悟安云网络安全等级保护服务_等保2.0保护服务_等保2.0评测服务-云巴巴 -云巴巴

立即咨询

立即试用

商务合作

悟安云网络安全等级保护服务

悟安云网络安全等级保护服务，由具备测评资质的测评机构进行等级测评，形成正式测评报告交由网安审核，获得‘网络安全等级保护测评报告’。配合完成对网络安全等级保护实施情况的检查，年度自查，现场检查等。

立即咨询

等保流程

①定级备案
步骤：确定定级对象，初步确认定级，专家评审，主管部门审核、公安机关备案审查。持着定级报告和备案表及其他相关材料16个文件到当地公安机关网监部门进行备案，获得‘网络安全等级保护备案证明’。

②建设整改
参照《信息安全技术信息系统安全等级保护基本要求》信息系统当前等级要求和标准，对信息系统进行整改技术加固和管理制度建设。

③等级测评
由具备测评资质的测评机构进行等级测评，形成正式测评报告交由网安审核，获得‘网络安全等级保护测评报告’。

④监督检查
配合完成对网络安全等级保护实施情况的检查，年度自查，现场检查等。

等保定级

确定定级对象及范围-系统定级报告-专家评审意见系统运营单位按照GB/T 22240-2020《信息安全技术网络安全等级保护定级指南》进行申报。信息系统的安全保护等级由两个定级要素决定：业务信息安全等级、系统服务安全等级，最终定级由等级较高者决定。

等保备案

材料准备-提交网安审核系统运营单位按照GB/T 25058-2019《信息安全技术网络安全等级保护实施指南》进行定级备案申报。十六个备案材料，交由网安进行审核，通过之后颁发《系统备案证明》。

建设整改-安全物理环境 icon

建设整改-一个中心三重防护设计标准 icon

依据《GB/T 22239一2019《信息安全技术网络安全等级保护基本要求》

安全管理中心
堡垒机

日志审计

主机安全

数据库审计

态势感知

漏洞扫描

IT运维管理

等保一体机

安全通信网络
VPN

SSL证书

路由器

交换机

安全接入网关

安全接入终端

安全区域边界
下一代防火墙

入侵检测/防御

上网行为管理

安全沙箱

动态防御系统

WEB应用防护墙

准入控制系统

安全计算环境
漏洞风险评估

数据备份

主机安全

异地备份

身份认证管理

APP应用加固

数字水印系统

数据加密、脱敏系统

建设要点
日志集中统计分析，安全策略、安全设备统一管理、管控，定期漏扫，主动识别安全风险，持续监测，动态风险预警。

建设要点
构建安全的网络通信架构

保障信息传输安全

设备、链路冗余部署

合理进行分区分域

建设要点
明确网络安全边界，强化边界安全防护策略，合理部署边界防护设备，优化边界防护设备、安全控制策略、跨边界访问进行安全审计、优化访问控制策略，APT及新型威胁攻击检测与告警。

建设要点
健全身份认证体系，强化口令策略与入侵防范。合理授权，重于资源安全标记，制定访问控制策略。操作行为审计、事件关联分析、报表报告。数据安全防护、加密技术。

网络安全架构图

建设整改-安全管理规划 icon

依据GB/T 22239一2019《信息安全技术网络安全等级保护基本要求》

安全管理制度

制定安全策略，建立安全管理制度，专人负责制定和发布管理，定期评审和修订管理制度。

安全管理机构

设立相应领导、管理、审计、运维机构和岗位，配备系统管理、审计管理和安全管理员，明确授权和审批事项和制度，加强内部和外部安全专家沟通协作，定期审核和检查安全策略和安全管理制度。

安全管理人员

考核录用人员专业技能，签署保密协议。离岗人员及时回收权限、证照等。加强安全意识和安全技能教育培训，定期进行安全技术考核。

安全建设管理

等保定级和备案，安全方案设计，安全产品采购和使用，自主和外包软件开发管理，安全保护工程实施管理，安全防护测试验收，系统验收交付，定期等保测评，监督、评审和审核安全服务提供商。

安全运维管理

运行环境管理，被保护资产管理，信息存储介质管理，设备维护管理，漏洞和风险管理，网络和系统安全管理，恶意代码防范管理，系统、变更配置和密码管理，备份与恢复管理，安全事件和应急预案管理，外包运维管理。

等保测评实施流程

依据GB/T 28449一2018《信息安全技术网络安全等级保护测评过程指南》

等保测评-评价标准

评价标准（等保2.0）

优被测对象中存在安全问题，但不会导致被测对象面临中、高等级安全风险，且系统综合得分90分以上（含90分）。

良被测对象中存在安全问题，但不会导致被测对象面临高等级安全风险，且系统综合得分80分以上（含80分）。

中被测对象中存在安全问题，但不会导致被测对象面临高等级安全风险，且系统综合得分70分以上（含70分）。

差被测对象中存在安全问题，而且会导致被测对象面临高等级安全风险，或被测对象综合得分低于70分。

等保价值

免于处罚
信息系统运营、使用单位履行网络安全等级保护制度要求，履行安全保护义务，符合行业监管部门要求，相关责任人可以免于相应的处罚。

安全加固
通过开展等级保护工作，可及时发现系统与国家安全标准之间存在的差距，查明系统内部存在的安全隐患与不足之处，通过安全整改，提升系统的安全防护能力，降低被攻击的风险，减少不必要的财产损失。

