您当前的位置是:  首页 > 新闻 > 国内 >
 首页 > 新闻 > 国内 >

信息安全等级保护之测评

2018-08-23 10:59:30   作者:   来源:CTI论坛   评论:0  点击:19843


闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮缁炬儳缍婇弻鐔兼⒒鐎靛壊妲紒鐐劤缂嶅﹪寮婚悢鍏尖拻閻庨潧澹婂Σ顔剧磼閻愵剙鍔ょ紓宥咃躬瀵鎮㈤崗灏栨嫽闁诲酣娼ф竟濠偽i鍓х<闁绘劦鍓欓崝銈囩磽瀹ュ拑韬€殿喖顭烽幃銏ゅ礂鐏忔牗瀚介梺璇查叄濞佳勭珶婵犲伣锝夘敊閸撗咃紲闂佺粯鍔﹂崜娆撳礉閵堝洨纾界€广儱鎷戦煬顒傗偓娈垮枛椤兘骞冮姀銈呯閻忓繑鐗楃€氫粙姊虹拠鏌ュ弰婵炰匠鍕彾濠电姴浼i敐澶樻晩闁告挆鍜冪床闂備浇顕栭崹搴ㄥ礃閿濆棗鐦遍梻鍌欒兌椤㈠﹤鈻嶉弴銏犵闁搞儺鍓欓悘鎶芥煛閸愩劎澧曠紒鈧崘鈹夸簻闊洤娴烽ˇ锕€霉濠婂牏鐣洪柡灞诲妼閳规垿宕卞▎蹇撴瘓缂傚倷闄嶉崝宀勫Χ閹间礁钃熼柣鏂垮悑閸庡矂鏌涘┑鍕姢鐞氾箓姊绘担鍛婃儓闁活厼顦辩槐鐐寸瑹閳ь剟濡存担鍓叉建闁逞屽墴楠炲啫鈻庨幘宕囶啇濡炪倖鎸鹃崳銉ノ涜濮婂宕掑▎鎴犵崲濠电偘鍖犻崗鐐☉閳诲酣骞嬮悙瀛橆唶闂備礁婀遍崕銈夈€冮幇顔剧闁哄秲鍔庣弧鈧梻鍌氱墛娓氭宕曢幇鐗堢厸闁告侗鍠氶崣鈧梺鍝勬湰缁嬫垿鍩ユ径鎰闁绘劕妯婂ḿ缁樹繆閻愵亜鈧垿宕曢弻銉﹀殞濡わ絽鍟悡姗€鏌熺€电ǹ浠滅紒鐘靛█濮婅櫣绮欓崠鈩冩暰濡炪們鍔屽Λ婵嬬嵁閸儱惟闁冲搫鍊搁埀顒€顭烽弻锕€螣娓氼垱楔闂佹寧绋掔粙鎴﹀煘閹达附鍊烽柡澶嬪灩娴滃爼姊洪悷鎵紞闁稿鍊曢悾鐑藉醇閺囥劍鏅㈡繛杈剧秮閺呰尙绱撻幘鍓佺=闁稿本鐟чˇ锔姐亜閹存繃鍤囬柟顔矫埞鎴犫偓锝庡亜閳ь剙鐏氶妵鍕箻鐠虹儤鐎虹紓浣筋嚙濡繈寮婚弴銏犻唶婵犻潧鐗忛濠囨⒑閸涘﹤绗傞柛妤佸▕瀵鈽夐姀鈥充簽婵炶揪缍侀弲鑼姳閻e瞼纾藉〒姘搐閺嬶附銇勯弴鍡楁搐閻撯€愁熆鐠哄ソ锟犳偄閼姐倗鏉搁梺瑙勫劤婢у孩顨欓梻鍌欐祰濡椼劑鎮為敃鍌氱婵炲棗绻掗弳锕傛煏婵炵偓娅撻柡浣革躬閹绗熼婊冨弗闂佽 鍋撻柕濞у懐锛濋梺绋挎湰閼归箖鍩€椤掑嫷妫戠紒顔肩墛缁楃喖鍩€椤掑嫨鈧線寮介鐐殿槹濡炪倖鐗楃粙鎴濃枔閹达附鈷戦柛娑橈攻鐏忣偊鏌i幒鐐电暤闁挎繄鍋ゅ鎾閿涘嫬骞嶉梻浣侯攰椤宕濋敃鍌氬惞婵炲棙鍨瑰Λ顖炴煙椤栧棗鍟崐顖炴⒑闁稓鈹掗柛鏂跨焸閿濈偛饪伴崼婵嗚€垮┑掳鍊愰崑鎾搭殽閻愬樊鍎旀慨濠呮缁瑥鈻庨幆褍澹夐梻浣告贡閹虫挸煤椤