阿里云信息安全等级保护解决方案_等保定级

阿里云信息安全等级保护解决方案

阿里云信息安全等级保护解决方案依据国家网络安全等级保护制度，提供一站式服务，帮助企业快速、省心地通过等保合规。该方案包括云安全中心的合规检查功能，提供等保合规检查和ISO 27001合规检测，全面覆盖通信网络、区域边界、计算环境和管理中心的网络安全检查，帮助用户检查系统是否符合等保合规要求，及时发现和处理安全风险。同时，阿里云还提供等保咨询服务和整改服务，包括差距性评估、整改方案咨询、安全管理制度完善、安全产品选型及部署指导、系统安全整改支持和等级保护测评服务。此外，阿里云公共云高分通过等保三级，金融云通过等保四级，显著提高客户测评分数。

立即咨询

首页 > 产品中心 > 数据安全 > 阿里云信息安全等级保护解决方案

等级保护介绍 - 概念 icon

信息安全等级保护的定义

等保是什么

✓ 国家制定的管理规范和技术标准

✓ 信息安全保障的基本制度和基本国策

✓ 适用境内信息系统

✓ 公安监管

客户价值是什么?

✓ 发现系统安全隐患及不足、及时整改

✓ 懂法、守法、履行义务

✓ 满足相关主管单位和行业要求

✓ 合理地规避或降低风险

等级保护介绍 - 分级 icon

等级保护介绍 - 基本要求 icon

等级保护工作内容 - 五项规定动作 icon

系统定级

自主定级、专家审核、上级主管单位审批。

系统备案

定级信息系统须在上级主管单位及属地公安机关进行备案。

建设整改

根据《信息系统安全等级保护基本要求》进行安全加固和改进。

等级测评

邀请具有信息安全等级保护测评资质的测评机构进行安全等级测评。

监督检查

通过安全检查的方式持续改进系统安全。

等级保护工作内容 - 定级流程 icon

具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]1861号)要求执行

等级保护工作内容 - 定级 icon

定级关键词

等级保护对象

信息安全等级保护工作直接作用的具体的信息和信息系统。作为定级对象的信息系统应具有如下基本特征：
1、具有唯一确定的安全责任单位
2、具有信息系统的基本要素

3、承载相对独立的业务应用

客体

受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全，社会秩序、公共利益，以及公民、法人或其他组织的合法权益。

侵害程度综合判定

1、系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆善的区域范围、用户人数或业务量等不同方面确定。
2、业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。

等级保护工作内容 - 定级 icon

一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻

的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。

等级保护工作内容 - 定级 icon

严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的

法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。

等级保护工作内容 - 定级 icon

特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。

等级保护工作内容 - 定级矩阵 icon

根据信息和信息系统遭到破坏或泄露后，对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。

等级保护工作内容 - 备案 icon

等级保护工作内容 - 工作流程 icon

等级保护工作内容 - 主要内容 icon

信息系统安全建设整改主要内容

等级保护工作内容 - 整改区别示例 icon

等级保护工作内容 - 现状调研差距分析 icon

现状调研差距分析

工作内容

• 资料收集：定级资料、设备清单、业务介绍、建设过程资料、管理制度等

• 确认工作范围
• 等级保护合规性分析(技术、管理)
• 风险评估(技术)
• 渗透测试(技术)
• 等级保护差距分析(综合)

• 信息安全建设需求分析

工作方法

• 资料审查

• 访谈

• 安全措施检查

• 验证

等级保护工作内容 - 方案设计 icon

关键点：

• 信息系统等级

• 基本要求

• 信息安全风险

• 控制

• 措施实际情况

评审成员可由以下人员组成：

• 同行业专家

• 指导单位

• 上级管理部门领导
• 测评机构专家等

集成实施：指导采购、技术策略设计、新产品实施与策略配置、原有产品策略调整、设备自身安全配置调整
安全评估加固：
两个维度：
• 合规性 - GB/T22239-2008

• 业务风险 - GB/T20984-2007

评估范围：

• 物理、网络、主机、应用(访谈+检查+渗透测试)

