Bối cảnh về bảo vệ cấp độ
Bảo vệ cấp độ là gì?
Bảo vệ cấp độ an ninh mạng
Chương trình bảo vệ cấp độ 2.0
kế hoạch đồng bộ, xây dựng đồng bộ, sử dụng đồng bộ
Lịch sử phát triển của bảo vệ cấp độ
Quốc gia thực hiện hệ thống bảo vệ cấp độ an ninh mạng, quản lý và giám sát các mạng theo các cấp độ khác nhau. Hệ thống này áp dụng cho các mạng được xây dựng, vận hành, duy trì và sử dụng trong phạm vi lãnh thổ của nước Cộng hòa Nhân dân Trung Hoa, bao gồm việc thực hiện công tác bảo vệ cấp độ an ninh mạng và giám sát, ngoại trừ các mạng tự xây dựng và sử dụng cá nhân và gia đình.
Có những tiêu chuẩn nào cho việc bảo vệ an ninh mạng cấp độ?
Việc bảo vệ cấp độ an ninh mạng có phạm vi rộng lớn, các tiêu chuẩn, quy định và hướng dẫn liên quan vẫn đang được soạn thảo hoặc sửa đổi. Một số quy định tiêu chuẩn thường dùng bao gồm:
-
Tiêu chuẩn công việc bảo vệ cấp độ
- GB/T 22239-2019 Công nghệ thông tin - Yêu cầu cơ bản về bảo vệ an ninh mạng cấp độ
- GB/T 22240-2020 Công nghệ thông tin - Hướng dẫn xác định mức độ bảo vệ an ninh mạng
- GB/T 25058-2019 Công nghệ thông tin - Hướng dẫn thực hiện bảo vệ an ninh mạng cấp độ
- GB/T 28448-2019 Công nghệ thông tin - Yêu cầu đánh giá bảo vệ an ninh mạng cấp độ
- GB/T 28449-2018 Công nghệ thông tin - Quy trình đánh giá bảo vệ an ninh mạng cấp độ
-
Tiêu chuẩn bổ sung cho bảo vệ cấp độ
- GB 17859-1999 Tiêu chuẩn phân loại bảo vệ hệ thống thông tin máy tính
- GB/T 31167-2014 Công nghệ thông tin - Hướng dẫn an toàn dịch vụ đám mây
- GB/T 31168-2014 Công nghệ thông tin - Yêu cầu năng lực an toàn dịch vụ đám mây
- GB/T 36326-2018 Công nghệ thông tin - Yêu cầu chung về hoạt động dịch vụ đám mây
- An toàn thông tin - Yêu cầu cơ bản về thiết kế an toàn bảo vệ cấp độ an ninh mạng
- An toàn thông tin - Yêu cầu kỹ thuật trung tâm quản lý an ninh mạng bảo vệ cấp độ an ninh
- GM/T 0054-2018 Yêu cầu cơ bản về ứng dụng mật mã hệ thống thông tin
- GB/T 35273-2020 Công nghệ thông tin - Tiêu chuẩn bảo mật thông tin cá nhân
Ý nghĩa của việc triển khai bảo vệ an ninh mạng cấp độ là gì?
Xây dựng bảo vệ cấp độ an ninh mạng có ý nghĩa rất quan trọng, trước tiên là đáp ứng các yêu cầu tuân thủ pháp luật, giúp xây dựng an ninh mạng trở nên chuyên nghiệp hơn; thứ hai là xây dựng một hệ thống an ninh tổng thể thay vì các biện pháp phòng vệ đơn lẻ; cuối cùng là nâng cao nhận thức an ninh của đội ngũ nhân viên, tạo ra tư duy bảo vệ theo cấp độ, phân bổ hợp lý đầu tư an ninh mạng dựa trên mức độ quan trọng.
Giảm thiểu rủi ro an ninh mạng
Tăng cường khả năng bảo vệ hệ thống
Lý do quan trọng nhất để thực hiện công tác bảo vệ cấp độ an ninh mạng là thông qua việc phát hiện các lỗ hổng và thiếu sót trong hệ thống nội bộ của đơn vị thông qua công tác bảo vệ cấp độ an ninh, từ đó cải thiện khả năng bảo vệ an ninh thông tin của hệ thống sau khi hoàn thành các biện pháp sửa chữa an ninh, giảm thiểu rủi ro bị tấn công từ các mối đe dọa.
