下午好,我的网工朋友。
搞网络,基本上都离不开等保吧?
很多小白只知道搞网络的企业需要做等保,但却不知道为什么需要做等保,甚至不知道等保二级和等保三级有什么区别。
今天我们从零说起,给你科普一波,到底什么是等保,为什么要做等保,怎么做。
今日文章阅读福利:《 网络安全等保相关文件参考(限时下载)》
搞等保,多参考一些相关文件更得心应手啊。私信我,备注“等保”,限时获取资源。
“等保”即网络安全等级保护,是指对网络信息和信息载体按照重要程度划分等级,并基于分级,针对性地开展安全保护工作。
网络安全等级保护制度是我国网络安全领域现行的基本制度。
等保的实施流程分为5个环节:系统定级、备案、建设整改、等级测评和监督检查;而等保测评(也称等级测评)正是其中的一个重要环节。
等保测评是指由具有资质的测评机构,依据国家网络安全等级保护规范规定,按照有关管理规范和技术标准,对等保对象(如信息系统、数据资源、云计算、物联网、工业控制系统等)的安全等级保护状况进行检测评估的活动。
简单来说,等保测评用于验证网络系统或应用是否满足相应的安全保护等级要求,是落实等保制度的关键活动之一。
那做等保有哪些要求?这里先简单梳理几个点:
1、首先需要有一个系统,只有信息系统才有做等保的需求;
2、需要完善的安全设备,如防火墙、ips、防病毒、堡垒机、日志审计等等,可以是硬件也可以是云产品;
3、机房,如果是硬件设备需要一个物理机房,机房需要满足等保三级要求,如门禁、监控、灭火器、空调、防雷击等等,不满足要求则无法通过;
4、专业的技术人员以及相关的安全制度。
这里简单说说大概要求,更具体的你接着往下看。
网络安全法已明确规定,网络运营者需要按等级保护要求对系统进行安全保护,履行等级保护义务。
违法的话会对其进行警告,如果在一定时间内拒不整改,则会对企业处以1-10万元的罚款。
目前网络攻击不断,对信息系统的使用频率也在逐渐增加,安全隐患也在逐渐增加,尤其是政府、事业单位,一旦受到黑客攻击,泄露机密信息,则会对国家造成重大打击。
如果企业本身的信息遭到泄露,也会对企业造成重大打击。所以信息系统做等保,是对系统安全性提高的一种建设。
以及做好等保可以提升运营者的行业竞争力:是否开展等保工作是衡量企业信息安全水平的一个重要标准。
对于企业来说,进行等保测评不仅能够有效地提高信息系统安全建设的整体水平,还能够在向外部客户提供业务服务时给出信息系统安全性承诺,增强客户、合作伙伴及利益相关方的信心。
事业单位、医疗、教育部门、金融等行业,如果信息系统想要上线,首先需要经过等保测评,确定满足等保三级要求,网监部门才允许系统上线,否则业务则无法开展。
等保工作的核心在于“分级”,对于重要程度不同的网络系统,安全防护能力要求也有所不同。
在进行等保测评之前,网络运营者需要先完成待测评对象的定级,以明确测评的维度和标准。
当前我国实行的网络安全等级保护制度,将等级保护对象按照受破坏时所侵害的客体和对客体造成侵害的程度,从低到高划分了五个安全保护等级:
(1) 第一级:等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
(2) 第二级:等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
(3) 第三级:等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
(4) 第四级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
(5) 第五级:等级保护对象受到破坏后,会对国家安全造成特别严重损害。
在实际应用中,定级主要参考行业要求和业务的发展体量,例如普通的门户网站,定为二级已经足够,而存储较多敏感信息(如公民个人信息)的系统则需要定为三级或三级以上。
大部分信息系统的安全保护等级处于二级或三级。这里稍微展开一下二级和三级的区别:
1、应用场景区别
二级信息系统适用于地市级以上国家机关、企业、事业单位内部一般的信息系统,小的局域网,非涉及秘密、敏感信息的办公系统等。
三级信息系统适用于地级市以上的国家机关、企业、事业单位的内部重要信息系统,重要领域、重要部门跨省、跨市或全国(省)联网运营的信息系统,各部委官网等。#网络工程师俱乐部
2、防护能力区别
第二级安全保护能力需达到:
能够防护系统免受外来小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难及其他的相应程度的威胁造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在遭受攻击损害后,具备在一段时间内恢复部分功能。
第三级安全保护能力需达到:
在统一安全策略下防护系统免受外来有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难和其他相应程度的威胁所造成的主要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭受攻击损害后,能较快恢复绝大部分功能。
3、测评力度区别
4、测评周期区别
根据《信息安全等级保护管理办法》中的第十四规定,第三级信息系统应当每年至少进行一次等级测评;
第二级不强制要求测评,但是要求定期找测评机构测评或进行系统自测。
等保对象定级的一般工作流程包括:确定定级对象、初步确定定级、专家评审、主管部门核准和公安机关备案审核。
对于安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据标准自行确定最终安全保护等级,无需进行专家评审、主管部门核准及备案审核。#网络工程师俱乐部
而对于安全保护等级初步确定为第二级及以上的等级保护对象,网络运营者需组织网络安全专家和业务专家对定级结果的合理性进行评审,将定级结果报请行业主管(监管)部门核准,并按照相关管理规定,将定级结果提交公安机关进行备案审核。
等保测评流程包括四个基本测评活动:测评准备活动、方案编制活动、现场测评活动和报告编制活动。
国家信息安全等级保护坚持自主定级、自主保护的原则。公安部在等保2.0宣贯会上提出了等级保护的工作范围:
一是覆盖各地区、 各单位、 各部门、 各企业、 各机构, 即覆盖全社会。
二是覆盖所有保护对象, 包括网络、 信息系统、 信息, 以及云平台、 物联网、 工控系统、 大数据、 移动互联等各类新技术应用。
也就是说,只要你的企业涉及到网络、信息系统等相关的事宜,都需要进行安全等保。
尤其是涉及到众多用户信息安全相关的企业,更是是公安网安部门检查的重点。
等保测评是检测评估等保对象的安全保护能力是否符合相应等级基本要求的过程,是落实网络安全等级保护制度的重要环节。
网络的运营、使用单位依法开展等保工作,落实等保测评流程,以明确网络系统的安全保护现状和存在的安全问题,并在此基础上对系统进行整改加固,构建网络安全管理体系。
整理:老杨丨10年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部