等保合规:保护企业网络安全的必要性与优势

前言

无论是多部网络安全法律法规的出台,还是最近的“滴滴被安全审查”事件,我们听得最多的一个词,就是“等保。”

只要你接触安全类工作,听得最多的一个词,一定是“等保。”

那么,到底什么是“等保”呢?

等保,全称叫“信息安全等级保护”,它是一种强制性的标准。简单地说,一些特定的行业或者企业,如果没有过等保,就不让经营。

比如互联网医疗行业,想取得线上诊疗资质,就必须过等保。

211、985大学的互联网+教育,比如学生管理系统、学校官网等,也必须过等保。

之所以很多行业,需要过等保,只有一个目的:保护信息安全。

试想一下,如果互联网金融行业,不过等保,会是什么后果。

什么是等保合规?

等保合规是指按照《网络安全法》的要求,通过安全评估、安全测评、安全测试等方式,评估企业的网络安全水平,确定其安全等级,并采取相应的安全保障措施,保障信息系统的安全和可靠性。等保合规是一种国家强制性的安全认证制度,旨在促进网络安全技术和保护水平的提升。

等保到底在“保”什么?

等保评级,会从七个维度进行测评。

  1. 物理安全
  1. 门禁控制:评估门禁系统的安全性,包括门禁设备的安装位置和安全性能、身份认证方式的合规性和可靠性、门禁事件日志记录等。

  1. 人员出入管理:评估人员出入安全管理措施,包括员工、访客和外来人员的身份验证和授权流程、人员进出记录和监控、随身物品检查等。

  1. 设备保护:评估物理设备的保护措施,包括服务器、网络设备、存储设备等的防护状态、物理锁、摄像监控、防火系统等的部署和有效性。

  1. 环境控制:评估机房或数据中心的环境控制措施,包括温度、湿度、灰尘、静电等环境参数的监测和控制,以确保设备正常运行和数据的安全性。

  1. 灾难恢复:评估灾难恢复设施和计划的完备性和有效性,包括备份设备和介质的安全存储和管理、灾难恢复设备的备货状态、应急演练等。

  1. 物理监控:评估物理监控系统的能力和覆盖范围,包括摄像头、录像和监控中心的布局,视频监控录像的保留时间、监控事件的报警和处理流程等。

物理安全测评旨在评估信息系统物理环境的安全性,发现潜在的物理安全风险,并提出改进和加固的建议,保护信息系统免受物理威胁和攻击。

  1. 网络安全

网络安全包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护几项。

这一部分比较容易理解。业务高峰期,必须拥有足够的带宽,保证服务器不会宕机。对网络系统中的网络设备运行状况、网络流量、用户行为等进行记录等等。

  1. 主机安全

主机安全包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。

这一部分要求企业应对登录操作系统和数据库的用户,进行身份标识和鉴别,启用访问控制功能,控制用户对资源的访问。

还要能够检测和记录对重要服务器的入侵行为,如入侵的源IP、攻击类型、攻击目的、攻击事件等等。

  1. 应用与数据安全

包含应用安全和数据安全及备份恢复。

要求企业提供异地数据备份、本地数据备份等,还规定了备份频率,满足灾难恢复策略的要求。

  1. 制度与人员安全

这一部分是总体要求,对于安全相关的各类活动都要有相应的制度规范,比如机房管理、保密制度等。

  1. 系统建设管理

这一部分企业能做的不多。虽然企业可以自己组织专家组为系统定级,但由于成本和复杂度等因素,一般会聘请第三方专家来为系统定级。

第三方专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划等进行论证和审定。

  1. 系统运维管理

等保要求企业要制定专门的人员,对机房供配电、空调等设施进行维护管理,保护机房安全。具体所需要的要求也非常多。

以上七个部分的内容,只是简单的提了一下,实际上真正的等保测评非常复杂,而且事无巨细

企业为什么要进行安全等保?

政企单位大量开展等保工作的原因主要在于需满足等级保护工作是保障我国网络安全的基本动作,目前政企单位大量开展等保工作的主要原因在于满足国家相关法律法规和制度的要求。各单位需按照所在行业及保护对象重要程度,依据网络安全法及相关部门要求,按照“同步规划、同步建设、同步使用”的原则,开展等级保护工作。

《网络安全法》第21条规定,“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施;法律、行政法规规定的其他义务。”

第59条规定,“网络运营者不履行本法第21条、第25条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。”同时第76条规定,“网络运营者是指网络的所有者、管理者和网络服务提供者。”

