什么是等保?
网络安全等级保护,通常简称 “ 等保 ”基本概念
网络安全等级保护是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应处置。法律地位
《网络安全法》第二十一条规定“国家实行网络安全等级保护制度”,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。标志了等保的法律地位。
涉及范围
国家规定网络安全等级保护涉及范围分为两个层面:一是覆盖各地区、各单位、各部门、各企业、各机构,即覆盖全社会。二是覆盖所有保护对象,包括网络、信息系统、信息,以及云平台、物联网、工控、大数据、移动互联等各类新技术应用。
等保2.0新标准
网络安全等级保护2.0新标准依据主要包含有:GB/T 22239-2019《网络安全等级保护基本要求》;GB/T 25070-2019《网络安全等级保护安全设计技术要求》;GB/T 28448-2019《网络安全等级保护测评要求》。
等保合规流程介绍
1 系统定级
腾讯云提供定级辅导服务,并协调完成专家评审工作
2 系统备案
腾讯云辅导完成备案材料,并提供备案指引服务
3 建设整改
腾讯云辅导部署相关安全产品,并辅导完成系统加固
4 等级测评
腾讯云对接当地测评机构,辅导客户完成测评
5 监督检查
向当地公安网监提交测评报告,配合完成检查
《网络安全等级保护基本要求》关键项解读
网络架构
划分不同的网络区域,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段,建设高可用、冗余的网络
通信传输
应采用校验技术、密码技术保证通信过程中数据的完整性和保密性
可信验证
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
条款解读
根据服务器角色和重要性,对网络进行安全域划分;确保网络带宽和处理能力能满足业务高峰期需要;确保通信传输过程数据的完整性和保密性,可采用可信进行可信验证
安全区域边界
边界防护
应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信,对非授权的内部/外部联接进行检查和限制
恶意代码防范
应在关键网络节点处对恶意代码、垃圾邮件进行检测和防护,并维护恶意代码、垃圾邮件防护机制的升级和更新
安全审计
应在网络边界、重要网络节点对每个用户及重要用户和重要安全事件进行安全审计,并记录和保护审计信息;应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析
条款解读
在内外网的安全域边界设置访问控制策略,并要求配置到具体的端口;在网络边界处应当部署入侵防范手段,防御并记录入侵行为;对网络中的用户行为日志和安全事件信息进行记录和审计;可采用可信进行可信验证
安全计算环境
身份鉴别
应对登录的用户进行身份标识和鉴别,同时对身份标识和鉴别有相关安全策略要求,包括身份唯一性、密码策略、账号安全策略、双因素鉴别等
安全审计
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;并记录和保护审计信息;应对审计进程进行保护,防止未经授权的中断
可信验证
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
条款解读
针对服务器、数据库、应用系统等计算环境,借助第三方安全软件或通过应用本身的安全手段实现鉴权、账号安全、安全审计、数据安全保护等功能,保证系统层安全,防范入侵行为
安全管理中心
系统管理
应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作(系统资源和运行的配置、控制和管理),并对这些操作进行审计
审计管理
应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计
安全管理
应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计
集中管控
对安全设备、安全组件进行集中管控,对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测,对各个设备上的审计数据进行集中审计和分析
条款解读
借助第三方安全管理软件设立安全管理中心,对分散在网络中的各类设备、组件进行集中的管控、检测和审计
安全管理体系
安全管理制度
应建立由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系
安全管理机构
应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权
安全管理人员
应制定人员方面的安全管理策略,确保人员录用、人员离岗、人员培训及外包人员的安全管理
安全建设管理
应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全建设
安全运维管理
应采取必要的措施进行环境、资产、介质、设备维护、漏洞和风险、密码、变更等的安全运维管理
条款解读
参考业界成熟的方法论和最佳实践,建立一套符合企业实际情况的信息安全管理体系,开展并落实持续的安全建设和安全管理
云上等保合规架构
基于等保2.0的技术要求和服务要求,结合腾讯云平台的基础设施,为租户提供一整套的云原生安全产品,满足安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全专家服务框架下的各项技术要求,轻松满足企业等保合规要求。
主机安全
提供等保合规基线策略,支持对系统基线检测项的检查并提供整改建议。
容器安全
满足容器、镜像、主机、Kubernetes 资产层面的杀毒、主动入侵防御、定期漏洞扫描等方面要求。
Web应用防火墙
满足等保要求中的入侵防范等要求。满足等保要求中关于应用安全防护的要求。
云防火墙
满足等保要求IPS入侵检测和防御能力、威胁情报实时检测和阻断能力,支持对高级威胁的溯源能力。
数据安全审计
满足等保要求中关于数据库安全审计的要求。满足信息安全等级保护数据库管理要求。
堡垒机
满足等保要求中身份鉴别、访问控制和安全审计等要求。满足信息安全等级保护数据库管理要求。
安全运营中心
满足等保要求对分散的设备、组件、主机以及事件等进行集中管控、审计、报警和分析。
等保合规服务
联合全各地等级保护测评机构及腾讯云合作生态,为客户提供专业的一站式服务。
各产品购买指南
腾讯云原生安全产品,助力您业务系统快速满足等保合规要求
主机安全购买指南
容器安全购买指南
Web应用防火墙购买指南
云防火墙购买指南
数据安全审计购买指南
堡垒机购买指南
安全运营中心购买指南
常见问题
什么是等保?
以《中华人民共和国网络安全法》为法律依据,以2019年5月发布的《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求》为指导标准的网络安全等级保护办法,业内简称 “ 等保2.0 ”。
为什么需要做等保?
从法律要求层面来说,网络安全等级保护是国家信息安全保障基本制度、基本策略、基本方法。《中华人民共和国网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度的要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
从行业要求层面来说,等保已成为许多行业的必需品。很多行业主管单位明确要求从业机构的信息系统要开展等保工作,比如金融、电力、广电、医疗、教育等行业。
从安全要求层面来说,信息系统运营、使用单位通过开展等保工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。
哪些企业需要做等保?
国家信息安全等级保护坚持自主定级、自主保护的原则。公安部在等保2.0宣贯会上提出了等级保护的工作范围:
一是覆盖各地区、 各单位、 各部门、 各企业、 各机构, 即是覆盖全社会。
二是覆盖所有保护对象, 包括网络、 信息系统、 信息, 以及云平台、 物联网、 工控系统、 大数据、 移动互联等各类新技术应用。
等保怎么定级?
在网络安全等级保护2.0国家标准(等保2.0)中,信息安全等级保护分为五级,分别是第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)和第五级(专控保护级),一至五级等级逐级增高。
云租户还需单独再做等保?
根据 “ 谁运营谁负责,谁使用谁负责,谁主管谁负责 ” 的原则,系统的责任主体还是属于网络运营者自己,所以云租户还是得承担相应的网络安全责任。由于腾讯云平台本身就已经通过等保,所以在做等保的过程中,云租户无需再关注物理环境和网络环境,只需关本身业务系统合规即可。
等保合规服务怎么收费?
由于每个客户的需求均不相同,您可在线 提交申请,我们接到服务申请后,将由专人架构师与您联系,进行初步需求确认、商务洽谈,与您签订线下测评和咨询服务合同并启动项目交付服务。
如何获取腾讯云平台备案证明和测评报告?
请联系 “ 腾讯云技术顾问 ”,或提交工单获取相关材料。
