近來,網路安全這個話題熾手可熱,身處互聯網行業的相關人士應該深有體會,其中,關于安全標準這方面,熱度最高的應該算是“等保”了,
初識等保
“等保”,即網路安全等級保護,是我國網路安全領域的基本國策、基本制度,早在2017年8月,公安部評估中心就根據網信辦和信安標委的意見將等級保護在編的5個基本要求分冊標準進行了合并形成《資訊安全技術 網路安全等級保護基本要求》一個標準,( GB/T 22239—2019代替 GB/T 22239-2008)該標準于2019年5月10日發布,于2019年12月1日開始實施,
這份標準呢,也就是近期為人所熟知的等保2.0,而等保1.0則為原標準《資訊安全技術 資訊系統安全等級保護基本要求》( GB/T 22239-2008),等保2.0在1.0時代標準的基礎上,更加注重主動防御,從被動防御到事前、事中、事后全流程的安全可信、動態感知和全面審計,實作了對傳統資訊系統、基礎資訊網路、云計算、大資料、物聯網、移動互聯網和工業控制資訊系統等級保護物件的全覆寫,
等保1.0
在1.0的初期,企業只要有安全意識,能開始做等保,開始測評就已經很不錯了;到了中期,整體防護,滲透測驗,合規開始等于安全,行業等級保護全面開展,等保開始逐漸的深入人心;再到1.0的后期,無論是企業層面還是國家層面,都更注重實質性的安全,主動防御、態勢感知、攻防對抗等安全手段開始流行,云安、大資料、工控安全和移動安全開始占領主要趨勢,
等保1.0普及了等保的概念,強化了安全意識,從單個系統到部門、到行業,再到上升到國家層面從合規到攻防對抗,整體提升了網路安全保障能力技術并且不斷進行人才的積累,這些都對等保2.0提供了有力的支撐,
等保分級
除演程序序之外,老生常談就是幾級幾級等保要求了,等保根據系統重要程度和被破壞后的危害程度,劃分為5個等級:一般稱為等保一級到五級,從第一級到第五級依次是:用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級,
等保一級,安全性太低,沒人做;等保五級安全性太高,一般涉密,執行分保,所以在做的等保專案都是二級、三級和四級,
等保二級:縣級單位,比如區縣醫院,學校等;
等保四級:金融、軍工、電力等高安全單位;
等保三級:除去二級和四級,三級最多,
《網路安全等級保護基本要求》的附錄A為規范性附錄,就定級標準的選擇和使用做了組合說明,
簡單的對應關系如下:
通過等保驗收之后,國家公安部會發放《資訊系統安全等級保護備案證明》,而相關的處罰措施在《網路安全法》第五十九條中有相關規定:
網路運營者不履行義務的:由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款,
關鍵資訊基礎設施的運營者不履行義務的 :由有關主管部門責令改正,給予警告; 拒不改正或者導致危害網路安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款,
劃重點:用戶單位不做等級保護測評,用戶單位需要被罰款1萬-100萬;主管人員需要被罰款5000-100000,
安全通用要求
等保2.0的安全通用要求分類如下:
技術要求部分:安全物理環境、安全通信網路、安全區域邊界、安全計算環境;
管理要求部分:安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理,
和等保1.0標準相比,總體變化不大,等保2.0對要求做了較大幅度的精簡,
等保2.0的最大變化是,除了安全通用要求外,還增加了擴展要求,涉及云計算安全、移動互聯安全、物聯網、工控安全、大資料安全,
等保2.0的內容架構:
等級保護五步曲
等保官方規定了五個步驟:系統定級、備案、建設整改、等級評測、監督檢查,
? 系統定級: 確定建設幾級等保,常規三級;
? 備案:二級以上需要到公安機關備案(也就是到公安網安備案,等保2.0標準不再自主定級,二級及以上系統定級必須經過專家評審和主管部門審核,才能到公安機關備案,整體定級更加嚴格);
? 建設整改:根據等保標準,進行安全建設改造(比如漏洞系統掃出哪些漏洞,需要打補丁或升級;邊界需要部署防火墻,IPS等,這些是發現問題,解決問題的程序,有錢的單位問題解決得徹底些,缺錢的解區域分也行,畢竟過等保滿不用拿滿分);
? 等級評測:具備評測資格的等保評測機構進行評測,評測條目非常細,參考《等保三級基線要求判分標準》,(相較于等保1.0,等保2.0測評的標準發生了變化,2.0中測評結論分為:優(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分),70分以上才算基本符合要求,基本分調高了,測評要求更加嚴格,不過得幾分還是評測機構說了算);
? 監督檢查:公安網安部門可以定期抽查,這就是定期查水表,很好理解,
規范檔案資料建設
對于資訊安全管理,一般建議單位制定一些相關檔案,下面簡單列區部分名稱,可以簡單參考:
網站管理辦法、
網路資訊安全應急管理標準、
計算機終端及外設運行維護管理辦法、
重要事件請示審批流程、
OA系統用戶帳號與郵件管理規定、
資訊安全應急預案管理辦法、
辦公計算機操作及聯網管理規定、
安全檢查及審計制度、
作業系統及資料庫運行安全管理辦法、
資料庫運行管理規范、
軟體開發與維護管理標準、
資訊安全策略綱要、
互聯網上網行為管理辦法、
資訊安全管理制度制定與發布管理辦法、
資訊系統補丁管理制度、
辦公自動化系統管理標準、
安全管理制度、
安全管理組織機構及崗位職責、
資料中心機房運行維護手冊、
計算機病毒防治管理辦法、
人員安全管理制度、
安全管理機構、
教育培訓制度
歡迎訪問guotiejun.com獲取更多資訊,個人黃頁地址為i.guotiejun.com,
也可以掃碼關注公眾號“鐵軍哥”,感謝您的支持!
我還拉個微信群吧,方便和粉絲們一起交流網路、安全、云計算之類的問題,
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/5683.html
標籤:其他
上一篇:51單片機控制二相四線步進電機