公安部于2020年7月开始实施《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(以下简称“《指导意见》”),旨在加强网络安全等级保护制度和关键信息基础设施安全保护制度的落地。该文件第2条规定,“按照国家网络安全等级保护制度要求,各单位、各部门在公安机关指导监督下,认真组织、深入开展网络安全等级保护工作,建立良好的网络安全保护生态,切实履行主体责任,全面提升网络安全保护能力。”

其中,网络安全等级保护工作具体又包括深化网络定级备案工作,对第二级以上网络需依法向公安机关备案,并向行业主管部门报备;定期开展网络安全等级测评,三级及以上系统要通过等级测评后才可投入运行;科学开展安全建设整改,落实“同步规划、同步建设、同步使用”三同步要求,可将网络系统迁移上云,或将网络安全服务外包,利用云服务商和网络安全服务商提升保护能力和水平;强化安全责任落实,网络运营者应定期组织专门力量开展自查和评估,上级行业监管部门要组织风险评估;加强供应链安全管理,应采购、使用符合国家法律法规和有关标准要求的网络产品及服务,积极应用安全可信的网络产品及服务;落实密码安全防护要求,第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。

目前国内各地公安部门、网信部门依据《网络安全法》对相关单位进行处罚的案例已有多起。故而,民营企业在参与到政企事业单位的投标工作时,被要求提供“安全等保测评”是为符合招标单位需采购符合法律和有关标准要求的网络产品的合规需求。

企业做好网络安全等级保护认证的合规建议

网络安全等级保护认证是一项比较复杂、专业性强的工作,企业在进行网络安全等级保护认证时,需要遵循一系列规定和要求,作为企业确保信息安全的重要手段,专业人士如律师在网络安全等级保护认证的申请和管理过程中起着至关重要的作用,为企业提供帮助和支持。

  1. 【制定合规性管理规范】

协助企业建立合规性管理规范,明确网络安全等级保护的标准和要求,包括等级划分、安全措施、风险评估等方面。此外,规范还应包括合规性审查和认证等流程的安排和规定,以确保企业达到等保认证的要求。

  1. 【设计网络安全等级保护方案】

与企业的信息安全专家、技术人员和管理人员合作,参与制定网络安全等级保护方案。这个方案包括安全管理制度、技术安全措施和应急预案等方面,提高企业应对突发事件的能力。可以帮助企业确定安全等级保护的目标和要求,并提供相应的法律意见和建议。

  1. 【协助企业进行风险评估】

可以帮助企业进行全面的风险评估,包括对业务流程、系统设施、技术措施等方面的风险评估,识别网络安全威胁和漏洞,制定相应的安全策略和措施,以确定安全等级和安全措施的具体要求,降低网络安全风险。

  1. 【协助企业进行等级划分】

协助企业进行等级划分,确保企业的安全水平符合等保认证的要求。企业应该根据自身的业务特点、信息系统规模和数据风险等级,合理划分网络安全等级,并建立相应的保护措施。

  1. 【协助企业进行合规性审查】

可以协助企业审查等保合规性,可以对企业的信息系统进行合规性审查,检查其是否符合网络安全等级保护制度的要求,发现并指出存在的安全隐患和不足,提出改进建议和措施,确保企业的网络和信息安全符合等保认证的要求。

  1. 【协助企业进行监督检查】

为企业提供监督检查前后的法律咨询和辅导,以及在监督检查中可能出现的问题或争议的处理方法。此外,律师在为企业选择合格的测评机构,协助企业与测评机构签订合同,监督测评过程,审核测评报告,确保测评结果真实有效,以及为企业提供应对行政处罚或司法诉讼等服务,维护企业的合法权益等也具有非常大的作用。

同时,企业自身还需要注意以下几点,以确保网络安全等级保护认证的顺利进行:

  1. 加强内部管理,完善信息安全管理制度,确保信息系统安全可控。
  2. 关注最新的网络安全威胁和漏洞,及时采取相应的安全防护措施,确保信息系统安全性。

  1. 建立完善的安全保护体系,包括安全培训、安全意识提升、安全事件应急预案等,提高企业安全防范能力。

  1. 注意个人信息保护,依据相关法律法规规定,对个人信息进行保护,确保用户隐私安全。

  1. 合理选择网络安全等级保护认证机构,选择具有资质、专业、可信度高的认证机构进行认证,确保认证结果合法有效。

企业做好安全等保之后有什么优势

  1. 建立健全有效的网络安全保障体系;
  2. 有效的维护和防御系统被入侵和攻击;
  3. 保障用户信息安全;
  4. 故障修复速率加快;
  5. 对企业从事行业起标榜作用;
  6. 落实个人及单位的网络安全保护义务,合理规避风险。

