中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

您當(dāng)前的位置是:  首頁 > 新聞 > 國內(nèi) >
 首頁 > 新聞 > 國內(nèi) >

信息安全等級保護之測評

2018-08-23 10:59:30   作者:   來源:CTI論壇   評論:0  點擊:


  一、安全發(fā)展歷程
  1、2010年4月年公安部出臺《關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知》
  2、2015年11月刑法修正案(九)新增安全處罰條例第二百八十六條之一;
  3、2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》,正式開始實施;
  4、2018年全國各地公安廳將重點針對等級保護工作提出更高要求以及國家對網(wǎng)絡(luò)安全等級保護制度提出了新的要求,等級保護制度已進入2.0時代。
  二、等保
  1、定義:
  信息安全等級保護,是對信息和信息載體按照重要性等級分級別進行保護的一種工作,在中國、美國等很多國家都存在的一種信息安全領(lǐng)域的工作。
  在中國,信息安全等級保護廣義上為涉及到該工作的標準、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級保護思想的安全工作;狹義上一般指信息系統(tǒng)安全等級保護。
  2、等級劃分:
  第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。
  第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行指導(dǎo)。
  第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行監(jiān)督、檢查。
  第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行強制監(jiān)督、檢查。
  第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行專門監(jiān)督、檢查。
  3、等級保護對象:
  在開展網(wǎng)絡(luò)安全等級保護工作中應(yīng)首先明確等級保護對象,等級保護對象包括基礎(chǔ)信息網(wǎng)絡(luò)(如廣電網(wǎng)、電信網(wǎng)等)、信息系統(tǒng)(采用傳統(tǒng)技術(shù)的系統(tǒng))、云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等;確定了等級保護對象的安全保護等級后,應(yīng)根據(jù)不同對象的安全保護等級完成安全建設(shè)或安全整改工作;應(yīng)針對等級保護對象特點建立安全技術(shù)體系和安全管理體系,構(gòu)建具備相應(yīng)等級安全保護能力的網(wǎng)絡(luò)安全綜合防御體系。應(yīng)依據(jù)國家網(wǎng)絡(luò)安全等級保護政策和標準,開展組織管理、機制建設(shè)、安全規(guī)劃、通報預(yù)警、應(yīng)急處置、態(tài)勢感知、能力建設(shè)、監(jiān)督檢查、技術(shù)檢測、隊伍建設(shè)、教育培訓(xùn)和經(jīng)費保障等工作。
  4、刑法相關(guān):
  刑法修正案(九) 第二百八十六條之一(新增):“網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù),經(jīng)監(jiān)管部門通知采取改正措施而拒絕執(zhí)行,有下列情形之一的,處三年以下有期徒刑、拘役或者管制,并處或者單處罰金”:
 。ㄒ唬┲率惯`法信息大量傳播的;
 。ǘ┲率褂脩粜畔⑿孤,造成嚴重后果的;
 。ㄈ┲率剐淌路缸镒C據(jù)滅失,嚴重妨害司法機關(guān)依法追究犯罪的;
  (四)有其他嚴重情節(jié)的。
  5、測評收益:
  1.嚴格按照相關(guān)法律法規(guī)及標準執(zhí)行評估,滿足主管單位和行業(yè)安全要求;
  2.梳理業(yè)務(wù)系統(tǒng)重要資產(chǎn)信息,了解信息資產(chǎn)面臨的外部威脅和自身弱點;
  3.明確系統(tǒng)安全現(xiàn)狀,防患于未然,對于未來系統(tǒng)建設(shè)和投入有指導(dǎo)意義;
  4.完善和規(guī)范的服務(wù)流程,享受專家技術(shù)支持服務(wù);
  5.通過安全專家核查及提出整改建議,并督促企業(yè)整改,降低系統(tǒng)被入侵風(fēng)險;
  6.極大提高技術(shù)人員的安全意識和技術(shù)水平,有助降低運維成本,提高效率。
  三、等級保護工作十大誤區(qū)
  1、云系統(tǒng)到哪里進行系統(tǒng)定級備案?
