1、等保简介
1.1、什么是等保
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,其目的就是对信息系统安全防护体系能力的分析与确认,发现存在的安全隐患,帮助运营使用单位认识不足,及时改进,有效提升其信息安全防护水平。
简单来说,等保就是对信息系统进行分级来实施不同等级的保护。
1.2、等保的发展历程
1994年,发布国务院147号令,第一次提出等级保护的概念,要求对信息系统分等级进行保护。
1999年,国家强制标准发布,信息系统等级保护建设必须遵循的法规。第一次规定了等保的五个等级。
2005年,公安部四大标准《基本要求》《定级指南》《实施指南》《测评标准》
2007年,公通字【2007】43号(等级保护管理办法发布,明确如何建设、如何监管以及如何选择服务商等)
2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这部法规被称为等保1.0。
2015年,中央网信领导小组2015年工作要求:落实国家信息安全等级保护制度。
2017年,发布《网络安全法》。
2019年,等保2.0新标准落地。除了传统信息系统的安全防护外,新标准增加了云计算、移动互联、物联网、工业控制等新兴领域的安全要求。
1.3、等保的等级划分
信息系统按照重要性和受破坏后的危害性分为五个等级。
2、为什么做等保
2.1、政策驱动
《网络安全法》中的第21条、第31条明确规定了网络运营者和关键信息基础设施运营者都应该按等级保护要求对系统进行安全保护,以法律的形式确定等级保护工作为国家网络安全的基本国策,并在法律层面确立了其在网络安全领域的基础、核心地位。在第59条明确规定不履行安全保护的相关处罚规定。
简单来说,不做等保就是WF。
2.2、安全建设体系化
很多企业在做安全建设规划时没有一个明确的方向,现在可以以等级保护为标准,开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,对本单位的安全建设有整体的规划和思路。
2.3、责任划分更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件可以认为是意外,承担的责任会小很多。如果没有进行等级保护测评意味着你的安全建设没有达到国家要求,一旦发生安全事件要自己承担相关责任。
到这里,相信大家都明白了做等保的必要性。
3、怎么做等保
等保一共分为5个步骤。
定级备案–>差距分析–>建设整改–>等级测评–>监督检查
3.1、定级备案
将网络系统按照重要性和遭受损坏后的危害性分成五个安全保护等级。定级一般由客户自主定级,或遵循上级主管部门指导意见(如有)。
定级主要步骤有:
1.资产调查
2.信息系统分析
3.等级确定
4.编制定级报告
5.专家评审(三级及以上系统需要)
等级确定后,第二级(含)以上信息系统到公安机关备案,公安机关审核后颁发备案证明。
备案的主要步骤有:
1.到当地公安机关的网安大队或网安支队进行备案(二级及以上信息系统)
2.需提供“定级报告、备案表”(三级系统还需要提供:拓扑图、组织结构图、系统安全方案、网络安全设备列表及销售许可证)
3.公安机关审核后颁发备案证明
自从等保2.0发布以来,大部分企业都是定的三级。所以在这里讨论等保三级多一些。
3.2、差距分析
差距分析,顾名思义就是分析信息系统现状和等级保护安全要求之间的差距。
差距分析主要从技术和管理两个方面来进行差距分析。
技术差距分析包括:
安全物理环境
安全通信网络
安全区域边界
安全计算环境
安全管理中心
管理差距分析包括:
安全管理制度
安全管理机构
安全管理人员
安全建设管理
安全运维管理
差距评估的方法主要有人工检查、漏洞扫描、渗透测试、网络架构分析、安全访谈和管理制度评估。
3.3、建设整改
差距分析完成后,就清楚了企业在哪些方面还存在不达标的地方,接下来就针对不达标的检查项进行整改。整改主要从四个方面进行。
安全策略配置
针对用户单位实际情况和等级保护要求,制定相关设备的安全策略要求,并合理配置。
安全管理制度整理
根据差距评估的结果,针对用户单位目前缺少的安全管理制度进行补充,并编写过程模板。
安全加固
针对差距评估中自身安全策略配置不当和版本补丁问题进行处理,包括调整自身安全策略、升级版本和打补丁。
安全设备采购部署
根据设计方案内容,协助用户单位完成安全设备采购和部署。
3.4、等级测评
备案单位选择符合国家规定条件的测评机构开展等级测评。测评的方法主要有:配置检查、人员访谈、文档审查和实地查看。
企业一般都会选择安全厂商或者集成商来做等保服务,而安全厂商和集成商一般都和测评机构有合作,所以有部分厂商直接宣称等保通过率为100%。你懂的~
3.5、监督检查
根据《信息安全等级保护管理办法》要求,三级信息系统应每年进行一次自查,并根据自查问题进行整改,并且三级系统应每年进行一次测评。公安机关定期开展监督、检查和指导。
4、安全产品部署方案
扩展:
1、设备日志至少保存6个月
2、系统密码最少8位,至少3个月更换一次
来源:freebuf.com 2021-04-29 16:08:21 by: 禁欲系cat
请登录后发表评论
注册