撱垻宓侀柛鎰╁妷閸亪鏌涢銈呮瀻婵炲牏鍠栧娲濞戣鲸肖闂佺ǹ瀵掗崳锝呯暦閹达箑绠婚悹鍥ㄧ叀閺佹粌鈹戞幊閸婃捇鎳楅崼鏇炵煑闁糕剝绋掗埛鎴︽煕濠靛棗顏璺哄閹便劌螣缁嬪灝顫囬悗瑙勬礃缁诲倿顢橀崗鐓庣窞閻庯綆鍓欓獮宥夋⒒娴e憡鍟為柛鏃€岣挎禍绋库枎閹炬潙鈧潡鏌涘☉姗堟敾闁告瑥绻愰埞鎴︽偐閹绘帩浼€闁汇埄鍨遍惄顖炲蓟閻旈鏆嬮柣妤€鐗嗗▓妤呮倵鐟欏嫭纾搁柛鏂跨Ф閹广垹鈹戠€n亞锛滃┑鐐村灦閻熝囧汲椤撱垺鈷掗柛灞捐壘閳ь剙鍢查湁闁搞儜鍛闂佹眹鍨绘灙缂佹劖顨婇弻娑㈠焺閸愵亖妲堢紒鐐劤濞硷繝寮婚悢鐓庣畾闁绘鐗滃Λ鍕磽娴e搫校闁绘搫绻濆濠氬即閿涘嫮鏉搁梺鍝勬川閸庢劙鍩€椤掆偓閺堫剛鎹㈠☉姘辩當闁告繂瀚~鍥⒑閸濆嫯瀚扮紒澶屽厴绡撳〒姘e亾闁哄本鐩獮妯尖偓闈涙啞閸f澘顪冮妶鍐ㄧ仾鐎光偓閹间礁鏋侀柟鐗堟緲楠炪垺绻涢崱妯虹仼婵℃彃娲︾换婵嗏枔閸喗鐏嶉梺鎸庢磵閺呯姴鐣烽姀銈呯闁兼祴鏅╁ú绋库攽閻樿宸ラ柟铏姉婢规洘绺介崨濠勫幗闂侀€涘嵆濞佳勬櫠椤斿浜滈幖娣灮閻﹥銇勯鍕殶闁逞屽墯缁嬫帟鎽梺绋匡攻閸旀鍩€椤掍緡鍟忛柛鐘愁殜閹繝鏁撻悩顔瑰亾娴h倽鏃堝川椤撶媭妲规俊鐐€栭崹鍏兼叏閵堝洠鍋撳顑惧仮婵﹦绮幏鍛村川婵犲懐顢呴梺鍝勵儛娴滄繄鎹㈠☉銏犵妞ゆ洖鎳忛ˉ鏍磽娓氬洤鏋涙い顓犲厴閻涱喖螣鐏忔牕浜鹃梻鍫熺⊕閹插憡銇勯弮鈧ú鐔煎蓟閿濆鍋愰柛娆忣槸瀹稿爼姊洪崨濠佺繁闁告ê銈搁幃锟犲磼閻愮补鎷洪柡澶屽仦婢瑰棝藝閿曞倹鐓熸俊銈傚亾闁挎洏鍎崇划姘綇閵娧呯槇闂佹悶鍎洪悘娑滎樄闁哄本绋戦埥澶愬础閻愬浜繝鐢靛仜閹冲矂宕愬┑鍡╂綎闁惧繐婀遍惌娆愮箾閸℃ê鍔ら柛鎿冨墴濮婃椽宕ㄦ繝鍐ㄩ瀺缂備浇顕х€氫即鐛幋锕€顫呴柣姗嗗亝閺傗偓闂備焦鎮堕崕顕€寮插┑瀣剨闁割偁鍎查埛鎴犵磼鐎n偄顕滄繝鈧幍顔剧<閻庯綆鍋勯悘銉╂煃鐠囪尙效闁轰焦鍔欏畷顏呮媴閻熸壆妲i梻鍌欑窔濞佳囨偋閸℃瑦宕查柟鐑橆殔缁€鍡椕归悡搴f憼闁绘挸绻橀弻娑㈩敃閵堝懏鐎鹃梺绋匡攻閸旀牠銆冮妷鈺傚€烽柟缁樺笚濞堣尙绱撴担绋库偓鍦暜閻愬搫鐒垫い鎺戯功閸掍即鏌h箛鏂垮摵鐎殿喗鐓¢、妤呭焵椤掑嫬鐓橀柟杈鹃檮閸婄兘鏌℃径瀣仼濞寸姵鎮傞弻锕傚礃椤旂粯鍠氶梺璇″枛缂嶅﹤鐣烽崼鏇炵厸濞达綁鏀遍~鏇熺節濞堝灝鏋涢柨鏇樺妼閳诲秹鏁愭径濠勵唵闂佺粯枪椤曆囨倶閹惰姤鐓i煫鍥风到娴滅偛霉濠婂啰鍩f慨濠勭帛閹峰懘鎸婃径濠冨劒闂備線娼荤紞鍥⒔閸曨剛鈹嶅┑鐘叉搐閻愬﹥銇勯幒鍡椾壕缂備胶濮甸悡锟犲蓟閺囷紕鐤€闁哄洨鍊☉銏$厸闁逞屽墯缁傛帞