進入信息化時代,信息的獲取是一切行為的重點與中心,而信息安全則是這項中心工作最有力的支撐。而等保則為這項工作定下了制度與規範,如此一來,是否過等保,過了幾級就是一家企業對用戶信息的重視程度最直觀體現。
等保的地位和作用:
等級保護實施流程
1)信息系統定級備案
確定信息系統等級、填寫備案表、撰寫定級報告、提交資料至公安局進行備案。
☆等級保護採用的是分系統定級的方法,即當擁有多個不同的信息系統時,需要對其分別進行定級,並分別進行保護。
精準的定級不僅是為了更快的過等保,更重要的是能全面的認識整個系統:雖然一般來說是自主定級,但是也得根據系統實際情況去定級,有行業指導文件的根據指導文件來,沒有文件的根據定級指南來。
2)信息系統調研
成立項目組,對被測信息系統進行基礎信息調研,掌握系統情況。
在預測評之前,必須先對項目體系作出精確地認知,再根據實際情況對其一一進行測評,如果說預測評是一份全面體檢,那麼基礎信息調研就是體檢前的「望聞問切」。
3)現場預測評
根據等級保護測評項,從管理與技術兩方面開展等級保護測評工作。
系統安全等級保護建設在技術上分別涵蓋於物理、網絡、主機、應用、數據五大方面,主要從身份鑑別和自主訪問控制、強制訪問控制、安全審計、完整性和保密性保護、邊界保護、資源控制、入侵防範和惡意代碼防範、可信路徑設置、系統防滲透措施、安全管理平臺設置、備份與恢復、密碼技術應用、環境與設施安全對整個項目體系做出預測評。除技術方面外,還需建設完整的管理機構與制度體系,對整體的管理、監督、流動分別進行要求。最終根據等級不同,二級系統測評總計175項,三級系統總計290項。
4)建設整改
根據預測評對嚴重的問題提出建議,並實施落地。
實現上述建設目標,應該遵循一些基本原則?首先,統一安全管理應該技術和管理並重,只有這樣,才能兼顧的安全的技術屬性和管理屬性,實現全面、完整的安全,重技術、輕管理,或者是重管理,輕技術都是不可取的。
5)正式測評
測評機構對整改後的系統進行複測,分數達標後出具測評報告。
6)項目結束
等級保護項目測評難點
※1、安全策略變更難。(變更後可能會影響業務)
※2、漏洞補丁無法及時更新。(變更後可能會影響業務)
※3、信息安全管理制度。(未制定、制定顆粒較粗、記錄不全)
※4、設備配備不全,甚至無安全防護設備。(如:堡壘機、審計設備、下一代防火牆等)
安全建議
1、定期進行等級保護測評。
2、定期進行漏洞掃描、滲透測試。
3、部署安全監測。
4、進行信息系統詳細梳理。
5、部署建設必要基礎安全防護能力。
6、與安全廠商形成長期合作,指導規劃信息安全建設,形成完善的安全體系。
文章作者:盛旭
文章編輯:劉園
轉載請註明出處。