  背景:云系統(tǒng)由于部署在各類云平臺上面,而云平臺的實際物理地址往往和云系統(tǒng)網(wǎng)絡(luò)運營者不在同一地址,大型云平臺還有許多物理節(jié)點,很難確定云平臺的具體物理地址,那么這種情況下云系統(tǒng)到底到云平臺所在注冊地址進行系統(tǒng)備案,還是到自己所在注冊地址進行備案,如果自己的運維團隊和注冊經(jīng)營地址不一致怎么辦?到底去哪里備案?不少人以為是到注冊經(jīng)營地進行備案。
  答:云系統(tǒng)應(yīng)當(dāng)在系統(tǒng)實際運維團隊所在地市網(wǎng)安部門進行系統(tǒng)備案,因為這樣方便屬地公安對系統(tǒng)進行監(jiān)管。
  擴展:在云計算環(huán)境中,應(yīng)將云服務(wù)方側(cè)的云計算平臺單獨作為定級對象定級,云租戶側(cè)的等級保護對象也應(yīng)作為單獨的定級對象定級。
  2、我的系統(tǒng)已經(jīng)上云或者系統(tǒng)托管到其他地方,系統(tǒng)就不歸我管了,就不用做等保了?
  背景:系統(tǒng)上云的情況越來越多,不論是公有云(阿里云、騰訊云、微軟Azure云、亞馬遜云等)還是各類私有云(政務(wù)云、內(nèi)部云平臺等)或者就是直接托管到IDC機房,一些客戶認為系統(tǒng)已經(jīng)不在自己機房了,所以系統(tǒng)的相應(yīng)安全運維就不歸自己管了,自然等保工作就不需要做了。
  答:根據(jù)“誰運營誰負責(zé),誰使用誰負責(zé),誰主管誰負責(zé)”的原則,該系統(tǒng)責(zé)任主體還是屬于網(wǎng)絡(luò)運營者自己,所以還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任,該進行系統(tǒng)定級的還是得定級,該做等保的還是得做等保。
  擴展:系統(tǒng)上云或托管后,并不是安全責(zé)任主體轉(zhuǎn)移,只是系統(tǒng)所在機房地址的變更,當(dāng)然在公有云模式下,Iaas、Paas、Saas不同模式相應(yīng)的安全責(zé)任會有些區(qū)別,但是并不是沒有責(zé)任。
  3、系統(tǒng)定級越低越好?
  背景:一些客戶擔(dān)心系統(tǒng)定級定高了后期給自己工作增加麻煩,一方面等級高了,技術(shù)要求高了,需要做的工作多了;另一方面三級系統(tǒng)需要每年都做測評,也覺得麻煩。所以想著系統(tǒng)定個二級就可以了,自己省事。
  答:首先系統(tǒng)到底定幾級是根據(jù)受侵害的客體以及對客體侵害的程度來確定的,是以事實為根據(jù),而不是拍腦袋決定的。系統(tǒng)等級定低了,乍一看可能工作上是容易做了,但是反而是我們沒有落實好網(wǎng)絡(luò)安全保護義務(wù)的直接表現(xiàn),系統(tǒng)等級低了相應(yīng)的安全防護要求也低了,那么萬一你的系統(tǒng)不小心被攻擊破壞造成一定不良影響,在主管部門進行責(zé)任認定追查時,很有可能就會因為系統(tǒng)定級不合理,安全責(zé)任沒有履行到位而被處罰。得不償失,還是安安穩(wěn)穩(wěn)把自己該做的工作做好。
  擴展:系統(tǒng)定級按照等保1.0的要求是自主定級,有主管部門的需要主管部門審核,最終報送公安機關(guān)進行審核。所以定級并不是想定幾級就定幾級的。預(yù)計今年會發(fā)布的等保2.0里定級流程新增了“專家評審”和“主管部門審核”兩個環(huán)節(jié),這樣定級過程將會變得更加規(guī)范,定級也會更加準確。
  4、系統(tǒng)定完級就有人來管了?
  背景:一些客戶會覺得系統(tǒng)定了級以后相關(guān)主管單位就會不時地來安全檢查了,給自己的工作增加了麻煩,被人管的感覺很不好。
  答:所有非涉密系統(tǒng)都屬于等級保護范疇,沒有定級不代表不需要被監(jiān)管,相反如果沒有被納入監(jiān)管,反而會比較危險,哪天出了事就比較難收拾殘局。定級后或者被監(jiān)管,主管單位會在重點時刻對我們的重要信息系統(tǒng)進行一定掃描及保護,會及時告知發(fā)現(xiàn)的一些問題,避免發(fā)生網(wǎng)絡(luò)安全攻擊事件;同時一些重要的政策要求或者行業(yè)會議,也會通知你們過來參會,方便大家及時了解最新的網(wǎng)絡(luò)安全形勢,有利于大家開展好網(wǎng)絡(luò)安全工作。
  擴展:做了等保后,主管單位并不一定會對你們單位做相關(guān)安全檢查,單位很多,重要的系統(tǒng)很多,主管單位也有自己的一些統(tǒng)一安排,到底會不會對你們檢查取決于很多因素,但是一般單位可以不需要有這些顧慮。來檢查是好事,可以及時發(fā)現(xiàn)問題,督促指導(dǎo)大家開展好網(wǎng)絡(luò)安全工作。
  5、等級保護工作就是做個測評就可以?
  背景:一些人以為等級保護工作主要就是對系統(tǒng)進行定級備案,然后做個測評就可以了。
  答:等級保護工作不僅是一個測評而是包含:定級、備案、測評、建設(shè)整改和監(jiān)督審查五項內(nèi)容,測評只是其中一項。