鈧綆鍋勯埀顒傛暬閺屻劌鈹戦崱娆忓毈缂備降鍔嬬划娆撳蓟濞戞瑧绡€闁告洦鍋傚Σ鎰攽椤旂》鏀绘俊鐐舵铻為柛鎰电厑瑜版帒围闁糕剝鐟﹂崚娑㈡倵鐟欏嫭绀冮柨鏇樺灪娣囧﹪骞栨担鑲濄劍銇勯弮鍥棄闁哄濮电换婵嬫偨闂堟刀銉╂煛娴e憡鍟為柟渚垮姂閹粓鎸婃径瀣偓顒勬⒑閸涘﹦鈽夐柨鏇樺劦瀹曪綀绠涘☉娆戝幗闂佺鎻徊楣兯夋径鎰厸閻庯絺鏅濈粣鏃堟煛瀹€鈧崰鏍ь潖閼姐倐鍋撻棃娑橆棌婵″樊鍠氱槐鎺楁倷椤掆偓缁€鍐┿亜椤愩埄妯€濠碉紕鏁诲畷鐔碱敍濮橆剙鏁ゆ俊鐐€栭崝锕€顭块埀顒傜磼椤旇偐鍩f慨濠呮缁辨帒螣閾忓湱鎳嗛梻浣筋嚙缁绘垵鐣濋崨濠佺箚闁汇垻枪缁€瀣亜閺嶃劍鐨戞い鏂匡躬濮婃椽鎮烽幍顔芥喖缂備浇顕х粔鐢电矉閹烘鍤冮柍鍝勫暟閿涙粓姊虹紒妯哄Е闁告挻鐟╁畷婵嬪Χ閸℃劒绨诲銈嗘尵婵挳宕㈢€电硶鍋撳▓鍨灈妞ゎ厾鍏橀獮鍐閵堝棗浜楅柟鑹版彧缂嶅棗危閸洘鐓熼柣鏂挎憸閻﹦绱掔紒妯烘诞鐎殿噮鍋婇、娆戜焊閺嶎煈娼旈梻渚€娼ф蹇曟閺囥垹鍌ㄥù鐘差儐閳锋垿鎮峰▎蹇擃仼闁告柣鍊栭妵鍕即閵娿儱绠归柣鎾卞€濋弻鐔虹磼閵忕姵鐏嶉梺缁樻尰閻燂箓濡甸崟顖氱睄闁稿本绮嶉幉妯衡攽閻愯尙澧涚紒顔芥崌瀵鍩勯崘鈺侇€撻梺鑽ゅ枑濠㈡﹢锝炲澶嬧拺閻犲洠鈧磭浠┑鈽嗗亜閸熸潙鐣风憴鍕╁亝闁告劏鏅涘▓銈咁渻閵堝棗绗傞柣鎺炵畱閳诲秹鏁冮埀顒勫煘閹达附鍋愰柛顭戝亝濮e嫭绻濆▓鍨珮闁告瑥鍟撮悰顔跨疀濞戞ḿ顦ㄥ銈嗘閸嬫劙藝閵娿儺娓婚柕鍫濇噽缁犱即鏌涢悢鍝勵暭闁靛洦鐟╅獮搴ㄦ嚍閵夈垺瀚藉┑鐐存尰閸╁啴宕戦幘缁樼厓鐟滄粓宕滃杈╃煓闁规崘顕ч悡姗€鏌熼悜姗嗘畷闁绘挻娲熼弻锟犲磼濠靛洨銆婇柤鍙夌墵濮婃椽鎮烽幍顔炬殯闂佹悶鍔岀紞濠囧春閻愬搫绠i柣姗嗗亜娴滈箖鏌ㄥ┑鍡欏嚬缂併劏宕电槐鎺楀箛椤撶姭妲堝銈庝簻閸熷瓨淇婇崼鏇炲耿婵☆垳鈷堝Σ顒勬⒒娴g儤鍤€闁哥喕娉曠划鏃堟偡閹殿喗娈惧銈嗗姀閹筹繝寮崼婵嗙獩濡炪倖妫侀~澶屸偓姘虫閳规垿鎮欓懜闈涙锭缂備浇寮撶划娆撶嵁婢舵劖鏅柛鏇ㄥ墮椤忔悂姊虹捄銊ユ灁濠殿喚鏁婚幃鈥斥枎閹惧鍙勯棅顐㈡祫缁茶姤绂嶅┑瀣€堕煫鍥ㄦ礃閺嗩剟鏌$仦鐣屝ユい褌绶氶弻娑㈠箻绾惧顥濆銈庡亝缁诲牊淇婇幖浣规櫆闁兼亽鍎宠ぐ鎸庣節瀵伴攱婢橀埀顒佹崌閹虫宕奸弴鐐靛幋閻庡箍鍎遍幊澶愬绩娴犲鐓熸俊顖氭惈缁狙囨煙閸忕厧濮夌紒杈ㄥ浮閹晠宕归銏$暚闂傚倸娲らˇ鐢稿蓟閵娿儮鏀介柛鈩冪懃椤f椽姊洪柅鐐茶嫰閸樺摜绱掗鐣屾噭濞e洤锕獮鏍ㄦ媴閸濄儱骞愰梻浣呵归張顒傚垝鐏炵瓔鍤曢柟鎯板Г閳锋帒霉閿濆懏鍟為柟顖氱墦閺屾盯鎮㈤