在当今这个信息爆炸的时代,网络安全已经成为每个企业和组织不可忽视的重要话题。那么,什么是“等保”,它与我们的日常生活和工作又有什么关联呢?接下来,我们就来聊聊这个话题。
01
等保是什么?为什么要做等保?
等保,即信息安全等级保护,全称为“信息安全等级保护制度”。说白了,就是按信息和信息载体的重要程度分保护级别,保障信息安全。这是咱国家网络安全的基本政策和制度。
2019 年《网络安全法》实施后,等保到了 2.0 时代。新标准强调全面主动防御、动态感知和审计。它不光管传统信息系统,云计算、大数据、物联网这些新技术也管,是全面保护信息安全。
等保3.0?
目前只有等保1.0或者等保2.0的说法,还没有等保3.0。一般有人说等保3.0,就知道这个人一定没有对等级保护了解清楚,错把等保三级标准当成了等保3.0。
为什么要做等保?
- 国情要求:《网络安全法》规定网络运营者和关键信息基础设施运营者得按等保要求做,不做轻的罚款,重的负刑事责任。这不只是建议,还是法律规定。
- 企业需要:信息化发展,企业依赖信息安全,好多重应用轻安全,隐患多,网络安全事件也常见,做好等保保护企业利益。
- 主管单位要求:主管单位监管越来越严,像教育部门、卫健委、证监银保等部门都有相关规定。
02
如何做等保?步骤与流程
一般来说,等保的流程包括以下几个步骤:
1. 自主定级:就是自己定级,把资料给当地公安备案。
2. 差距分析:找专业机构分析现有安全措施的差距,找隐患。
3. 整改设计与实施:根据结果制定整改方案并实施,比如买设备、培训人员。
4. 等级测评:整改完找测评机构测评,看是否达到安全保护等级。
5. 安全运营:最后就是日常安全运营维护,保证系统一直安全。
03
等保测评内容以及测评中需要重点关注什么
从等保测评内容上面来看,具体分为两大块:
(1)安全管理层面:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。
(2)安全技术层面:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。
等保测评时需要重点关注什么?
1.完整性和保密性
- 网络和通信安全的“通信传输”控制点,还有应用和数据安全里的“数据完整性”和“数据保密性”有要求。测评实施时需要重点理解:网络和通信层面或应用和数据安全层面实现一个就行;重点理解应用和数据里的“数据完整性”和“数据保密性”,像鉴别数据、重要业务数据、审计数据、配置数据、视频数据、个人信息等的完整性和保密性。
2.边界保护
- 源于旧版的“边界完整性检查”,有了更完善的要求。测评实施时需要重点理解:所有跨边界的访问和数据流得通过受控端口通信,要考虑网络大边界、不同级别系统小边界,还有非授权的移动数据上网卡、无线 WIFI 等;限制无线网络使用,核查无线网络单独组网后通过边界防护设备接入内网。
3.访问控制(网络和通信安全)
- 和旧版比变化大,重点是安全策略的完善优化。测评实施时需要重点理解:访问控制设备最后一条策略是拒绝所有通信;对进出网络的内容管控要用下一代防火墙。
4.入侵防范(网络和通信安全)
- 要防范从外到内和从内发起的网络攻击,注重网络行为分析。测评实施时需要重点理解:看能不能防范内部发起的攻击;能不能分析新型网络攻击行为。
5.集中管控
- 是新增控制点,要求对分布网络中的安全设备或组件集中管控。测评时要核查:像远程管理是不是加密;有没有综合网管、审计系统;有没有集中防病毒、补丁管理系统;有没有集中的安全事件识别、报警和分析系统等等。
6.双因素认证
- 涉及网络设备、安全设备、操作系统和应用系统等。测评实施时需要重点理解:双因素认证很重要;网络设备、安全设备、操作系统适合令牌方式,应用系统适合数字证书或生物技术;主流堡垒机主要提供网络访问控制和操作审计功能,不能根本实现双因素认证。
7.其他新增测评要求
- 核查能不能审计互联网访问行为;能不能保护恶意邮件、垃圾邮件;注重数据安全保护测评;整个测评要求 IPv6 商用环境也适用。
04
常见问题解答
1. 等保是强制性的吗?
《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。等级保护相关标准虽然为非强制性的推荐标准,但网络(个人与家庭网络除外)运营者必须按网络安全法开展等级保护工作。
2. 不做等保没关系,只要不出事就行?企业不做等保有啥处罚?
这可不行!法律明确要求网络运营者履行安全保护义务,不做等保就是违法,可能面临罚款甚至刑事责任。
我们一起看看我国网络安全法的相关规定,仅供参考:
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
3.等保分为几级?企业如何定级?
等保测评分为五个级别,从一到五级别逐渐升高。等级越高,说明信息系统重要性越高。一般企业项目多为等保二级、三级。对网络安全有特定高要求的军工、电力、金融等单位应符合等保三级或等保四级;等保一级和等保五级(涉密)由于安全性太低或太高,单位或组织少有涉及。
一般开展等保的行业/群体有:
(1)政府机关:电子政务网络;
(2)金融行业:监管机构,银行,保险公司等;
(3)电信行业:各大运营商;
(4)能源行业:电力(比如xxx电网),石油等;
(5)互联网单位:各大企业,上市公司等;
(6)其他有监管要求的行业
4. 等保与分保有什么区别?
等保主要由公安部门监管,适用于非涉密系统,分保则由国家保密局监管,适用于涉密系统。等保分为五个级别,而分保分为三个级别。分级保护与等级保护对应关系:秘密级对应等保三级、机密级对应等保四级、绝密级对应等保五级。
5. 系统上云了就不用做等保吗?
不可以!“谁运营谁负责”是原则,系统即使上了云,网络运营者仍需对系统的安全负责。
6. 等保工作就做测评就可以了吗?
不行!等保是一系列流程,包括定级、备案、整改、复测等,测评只是其中一部分。
05
总结
在信息安全日益重要的今天,等保不仅是法律的要求,也是企业保护自身信息安全的重要手段。从定级、备案到整改和测评,每一步都至关重要。
对于许多企业而言,安全经理一般都要承担“等保”的工作。在招聘此类关键岗位时,企业往往会将 CISSP 或 CISP 等相关认证视为优先考虑的条件或加分项。这并非是毫无缘由的,而是基于多方面的实际考量。
拥有 CISSP 或 CISP 认证的人员,通常在信息安全领域具备更全面、更深入的知识体系和实践技能。他们能够更好地应对等保工作中的各种复杂挑战,如精准识别系统潜在的安全风险,制定切实有效的防护策略,确保企业信息系统符合等保的严格要求。
小艾老师因此推荐大家参加 CISSP信息安全专家认证(国际认证)、CISP信息安全从业人员认证(国内本土认证)。通过CISSP或CISP,不仅能系统地学习和掌握前沿的信息安全知识,还能提升个人在行业内的竞争力,能够更好地承担起等保等工作。
想要咨询以上课程的同学可以先关注然后私信我!!
,