以上是企业接入等保的情况,下面针对《网络安全等级保护基本要求》关键项解读

安全通信网络

网络架构

划分不同的网络区域,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段,建设高可用、冗余的网络通信传输

通信传输

应采用校验技术、密码技术保证通信过程中数据的完整性和保密性

可信验证

可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心

安全区域边界

边界防护

应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信,对非授权的内部/外部联接进行检查和限制

恶意代码防范

应在关键网络节点处对恶意代码、垃圾邮件进行检测和防护,并维护恶意代码、垃圾邮件防护机制的升级和更新

安全审计

应在网络边界、重要网络节点对每个用户及重要用户和重要安全事件进行安全审计,并记录和保护审计信息;应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析

安全计算环境

身份鉴别

应对登录的用户进行身份标识和鉴别,同时对身份标识和鉴别有相关安全策略要求,包括身份唯一性、密码策略、账号安全策略、双因素鉴别等

安全审计

应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;并记录和保护审计信息;应对审计进程进行保护,防止未经授权的中断

可信验证

可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心

安全管理中心

系统管理

应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作(系统资源和运行的配置、控制和管理),并对这些操作进行审计

审计管理

应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计

安全管理

应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计

集中管控

对安全设备、安全组件进行集中管控,对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测,对各个设备上的审计数据进行集中审计和分析

安全管理体系

安全管理制度

应建立由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系

安全管理机构

应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或 授权

安全管理人员

应制定人员方面的安全管理策略,确保人员录用、人员离岗、人员培训及外包人员的安全管理

安全建设管理

应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全建设

安全运维管理

应采取必要的措施进行环境、资产、介质、设备维护、漏洞和风险、密码、变更等的安全运维管理

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/3590.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Redis网络相关的结构体 和 reactor模式

目录 1. epoll的封装 结构体aeApiStae 创建epoll fd的封装 epoll_ctl的封装 epoll_wait的封装 2. 结构体aeFileEvent、aeFiredEvent、aeTimeEvent 结构体aeFileEvent 结构体aeFiredEvent 结构体aeTimeEvent 3. struct aeEventLoop aeEventLoop相关的函数 1. 创建eve…

Rust HTTP 客户端:易于使用、功能强大 | 开源日报 No.228

seanmonstar/reqwest Stars: 8.9k License: Apache-2.0 reqwest 是一个易于使用且功能强大的 Rust HTTP 客户端。 异步和阻塞客户端支持普通数据、JSON、urlencoded 和 multipart 数据格式可定制的重定向策略支持 HTTP 代理和系统原生 TLS 或 rustls 的 HTTPSCookie 存储功能…

JVM学习笔记(五)内存模型

目录 1、原子性 1.1 问题分析 1.2 解决方法 2、可见性 2.1 退不出的循环 2.2 解决办法 3、有序性 3.1 诡异的结果 3.2 解决办法 3.3 有序性理解 3.4 happens-before 4、CAS与原子类 4.1 CAS 4.2 乐观锁与悲观锁 4.3 原子操作类 5、synchronized 优化 5.1 轻量…

17(第十六章,数据管理组织与角色期望)

目录 概述 基本概念 首席数据官 个人角色 执行官角色 业务角色 IT角色 混合角色 组织架构模式 概述 本章书上的重点内容其实不多,了解的地方例如数据管理组织的结构包括分散、网络、混合、联邦、集中等运营模式。 之前也提过的RACI(谁负责&am…

AWTK MODBUS Client channel 模型

名称:modbus_client_channel 功能:通过 modbus 协议访问远程 slave 设备上的数据,需要配合 modbus_client模型一起使用。用于将 modbus client 中的 channel 包装成view_model或者view_model_array 一般来说不需要,直接使用modbus…

CentOS 系统的优缺点

CentOS (社区企业操作系统的缩写)是一个基于红帽企业 Linux (RHEL)的免费开源发行版, 旨在为服务器和工作站提供稳定、可靠和安全的平台。 不应将其与CentOS Stream 混淆,后者是即将发布的 RHEL 版本的上游开发平台。 CentOS Li…

C++初阶之入门

零、什么是C C是基于C语言而产生的,它既可以进行C语言的过程化程序设计,又可以进行以抽象数据类型为特点的基于对象的程序设计,还可以进行面向对象的程序设计。 C缺点之一,是相对许多语言复杂,而且难学难精。许多人说学…

一般神经网络的微分与网络参数的初始化

(文章的主要内容来自电科的顾亦奇老师的 Mathematical Foundation of Deep Learning, 有部分个人理解) 一般深度神经网络的微分 上周讨论的前向和反向传播算法可以推广到任意深度神经网络的微分。 对于一般的网络来说,可能无法逐层分割,但仍然可以用流…

抖音小店运营过程中,每天必须要做的7件事情!少一件都不行!