崫鍕ㄦ瀰閻庤娲橀崹鍧楃嵁濡偐纾兼俊顖滃帶楠炲牓姊虹涵鍛棈闁规椿浜炲Σ鎰板即閵忊剝娅栭悗骞垮劚濞层劎澹曟總绋跨骇闁割偅纰嶅▍鍛归悩娲摵妞ゃ劊鍎甸幃娆撳级閹寸姷鎳嗛梺鍓х帛閻楁洟婀侀梺鎸庣箓閹冲海鐥閹顫濋銈囩厯濠殿喖锕︾划顖炲箯閸涙潙宸濋梻鍫熺〒缁夎櫣鈧鍠氶弫濠氥€佸Δ鍛妞ゆ巻鍋撳ù鐙€鍙冨娲濞淬儱鐗撳鎻掆槈濮樿京鐒奸梺绋挎湰婢规洟宕戦幘璇茬濠㈣泛锕f竟鏇㈡⒒娴e憡鍟炴繛璇х畵瀹曟粌鈽夐姀鐘插亶闂佹眹鍨归幉锟犲煕閹达附鐓欐い鏍ф鐎氼噣銆呮导瀛樷拺缂佸顑欓崕蹇涙煙閸愭煡鍙勯柟顔藉劤閻o繝骞嶉鑺ョ暦闂備線鈧偛鑻晶鎾煕閳规儳浜炬俊鐐€栫敮鎺楀窗濮橆兗缂氶柟閭﹀幘缁犻箖鏌涘▎蹇fШ闁活厽甯為埀顒侇問閸n噣宕戦崱娑樼闁绘ê妯婇崯鍛亜閺傚灝鎮戞い鎾崇仢閳规垿鎮欏顔兼婵犳鍠楅幐鎶姐€侀弽顓炵疀闁哄瀵ч悗顒勬⒑閹肩偛鍔撮柛鎾村哺閹繝鎮㈤崗鑲╁幍闂備緡鍙忕粻鎴濐嚕妤e啯鐓曢柣鏃堫棑缁犲鏌$仦鍓ф创闁诡喗鐟╁畷褰掝敃閿濆棛妲楀┑鐘愁問閸犳牠鏁冮敂鎯у灊妞ゆ牜鍋涚粻顖炴煕濞戞ḿ鎽犻柛銈呯Ч閺屾洘绔熼娆掝唹闁稿鎸荤换婵嬪炊閵娿垺瀚奸梻鍌氬€搁悧鍐疾濠靛牏鐭撻柛鎾茶兌绾惧ジ鏌eΟ鎸庣彧鐎规洖鐭傞弻锝呪槈閸楃偞鐏曠紓浣哄У缁嬫垿鍩ユ径濞炬瀻闁归偊鍙庢禒褔姊婚崒娆愮グ婵炲娲熷畷鎶芥晝閸屾氨顔嗛梺璺ㄥ櫐閹凤拷...
  一、安全发展历程
  1、2010年4月年公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》
  2、2015年11月刑法修正案(九)新增安全处罚条例第二百八十六条之一;
  3、2017年6月1日《中华人民共和国网络安全法》,正式开始实施;
  4、2018年全国各地公安厅将重点针对等级保护工作提出更高要求以及国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代。
  二、等保
  1、定义:
  信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
  在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
  2、等级划分:
  第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
