网络安全等级保护常见注意事项(等级保护)
⽹络安全等级保护常见注意事项(等级保护)
⽹络安全等级保护常见注意事项
什么是等保?
等保,即⽹络安全等级保护标准。
互联网行业2007 年我国信息安全等级保护制度正式实施,通过⼗余年的时间的发展与实践,成为了我国⾮涉密信息系统⽹络安全建设的重要标准。
等保标准具有很强的实⽤性:它是监管部门合规执法检查的依据,是我国诸多⽹络信息安全标准制度的重要参考体系架构,是⾏业主管部门对于下级部门⽹络安全建设的指引标准的重要依据和参考体系
由此标准衍⽣了诸多⾏业标准:例如⼈社⾏业等保标准、⾦融⾏业等保标准、能源⾏业(电⼒)等保标准、教育⾏业等保标准等⾏业标准。总的来说,等保制度是⽹络安全从业者开展⽹络安全⼯作的重要指导体系和制度。
什么是等保 1.0?
2007 年和 2008 年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这部法规被称为等保1.0。经过 10 余年的实践,等保 1.0 为保障我国信息安全打下了坚实的基础。
什么是等保 2.0?
等保 2.0 相关国家标准于 2019 年 5 ⽉ 10 ⽇正式发布。2019 年 12 ⽉ 1 ⽇开始实施。这是我国实⾏⽹络安全等级保护制度过程中的⼀件⼤事,具有⾥程碑意义。
等保 2.0 相⽐等保 1.0 有哪些区别 / 进步?
等保 1.0 主要强调物理主机、应⽤、数据、传输,⽽ 2.0 版本增加了对云计算、移动互联、物联⽹、⼯业控制和⼤数据等新技术新应⽤的全覆盖。相较于等保 1.0,等保 2.0 发⽣了以下主要变化:
•第⼀,名称变化。等保 2.0 将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术⽹络安全等级保护基本要求》,与《⽹络安全法》保持⼀致。
•第⼆,定级对象变化。等保 1.0 的定级对象是信息系统,现在 2.0 更为⼴泛,包含:信息系统、基础信息⽹络、云计算平台、⼤数据平台、物联⽹系统、⼯业控制系统、采⽤移动互联技术的⽹络等。
•第三,安全要求变化。基本要求的内容,由安全要求变⾰为安全通⽤要求与安全扩展要求 (含云计算、移动互联、物联⽹、⼯业控制)。
•第四,控制措施分类结构变化。等保 2.0 依旧保留技术和管理两个维度。在技术上,由物理安全、⽹络安全、主机安全、应⽤安全、数据安全,变更为安全物理环境、安全通信⽹络、安全区域边界、安全计算环境、安全管理中⼼;在管理上,结构上没有太⼤的变化,从安全管理制度、安全管理机构、⼈员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理⼈员、安全建设管理、安全运维管理。
七夕发的说说•第五,内容变化。从等保 1.0 的定级、备案、建设整改、等级测评和监督检查五个规定动作,变更为五个规定动作 +新的安全要求 (增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等。)。
•第六,法律效⼒不同。《⽹络安全法》第 21 条规定 “国家实⾏⽹络安全等级保护制度,要求⽹络运营者应当按照⽹络安全等级保护制度要求,履⾏安全保护义务”。落实⽹络安全等级保护制度上升为法律义务。
等保 2.0 的实施对企业有哪些影响?