Tích hợp tài nguyên mạng hiện có
Tối ưu hóa quản lý an ninh
Thực hiện hệ thống bảo vệ cấp độ an ninh mạng giúp xây dựng các cơ sở an ninh mạng đồng bộ trong quá trình xây dựng thông tin hóa, tối ưu hóa nguồn lực tổ chức, thiết lập các quy định quản lý liên quan đến an ninh mạng, xây dựng tư duy bảo vệ theo cấp độ và phân bổ hợp lý đầu tư an ninh mạng.
Tuân thủ các quy định pháp luật liên quan
Phản hồi an ninh mạng quốc gia
Công tác bảo vệ cấp độ an ninh mạng là tiêu chuẩn quan trọng để đánh giá mức độ an ninh thông tin của một doanh nghiệp, không chỉ giúp giải quyết và tránh rủi ro an ninh mà còn là yêu cầu cơ bản của hệ thống an ninh thông tin quốc gia.
Tổng quan giải pháp
Quy trình xây dựng bảo vệ cấp độ an ninh mạng bao gồm sáu giai đoạn: xác định cấp độ và đăng ký, khảo sát hiện trạng, phân tích khoảng cách, xây dựng và chỉnh sửa, đánh giá bảo vệ cấp độ an ninh mạng, và vận hành bảo mật. SilverTech có thể cung cấp dịch vụ tư vấn bảo mật ở mọi giai đoạn, đảm bảo hệ thống thông tin của khách hàng đáp ứng các yêu cầu giám sát nhà nước.
Tổng quan chi tiết
Xác định cấp độ và đăng ký là tiền đề và nền tảng để tiến hành dịch vụ đánh giá bảo vệ cấp độ an ninh mạng. Việc xác định cấp độ và đăng ký trực tiếp ảnh hưởng đến sự suôn sẻ của các bước tiếp theo. Vì vậy, SilverTech sẽ hỗ trợ khách hàng xác định đối tượng xác định cấp độ, soạn thảo báo cáo xác định cấp độ, điền đơn đăng ký và nộp tài liệu đăng ký phù hợp, cung cấp dịch vụ tư vấn xác định cấp độ và đăng ký tốt nhất.
◎ Mục tiêu công việc
Quản lý phương pháp bảo vệ cấp độ an ninh thông tin
◎ Quy trình công việc
Khảo sát hiện trạng nhằm hiểu cấu trúc của hệ thống thông tin bằng cách điều tra hoặc xem xét tài liệu, SilverTech sẽ biên soạn các tài liệu bao gồm bản vẽ mạng, ứng dụng doanh nghiệp, quy trình kinh doanh, thông tin thiết bị và tình hình an ninh hiện tại, để chuẩn bị cho công tác đánh giá bảo vệ cấp độ an ninh mạng.
◎ Mục tiêu công việc
Xác định phạm vi và ranh giới của các hệ thống thông tin ở các cấp độ khác nhau, ban đầu xác định các đối tượng phân tích thông tin, bao gồm cả đối tượng tổng thể như máy chủ, môi trường văn phòng, mạng, cũng như đối tượng cụ thể như thiết bị biên, thiết bị gateway, thiết bị máy chủ, hệ thống ứng dụng.
◎ Quy trình công việc
Từ việc khảo sát hiện trạng của các yêu cầu cơ bản về bảo vệ cấp độ an ninh thông tin, có thể hiểu rõ tình hình an ninh thông tin toàn diện, dựa trên yêu cầu của tiêu chuẩn bảo vệ cấp độ an ninh thông tin và thực tiễn tốt nhất về tư vấn bảo vệ an ninh thông tin, lập kế hoạch khảo sát hiện trạng chi tiết, quy trình khảo sát hiện trạng như hình bên phải.
Nội dung khảo sát hiện trạng tập trung vào các yếu tố tổ chức, đặc điểm doanh nghiệp, quy định, cơ sở hạ tầng IT, quản lý hàng ngày, vận hành, an ninh hệ thống liên quan đến yêu cầu cơ bản về bảo vệ cấp độ an ninh thông tin. Khảo sát có thể chọn một số hệ thống, thiết bị và nhân viên đại diện để hiểu rõ tình hình quản lý và kỹ thuật an ninh thông tin của từng đơn vị.
