立即咨询

电话咨询

微信咨询

立即试用
商务合作
免费试用

阿里云信息安全等级保护解决方案

阿里云信息安全等级保护解决方案依据国家网络安全等级保护制度,提供一站式服务,帮助企业快速、省心地通过等保合规。该方案包括云安全中心的合规检查功能,提供等保合规检查和ISO 27001合规检测,全面覆盖通信网络、区域边界、计算环境和管理中心的网络安全检查,帮助用户检查系统是否符合等保合规要求,及时发现和处理安全风险。同时,阿里云还提供等保咨询服务和整改服务,包括差距性评估、整改方案咨询、安全管理制度完善、安全产品选型及部署指导、系统安全整改支持和等级保护测评服务。此外,阿里云公共云高分通过等保三级,金融云通过等保四级,显著提高客户测评分数。
立即咨询
数字化产品网络安全阿里云信息安全等级保护解决方案
icon等级保护介绍 - 概念icon
信息安全等级保护的定义
等保是什么
✓ 国家制定的管理规范和技术标准
✓ 信息安全保障的基本制度和基本国策
✓ 适用境内信息系统
✓ 公安监管
客户价值是什么?
✓ 发现系统安全隐患及不足、及时整改
✓ 懂法、守法、履行义务
✓ 满足相关主管单位和行业要求
✓ 合理地规避或降低风险
icon等级保护介绍 - 分级icon

 

icon等级保护介绍 - 基本要求icon

 

icon等级保护工作内容 - 五项规定动作icon
系统定级
自主定级、专家审核、上级主管单位审批。
系统备案
定级信息系统须在上级主管单位及属地公安机关进行备案。
建设整改
根据《信息系统安全等级保护基本要求》进行安全加固和改进。
等级测评
邀请具有信息安全等级保护测评资质的测评机构进行安全等级测评。
监督检查
通过安全检查的方式持续改进系统安全。
icon等级保护工作内容 - 定级流程icon

具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]1861号)要求执行

 

icon等级保护工作内容 - 定级icon
定级关键词
等级保护对象

信息安全等级保护工作直接作用的具体的信息和信息系统。作为定级对象的信息系统应具有如下基本特征:
1、具有唯一确定的安全责任单位
2、具有信息系统的基本要素

3、承载相对独立的业务应用

客体

受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全,社会秩序、公共利益,以及公民、法人或其他组织的合法权益。

侵害程度综合判定

1、系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆善的区域范围、用户人数或业务量等不同方面确定。
2、业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。

icon等级保护工作内容 - 定级icon

一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,

的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。

 

icon等级保护工作内容 - 定级icon

严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重

法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。

 

 
icon等级保护工作内容 - 定级icon

特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。

 

 
 

 

icon等级保护工作内容 - 定级矩阵icon

根据信息和信息系统遭到破坏或泄露后,对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。

 

icon等级保护工作内容 - 备案icon

 

icon等级保护工作内容 - 工作流程icon

 

icon等级保护工作内容 - 主要内容icon

信息系统安全建设整改主要内容

 

icon等级保护工作内容 - 整改区别示例icon

 

 
icon等级保护工作内容 - 现状调研差距分析icon
现状调研差距分析
工作内容
• 资料收集:定级资料、设备清单、业务介绍、建设过程资料、管理制度等
• 确认工作范围
• 等级保护合规性分析(技术、管理)
• 风险评估(技术)
• 渗透测试(技术)
• 等级保护差距分析(综合)
• 信息安全建设需求分析
工作方法
• 资料审查
• 访谈
• 安全措施检查
• 验证
icon等级保护工作内容 - 方案设计icon
关键点:
• 信息系统等级
• 基本要求
• 信息安全风险
• 控制
• 措施实际情况
评审成员可由以下人员组成:
• 同行业专家
• 指导单位
• 上级管理部门领导
• 测评机构专家等
集成实施:指导采购、技术策略设计、新产品实施与策略配置、原有产品策略调整、设备自身安全配置调整
安全评估加固:
两个维度:
     • 合规性 - GB/T22239-2008
     • 业务风险 - GB/T20984-2007
评估范围:
     • 物理、网络、主机、应用(访谈+检查+渗透测试)
操作:
• 整体风险评估
     • 物理、网络、主机---安全检查
     • 应用---访谈+检查+渗透测试
• 提供安全评估报告
• 协助安全加固
icon等级保护工作内容 - 管理体系实施icon
安全管理体系实施
• 建立安全管理组织架构
• 建立安全管理制度体系
• 安全管理制度发布与执行

