网络安全等级保护（等保2.0）解决方案

等级保护发展历程

1994：147号令《计算机信息系统安全保护条例》 次提出 “等级保护” 概念

1999：GB 17859《计算机信息系统 安全等级保护划分准则》等级保护强制性国家标准发布

2007：43号文《信息安全等级保护管理办法》四部门发布信息安全等级保护管理办法

2008：GB/T 22239《信息安全技术 信息系统安全等级保护基本要求》明确对于各等级信息系统的安全保护基本要求

2017：网络安全法《中华人民共和国网络安全法》第二十一条：国家实行网络安全等级保护制度

2019：等级保护2.0标准《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护安全设计技术要求》《信息安全技术 网络安全等级保护测评要求》等级保护2.0 标准发布

实施意义

资源优化

优化组织资源配置，树立等级化防护思想，合理分配网络安全投资。

体系建设

明确整体安全目标，改变以往单点防御方式，让安全建设更加体系化。

合法合规

满足合法合规要求，明确责任和工作方法，让安全防护更加规范。

工作流程

网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。在等级保护全流程中，涉及到四个不同的角色，分别是：运营使用单位、公安机关、深信服、测评机构。等级保护各工作流程内容及角色分工如下：

设计思路

“等保+” — 合规之上的价值

业务重点保障

针对各行业的 业务进行重点保障，强化业务自适应能力

重要数据有效管理

针对各行业的重要数据进行有效管理，强化数据安全治理框架

关键网络安全防护

针对各行业的关键网络进行安全防护，强化全网监测管理

高风险加固 — 满足合规基线

保障业务连续可用

高风险是客户安全建设的重点，消减高风险有利于保障业务的可用性

通过等级保护测评

高风险是等级测评工作的重点，消减高风险有利于顺利通过等级测评

应对网络安全检查

高风险是监督检查工作的重点，消减高风险有利于应对主管部门检查

完整规划 — 体系化安全建设

安全技术体系建设

依托 “一个中心、三重防护” 的安全设计，构建技术防护体系

安全管理体系建设

坚持 “技管并重” ，搭建管理机构、落实管理制度、简化运维管理

安全运营体系建设

把安全当作一项业务，通过运营实现技术、管理措施的有效落地

设计框架

方案设计

在方案设计阶段，深信服以《网络安全等级保护基本要求》、《网络安全等级保护安全设计技术要求》等国家标准文件为基准，结合行业特性要求、监管单位要求、用户提出的额外安全需求进行系统性方案设计。在满足相应等级安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心及管理部分要求基础上， 发挥安全措施的保护能力。

方案价值