操作：
• 整体风险评估
• 物理、网络、主机---安全检查

• 应用---访谈+检查+渗透测试
• 提供安全评估报告

• 协助安全加固

等级保护工作内容 - 管理体系实施 icon

安全管理体系实施

• 建立安全管理组织架构

• 建立安全管理制度体系
• 安全管理制度发布与执行

等级保护工作内容 - 等级测评 icon

等级保护工作内容 - 监督检查 icon

◆ 对第一二级信息系统每年由主管部门进行自查。
◆ 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。
◆ 对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。
◆ 对第五级信息系统，应当由国家指定的专门部门进行检查。

等级2.0与1.0差异 icon

框架变化

安全要求的变化

1.0：安全要求

2.0：安全通用要求和安全扩展要求
安全通用要求是不管等级保护对象形态如何必须满足的要求，针对云计算、移动互联、物联网和工业控制系统提出了特殊要求，称为安全扩展要求。

章节结构的变化

8 第三级安全要求

8.1 安全通用要求

8.2 云计算安全扩展要求

8.3 移动互联安全扩展要求

8.4 物联网安全扩展要求

8.5 工业控制系统安全扩展要求

等级保护对象的变化

1.0：信息系统
2.0：等级保护对象

安全等级保护的对象包括基础信息网络、信息系统、云计算平台、物联网、工控系统等。

调整了控制措施的分类结构

原来的10个分类调整为8个：

技术部分：

物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。

管理部分：

安全策略和管理制度、安全管理机构和人员、安全建设管理。

名称变化

1.0：信息安全等级保护

2.0：网络安全等级保护

增加了物联网安全扩展要求

物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括感知节点的物理防护、感知节点设备安全、感知网关节点设备安全、感知节点的管理和数据融合处理等方面。

增加工业控制系统安全扩展要求

工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括室外控制防护、工业控制系统网络架构安全、拨号使用控制、无限使用控制和控制设备安全等方面，针对工业控制系统实时性要求高的特点调整了漏洞和风险管理和恶意代码防范管理方面的要求。

增加了移动互联安全扩展要求

移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。主要增加的内容包括无线接入点的物理位置移动终端管控、移动应用管控、移动应用软件采购和移动应用软件开发等方面。

增加了应用场景的说明

增加附录C描述等级保护安全框架和关键技术

增加附录D描述云计算应用场景

附录E描述移动互联应用场景

附录F描述物联网应用场景

附录G描述工业控制系统应用场景

增加了云计算安全扩展要求

云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括基础设施的位置、虚拟化安全保护、镜像和快照保护、云服务商选择和云计算环境管理等方面。

产品推荐查看更多>>

中安威士数据库透明加密系统

中安威士数据库透明加密系统(简称VS-EC)，基于加密算法和合理的密钥管理，有选择性地加密敏感字段内容，保证存储介质被窃取或文件被非法复制的情况下，数据仍是安全的。

高效稳定

安全可靠

立即咨询查看详情

天空卫士统一内容安全架构UCS

天空卫士统一内容安全架构UCS将安全Web 网关所具有的实时网页内容分析技术和恶意软件保护技术与数据防泄露技术及邮件安全、智能手机数据安全技术相结合，帮助企业及其关键数据对抗各种混合威胁攻击和 APT 攻击。同时，简化管理流程、降低总体拥有成本。UCS 技术能够在一个策略管理下为拥有众多分支机构，并混合部署了边界解决方案 (On Premise) 和安全即服务 (SaaS) 的企业提供不间断的进站威胁和出站风险保护。

应用数据安全审查平台

通过统一管理平台与其他产品联动

企业级 DLP 终端内容识别与终端数据通道覆盖

具备终端 Web 访问管控与钓鱼防护的全方位数据安全终端

立即咨询查看详情

智能内存保护系统

国内第一款基于内存的主机防护系统，能够有效防护无文件攻击、内存攻击、Oday漏洞攻击等。

功能完备

安全可靠

立即咨询查看详情

数字化社区查看更多>>