培训
代码卫士
要
机构人员
机构人员 等保咨询
求
安全运维
安全运维
日志审计 LAS
堡垒机
应急响应 驻场保障
SNI NGSOC
渗透测试
应用和数 数据
据安全
应用
DB审计 WAF
DLP
网页 防篡改
容灾备份
鹰眼
应用改造 邮件网关
10 TL9000电讯业质量管理体系认证
安全服务类
1 信息安全等级保护建设服务机构能力评估合格证书
2 ISCCC信息安全服务资质-应急处理服务
3 ISCCC信息安全服务资质-风险评估服务
4 ISCCC信息安全服务资质-信息系统安全集成服务
5 国测信息安全服务资质-安全开发类
6 国测信息安全服务资质-安全工程类
网神 启明星辰 绿盟科技
二级 √ √ √ √ √ √ √ √ ×
二级 √ √ √ √ × √ √ × ×
二级 √ √ √ √ × √ × × ×
√ 一级 一级 一级 一级 二级
√
二级
√ 一级 一级 一级 一级 二级
√
一级
√ 一级 一级 一级 一级 二级
×
二级
二级
二级
二级
一级
一级
一级
一级
一级
一级
国家级 √
等保2.0扩展—安全通用要求+五个扩展分册
• GB/T22239.1-XXXX 信息安全技术 网络 安全等级保护基本要求
第1部分 安全通用要求 • GB/T 22239.2-XXXX信息安全技术 网络
安全等级保护基本要求 第2部分 云计算安全扩展要求 • GB/T 22239.3-XXXX信息安全技术 网络
7 CISP授权服务机构
8
通信网络安全服务能力评定证书 安全设计与集成(三级为最高级)
9
通信网络安全服务能力评定证书 风险评估(三级为最高级)
10
通信网络安全服务能力评定证书 应急响应(三级为最高级)
11
通信网络安全服务能力评定证书 安全培训(三级为最高级)
服务支撑类 1 CNCERT/CC网络安全应急服务支撑单位 2 CNCERT 网络安全信息通报单位
设备和计算安全
安全管理机构和人员
网络和通信安全
安全建设管理
物理和环境安全
安全运维管理
三级安全控制项2.0: 229项 技术116 管理113
等保2.0控制域控制项变化示例
CONTENTS
• 等级保护通用要求 • 三级等保方案介绍 • 方案优势&价值 • 典型案例 • 可销售产品清单
7
安全产品与等保要求对应情况
技 术
操作系统 天擎
设备和计
NAC
漏扫
360ID
CA
要 求
算安全
虚拟化
虚拟化 安全
网络与通
信安全
网络
NGFW
Anti DDoS
漏扫
VPN
ICG
IPS 天眼
防病毒墙
网闸
天巡
SMAC
物理安全
物理环境 CCTV
防火
防水
电磁防护 电力保障 机房抗震
门禁
注:物理安全由等保防护对象或电信基础设施运营商提供
360 自 有 设 备 : 第三方设备:
CONTENTS
• 等级保护通用要求 • 三级等保方案介绍 • 方案优势&价值 • 典型案例 • 可销售产品清单
10
优势1-- 产品覆盖最全
一站式新等保三级解决方案
1
等保咨询
2
安全风险评估
3
安全架构设计 安全集成
4
安全运维
5
应急响应
优势2--公司资质最全
序号
资质名称
认定认可类
1 计算机信息系统集成企业资质(大型一级为最高级)
2 商用密码产品销售许可证
5 ISO9001:2008质量管理体系(包含网神科技)
6 ISO20000:2011信息技术服务管理体系
7 ISO27001:2005信息安全管理体系
8 ISO14000环境管理体系认证
9 ISO18000职业健康安全管理体系
等保二级 要求
等保二级 要求
等保三级 增加要求
等保三级 增加要求
等级保护生命周期安全服务(等保2.0)
行业/领域主管部门 属地公安机关
有等保建设资质的 厂商,设计院等
有等保建设资质的 厂商
等保用户 专业安全厂商
定级备案
总体安全规划
安全设计实施
安全运行维护
等保用户 专业安全厂商
应急响应保障
等保咨询服务
安全等级保护基本要求 第3部分 移动互联安全扩展要求 • GB/T 22239.4-XXXX信息安全技术 网络
安全等级保护基本要求 第4部分 物联网安全扩展要求 • GB/T 22239.5-XXXX信息安全技术 网络
安全等级保护基本要求 第5部分 工业控制安全扩展要求 • GB/T 22239.6-XXXX信息安全技术 网络
国家级 √
国家级 √
天融信
二级 √ √ √ √ √ √ √ × √
× 一级 一级 一级 一级 二级
√
二级
二级
一级
一级
国家级 √
深信服 华为 东软
×
一级 一级
√
√
√
×
×
×
√
√
√
√
√
√
×
√
√
×
√
√
×
√
√
×
√
√
×
√
×
×
×
×
×
一级 一级
×
一级 一级
×
一级 一级
安全等级保护基本要求 第6部分 大数据安全扩展要求
等保三级安全的控制项
技术要求
管理要求
数据安全及备份恢复
系统运维管理
应用安全
系统建设管理
主机安全
人员安全管理
网络安全
安全管理机构
物理安全
安全管理制度
三级安全控制项1.0: 290项 技术136 管理154
技术要求
管理要求
应用和数据安全
安全策略和管理制度