Cách thức khảo sát hiện trạng bao gồm thu thập tài liệu, phỏng vấn trực tiếp, khảo sát bằng bảng câu hỏi và khảo sát kỹ thuật, trong đó khảo sát bằng bảng câu hỏi và kỹ thuật có thể được thực hiện trong phạm vi dự án, phỏng vấn trực tiếp lựa chọn những người đại diện tiêu biểu.
An toàn thông tin - Yêu cầu cơ bản về bảo vệ an ninh thông tin của hệ thống thông tin
◎ Mục tiêu công việc
Qua công việc phân tích khoảng cách bảo vệ cấp độ an ninh thông tin, xác định tình hình bảo vệ an ninh hiện tại của hệ thống thông tin, hiểu rõ tình trạng an ninh cơ bản, khả năng bảo vệ và hiệu quả của các biện pháp và thiết bị bảo vệ hiện có cũng như mức độ hoàn thiện của hệ thống quản lý, đồng thời xác định khoảng cách và các điểm không phù hợp với yêu cầu bảo vệ cấp độ an ninh thông tin.
◎ Quy trình công việc
An toàn thông tin - Yêu cầu cơ bản về bảo vệ an ninh thông tin của hệ thống thông tin
Xây dựng và chỉnh sửa dựa trên kết quả phân tích khoảng cách bảo vệ cấp độ an ninh mạng để xác định nhu cầu xây dựng và chỉnh sửa an ninh từ hai khía cạnh kỹ thuật và quản lý, thiết kế chi tiết kế hoạch xây dựng và kế hoạch thực hiện bảo vệ cấp độ an ninh mạng. Về mặt kỹ thuật, nội dung bao gồm phân vùng an ninh dựa trên ý tưởng phòng thủ sâu, triển khai các thiết bị an ninh cho các vùng an ninh khác nhau và tăng cường các thiết bị an ninh đã triển khai; về mặt quản lý, nội dung dựa trên chính sách, quy định quốc gia và ngành, kết hợp với nhu cầu an ninh thực tế, xây dựng các chiến lược an ninh phù hợp với đặc điểm của từng đơn vị, bao gồm các chính sách quản lý an ninh, tổ chức quản lý an ninh, quản lý xây dựng an ninh và quản lý vận hà
◎ Mục tiêu công việc
Theo yêu cầu bảo vệ cấp độ an ninh mạng, SilverTech hỗ trợ khách hàng phối hợp với tổ chức đánh giá bảo vệ cấp độ an ninh mạng đủ điều kiện để đánh giá hệ thống mục tiêu và hỗ trợ trong suốt quá trình đánh giá, cung cấp thông tin liên quan và phản hồi chuyên môn, giúp khách hàng khắc phục các vấn đề phát hiện trong quá trình đánh giá.
◎ Quy trình công việc
Quy trình xây dựng và sửa đổi được thể hiện như sau:
Hỗ trợ nộp đơn xin đánh giá bảo vệ cấp độ an ninh mạng, chuẩn bị tài liệu đánh giá, trả lời chuyên môn trong quá trình đánh giá, đảm bảo vượt qua đánh giá bảo vệ cấp độ an ninh mạng và nhận chứng nhận đánh giá bảo vệ cấp độ an ninh mạng.
◎ Mục tiêu công việc
Xây dựng bảo vệ cấp độ an ninh mạng là một quá trình liên tục, trong giai đoạn hậu kỳ vận hành bảo mật, SilverTech cung cấp dịch vụ đánh giá rủi ro định kỳ, quét lỗ hổng, thử nghiệm thâm nhập, tăng cường bảo mật và phản hồi khẩn cấp an ninh. Đối với các lỗ hổng bảo mật phát hiện trong hệ thống mục tiêu, SilverTech hỗ trợ khách hàng tăng cường bảo mật hệ thống, đảm bảo hệ thống website luôn tuân thủ các yêu cầu an toàn và hoạt động ổn định.
baobongda
Thông qua các giai đoạn cung cấp giải pháp bảo vệ cấp độ an ninh mạng, hệ thống có thể xây dựng một hệ thống bảo vệ an toàn tổng thể theo cấp độ, đồng thời đảm bảo an toàn tổng thể của hệ thống dựa trên xây dựng kỹ thuật an ninh và quản lý an ninh.