根据谁主管谁负责、谁运营谁负责、谁使⽤谁负责的原则,⽹络运营者成为等级保护的责任主体,如何快速⾼效地通过等级保护测评成为企业开展业务前必须思考的问题。
等保 2.0 有 5 个运⾏步骤:定级备案、差距评估、建设和整改、等级测评、检查。
同时,也分 5 个等级,即信息系统按重要程度由低到⾼分为 5 个等级,并分别实施不同的保护策略。
⼀级系统简单,不需要备案,影响程度很⼩,因此不作为重点监管对象;⼆级系统⼤概 50 万个左右;三级系统⼤概
⼀级系统简单,不需要备案,影响程度很⼩,因此不作为重点监管对象;⼆级系统⼤概 50 万个左右;三级系统⼤概
5 万个;四级系统量级较⼤,⽐如⽀付宝、银⾏总⾏系统、国家电⽹系统,有 1000 个左右;五级系统属国家级、国
防类的系统,⽐如核电站、军⽤通信系统。
⽹络安全等级保护常见注意事项
1、等级测评并⾮安全认证
很多⼈容易把等保测评等同于安全认证。等保测评并⾮相当于 ISO 20000 系列的信息技术服务管理认证,也并⾮于ISO27000 系列的信息安全管理体系认证。等级保护制度是国家信息安全管理的制度,是国家意志的体现。落实等级保护制度为了国家法律法规的合规需求。
等级保护测评没有相应的证书,如何才能证明信息系统已经符合等级保护安全要求了呢?⽬前这主要是由公安部授权委托的全国⼀百多家测评机构,对信息系统进⾏安全测评,测评通过后出具《等级保护测评报告》,拿到了符合等保安全要求的测评报告就证明该信息系统符合了等级保护的安全要求。
2、等保制度只是基本要求
等保制度只是基线的要求,通过测评、整改,落实等级保护制度,确实可以规避⼤部分的安全风险。但就⽬前的测评结果来看,⼏乎没有任何⼀个被测系统能全部满⾜等保要求。⼀般情况下,⽬前等级保护测评过程中,只要没发现⾼危安全风险,都可以通过测评。注意如果有⾼危漏洞,⽴刻不合格,但是,安全是⼀个动态⽽⾮静⽌的过程,⽽不是通过⼀次测评,就可以⼀劳永逸的。企业通过落实等保安全要求,并严格执⾏各项安全管理的规章制度,基本能做到系统的安全稳定运⾏。但依然不能百分百保证系统的安全性。
3、内⽹系统也需要做等级测评
⾸先,所有⾮涉密系统都属于等级保护范畴,和系统在外⽹还是内⽹没有关系;《⽹络安全法》规定,等级保护的对象是在中华⼈民共和国境内建设、运营、维护和使⽤的⽹络与信息系统。因此,不管是内⽹还是外⽹系统,都需要符合等级保护安全的要求。
给亲人上坟的心情说说
其次,在内⽹的系统往往其⽹络安全技术措施做的并不好,甚⾄不少系统已经中毒不浅。2017 年肆虐全球的永恒之蓝病毒攻击,导致了⼤量内⽹系统瘫痪,这提醒我们内⽹系统的安全防护同样不能马虎。所以不论系统在内⽹还是外⽹都得及时开展等保⼯作。
4、系统上云或者托管在其他地⽅就也需做等级测评
⽬前,⽐较多的⼩型企业客户偏向于把系统部署在云平台与 IDC 机房。这些云平台、IDC 机房⼀般都通过了等级测评。不过,根据 “谁运营谁负责,谁使⽤谁负责,谁主管谁负责” 的原则,系统责任主体仍然还是属于⽹络运营者⾃⼰,所以,还是得承担相应的⽹络安全责任,该进⾏系统定级的还是得定级,该做等保的还是得做等保。
部署在云平台的系统还需要购买云平台的安全服务或者第三⽅安全服务,部署在 IDC 机房的系统还需要购买相应的安全设备以满⾜等保安全要求。
