二、三级等保申请流程，二、三级等保怎么申请？二、三级等保是什么？等保测评需要多少钱？

近期，因为政策的关系，大家对等保比较关注，那么我们今天就来聊一聊等保2.0的那些事。

首先，我们先看来一下，什么是二、三级等保？

一、等保2.0概述

2019年5月13日，国家市场监督管理总局、国家标准化管理委员会发布《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）（“《等保基本要求》”）、《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）、《信息安全技术网络安全等级保护安全设计技术要求》（GB/T 25070-2019）三个网络安全领域的国家标准，共同构筑新时代的网络安全等级保护制度，标志着等保2.0的正式到来，新标准规范将于2019年12月1日开始实施。

网络安全等级保护制度是国家信息安全保障工作的基础，也是一项事关国家安全、社会稳定的政治任务。通过开展等级保护工作，发现网络和信息系统与国家安全标准之间存在的差距，找到目前系统存在的安全隐患和不足，通过安全整改，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。网络安全等级保护制度，作为国家网络安全的重要组成部分，对加强国家网络安全保障工作，提升网络安全保护能力具有重要意义。

云南、昆明二级等保测评，云南、昆明三级等保测评，等保测评方案，熊经理：13669794067，QQ：282222323

二、为什么要做二、三级等保？

政策法规

中华人民共和国网络安全法

第二十一条

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

第三十一条

国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，在网络安全等级保护制度的基础上，实行重点保护。

第五十九条

网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款。

三、等保申请流程

1、系统定级

（1）协助定级、推荐测评机构（服务方义务）

（2）业务系统定级，与服务方签订服务合同。

通用等保测评流程

信息系统运营单位按照《网络安全等级保护定级指南》，自行定级。三级以上系统定级结论需进行专家评审。

2、系统备案

（1）协助客户完成备案（服务方义务）

（2）提交备案材料

通用等保测评流程

信息系统定级申报获得通过后，30日内到公安机关办理备案手续。

3、建设整改

（1）提供技术方案建议书、协助整改（服务方义务）

（2）依据等级保护标准进行安全建设整改

通用等保测评流程

根据等保有关规定和标准，对信息系统进行安全建设整改。

4、等级测评

（1）协助测评（服务方义务）

（2）配合测评机构测评，接收报告（项目完结）

通用等保测评流程

信息系统运营单位选择公安部认可的第三方等级测评机构进行测评，提供跨地市的情况下由本地（本省）测评机构交付的等保测评服务。

5、监督检查（项目后）

（1）技术支持（服务方义务）

（2）安全运营、维护，保障日常系统合规

通用等保测评流程

当地网监定期进行监督检查。

四、《网络安全等级保护基本要求》关键项分析

1、安全物理环境

（1）物理位置选择

机房场地应选择在具有防震、防风和防雨等能力的建筑内。

（2）物理访问控制

机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。

（3）基础设施位置

应确保云计算基础设施位于中国境内。

（4）防盗窃和防破坏

应设置机房防盗报警系统或设置有专人值守的视频监控系统。

（5）电力供应

应设置冗余或并行的电力电缆线路为计算机系统供电

（6）建设策略

华为云基础设施位于中国境内

物理和环境安全，直接复用华为云等保测评结论即可。

2、安全通信网络&区域边界

（1）网络架构

根据云租户业务需求自主设置安全策略集，包括定义访问路径、选择安全组件、配置安全策略。

（2）访问控制

在不同等级的网络区域边界部署访问控制机制，设置访问控制规则。

（3）通信传输

应采用校验码技术或加解密技术保证通信过程中数据的完整性。

（4）边界防护

应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信。

（5）入侵防范

应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

（6）建设策略

①、推荐安全组、网络ACL通过设置基本的访问控制策略，对进出安全区域边界的数据信息进行控制，阻止非授权及越权访问。

