Bohan-IT 为等保提供认证全流程服务
BohanIT作为网络服务提供商、网络应用程序开发商,在企业信息安全服务上积累了大量的安全管理经验,从信息安全制度的制定到软件、硬件的防护加固等都可以为用户在通过等保测评方面提供全面的方案和对策。
BohanIT在等保认证测评服务方面,主要可以为用户提供如下服务:
信息系统安全等级保护简称“等保”,是根据《中华人民共和国网络安全法》(以下简称《网络安全法》)制定的基本网络安全制度,也是一套完整和完善的网络安全管理体系。目前实施的等保标准为2.0版,俗称“等保2.0”。遵循等级保护相关标准开始针对互联网上的信息系统(含网站)进行安全建设是目前国家对企事业单位的普遍要求,也正日渐成为针对网站运营者的硬性要求。
违反本法规定,构成违法治安管理行为的,依法给与治安管理处罚;构成犯罪的,依法追究刑事责任。通俗地说就是,维护网站运行安全是网站所有者或运营者的责任,若网站出现安全问题,对社会有所危害的话,将会受到相应的处罚。
BohanIT等保服务
主要协助对象
基于互联网技术的信息系统
如网站和信息管理
《网络安全法》第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
《网络安全法》第五十九条:不履行本法第二十一条、第二十五条规定的网络安全保护义务的,责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
根据信息系统遭到破坏后的危害程度等因素,等级保护制度分为五个等保级别,一般企业的网站和系统原则上适用第二级,具体适用等级可参考下图自行判断或联系BohanIT咨询。
| 涉及受侵害的客体 | 可能对客体的侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法利益 | 第一级 | 第二级 | 第三级 |
| 社会秩序\公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全 | 第三级 | 第四级 | 第五级 |
合法合规
明确企业安全责任和工作方法,满足合法要求
安全/规范
企业安全措施体系化;规范化,切实保护企业信息资产安全
效益
合理分配网络安全投资,减少提高员工安全意识成本
等保等级是根据评测项目列表进行评测的,采用积分制,针对测评项目的达标情况逐项打分,达到一定分数后即可认定为通过等保等级2级或更高等级。一些评测项目为高分项目,可以被视为必须通过的项目,否则无法通过等级评测。
进行等保评测时,需要在诸多项目上满足等保相应等级的要求,其中主要甚至是极其关键的项目大致如下:
| 等保评测项目 | 重要性/等级 | 一般应对措施 | 说明/备注 |
| 防火墙(FW) | 必选/二级 | 选用有生产许可证的硬件防火墙 | 高端机有多项其他功能 |
| 应用防火墙(WAF) | 必选/二级 | 选用有生产许可证的硬件应用防火墙 | 高端机有多项其他功能 |
| 入侵防御系统(IPS) | 必选/二级 | 在选用的硬件防火墙中增加IPS模块 | 高端防火墙通常均具备IPS |
| 网站防篡改 | 必选/二级 | 在应用服务器上安装商用防篡改系统 | 综合性防火墙具备该功能 |
| 杀毒软件(应用层) | 必选/二级 | 在应用服务器上安装知名杀毒软件 | 综合性防火墙具备该功能 |
| 病毒扫描(网络层) | 必选/二级 | 选用高端硬件防火墙并启用病毒扫描模块 | 高端防火墙通常有该功能 |
| 日志审计(系统层) | 必选/二级 | 在独立服务器上安装商用日志审计系统, 并将系统相关日志导入日志审计服务器 |
综合性防火墙具备该功能 |
| 日志审计(应用层) | 必选/二级 | 在应用系统的后台增加审计功能开发 | 针对网站后台管理人员的操作进行记录审计 |
| SSL VPN | 建议/二级 | 通过SSL VPN的安全链路访问应用系统 | 一般通过防火墙建立VPN |
| 数据库审计 | 可选/二级
必选/三级 |
将数据库日志导入日志审计服务器 | |
| 堡垒机 | 可选/二级
必选/三级 |
设置独立的堡垒机或启用第三方服务 | 通过堡垒机登录服务器 |
| 服务器管理系统 (服务器管理控制面板) |
建议/二级 | 导入世界著名的服务器管理控制面板 Plesk, 日常通过plesk面板对服务器进行管理和操作, 进一步提高服务器管理的安全性。 Plesk还拥有包含安全方面的大量的其他功能可供使用 |
在既有服务器中导入服务器管理系统需要 重新安装OS并进行数据转移, 大约需要1-3天时间 |
| 网站登录身份鉴别 (应用层) |
必选/二级 | 在应用程序的登录界面增加图片识别及登录失败处理机制 | 防止外来自动登录申请及防范密码的暴力破解 |
| 上网行为管理 | 可选/二级
必选/三级 |
在客户办公环境启用商用上网行为管理系统 | 机房和办公在一个区域 |
*项目重要性: 必选》建议》可选。二级必选项也是三级的必选项。
*综合性防火墙,也有称新一代防火墙(俗称等保一体机),是在传统防火墙功能(防火墙、IPS、病毒扫描)基础上,组合了WAF、网站防篡改、日志审计等功能和系统的、全面提高信息系统安全防护水平的新类型防火墙,是通过等保评测的有效安全防护手段。
*等保必选项目通常比较昂贵,可以通过项目的合理组合和软硬件的适配优化出性价比较好的方案。
*主要项目中既有网络或系统层面的项目,也有应用(网站)层面的项目(以天蓝色标注的项目)。
在等级保护申请及评测的全流程中,涉及到四个不同的角色,分别是:运营使用单位、公安机关、BohanIT、测评机构。等级保护评测通常需要花费4-6个月时间,各工作流程内容及所需时间大致如下:
通过等级保护的测评和认证,意味着需要在花费投资加强网站方面安全建设的前提下,进一步聘请咨询机构和等保测评认证公司按照等保基准要求进行相关评测和认证,评测出安全问题点后,多数情况下还需相应地增加投资实施安全方面的整改措施,对一般的公司来说,综合起来这是一笔不菲的投资。 为了给实施等保认证的用户做个参考,下面将所需费用做个大致的分解和说明。
咨询和评测实施费用
这项服务通常由等保咨询公司总承担,与等保测评认证公司协作实施,服务费用的市场价一般都在20万元以上,少有低于15万元的情形。 上海伯汉IT公司对我公司既有客户以最优惠的价格提供等保咨询服务,在中日文双语服务(不含文档翻译)的基础上,根据网站的性质及规模大致的收费标准为10-14万元(以上海地区为例),欢迎用户垂询。
安全整改方案实施费用
经过等保评测后,通常需要针对网站实施一些安全方面的整改措施,主要分为2个部分:
A. 网络和基本系统层面的整改措施:通常包含应用防火墙、系统日志审计、网站防篡改等高分(必须)的评测项目。所需费用视原有网站安全措施的程度会有较大的不同,一般会在2万-6万元左右。
B. 应用层面的整改措施:除了常见的跨站点攻击、SQL注入等安全漏洞外,通常需要追加开发网站后台的操作日志审计功能和网站登录身份鉴别,这部分费用也视网站的复杂程度和规模,少则数千元,多则2-3万元。
中文:021-56666825
日文:021-65400660
(工作日8:30-17:30 北京时间)
请选择和填写如下内容,带 * 号项为必填项
请填写您的联络信息,我们将及时联系您
是否已是我公司虚拟主机/服务器用户?
您是通过何种途径知晓本公司的呢?
验证码
网络错误请稍后再试
网络错误请稍后再试
沪公网安备 31011202013770号