◎ Quy trình công việc
Quy trình đánh giá bảo vệ cấp độ được thể hiện như sau:
SilverTech cung cấp dịch vụ đánh giá rủi ro an ninh định kỳ, tổng hợp các tiêu chuẩn trong nước và quốc tế, tùy chỉnh theo yêu cầu của khách hàng, sử dụng các nội dung dịch vụ chuyên nghiệp để phân tích tài sản, phân tích mối đe dọa, phát hiện điểm yếu và tạo báo cáo đánh giá rủi ro an ninh, cung cấp phương pháp kiểm soát rủi ro cụ thể. Từ đó giúp khách hàng hiểu rõ tình hình an ninh của hệ thống thông tin của mình, xác định rủi ro hiện tại, xây dựng quản lý tài sản IT và quản lý rủi ro an ninh hiệu quả, lên kế hoạch hợp lý cho xây dựng và đầu tư an ninh trong tương lai. Đồng thời, thông qua việc thực hiện đánh giá, nâng cao nhận thức về an ninh của kỹ thuật viên, vận hành và nhân viê
6.1 Dịch vụ đánh giá rủi ro
An ninh là một quá trình động, gần đây internet liên tục xuất hiện các lỗ hổng mới như lỗ hổng Apache Struts2, kết hợp với vận hành an ninh mục tiêu hệ thống sau này, SilverTech cung cấp dịch vụ quét lỗ hổng định kỳ (mỗi tháng hoặc mỗi quý), tránh rủi ro lỗ hổng tồn tại. Thông qua các công cụ đánh giá thực hiện quét an toàn cục bộ đối với ứng dụng Web và hệ điều hành máy chủ trong hệ thống mục tiêu, có thể phát hiện các lỗ hổng an ninh, khám phá các rủi ro an ninh của hệ điều hành, dịch vụ Web và ứng dụng bên thứ ba, và cung cấp hướng dẫn sửa chữa, từ gốc loại bỏ khả năng bị tấn công từ các lỗ hổng đã biết.
6.2 Dịch vụ quét lỗ hổng
SilverTech cung cấp dịch vụ thử nghiệm thâm nhập định kỳ. Đội ngũ chuyên gia của SilverTech có thể phát hiện thêm các lỗ hổng an ninh ẩn trong hệ thống, ứng dụng và Web trên cơ sở quét lỗ hổng an ninh, tránh hacker thâm nhập hệ thống khách hàng và đánh cắp thông tin nhạy cảm. Sau khi kết thúc thử nghiệm thâm nhập, cung cấp báo cáo thử nghiệm thâm nhập chuyên nghiệp, mô tả chi tiết phương pháp thử nghiệm, kết quả thử nghiệm và phân tích kết quả, và đưa ra phương án sửa chữa hợp lý và hoàn chỉnh theo kết quả thử nghiệm thâm nhập.
6.3 Dịch vụ kiểm thử xâm nhập
Đường cơ sở an ninh (BaseLine) là điều kiện tối thiểu để đảm bảo tính bảo mật, toàn vẹn và sẵn sàng của hệ thống thông tin, là mức tối thiểu đảm bảo an toàn cơ bản và yêu cầu an toàn cơ bản. Để tránh các sai sót hoặc lỗi trong quá trình vận hành hàng ngày hoặc việc sử dụng cấu hình an ninh mặc định gây nguy cơ cho hệ thống thông tin, SilverTech cung cấp dịch vụ tăng cường bảo mật định kỳ, theo tiêu chuẩn bảo vệ cấp độ an ninh 2.0, kiểm tra đường cơ sở an ninh cho hệ thống mục tiêu, đảm bảo hệ thống mục tiêu đạt các tiêu chí an toàn tương đối liên tục. Đối tượng kiểm tra bao gồm: hệ điều hành, cơ sở dữ liệu, phần mềm trung gian, ứng dụng Web, v.