  第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
  第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
  第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
  第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
  3、等级保护对象:
  在开展网络安全等级保护工作中应首先明确等级保护对象,等级保护对象包括基础信息网络(如广电网、电信网等)、信息系统(采用传统技术的系统)、云计算平台、大数据平台、物联网、工业控制系统等;确定了等级保护对象的安全保护等级后,应根据不同对象的安全保护等级完成安全建设或安全整改工作;应针对等级保护对象特点建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系。应依据国家网络安全等级保护政策和标准,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。
  4、刑法相关:
  刑法修正案(九) 第二百八十六条之一(新增):“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门通知采取改正措施而拒绝执行,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金”:
  (一)致使违法信息大量传播的;
  (二)致使用户信息泄露,造成严重后果的;
  (三)致使刑事犯罪证据灭失,严重妨害司法机关依法追究犯罪的;
  (四)有其他严重情节的。
  5、测评收益:
  1.严格按照相关法律法规及标准执行评估,满足主管单位和行业安全要求;
  2.梳理业务系统重要资产信息,了解信息资产面临的外部威胁和自身弱点;
  3.明确系统安全现状,防患于未然,对于未来系统建设和投入有指导意义;
  4.完善和规范的服务流程,享受专家技术支持服务;
  5.通过安全专家核查及提出整改建议,并督促企业整改,降低系统被入侵风险;
  6.极大提高技术人员的安全意识和技术水平,有助降低运维成本,提高效率。
  三、等级保护工作十大误区
  1、云系统到哪里进行系统定级备案?