  擴展:測評只是開始,更重要的是我們通過測評尋找出差距,分析出目前我們的系統(tǒng)存在的風(fēng)險,及時查漏補缺,進行安全建設(shè)整改,提高信息系統(tǒng)的安全防護能力,降低系統(tǒng)受到攻擊破壞的概率。
  6、等保測評做過一次就可以了,以后隨便做不做?
  背景:一些客戶以為等保測評只要做過一次就行了,以后就不用做了。把等保工作當(dāng)成一個形式當(dāng)成應(yīng)付工程去做。
  答:等保工作是一個持續(xù)的工作,等保測評也是一個周期性的工作,三級系統(tǒng)要求每年做一次,四級系統(tǒng)每半年做一次,二級系統(tǒng)部分行業(yè)明確要求每兩年做一次,沒有明確要求的行業(yè)建議大家兩年做一次測評。
  擴展:做等保測評不應(yīng)當(dāng)抱著應(yīng)付的心態(tài)去做,如果大家的系統(tǒng)真能按照等級保護的要求去做好,那么你的系統(tǒng)安全防護水平還是很高的。做了等保,一方面是合規(guī),更多的是切切實實協(xié)助我們做好單位的網(wǎng)絡(luò)安全工作。
  7、不做等保沒關(guān)系,只要不出事就行?
  背景:一些用戶以為做不做等保不要緊,關(guān)揵的是不要出網(wǎng)絡(luò)安全事件,只要不出事都沒問題。
  答:《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條
  國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求,履行下列安全保護義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改:(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。不做等保就屬于第五個行為,國內(nèi)目前已經(jīng)有公開報道的因沒有落實等級保護制度而被處罰的真實案例。所以等保及時去做,不要等。
  擴展:網(wǎng)絡(luò)安全技術(shù)發(fā)展日新月異,什么叫安全?買什么產(chǎn)品做什么服務(wù)就能安全?絕對的安全是不可能的,我們不能百分百保證我們的系統(tǒng)是安全的,但是我們得把我們能做的工作及時做到位,該做的工作做到了,自然也就相對安全了。
  8、系統(tǒng)在內(nèi)網(wǎng),就不需要做等保了?
  背景:不少用戶的系統(tǒng)都在單位內(nèi)網(wǎng)或者專網(wǎng)中,覺得系統(tǒng)不對外相對安全,所以就可以不做等保了。
  答:首先所有非涉密系統(tǒng)都屬于等級保護范疇,和系統(tǒng)在外網(wǎng)還是內(nèi)網(wǎng)沒有關(guān)系;其次在內(nèi)網(wǎng)的系統(tǒng)往往其網(wǎng)絡(luò)安全技術(shù)措施做的并不好,甚至不少系統(tǒng)已經(jīng)中毒不淺。所以不論系統(tǒng)在內(nèi)網(wǎng)還是外網(wǎng)都得及時開展等保工作。
  擴展:內(nèi)網(wǎng)不代表安全,而且現(xiàn)在純粹的物理內(nèi)網(wǎng)很少了,大部分或多或少都與互聯(lián)網(wǎng)有些連接。內(nèi)網(wǎng)一旦中毒,擴散很快,而且很難清除,因為很多技術(shù)措施都沒有,幾乎在裸奔狀態(tài),一旦中毒很容易就跨了。
  9、給我們單位整體做一個等保測評?
  背景:一些用戶或者同行搞不清等保到底是個什么情況,以為是按照整個單位去做,天真地認為一個單位做一個等保測評就可以。
  答:等保測評是按照信息系統(tǒng)來的,以一個信息系統(tǒng)為測評整體,并不是按照一個單位去做的。
  擴展:一個完整的信息系統(tǒng)包括承載其的物理機房、服務(wù)器、主機、應(yīng)用、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備及安全設(shè)備等,測評除了這些具體的實體對象,還包括相對應(yīng)的安全管理制度。
  10、等保測評做完就得花很多錢去整改?
  背景:一些客戶有疑慮:測評是沒有多少錢,但是測評后需要進行安全建設(shè)整改,需要花很多錢。
  答:整改花多少錢取決于你的信息系統(tǒng)等級、系統(tǒng)現(xiàn)有的安全防護措施狀況以及網(wǎng)絡(luò)運營者對測評分數(shù)的期望值,不一定要花很多錢甚至不花錢。
  擴展:整改的內(nèi)容大體分為:安全制度完善、安全加固等安全服務(wù)以及安全設(shè)備的添置。在安全制度及安全加固上網(wǎng)絡(luò)運營者自己可以做很多整改工作或者委托系統(tǒng)集成方進行加固,往往這是不需要額外付費的或者是包含在你和系統(tǒng)集成方合同約定中的,這兩塊內(nèi)容整改好,加上你有一定的安全技術(shù)措施,基本上是可以達到基本符合的結(jié)論的。所以花多少錢看你怎么去做或者你的期望值是多少。
【免責(zé)聲明】本文僅代表作者本人觀點,與CTI論壇無關(guān)。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔(dān)全部責(zé)任。

專題