Bohan-IT 為等保提供認證全流程服務
BohanIT作為網絡服務提供商、網絡應用程序開發商,在企業信息安全服務上積累了大量的安全管理經驗,從信息安全制度的制定到軟件、硬件的防護加固等都可以為用戶在通過等保測評方面提供全面的方案和對策。
BohanIT在等保認證測評服務方面,主要可以為用戶提供如下服務:
信息系統安全等級保護簡稱“等?!?,是根據《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)制定的基本網絡安全制度,也是一套完整和完善的網絡安全管理體系。目前實施的等保標準為2.0版,俗稱“等保2.0”。遵循等級保護相關標準開始針對互聯網上的信息系統(含網站)進行安全建設是目前國家對企事業單位的普遍要求,也正日漸成為針對網站運營者的硬性要求。
違反本法規定,構成違法治安管理行為的,依法給與治安管理處罰;構成犯罪的,依法追究刑事責任。通俗地說就是,維護網站運行安全是網站所有者或運營者的責任,若網站出現安全問題,對社會有所危害的話,將會受到相應的處罰。
BohanIT等保服務
主要協助對象
基于互聯網技術的信息系統
如網站和信息管理
《網絡安全法》第二十一條:國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。
《網絡安全法》第五十九條:不履行本法第二十一條、第二十五條規定的網絡安全保護義務的,責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
根據信息系統遭到破壞后的危害程度等因素,等級保護制度分為五個等保級別,一般企業的網站和系統原則上適用第二級,具體適用等級可參考下圖自行判斷或聯系BohanIT咨詢。
涉及受侵害的客體 | 可能對客體的侵害程度 | ||
一般損害 | 嚴重損害 | 特別嚴重損害 | |
公民、法人和其他組織的合法利益 | 第一級 | 第二級 | 第三級 |
社會秩序\公共利益 | 第二級 | 第三級 | 第四級 |
國家安全 | 第三級 | 第四級 | 第五級 |
合法合規
明確企業安全責任和工作方法,滿足合法要求
安全/規范
企業安全措施體系化;規范化,切實保護企業信息資產安全
效益
合理分配網絡安全投資,減少提高員工安全意識成本
等保等級是根據評測項目列表進行評測的,采用積分制,針對測評項目的達標情況逐項打分,達到一定分數后即可認定為通過等保等級2級或更高等級。一些評測項目為高分項目,可以被視為必須通過的項目,否則無法通過等級評測。
進行等保評測時,需要在諸多項目上滿足等保相應等級的要求,其中主要甚至是極其關鍵的項目大致如下:
等保評測項目 | 重要性/等級 | 一般應對措施 | 說明/備注 |
防火墻(FW) | 必選/二級 | 選用有生產許可證的硬件防火墻 | 高端機有多項其他功能 |
應用防火墻(WAF) | 必選/二級 | 選用有生產許可證的硬件應用防火墻 | 高端機有多項其他功能 |
入侵防御系統(IPS) | 必選/二級 | 在選用的硬件防火墻中增加IPS模塊 | 高端防火墻通常均具備IPS |
網站防篡改 | 必選/二級 | 在應用服務器上安裝商用防篡改系統 | 綜合性防火墻具備該功能 |
殺毒軟件(應用層) | 必選/二級 | 在應用服務器上安裝知名殺毒軟件 | 綜合性防火墻具備該功能 |
病毒掃描(網絡層) | 必選/二級 | 選用高端硬件防火墻并啟用病毒掃描模塊 | 高端防火墻通常有該功能 |
日志審計(系統層) | 必選/二級 | 在獨立服務器上安裝商用日志審計系統, 并將系統相關日志導入日志審計服務器 |