  背景:云系统由于部署在各类云平台上面,而云平台的实际物理地址往往和云系统网络运营者不在同一地址,大型云平台还有许多物理节点,很难确定云平台的具体物理地址,那么这种情况下云系统到底到云平台所在注册地址进行系统备案,还是到自己所在注册地址进行备案,如果自己的运维团队和注册经营地址不一致怎么办?到底去哪里备案?不少人以为是到注册经营地进行备案。
  答:云系统应当在系统实际运维团队所在地市网安部门进行系统备案,因为这样方便属地公安对系统进行监管。
  扩展:在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。
  2、我的系统已经上云或者系统托管到其他地方,系统就不归我管了,就不用做等保了?
  背景:系统上云的情况越来越多,不论是公有云(阿里云、腾讯云、微软Azure云、亚马逊云等)还是各类私有云(政务云、内部云平台等)或者就是直接托管到IDC机房,一些客户认为系统已经不在自己机房了,所以系统的相应安全运维就不归自己管了,自然等保工作就不需要做了。
  答:根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,该系统责任主体还是属于网络运营者自己,所以还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。
  扩展:系统上云或托管后,并不是安全责任主体转移,只是系统所在机房地址的变更,当然在公有云模式下,Iaas、Paas、Saas不同模式相应的安全责任会有些区别,但是并不是没有责任。
  3、系统定级越低越好?
  背景:一些客户担心系统定级定高了后期给自己工作增加麻烦,一方面等级高了,技术要求高了,需要做的工作多了;另一方面三级系统需要每年都做测评,也觉得麻烦。所以想着系统定个二级就可以了,自己省事。
  答:首先系统到底定几级是根据受侵害的客体以及对客体侵害的程度来确定的,是以事实为根据,而不是拍脑袋决定的。系统等级定低了,乍一看可能工作上是容易做了,但是反而是我们没有落实好网络安全保护义务的直接表现,系统等级低了相应的安全防护要求也低了,那么万一你的系统不小心被攻击破坏造成一定不良影响,在主管部门进行责任认定追查时,很有可能就会因为系统定级不合理,安全责任没有履行到位而被处罚。得不偿失,还是安安稳稳把自己该做的工作做好。
  扩展:系统定级按照等保1.0的要求是自主定级,有主管部门的需要主管部门审核,最终报送公安机关进行审核。所以定级并不是想定几级就定几级的。预计今年会发布的等保2.0里定级流程新增了“专家评审”和“主管部门审核”两个环节,这样定级过程将会变得更加规范,定级也会更加准确。
  4、系统定完级就有人来管了?
  背景:一些客户会觉得系统定了级以后相关主管单位就会不时地来安全检查了,给自己的工作增加了麻烦,被人管的感觉很不好。
  答:所有非涉密系统都属于等级保护范畴,没有定级不代表不需要被监管,相反如果没有被纳入监管,反而会比较危险,哪天出了事就比较难收拾残局。定级后或者被监管,主管单位会在重点时刻对我们的重要信息系统进行一定扫描及保护,会及时告知发现的一些问题,避免发生网络安全攻击事件;同时一些重要的政策要求或者行业会议,也会通知你们过来参会,方便大家及时了解最新的网络安全形势,有利于大家开展好网络安全工作。
  扩展:做了等保后,主管单位并不一定会对你们单位做相关安全检查,单位很多,重要的系统很多,主管单位也有自己的一些统一安排,到底会不会对你们检查取决于很多因素,但是一般单位可以不需要有这些顾虑。来检查是好事,可以及时发现问题,督促指导大家开展好网络安全工作。
  5、等级保护工作就是做个测评就可以?