 

icon等级保护工作内容 - 等级测评icon

 

 
icon等级保护工作内容 - 监督检查icon

◆ 对第一二级信息系统每年由主管部门进行自查。
◆ 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。
◆ 对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
◆ 对第五级信息系统,应当由国家指定的专门部门进行检查。

 

icon等级2.0与1.0差异icon
框架变化
安全要求的变化
1.0:安全要求
2.0:安全通用要求和安全扩展要求
安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。
章节结构的变化
8 第三级安全要求
8.1 安全通用要求
8.2 云计算安全扩展要求
8.3 移动互联安全扩展要求
8.4 物联网安全扩展要求
8.5 工业控制系统安全扩展要求
等级保护对象的变化
1.0:信息系统
2.0:等级保护对象
安全等级保护的对象包括基础信息网络、信息系统、云计算平台、物联网、工控系统等。
调整了控制措施的分类结构
原来的10个分类调整为8个:
技术部分:
物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。
管理部分:
安全策略和管理制度、安全管理机构和人员、安全建设管理。
名称变化
1.0:信息安全等级保护
2.0:网络安全等级保护
增加了物联网安全扩展要求
物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括感知节点的物理防护、感知节点设备安全、感知网关节点设备安全、感知节点的管理和数据融合处理等方面。
增加工业控制系统安全扩展要求
工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括室外控制防护、工业控制系统网络架构安全、拨号使用控制、无限使用控制和控制设备安全等方面,针对工业控制系统实时性要求高的特点调整了漏洞和风险管理和恶意代码防范管理方面的要求。
增加了移动互联安全扩展要求
移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。主要增加的内容包括无线接入点的物理位置移动终端管控、移动应用管控、移动应用软件采购和移动应用软件开发等方面。
增加了应用场景的说明
增加附录C描述等级保护安全框架和关键技术
增加附录D描述云计算应用场景
附录E描述移动互联应用场景
附录F描述物联网应用场景
附录G描述工业控制系统应用场景
增加了云计算安全扩展要求
云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括基础设施的位置、虚拟化安全保护、镜像和快照保护、云服务商选择和云计算环境管理等方面。
 

产品推荐

通义晓蜜智能对话机器人
通义晓蜜是阿里云推出的一款AI智能客服产品,旨在通过先进的对话大模型技术来优化企业的客户服务体验。这款产品设计用于帮助企业客服中心高效处理大量日常咨询,减少人工负担,同时提升客户服务质量与满意度。
免费试用
查看详情
德客易采数字化采购平台
德客易采数字化采购平台,它作为企业采购与供应链采购协同管理系统,涵盖采购寻源、供应商管理考核、电子招投标等核心功能。支持项目管控与供应商高效协同,还有微信端小程序,让采购流程更便捷、透明,全面提升企业采购效率。
免费试用
查看详情
神马工厂AIGC数字人营销平台
神马工厂AIGC数字人营销平台1:1克隆人物形象+声音近行业1/10的成本完美克隆数字人分身,实现一劳永逸的效果。一次克隆,终生可用!真正迈入AI时代。AIGC+9000多创作者 一站式AI内容创作,同时有专业创作者助力,让用户一个人可以创意不断,高效管理100-1000个账号!
免费试用
查看详情
腾讯云智能手机解决方案
基于腾讯云覆盖全球、高速稳定、安全合规的云计算基础设施及涵盖互联网应用、loT、金融、游戏、电商、智能制造的成熟方案能力,为手机客户提供全链路高性价比的解决方案。
免费试用
查看详情