网络安全等保服务
在网络安全越来越受重视的今天,云计算、物联网、大数据等新技术在应用的过程中,提高安全建设的整体水平,增加信息系统安全保护的整体性,让新技术落地应用的过程更加依法合规。对于企业来说,网络安全等级保护备案证明以及测评报告,既是对产品专业性、安全性、合规性的认定,也是作为业务开展过程中的重要资质证明。
一、等保定义:
等保即信息安全等级保护,是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息在存储、传输、处理这些信息时分等级实行安全保护;对信息系统中使用的信息安全产品实行按等级管理;对信息系统中发生的信息安全事件分等级响应、处置。
二、法律、行业、内控管理的要求:
(一)法律规章要求
《中华人民共和国网络安全法》【第二十一条】国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
《中华人民共和国网络安全法》【第三十一条】 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
(二)行业要求
在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作。
(三)企业系统安全的需求
信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。
三、《等级保护测评要求》的测评方法:
1、针对应用系统:
①检查关键应用系统,查看应用系统是否具有对人机接口输入或通信接口输入的数据进行有效性检验的功能。
②测试关键应用系统,可通过对人机接口输入的不同长度或格式的数据,查看系统的反应,验证系统人机接口有效性检验功能是否正确。
③渗透测试主要应用系统,进行试图绕过访问控制的操作,验证应用系统的访问控制功能是否不存在明显的弱点。
2、针对数据库系统:
①、检查关键服务器操作系统和关键数据库管理系统,查看匿名/默认帐户的访问权限是否已被禁用或者限制,是否删除了系统中多余的、过期的以及共享的帐户。
②、检查关键服务器操作系统和关键数据库管理系统的权限设置情况,查看是否依据安全策略对用户权限进行了限制。
③、检查关键服务器操作系统和关键数据库管理系统的补丁是否得到了及时更新。
④、检查关键服务器操作系统和关键数据库管理系统帐户列表,查看管理员用户名分配是否唯一。
⑤、检查关键服务器操作系统和关键数据库管理系统,查看是否提供了身份鉴别措施,其身份鉴别信息是否具有不易被冒用的特点,如对用户登录口令的最小长度、复杂度和更换周期进行要求和限制。
⑥、检查关键数据库服务器的数据库管理员与操作系统管理员是否由不同管理员担任。
四、服务流程:
系统定级→系统备案→整改实施→系统测评→运维检查
①、系统定级:编写定级报告、填写定级备案表。
②、系统备案:定级备案表填写完整后,将定级材料提交至公安机关进行备案审核。
③、整改实施:对系统进行调研,开展差距评估,依照国家相关标准进行方案设计,完成相应设备采购及调整、策略配置调试、完善管理制度等工作。
④、系统测评:请当地测评机构,对系统进行全方面测评,测评评分合格后获得合格测评报告,并最终获得等级保护备案证。
⑤、运维检查:系统持续运维与优化,并按照相关要求进行年检。
六、常见问题:
1、不做等保,出了问题将承担什么责任?
①、网络运营者不履行《中华人民共和国网络安全法》【第二十一条】规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
②、 关键信息基础设施的运营者不履行《中华人民共和国网络安全法》【第三十四条】规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
2、哪些行业需要做等保?
(一)省辖市以上党政机关的重要网站和办公信息系统;
(二)电信、广电行业的公用通信网、广播电规传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;
(三)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(四)金融行业、游戏行业、教育行业、电商行业、网贷行业、通讯行业、能源行业、运输行业等。
3、递交的备案资料都包括哪些内容?
①、《信息系统安全等级保护备案表》(一式两份)
②、《信息系统安全等级保护定级报告》(一个系统一份)
③、《系统定级评审意见》(或上级主管部门定级审核意见)
④、相关电子数据等
4、整改会不会涉及到要购置设备?如果有些不符合项目不能马上关闭能不能通过备案?
根据《GB T22239-2008信息安全技术信息系统安全等级保护基本要求》,三级系统有如下要求:
①、应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性;
②、应建立备用供电系统;
以上检查项需要购置设备,对二级系统没有此要求,但在二级系统中,构成系统网络安全的必要硬件则必须有;
5、整个周期是多长?其中现场测评时间多长?
①、整个测评周期包括前期调研、现场测评、后期报告编写等,一般情况下一个二级系统会占用3~4周,一个三级系统会占用4~5周(指初次测评,不包括整改和加固时间);
②、 其中现场测评(指在被测系统单位现场的测评)的时间根据系统的数量而定:一般一个二级系统会占用3~4个工作日,一个三级系统会占用5~6个工作日(两组同时进行,每组两人)。
6、等保测评检查周期是多长?
二级系统每2年进行一次测评检查,三级系统每年检查一次。
网络安全等保的收费标准是什么
网络安全等级保护工作是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益, 促进经济社会信息化健康发展。等保 2.0 的发布使安全等级保护工作 上升到了一个全新的高度,重要性大家应该都清楚,就不多讲,主要 给大家讲一下收费问题。在说花钱的问题之前,我们先了解下网络安全等级保护工作都有 哪几个环节,然后在分析每个环节都需要花啥钱。网络安全等级保护工作有五个规定环节,分别是:定级、备案、安全建设整改、等级保护测评和监督检查,这五个环节在整个等级保护工作中形成了一个闭 环,尤其是等级测评和安全建设整改,是不断循环,持续提高的一个往复运动。
- 定级环节:定级环节就是弄清楚自己的系统应该对应网络安全等级保护第几级防护标准,一级的话就别拿出来晾晒了,也不需要花钱,而二级到五级,在自我认知的同时,都需要专家的评审,这个动作可以不花钱,真要花钱,专家评审费是必要的,其他就没什么了。
- 备案环节:第二级以上信息系统,在安全保护等级确定后 30 日内,你要向 所在地设区的市级以上公安机关办理备案,公安部门充分体现了为人 民服务的理念,是不收费的。如果找人代办,那是需要费用的。
- 测评环节:这个环节的费用比较好估算,就好比看病的挂号费和检查费,至少有个底线,一般是根据系统等级和系统规模两个因素决定,一般规模的三级系统(10 台以内的服务器数量),费用应该在 10 万左右。 总体项目测评费用区间大致在几万到百万之间不等。
- 建设整改:这个环节,通常会有商务舱、一等座、二等座的区别,根据自身的经 济能力决定,范围在几十万到几百万,包个专列那另算,但在这个环 节有个问题不能忽视,就是测评过程反应出来的问题通常分成两类,一类需要增加设备投入的,另一类需要调整配置的。需要增加设备投入的,您就可以参考商务舱、一等座和二等座的标准选择,花多花少 最后都能到达目的地,关键是花在刀刃上;第二种情况一般不用花钱, 自己行,就自己调整,不行就赖给承包商或,让他们帮着调整一下, 要是能花钱雇个保姆(网络安全运维服务机构),也是可行的,而且 效果更好,保姆费可以和保姆商量。
- 监督检查环节:因为这个环节归相关部门来管,肯定不要钱。 总结一下:等保是国家层面的制度,是网络安全建设的基本要求和方向,花钱多少不重要,重要的是花在刀刃上,达到等保工作目的最重要。
Views: 16