  背景:一些人以为等级保护工作主要就是对系统进行定级备案,然后做个测评就可以了。
  答:等级保护工作不仅是一个测评而是包含:定级、备案、测评、建设整改和监督审查五项内容,测评只是其中一项。
  扩展:测评只是开始,更重要的是我们通过测评寻找出差距,分析出目前我们的系统存在的风险,及时查漏补缺,进行安全建设整改,提高信息系统的安全防护能力,降低系统受到攻击破坏的概率。
  6、等保测评做过一次就可以了,以后随便做不做?
  背景:一些客户以为等保测评只要做过一次就行了,以后就不用做了。把等保工作当成一个形式当成应付工程去做。
  答:等保工作是一个持续的工作,等保测评也是一个周期性的工作,三级系统要求每年做一次,四级系统每半年做一次,二级系统部分行业明确要求每两年做一次,没有明确要求的行业建议大家两年做一次测评。
  扩展:做等保测评不应当抱着应付的心态去做,如果大家的系统真能按照等级保护的要求去做好,那么你的系统安全防护水平还是很高的。做了等保,一方面是合规,更多的是切切实实协助我们做好单位的网络安全工作。
  7、不做等保没关系,只要不出事就行?
  背景:一些用户以为做不做等保不要紧,关揵的是不要出网络安全事件,只要不出事都没问题。
  答:《中华人民共和国网络安全法》第二十一条
  国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(五)法律、行政法规规定的其他义务。不做等保就属于第五个行为,国内目前已经有公开报道的因没有落实等级保护制度而被处罚的真实案例。所以等保及时去做,不要等。
  扩展:网络安全技术发展日新月异,什么叫安全?买什么产品做什么服务就能安全?绝对的安全是不可能的,我们不能百分百保证我们的系统是安全的,但是我们得把我们能做的工作及时做到位,该做的工作做到了,自然也就相对安全了。
  8、系统在内网,就不需要做等保了?
  背景:不少用户的系统都在单位内网或者专网中,觉得系统不对外相对安全,所以就可以不做等保了。
  答:首先所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系;其次在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒不浅。所以不论系统在内网还是外网都得及时开展等保工作。
  扩展:内网不代表安全,而且现在纯粹的物理内网很少了,大部分或多或少都与互联网有些连接。内网一旦中毒,扩散很快,而且很难清除,因为很多技术措施都没有,几乎在裸奔状态,一旦中毒很容易就跨了。
  9、给我们单位整体做一个等保测评?
  背景:一些用户或者同行搞不清等保到底是个什么情况,以为是按照整个单位去做,天真地认为一个单位做一个等保测评就可以。
  答:等保测评是按照信息系统来的,以一个信息系统为测评整体,并不是按照一个单位去做的。
  扩展:一个完整的信息系统包括承载其的物理机房、服务器、主机、应用、数据库、网络设备及安全设备等,测评除了这些具体的实体对象,还包括相对应的安全管理制度。
  10、等保测评做完就得花很多钱去整改?
  背景:一些客户有疑虑:测评是没有多少钱,但是测评后需要进行安全建设整改,需要花很多钱。
  答:整改花多少钱取决于你的信息系统等级、系统现有的安全防护措施状况以及网络运营者对测评分数的期望值,不一定要花很多钱甚至不花钱。
  扩展:整改的内容大体分为:安全制度完善、安全加固等安全服务以及安全设备的添置。在安全制度及安全加固上网络运营者自己可以做很多整改工作或者委托系统集成方进行加固,往往这是不需要额外付费的或者是包含在你和系统集成方合同约定中的,这两块内容整改好,加上你有一定的安全技术措施,基本上是可以达到基本符合的结论的。所以花多少钱看你怎么去做或者你的期望值是多少。
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。
  • 0

  • 0

  • 0

  • 0

  • 0

  • 0

  • 0

  • 0

专题