信息系统安全等级保护测评、备案证咨询--互联网技术领域

主要服务咨询项目为软件产品测试咨询、电子产品检测咨询、软件第三方验收测试咨询、科技项目验收测试咨询、信息系统第三方检测咨询、集成电路检测咨询、芯片检测咨询、IC检测咨询、信息化项目技术绩效评估(网站或系统绩效评估）咨询、政务信息化项目效能评估咨询、信息系统安全等级保护备案证明、信息系统安全等保报告咨询、网络安全等保测评咨询、信息系统安全等保测评咨询、数字新基建项目第三方测试(5G建设、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联网)咨询、广东省守合同重企业、民用无人驾驶航空器经营证、信息系统建设和服务能力评估CS、信息系统服务交付能力评估CCID、计算机信息系统安全服务证、信息系统集成及服务资质、信息系统运维资质、音视频系统集成资质、安防系统集成资质、音视频集成工程企业资质、信息化能力评价、EDI/ICP安全防护检测、广东省安全技术防范系统设计、施工与维修证、广东省有线广播电视工程设计（安装）证、广东省防雷工程企业能力评价、软件过程及能力成熟度评估CMMI、涉密信息系统集成资质、数据管理能力成熟度评估模型DCMM、信息技术服务运行维护标准ITSS、信息安全服务资质CCRC、科技成果评价、科技成果登记、科技成果登记合作（即挂名）、科学技术奖申请、专利合作申请（即挂名）、国家高新技术企业认证、双软认定、动漫企业认定、技术合同登记、知识产权服务、发明专利加急、集成电路布图专有权登记、计算机软件著作权登记、软件检测报告（软件项目验收鉴定报告）、工商注册、代理记账、创业补助申请等服务领域。VX;133-------4二捌五----2518

技术领域：（分类来自于网络安全等级保护国家标准）

□01互联网           □02物联网          □03移动互联

□04云计算           □05工业控制        □06大数据

行业领域：（分类来自于网络安全等级保护备案表）

□11电信          □12广电         □13经营性公众互联网

□21铁路          □22银行         □23海关                □24税务

□25民航          □26电力         □27证券                □28保险

□31国防科技工业  □32公安         □33人事劳动和社会保障  □34财政

□35审计          □36商业贸易     □37国土资源            □38能源

□39交通          □40统计         □41工商行政管理        □42邮政

□43教育          □44文化         □45卫生                □46农业

□47水利          □48外交         □49发展改革            □50科技

□51宣传          □52质量监督检验检疫                     □99其他

等保的本质

等级保护自推出就一直存在争议，因为在没有等级保护之前，传统厂商一直以风险评估作为风险识别的重要手段，等级保护似乎简化了整个流程，导致甲方有一种误解：做了等级保护工作，通过了测评，系统就安全了。

其实这是误解，国家推行等级保护制度的初衷也并非如此，等级保护本质上是提供了一种安全基线的参考标准，作为国家开展网络安全管理、执法工作的指引，通过了等级保护测评，只能证明信息系统符合国家等级保护制度（合规了），但绝不代表就安全了。网络安全工作的落地还是要按照风险评估->风险管理的套路来做，并不冲突。

4.2 等保对网络安全市场的影响

等级保护对网络安全市场的推动作用是毋庸置疑的，国家带队宣传，为安全厂商提供了一个很好的切入点，但是也不要幻想着等级保护会给市场带来大的变革，因为真正决定这个市场规模的因素还是在于用户的需求，合规只是安全需求的一部分，且不应作为主要因素来看待。任何市场的终极问题只有一个：“我为用户解决了什么问题，带来了什么价值 ”，因为这才是用户买单的最重要因素。

4.3 密码技术的角色

密码技术本质上是一种主动防御技术，其特征在于：

安全的可证性：能够被数学证明的安全，这点优势很明显，厂商应该充分利用，其他安全技术更多是缺什么补什么，缺乏系统性；

一般是在系统建立到时候同步设计、同步实施；

密码技术是对特定“病症”的良方，如：身份冒用、数据泄露，但绝不是包治百病的神丹妙药；

密码技术与其它安全技术一样，应该为客户提供的是“适度安全”解决方案，而不是绝对安全，绝对安全不是不可实现，而是成本太高，高到业务寸步难行；

要注意密码技术与业务系统的解耦，高度定制绝不是什么好生意；

五、延伸

终端的计算能力越弱，主动防御技术越重要

在移动互联安全扩展中，恶意代码的防范被弱化了，取而代之的是安全沙箱、白名单等主动防御技术；

在物联网安全扩展中，安全沙箱不见了，密码技术应该是最好的选择了。

六、参考资料：

《GB/T 22239-xxx 网络安全等级保护级别要求》

《GB/T 25070-xxx 网络安全等级保护安全设计技术要求》

-第2部分：云计算安全

-第3部分：移动互联安全

-第4部分：物联网安全

服务区域：广东省、广州(天河、萝岗开发区、黄埔开发区、南沙新区、番禺、花都、从化、增城、越秀、白云）、珠海市、中山市、江门市、佛山市、惠州市、东莞市、深圳市、肇庆市、云浮市、茂名市、湛江市、清远市、韶关市、梅州市、汕头市、潮州市、河源市、揭阳市、阳江市

全国各省、市、自治区：广东省、海南省、福建省、湖南省、四川省、重庆市、贵州省、云南省、广西壮族自治区、湖北省、河南省、山东省、河北省、陕西省、山西省、浙江省、江苏省、辽宁省、黑龙江省、吉林省、上海市、天津市、北京市、甘肃省、西藏自治区、安徽省、青海省、宁夏回族自治区、内蒙古自治区、新疆维吾尔族自治区