綜合性防火墻具備該功能 |
日志審計(應用層) | 必選/二級 | 在應用系統的后臺增加審計功能開發 | 針對網站后臺管理人員的操作進行記錄審計 |
SSL VPN | 建議/二級 | 通過SSL VPN的安全鏈路訪問應用系統 | 一般通過防火墻建立VPN |
數據庫審計 | 可選/二級
必選/三級 |
將數據庫日志導入日志審計服務器 | |
堡壘機 | 可選/二級
必選/三級 |
設置獨立的堡壘機或啟用第三方服務 | 通過堡壘機登錄服務器 |
服務器管理系統 (服務器管理控制面板) |
建議/二級 | 導入世界著名的服務器管理控制面板 Plesk, 日常通過plesk面板對服務器進行管理和操作, 進一步提高服務器管理的安全性。 Plesk還擁有包含安全方面的大量的其他功能可供使用 |
在既有服務器中導入服務器管理系統需要 重新安裝OS并進行數據轉移, 大約需要1-3天時間 |
網站登錄身份鑒別 (應用層) |
必選/二級 | 在應用程序的登錄界面增加圖片識別及登錄失敗處理機制 | 防止外來自動登錄申請及防范密碼的暴力破解 |
上網行為管理 | 可選/二級
必選/三級 |
在客戶辦公環境啟用商用上網行為管理系統 | 機房和辦公在一個區域 |
*項目重要性: 必選》建議》可選。二級必選項也是三級的必選項。
*綜合性防火墻,也有稱新一代防火墻(俗稱等保一體機),是在傳統防火墻功能(防火墻、IPS、病毒掃描)基礎上,組合了WAF、網站防篡改、日志審計等功能和系統的、全面提高信息系統安全防護水平的新類型防火墻,是通過等保評測的有效安全防護手段。
*等保必選項目通常比較昂貴,可以通過項目的合理組合和軟硬件的適配優化出性價比較好的方案。
*主要項目中既有網絡或系統層面的項目,也有應用(網站)層面的項目(以天藍色標注的項目)。
在等級保護申請及評測的全流程中,涉及到四個不同的角色,分別是:運營使用單位、公安機關、BohanIT、測評機構。等級保護評測通常需要花費4-6個月時間,各工作流程內容及所需時間大致如下:
通過等級保護的測評和認證,意味著需要在花費投資加強網站方面安全建設的前提下,進一步聘請咨詢機構和等保測評認證公司按照等?;鶞室筮M行相關評測和認證,評測出安全問題點后,多數情況下還需相應地增加投資實施安全方面的整改措施,對一般的公司來說,綜合起來這是一筆不菲的投資。 為了給實施等保認證的用戶做個參考,下面將所需費用做個大致的分解和說明。
咨詢和評測實施費用
這項服務通常由等保咨詢公司總承擔,與等保測評認證公司協作實施,服務費用的市場價一般都在20萬元以上,少有低于15萬元的情形。 上海伯漢IT公司對我公司既有客戶以最優惠的價格提供等保咨詢服務,在中日文雙語服務(不含文檔翻譯)的基礎上,根據網站的性質及規模大致的收費標準為10-14萬元(以上海地區為例),歡迎用戶垂詢。
安全整改方案實施費用
經過等保評測后,通常需要針對網站實施一些安全方面的整改措施,主要分為2個部分:
A. 網絡和基本系統層面的整改措施:通常包含應用防火墻、系統日志審計、網站防篡改等高分(必須)的評測項目。所需費用視原有網站安全措施的程度會有較大的不同,一般會在2萬-6萬元左右。
B. 應用層面的整改措施:除了常見的跨站點攻擊、SQL注入等安全漏洞外,通常需要追加開發網站后臺的操作日志審計功能和網站登錄身份鑒別,這部分費用也視網站的復雜程度和規模,少則數千元,多則2-3萬元。
請選擇和填寫如下內容,帶 * 號項為必填項
請填寫您的聯絡信息,我們將及時聯系您
是否已是我公司虛擬主機/服務器用戶?
您是通過何種途徑知曉本公司的呢?
驗證碼
網絡錯誤請稍后再試
網絡錯誤請稍后再試