等保2.0|做等級(jí)保護(hù)測(cè)評(píng)的重要性
近期,網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0正式發(fā)布,自上而下提升對(duì)網(wǎng)絡(luò)安全的重視程度,網(wǎng)絡(luò)安全進(jìn)入新的發(fā)展階段。今天靈狐科技就來(lái)告訴大家為什么要做等保和開(kāi)展等級(jí)保護(hù)工作的意義。其次,提醒各位不能為了過(guò)等保而做等保,等級(jí)保護(hù)只是信息系統(tǒng)安全的最低標(biāo)準(zhǔn)。
首先為什么要做等保呢?主要有以下幾個(gè)原因:
第一、開(kāi)展等保的最重要原因是為了通過(guò)等級(jí)保護(hù)測(cè)評(píng)工作,發(fā)現(xiàn)單位系統(tǒng)內(nèi)、外部存在的安全風(fēng)險(xiǎn)和脆弱性,通過(guò)整改之后,提高信息系統(tǒng)的信息安全防護(hù)能力,降低系統(tǒng)被各種攻擊的風(fēng)險(xiǎn)。一般用戶(hù)單位內(nèi)部系統(tǒng)較多,用途不一樣,受眾群體和使用用戶(hù)也不一樣,那我們就需要通過(guò)等級(jí)保護(hù)去梳理和分析我們現(xiàn)有的信息系統(tǒng),將不同系統(tǒng)分不同重要等級(jí)進(jìn)行分等級(jí)保護(hù),這就是等保的定級(jí)工作。
梳理出了不同等級(jí)的系統(tǒng)后,我們就要對(duì)不同系統(tǒng)進(jìn)行不同等級(jí)的安全防護(hù)建設(shè),保證重要的信息系統(tǒng)在有攻擊的情況下能夠很好地抵御攻擊或者被攻擊后能夠快速的恢復(fù)應(yīng)用,不造成重大損失或影響。
第二、等級(jí)保護(hù)是我國(guó)關(guān)于信息安全的基本政策,《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003]27 號(hào),以下簡(jiǎn)稱(chēng)“27 號(hào)文件”)明確要求我國(guó)信息安全保障工作實(shí)行等級(jí)保護(hù)制度,提出“抓緊建立信息安全等級(jí)保護(hù)制度,制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。2007年6月發(fā)布的關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法》的通知(公通字[2007]43 號(hào),以下簡(jiǎn)稱(chēng)“43號(hào)文件”)規(guī)定了實(shí)施信息安全等級(jí)保護(hù)制度的原則、內(nèi)容、職責(zé)分工、基本要求和實(shí)施計(jì)劃,部署了實(shí)施信息安全等級(jí)保護(hù)工作的操作辦法。
2016年11月7日第十二屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議通過(guò)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,網(wǎng)絡(luò)安全法第二十一條明確規(guī)定:國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪(fǎng)問(wèn),防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
簡(jiǎn)單總結(jié)下就是國(guó)家法律法規(guī)、相關(guān)政策制度要求我們?nèi)ラ_(kāi)展等級(jí)保護(hù)工作,不做就不合規(guī),就違法。
第三、很多行業(yè)主管單位要求行業(yè)客戶(hù)開(kāi)展等級(jí)保護(hù)工作,目前已經(jīng)下發(fā)行業(yè)要求文件的有:金融、電力、廣電、醫(yī)療、教育等行業(yè),還有一些主管單位發(fā)過(guò)相關(guān)文件或通知要求去做。另外信息安全主管單位要求我們?nèi)ラ_(kāi)展等級(jí)保護(hù)工作,主要有:公安、網(wǎng)信辦、經(jīng)信委、通管局等行業(yè)主管單位。所以不做等保的話(huà),沒(méi)法向相關(guān)主管單位和行業(yè)領(lǐng)導(dǎo)們交待。
第四、合理地規(guī)避風(fēng)險(xiǎn)。每年都會(huì)出現(xiàn)一些大的信息安全事件,我們?nèi)粘=?jīng)常聽(tīng)到或看到的有,某某網(wǎng)站網(wǎng)頁(yè)被篡改了,用戶(hù)敏感信息被泄露了,更多的一些小范圍安全事件我們不清楚,但是在發(fā)生。那么發(fā)生比較大的安全事件,首先主管單位們要去現(xiàn)場(chǎng)調(diào)查,首先就會(huì)看我們到底有沒(méi)開(kāi)展等級(jí)保護(hù)工作,那么如果你沒(méi)有,最直接的一個(gè)結(jié)論就是你的信息安全工作沒(méi)有開(kāi)展好,沒(méi)有開(kāi)展到位,國(guó)家最基本的信息安全等級(jí)保護(hù)工作都沒(méi)做,你說(shuō)你買(mǎi)了很多防火墻,很多安全設(shè)備,那都是說(shuō)不清道不明的,不如你實(shí)實(shí)在在拿出備案證明,拿出測(cè)評(píng)報(bào)告說(shuō)服力強(qiáng)。出了問(wèn)題難免就會(huì)被通報(bào)批評(píng),被勒令下線(xiàn)整改,那么開(kāi)展了等級(jí)保護(hù)工作和沒(méi)有開(kāi)展等級(jí)保護(hù)工作被通報(bào)的內(nèi)容就顯然不同了,這里就不展開(kāi)了,只可意會(huì)不可言傳。最簡(jiǎn)單的例子:一個(gè)主觀(guān)上重視安全工作但是因?yàn)榧夹g(shù)還不夠好而被攻擊造成破壞和一個(gè)主觀(guān)上都不重視安全工作被攻擊造成破壞的情況,孰輕孰重,一目了然。但是怎么叫主觀(guān)上重視呢?等保工作有沒(méi)有開(kāi)展就是衡量的一個(gè)重要標(biāo)準(zhǔn),因?yàn)榈燃?jí)保護(hù)是國(guó)家基本信息安全制度要求。