在云计算环境中,将云计算平台作为基础设施、云租户系统作为信息系统,分别作为定级对象进⾏定级。对于⼤型云计算平台,当运管平台共⽤时,可将云计算基础设施与运管平台系统分开定级,责任分离,分别定级、各⾃备案。云计算基础设施的安全保护等级不低于其所⽀撑的业务系统的最⾼等级。
好听稀少的游戏ID针对私有云⽤户,也要按照云平台和云租户信息系统,分别进⾏定级。并且云平台的安全等级不低于其所⽀撑的业务系统的最⾼等级。
对于云计算平台和云租户信息系统,则分别依据等保 2.0 基本要求中的通⽤要求和云计算安全扩展要求来开展等级保护⼯作。对于私有云,定级流程为云平台先定级测评,再将已定级应⽤系统向云平台迁移。(云平台等级必须⾼于等于系统等级)
5、不可根据⾃⼰的主观意愿来定级
⽬前的等级保护对象(信息系统)的安全级别分为五个等级:1 级为最低级别,5 级为最⾼级别(5 级为预留级别,市⾯上已定级的系统最⾼为 4 级)。如果定了 1 级,不需要做等级测评,⾃主进⾏保护即可。定 2 级以上就需要进⾏等级
⾯上已定级的系统最⾼为 4 级)。如果定了 1 级,不需要做等级测评,⾃主进⾏保护即可。定 2 级以上就需要进⾏等级测评。系统级别的确定需要根据系统的重要性进⾏决定。如果定⾼了,有可能造成投资的浪费;定低了则有可能造成重要信息系统得不到应有的保护,应该谨慎定级。
等保 1.0 的要求是⾃主定级,有主管部门的需要主管部门审核,最终报送公安机关进⾏审核。等保 2.0 之后定级流程新增了 “专家评审” 和 “主管部门审核” 两个环节,这样定级过程将会变得更加规范,定级也会更加准确。
6、系统备案场所
《信息安全等级保护管理办法》规定,等级保护的主体单位为信息系统的运营、使⽤单位。备案主体⼀般不会是开发商、系统集成商,⽽是最终的⽤户⽅。
⽬前有些单位的注册地跟运营地不⼀致,正常情况下需要去运营地区的⽹安部门办理备案⼿续。⽐如客户注册地在北京海淀区,运营部门在北京朝阳区,需要到北京朝阳区办理定级备案⼿续,当然,前提是北京朝阳区必须有正规。
有些单位的系统部署在云平台,云平台的实际物理地址往往和云系统⽹络运营者不在同⼀地址。⽽且,有些单位的运维团队和注册经营地址也不⼀致。这种情况下,云系统应当在系统实际运维团队所在地市⽹安部门进⾏系统备案,因为这样会⽅便属地公安对系统进⾏监管。
所以,⼤部分情况下,还是需要到系统的运维⼈员实际所在地进⾏定级备案。当然也有⼀些特殊⾏业的要求,⽐如⼀些涉及到⾦融安全的⾏业,⽐如互联⽹⾦融系统、⽀付系统需要属地化管理,这些系统需要在注册地办理定级备案⼿续,以满⾜本地的监管要求。
7、等保测评做完不⼀定需要花很多钱去整改
整改花多少钱取决于你的信息系统等级、系统现有的安全防护措施状况以及⽹络运营者对测评分数的
期望值,不⼀定要花很多钱甚⾄不花钱。
整改的内容⼤体分为:安全制度完善、安全加固等安全服务以及安全设备的添置。在安全制度及安全加固上⽹络运营者⾃⼰可以做很多整改⼯作或者委托系统集成⽅进⾏加固,往往这是不需要额外付费的或者是包含在你和系统集成⽅合同约定中的,这两块内容整改好,加上你有⼀定的安全技术措施,基本上是可以达到基本符合的结论的。所以花多少钱看你怎么去做或者你的期望值是多少。
8、单位如何开展等级保护建设的相关⼯作?