②、推荐VPN、安全证书服务，采取加密措施，防止数据在传输过程中遇到破坏、窃取等各种攻击。

③、推荐DDoS高防，云WAF服务，针对日渐增多的DDoS、Web攻击进行防御，精准有效地实现对流量型攻击和应用层攻击的全面防护。

3、安全计算环境

（1）身份鉴别

当进行远程管理时，管理终端和云计算平台边界设备之间建立双向身份验证机制。

（2）安全审计

根据云服务方和云租户的职责划分，收集各自控制部分的审计数据并实现集中审计。

（3）入侵防范

虚拟机之间的资源隔离失效，并进行告警。

（4）恶意代码防范

应能够检测恶意代码感染及在虚拟机间蔓延的情况，并提出告警。

（5）数据完整性和保密性

应采用校验码技术或加解密技术保证重要数据在传输/存储过程中的完整性和保密性。

（6）建设策略

①、推荐堡垒机、数据库安全服务对服务器和数据库的运维及操作行为进行审计。

②、管理员使用各自的账户进行管理，管理员的权限仅分配其所需的最小权限，在制定好的访问控制策略下进行操作，杜绝越权非法操作。

③、推荐主机安全服务，防止各类具有针对性的入侵威胁，发现常见操作系统存在的各种安全漏洞，及时更新恶意代码库。

4、安全管理中心

（1）系统管理

通过安全管理中心对被保护系统和安全管理中心自身的运行状态进行监控。

（2）审计管理

通过部署安全管理中心、业务安全审计平台，对被保护系统和安全管理中心的相关重要安全事件和用户操作行为进行审计。

（3）安全管理

通过部署安全管理中心、业务安全审计平台，并对安全管理员进行身份鉴别，对主体进行授权，配置可信验证策略等。

（4）集中管控

通过部署安全管理中心、业务安全审计平台、APT威胁检测系统，并对分布在网络中的安全设备、网络设备和服务器等的运行状况进行集中监测与管控。

（5）建设策略

①、通过安全事件管理等模块协助实施应急响应机制。

②、确保用户行为的可追溯性，及时发现异常的安全行为，同时为综合分析提供数据支撑。

③、数据收集、安全策略、恶意代码、补丁升级等安全相关事项和各类安全事件进行集中管理，分析。

5、安全管理制度

（1）安全管理制度

应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系。

（2）安全管理机构

应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权。

（3）安全管理人员

人员录用、人员离岗、人员考核、安全意识教育及培训、外部人员访问管理。

（4）安全建设管理

应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，并形成配套文件。

（5）安全运维管理

①、应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。

②、应设置冗余或并行的电力电缆线路为计算机系统供电。

（6）建设策略

①、企业应制定完善的安全管理制度，根据基本要求设置安全管理机构，梳理管理文件，明确组织人员的岗位职责，定期进行全面安全检查，特别是系统日常运行、系统漏洞和数据备份等。

②、推荐漏洞扫描服务、安全体检服务，检测租户站点的漏洞，提前防范黑客利用漏洞进行攻击，防止利益损失和数据泄露。

五、我司提供的全栈安全服务满足等保要求

1、等保合规套餐

为客户提供多场景的等保合规安全解决方案，满足多行业业务诉求，快速省心过等保。

2、等保多场景介绍

（1）等保二级

适用于用户量和敏感数据较少，如果发生安全问题，不会对企业自身及用户造成特别严重影响，如门户网站。

（2）等保三级基础版

适用于存有用户敏感信息，信息外泄会造成特别严重影响，甚至会对社会秩序和公共利益造成损失的系统，如物流、车联网、物联网。

（3）等保三级高级版

满足高分段等保测评需求，适用于存有用户敏感信息，信息外泄会造成特别严重影响，甚至会对社会秩序和公共利益造成损失的系统，如在线教育、互联网医疗、互联网金融。

（4）多云模式

适用于多云业务场景，集中式安全防护及安全运营，如游戏、直播、电商。

六、等保合规安全解决方案

1、等保合规架构

为客户提供一站式安全技术方案，帮助客户快速、低成本完成安全整改，轻松应对等保2.0合规测评。

2、等保2.0基本要求

（1）安全物理环境

主要包括物理位置选择，物理位置访问控制。

（2）安全通信网络&区域边界

主要包括网络架构、边界防护、访问控制、通信传输、入侵防范、安全审计。

（3）安全计算环境

主要包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据完整性和保密性、数据备份恢复。

（4）安全管理中心

主要包括系统管理、审计管理、安全管理、集中管控。

（5）安全管理制度

主要包括安全策略、安全管理制度与流程规范、人员组织、安全管理基线。