原因分析了,那等保的意義也就有了:
一、降低信息安全風(fēng)險(xiǎn),提高信息系統(tǒng)的安全防護(hù)能力;
二、滿(mǎn)足國(guó)家相關(guān)法律法規(guī)和制度的要求;
三、滿(mǎn)足相關(guān)主管單位和行業(yè)要求;
四、合理地規(guī)避或降低風(fēng)險(xiǎn)。
安徽靈狐科技作為等級(jí)保護(hù)安全建設(shè)服務(wù)機(jī)構(gòu),始終踐行網(wǎng)絡(luò)安全等級(jí)保護(hù)。在等級(jí)保護(hù)2.0時(shí)代,靈狐科技將多年積累的安全能力和等級(jí)保護(hù)系列標(biāo)準(zhǔn)相結(jié)合,推出《等級(jí)保護(hù)2.0系列解決方案》。方案通過(guò)建設(shè)“一個(gè)中心”管理下的“安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境”,為行業(yè)單位構(gòu)建網(wǎng)絡(luò)安全縱深防御體系。
靈狐科技等級(jí)保護(hù)2.0系列解決方案不僅滿(mǎn)足行業(yè)單位等保合規(guī)需求,同時(shí)依托現(xiàn)有安全服務(wù)體系,支撐行業(yè)單位和主管部門(mén)進(jìn)行持續(xù)監(jiān)測(cè)、預(yù)警和應(yīng)急處置,提升行業(yè)單位的綜合防御能力。
靈狐科技等級(jí)保護(hù)解決方案整體框架
靈狐科技等級(jí)保護(hù)2.0場(chǎng)景化方案
靈狐科技等級(jí)保護(hù)2.0系列解決方案,在分析保護(hù)對(duì)象面臨的安全風(fēng)險(xiǎn)基礎(chǔ)上,結(jié)合安全通用要求和安全擴(kuò)展要求,將安全技術(shù)體系、安全管理體系、安全服務(wù)體系融入到方案設(shè)計(jì)中。形成靈狐科技等級(jí)保護(hù)2.0安全通用場(chǎng)景方案、云計(jì)算安全方案、工控系統(tǒng)等方案。
方案充分考慮行業(yè)特性,在安全設(shè)計(jì)中以行業(yè)安全需求為導(dǎo)向,把等級(jí)保護(hù)應(yīng)用到行業(yè)安全防護(hù)中,幫助行業(yè)單位落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。
解決方案價(jià)值
1、 省時(shí)、省心、省力的等保全流程解決方案
靈狐科技提供等級(jí)保護(hù)2.0全流程解決方案,在定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、安全運(yùn)營(yíng)階段,提供專(zhuān)業(yè)的等保咨詢(xún)服務(wù)、安全防護(hù)產(chǎn)品、安全技術(shù)服務(wù)、安全運(yùn)營(yíng)服務(wù),讓單位在等級(jí)保護(hù)建設(shè)中省時(shí)、省心、省力。
2、提供協(xié)同安全運(yùn)營(yíng),提高單位安全監(jiān)測(cè)預(yù)警與應(yīng)急處置能力
靈狐科技等級(jí)保護(hù)2.0系列方案,提供協(xié)同安全運(yùn)營(yíng),幫助單位形成比較成熟的監(jiān)測(cè)預(yù)警體系,同時(shí)依托安全管理平臺(tái),建設(shè)符合單位現(xiàn)狀的安全應(yīng)急和處置服務(wù)體系,通過(guò)協(xié)同安全運(yùn)營(yíng)可以使單位建立網(wǎng)絡(luò)安全服務(wù)隊(duì)伍,增強(qiáng)單位對(duì)安全事件分析、處置的能力。
3、為關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)奠定基礎(chǔ)
關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)是網(wǎng)絡(luò)安全等級(jí)保護(hù)的防護(hù)重點(diǎn),靈狐科技等級(jí)保護(hù)2.0系列方案,針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)的特殊性,在安全風(fēng)險(xiǎn)識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、應(yīng)急處置方面,解決關(guān)鍵信息基礎(chǔ)防護(hù)的通用性安全問(wèn)題,為關(guān)鍵信息基礎(chǔ)設(shè)施奠定防護(hù)基礎(chǔ)。
4、等保場(chǎng)景覆蓋全面,滿(mǎn)足不同行業(yè)客戶(hù)等保要求
方案覆蓋安全通用、云計(jì)算、工控系統(tǒng)等場(chǎng)景,針對(duì)不同的行業(yè)客戶(hù),靈狐科技提供符合其自身行業(yè)特性的解決方案,滿(mǎn)足行業(yè)單位等保合規(guī)要求。