new88066
Kiểm tra cấu hì Và dựa trên kết quả giám sát an ninh website, quét lỗ hổng và kiểm tra đường cơ sở an ninh, hỗ trợ khách hàng tăng cường và hướng dẫn kỹ thuật cho hệ thống mục tiêu. Thông qua các phương pháp tư vấn và tăng cường bảo mật bằng con người, tăng cường bảo mật cho các đối tượng như hệ điều hành, cơ sở dữ liệu, phần mềm trung gian, thiết bị mạng, thiết bị an ninh, hệ thống ứng dụng, tăng khả năng chống lại các cuộc tấn công của hệ thống mục tiêu, giảm thiểu rủi ro an ninh tổng thể, nâng cao mức độ bảo vệ an ninh thông tin, giảm thiểu các sự cố an ninh.
6.4 Dịch vụ tăng cường bảo mật
Về giai đoạn bảo trì hệ thống trong giai đoạn vận hành an toàn, SilverTech cung cấp dịch vụ phản hồi khẩn cấp an ninh. Đối phó với các sự kiện an ninh mạng xảy ra, phát hiện, phân tích và xác nhận chúng, và đưa ra phản ứng để giảm thiểu rủi ro và thiệt hại có thể xảy ra. Ví dụ như xâm nhập của hacker, tấn công từ chối dịch vụ, giao tiếp mạng không được ủy quyền, hoạt động hệ thống, trang web bị thay đổi, tấn công lưu lượng bất thường, lây lan của virus mạng, v.v.
6.5 Dịch vụ phản hồi khẩn cấp
Dịch vụ phản hồi khẩn cấp an ninh nhằm chuẩn bị trước các sự kiện bất ngờ có thể xảy ra và thực hiện các biện pháp sau khi sự kiện xảy ra. Dịch vụ phản hồi khẩn cấp an ninh của SilverTech cung cấp cho công ty khách hàng nguồn lực để hoàn thiện bảo vệ an ninh, kháng cự lại các cuộc tấn công và thực hiện các biện pháp sửa chữa an ninh. Dịch vụ phản hồi khẩn cấp an ninh cung cấp hỗ trợ nhanh chóng và dịch vụ phản hồi 24/7, đảm bảo an toàn mạng không lo lắng, ngăn chặn các nguy cơ xảy ra.
Theo yêu cầu cơ bản về bảo vệ cấp độ an ninh mạng phiên bản 2.0 và khung an ninh bảo vệ cấp độ, giải pháp của SilverTech sẽ tập trung vào hai nhóm chính là yêu cầu kỹ thuật và quản lý, thiết kế kế hoạch xây dựng cải thiện.
baobongda
Qua việc xây dựng hệ thống kỹ thuật để đáp ứng năm yêu cầu kỹ thuật cơ bản về môi trường vật lý an toàn, mạng truyền thông an toàn, ranh giới khu vực an toàn, môi trường tính toán an toàn và trung tâm quản lý an ninh; và xây dựng hệ thống quản lý để đáp ứng năm yêu cầu quản lý cơ bản về hệ thống quản lý an ninh, tổ chức quản lý an ninh, quản lý nhân viên an ninh, quản lý xây dựng an ninh và quản lý vận hà
Giá trị và lợi thế
Tuân thủ và hợp pháp
Đáp ứng yêu cầu tuân thủ, xác định rõ trách nhiệm và phương pháp làm việc, duy trì chu kỳ an toàn của doanh nghiệp.
Xây dựng hệ thống
Chuyển từ phòng thủ bị động sang chủ động, thay đổi phương thức phòng thủ đơn điểm, tăng cường xây dựng hệ thống an ninh doanh nghiệp.
Tạo ra giá trị
Tăng cường mức độ an ninh của doanh nghiệp, bảo vệ quyền lợi của xã hội, doanh nghiệp và người dân, tạo ra giá trị cao hơn cho doanh nghiệp trực tiếp hoặc gián tiếp.
Giải pháp bảo vệ cấp độ
V2.0
(Dưới đây là giải pháp tham khảo theo yêu cầu hệ thống bảo vệ cấp độ 2.0 cấp ba)
SilverTech kết nối cùng đối tác