等级保护⼯作是⼀个系统性⼯程,根据⽹络安全等级保护相关标准,等级保护⼯作总共分五个阶段,分别为:系统定级、系统备案、建设整改、等级测评、监督检查。
(1)系统定级
兽医学校对拟定为第⼆级及以上的对象,其运营者应当组织专家评审;有⾏业主管部门的,应当在专家定级评审后报请主管部门核准;跨省或者全国统⼀联⽹运⾏的⽹络由⾏业主管部门统⼀拟定安全保护等级,统⼀组织定级评审。
(2)系统备案
定级对象的运营使⽤单位应准备定级备案材料,材料包括:定级报告、等级保护备案表、单位基本情况、信息系统情况等材料。第⼆级以上⽹络运营者应当在定级对象安全保护等级确定后 10 个⼯作⽇内,到县级以上公安机关备案。
公安机关在接到备案材料后,于 10 个⼯作⽇内完成材料审查,并对定级对象安全等级进⾏初步审核,并出具⽹络安全等级保护备案证明。
(3)建设整改
对于新建的等级保护对象,要按照等级保护相关标准,撰写等级保护建设⽅案,并根据建设⽅案组织集成实施。
对于已有的等级保护对象,等级保护对象运营使⽤单位负责对其进⾏风险评估和整改建设⼯作,重要等级保护对象的运
对于已有的等级保护对象,等级保护对象运营使⽤单位负责对其进⾏风险评估和整改建设⼯作,重要等级保护对象的运营使⽤单位应形成等级保护整改建设⽅案,并根据整改⽅案组织集成建设。
对于三级以上的等级保护对象建设整改⽅案,要组织专家进⾏评审,形成专家评审意见,并最终形成等级保护整改建设⽅案。
(4)等级测评
等级保护对象的运营使⽤单位应落实等级测评资⾦保障⼯作,同时开展等级测评⼯作。
等级保护对象建设完成后,运营使⽤单位或者其主管部门应当选择符合资质要求的第三⽅测评机构,依据《⽹络安全等级保护测评要求》等技术标准,定期对等级保护对象开展等级测评。
第三级及以上定级对象应当每年⾄少进⾏⼀次等级测评(等保 1.0 标准⾥⾯等级保护四级系统需要每半年⼀次,现在调整为每年⼀次),第五级定级对象应当依据特殊安全需求进⾏等级测评。
9、对于⼯业控制系统如何开展等级保护⼯作?
依据等保基本要求中的安全通⽤要求和⼯控扩展要求来对⼯业控制系统开展等级保护⼯作。
⼯业控制系统主要包括现场采集 / 执⾏、现场控制、过程控制和⽣产管理等特征要素。其中,现场采集 / 执⾏、现场控制和过程控制等要素应作为⼀个整体对象定级,各要素不单独定级;⽣产管理要素可单独定级。
对于⼤型⼯业控制系统,可以根据系统功能、责任主体、控制对象和⽣产⼚商等因素划分为多个定级对象。
⼯控扩展要求保护主要包括:室外控制设备防护、⼯业控制系统、⽹络架构安全、拨号使⽤控制⽆线使⽤控制、控制设备安全、漏洞和风险管理、恶意代码防范管理等⽅⾯内容。
⼯业控制系统安全扩展要求主要针对现场控制层和现场设备层提出特殊安全要求,其他层次使⽤安全通⽤要求条款,对⼯业控制系统的保护需要根据实际情况使⽤基本要求。
————————————————————————房屋产权证办理流程
做等级保护,选择国源天顺安全服务有限公司:
1、专业等级保护测评机构
国源天顺⾯向全国提供专业⽹络安全服务,⾼度重视⾃⾝能⼒建设,是公安部推荐的具备国家⽹络安全等级保护测评资质的专业测评机构。
2、积攒⼤量等级保护项⽬经验
国源天顺经过多年发展,积累了⼤量等级保护项⽬经验,客户涵盖政府、医疗、连锁、纺织、能源、⾦融、教育及运营商、互联⽹等⾏业领域,在⽹络安全服务市场已树⽴起优秀的⼝碑。同时,国源天顺凭借⾃⾝专业能⼒,积极参与⽹络安全相关制度建设。
3、⼀站式⾼效过等保
国源天顺⽬前拥有百余位员⼯,服务⼈员配置充⾜。专业等级保护测评师团队,丰富的等级保护项⽬服务经验,实施周期短,⼀站式⾼效率通过等保测评,帮助客户提升安全等级,解决业务问题。
等级保护测评资质证书

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。