解决方案

安百科技针对各行业业务特性,打造个性化行业解决方案,为用户提供一站式的产品与服务。

 

 

  • 1.

    情报收集
    站群防护,全网扫描,情报库
  • 2.

    数据解读
    数据统计,情报分析,特征库
  • 3.

    安全响应
    人工检测,智能学习,漏洞库
  • 4.

    云端加固
    防护策略,云端下发,补丁库

等级保护背景

随着科学技术的迅猛发展和信息技术的广泛应用,特别是我国国民经济和社会信息化进程的全面加快,信息化带动了工业化的发展,初步实现了互联互通、资源共享、跨越式发展的信息化发展目标。基础信息网络与重要信息系统的基础性、全局性作用日益增强,已成为国家和社会发展新的重要战略资源。

但从总体上看,我国的信息安全保障工作尚处于初级阶段,基础薄弱,水平不高,存在许多亟待解决的问题。

我国基础信息网络和重要信息系统如果发生信息网络安全故障,将严重影响其保障服务的顺利进行;如果遭遇网络入侵,将导致有关国家秘密文件或敏感信息被窃取、重要数据被篡改、系统不能正常运行;如果受到网站攻击,将致使政府门户网站和重点新闻网站访问被中断、页面被篡改,甚至系统瘫痪,对我国国家安全、社会秩序、公共利益等造成严重影响。因此实施信息安全等级保护,将信息系统根据其重要程度进行分级,突出保护的重点,已成为各级领导、各部门以及全社会的共识。

政策法规

1994年《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)

2004年《关于信息安全等级保护工作的实施意见》(公通字[2004]66号

2007年《信息安全等级保护管理办法》(公通字[2006]43号)

2008年《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)

2008年《国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知》(发改高技[2008]2544号)

2010年《关于进一步推动中央企业信息安全等级保护工作的通知》(公通字[2010]70号)

2012年《国务院关于推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号)

2012年《关于进一步加强国家电子政务网络建设和应用工作的通知》(发改高技[2012]1986号)

2014年,中办、国办下发《关于加强社会治安防控体系建设的意见》

2014年,中央批准实施《关于全面深化公安改革若干重大问题的框架意见》

2015年《教育部、公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技[2015]2号)

常见问题

Q:什么是等级保护测评?

A:
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。信息是指在信息系统中存储、传输、处理的数字化信息。

Q:信息系统安全保护等级分为哪几个等级?

A:第一级,用户自主保护级

信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级,系统审计保护级

信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级,安全标记保护级

信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级,结构化保护级

信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级,访问验证保护级

信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

Q:实施信息安全等级保护制度能解决什么问题?

A:
通过开展信息安全等级保护工作,可以充分体现“明确重点、突出重点、保护重点”的目的,将有限的财力、物力、人力投入到国家关键信息基础设施安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,有效提高国家关键信息基础设施安全防护能力和我国网络安全保障工作的整体水平,有效解决我国网络安全面临的威胁和存在的主要问题。

实施信息安全等级保护,有利于在信息化建设过程中同步建设网络安全设施,保障网络安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化网络安全资源配置,对信息系统分等级实施保护,重点保障国家关键信息基础设施安全;有利于明确国家、法人和其他组织、公民的网络安全责任,加强网络安全管理;有利于推动网络安全产业的发展,逐步探索出一条适应社会主义市场经济发展的网络安全模式。几年来的实践证明,等级保护工作是各单位、部门开展网络安全保障工作的抓手,也是网络安全保障工作的重要内容。

Q:为什么要强制实行信息安全等级保护制度?

A:
建立和落实信息安全等级保护制度是形式所迫、国情所需。随着我国信息化进程的全面加快,全社会特别是重要行业、重要领域对基础信息网络和重要信息系统的依赖程度越来越高,基础信息网络和重要信息系统业已成为国家关键基础设施,其安全性直接关系到国家安全、国家利益、社会稳定和人民群众的切身利益。可以预见,我国基础信息网络和重要信息系统如果发生信息网络安全故障,将严重影响其保障服务的顺利进行:如果遭遇网络入侵,将导致有关国家秘密文件或敏感信息被窃取、重要数据被篡改、系统不能正常运行;如果受到网站攻击,将致使政府门户网站和重点新闻网站访问被中断、页面被篡改、设置系统瘫痪,对我国国家安全、社会秩序、公共利益等造成严重影响。因此,实施信息安全等级保护,将信息系统根据其重要程度进行分级,突出保护的重点,已成为各级领导,各部门及社会的共识。国内外形势和国情现状决定了我国必须尽快建立一个适合国情的网络安全制度,突出重点,保护重点,统筹监管,保障网络安全,维护国家安全。

网络安全面临复杂、严峻的形式。基础信息网络和重要信息系统一旦出现重大网络安全问题,不仅影响本单位,本行业,还直接威胁国家安全,社会稳定,经济发展。

Q:国家规定实行等级保护的范围有哪些?

A:

一、 电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

二、 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

三、 市(地)级以上党政机关的重要网站和办公信息系统。

四、 涉及国家秘密的信息系统。

Q:信息系统安全保护等级测评流程是怎样的?

A:等级保护的主要环节包括定级、备案、安全建设整改、等级测评和安全检查

一是信息系统定级:信息系统定级按照用户初步提出等级、专家评审、主管部分审批、公安机关审核的流程进行的。信息系统运营使用单位按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》(一是信息系统定级:信息系统定级按照用户初步提出等级、专家评审、主管部分审批、公安机关审核的流程进行的。信息系统运营使用单位按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》(

二是信息系统备案。第二级以上的信息系统,由信息系统运营使用单位到所在地设区的地市级以上公安机关网络安全保卫部门办理备案手续。公安机关按照《信息安全等级保护备案实施细则》(公信安[2007]1360号)的要求,对备案材料进行审核,定级准确、材料符合要求的颁发由公安部门统一监制的备案证明。

三是信息系统安全建设整改。信息系统安全保护等级确定后,运营使用单位按照《管理办法》、《关于开展信息系统等级保护安全建设整改工作的指导意见》(公通字[2009]1429号)等有关管理规范和技术标准,选择《管理办法》要求的网络安全产品,制定并落实安全管理制度。落实安全责任,建设安全设施,落实安全技术措施。

四是等级测评。信息系统建设整改完成后,运营使用单位选择符合要求的测评机构,依据《管理办法》、《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》,对信息系统安全保护状况开展等级测评,按照《信息系统安全等级测评报告模版》编写等级测评报告。

五是监督检查。公安机关依据《管理办法》和《公安机关信息安全等级保护检查工作规范(试行)》(公信安[2008]736号),监督检查运营使用单位开展等级保护工作,定期对第三级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导。如实向公安机关提供有关材料。

等级保护咨询服务

信息系统安全等级保护是对信息系统分等级、按标准进行建设、管理和监督。信息系统安全等级保护咨询服务是基于对信息安全标准的深刻理解,以为信息系统构建“等级化的安全体系”为等级保护工作的服务理念,旨在根据不同用户在等级保护不同等级、不同阶段的业务特性、安全需求以及安全应用重点,为用户在等级保护的框架下构建一个安全、可靠、灵活、可持续改进的信息安全体系。