可信度增加
信息系统运营单位在向外部客户提供业务服务时，通过等保测评，能向客户及利益相关方展示信息系统安全性承诺，增强客户、合作伙伴及利益相关方的信心。

一站式服务

服务优点

专业的安全服务团队
拥有国内最专业的安全服务团队，其团队由一批经验丰富，富有责任心和使命感的专业技术人员组成，多人拥有CISP、CISAW、ISO27001等证书及能力；同时拥有大批漏洞发掘和分析人员。

数百家企业的等保服务经验
国内最早从事等级保护咨询的司之一，具有金融/政府/大型企业/医疗/教育等行业的标志性客户，得到户各级领导认可。成功案例如：商务部等级保护咨询项目、盛银消金等级保护咨询项目、去哪儿网安全等级防护测评项目。

丰富的安全技术积累
长期密切跟踪国家等级保护、数据安全法、个人信息保护法等相关政策，参与了等级保护标准制定与研讨，可以在最大程度上使得客户等保相关工作符合国家等级保护相关政策、标准、规范的要求国家项目等多项相关工作；

标准化项目管理
每个客户均建立项目工作群组，等保技术专家与客户技术直接对接，便捷高效的沟通，更能高效率的完成项目；项目的实施和管理依据国际化的项目管理规范，通过实施项目管理可以很好地控制项目范围、时间和质量，保证项目能够按照计划按时按质量地顺利完成。积极配合，通过率100%。

经典客户案例

信息安全管理体系介绍 icon

信息安全管理体系（Information Securitry Management Systems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合。

实施信息安全管理体系的意义 icon

安全服务介绍

漏洞扫描
帮助客户发现设备和系统中存在的严重漏洞，帮助客户了解技术措施是否有效执行，并通过及时修补完善。

渗透测试
通过人工测试、分析的手段，以模拟黑客入侵的方式对服务目标系统进行模拟入侵测试，识别服务目标存在的安全风险。

移动app检测
以人工分析为主，漏洞检测工具为辅的方式，全面发现Android、IOS、微信应用等程序可能存在的安全缺陷。

风险评估
资产及其价值，对信息系统安全的各个方面的当前潜在威胁、弱点和影响进行全面的评估。

代码审计
范围：ASP、JSP、PHP、C++、VB、C#等语言系统，进行整体源代码审计、人工代码审计、智能合约源代码审计。

安全配置核查
采用人工现场设备检查的方式对客户指定系统和设备等进行配置核查和分析，发现配置的不合规项，并提出系统整改建议，输出报告。

漏洞扫描

前期准备
确定目标范围，指定扫描策略

进行中
漏洞扫描，查看目标状况，扫描数据入库

扫描结束
数据分析，生成报告

渗透测试

渗透测试是指从一个攻击者的角度来检查和审核一个网络系统的安全性的过程。作为检验目标系统安全性最有效的服务，需要服务人员通过智能工具扫描与人工测试、分析的手段，以模拟黑客入侵的方式对服务目标系统进行模拟入侵测试。

渗透测试内容

安全专家将通过模拟黑客攻击的方式，在没有网站代码和服务器权限的情况下，对企业的在线平台进行全方位渗透入侵测试，来评估企业业务平台和服务器系统的安全性。

移动App检测

移动App应用加固

针对应用存在的安全风险和安全薄弱，几维安全提供针对移动应用的安全加固能力，可对Android、iOS、提供虚拟化加密、字符串加密、防逆向、防篡改和防调试等安全保护，有效保障移动应用版权及机密。

信息安全风险评估介绍 icon

概念：从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的防护对策和整改措施，防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地保障信息安全提供科学依据。

信息安全风险评估流程 icon

信息安全风险评估价值 icon

为保障新建系统在投入生产后的安全稳定运行，对新上线系统进行上线前的安全风险评估工作，及时发现和整改信息系统漏洞，实现系统在上线前完成的高中危漏洞的整改。

通过安全检查评估工作，可以实现从源头发现信息系统存在的安全风险，及时处置，避免造成更大损失，通过上线前的处置可以避免引入安全风险，合理投入安全资源，满足监管（等保）要求。

源代码审计

源代码安全审计是依据CVE漏洞、OWASP 10漏洞、CWE以及设备、软件厂商公布的漏洞库，结合专业源代码扫描工具对各种程序语言编写的源代码进行安全审计。为客户提供包括安全编码规范咨询、源代码安全现状测评、定位源代码中存在的安全漏洞、分析漏洞风险、给出修复建议等一系列服务。

系统所用开源框架：包含java反序列化漏洞，导致远程代码执行。Spring、Struts2 的相关安全。应用代码关注要素：日志伪造漏洞，密码明文存储，资源管理，调试程序残留，二次注入，反序列化。资源滥用：不安全的文件创建／修改／删除，竞争冲突，内存泄露。API滥用：不安全的数据库调用、随机数创建、内存管理调用、字符串操作，危险的系统方法调用。源代码设计：不安全的域、方法、类修饰符未使用的外部引用、代码。SQL注入：不安全的用户数据输入、判断或过滤机制。跨站脚本：未对用户提交数据进行转义处理或者过滤不足。业务逻辑错误：欺骗密码找回功能，规避交易限制，越权缺陷Cookies和session的问题。错误处理不当：程序异常处理、返回值用法、空指针、日志记录。直接对象引用：直接引用数据库中的数据、文件系统、内存空间。规范性权限配置：数据库配置规范，Web服务的权限配置SQL语句编写规范。代码质量：未优化代码、未遵循代码编写规范

安全配置核查

主机
操作系统、数据库系统的身份鉴别方式、帐号安全设置、远程管理方式等。

网络设备
网络设备的访问控制、路由协议、日志审核等。

中间件
系统和中间件的可用性、完整性、应用的性能等。

安全设备
帐号安全设置、管理权限远程访问等安全情况。

安全产品