大家好,我是电商小V 最近很多新手小伙伴刚做店,操作抖音小店每天需要做的事情都是哪些呢?感觉自己一天很忙,但是也没有忙出来结果,思绪很乱,关于这个问题咱们今天就来详细的说一下,给你们梳理总…

02 贪吃蛇

前言 呵呵 这是不知道 在哪里看到的 别人做的一个贪吃蛇 因此 也把我 之前的 贪吃蛇 移植上来了 当然 这个不过是为了 简单的入门了解, 呵呵 然后 c版本的贪吃蛇 需要先移植成 c 版本, 然后 再根据 单片机相关 设计调整 比如 led 点阵的输出, 比如 c99 语法的一些不兼容…

12 c++版本的坦克大战

前言 呵呵 这大概是 大学里面的 c 贪吃蛇了吧 有一些 面向对象的理解, 但是不多 这里 具体的实现 就不赘述, 仅仅是 发一下代码 以及 具体的使用 坦克大战 #include<iostream> #include<windows.h> #include<conio.h> #include<ctime> #include…

Python编程的终极十大工具

Python一直以来都是程序员们的首选编程语言之一&#xff0c;其灵活性和功能强大的库使其成为解决各种问题的理想选择。在本文中&#xff0c;我们将介绍Python编程的终极十大工具&#xff0c;这些工具可以帮助您在各种领域取得成功&#xff0c;无论您是初学者还是经验丰富的开发…

【C++】C++的内存管理

目录 内存分布 动态内存管理 C语言的动态内存管理 C的动态内存管理 对内置类型操作 对自定义类型操作 new[]和delete[] 开空间的细节 探讨匹配问题 定位new表达式 内存分布 栈&#xff1a;存放非静态局部变量&#xff0c;函数参数&#xff0c;返回值等。栈是向下增长…

Vim学习笔记01~04

第01章&#xff1a; 遁入空门&#xff0c;模式当道 1.什么是vim Vim是一个高效的文本编辑工具&#xff0c;并且可以在编程开发过程中发挥越来越重要的作用。 事实上&#xff0c;有不少编程高手使用他们来进行代码的开发&#xff0c;并且对此赞不绝口。 2.本系列目的 但是让…

微信小程序按钮点击时的样式hover-class=“hover“

小程序的button组件很好用&#xff0c;按钮点击的时候会显示点击状态&#xff0c;默认的就是颜色加深 但是我们改变了button的背景色之后&#xff0c;就看不出点击效果了&#xff0c;解决起来也很简单 关键代码就是小程序的 hover-class 属性&#xff0c;需要注意的是&#xff…

代码随想录算法训练营Day8 | ● 344.反转字符串● 541. 反转字符串II● 54.替换数字● 151.翻转字符串里的单词● 55.右旋转字符串

&#xff08;记得重学&#xff09; ● 344.反转字符串 题目&#xff1a;编写一个函数&#xff0c;其作用是将输入的字符串反转过来。输入字符串以字符数组 s 的形式给出。 不要给另外的数组分配额外的空间&#xff0c;你必须原地修改输入数组、使用 O(1) 的额外空间解决这一…

Qt [获取Dump] 使用WindowsAPI实现生成MiniDump文件

说明 客户现场的软件偶发崩溃是程序开发者&#xff0c;比较头疼的事情。如何更快速的定位到问题点和解决掉&#xff0c;是开发应该具备的基本能力。 Windows提供了一系列的API&#xff0c;可以记录软件崩溃前的堆栈信息。下面就实现一个生成Dump文件的程序实例。 主要代码 回…

计算机系列之输入输出、中断、总线、可靠性、操作系统、进程管理、同步互斥

9、输入输出-中断-总线-可靠性 1、输入输出技术、中断 1、内存与接口地址的编址方法&#xff08;了解概念即可&#xff09; 计算机系统中存在多种内存与接口地址的编址方法&#xff0c;常见的是下面两种&#xff1a;&#xff08;了解概念即可&#xff09; 1&#xff09;内存…

ai大模型应用开发

随着人工智能技术的飞速发展&#xff0c;AI大模型应用开发已成为一个日益重要的领域。本文将从专业角度深入探讨AI大模型的应用开发&#xff0c;并思考其未来的深度影响和逻辑性。 编辑搜图 请点击输入图片描述&#xff08;最多18字&#xff09; ​【一、AI大模型的定义与特点…

ASP.NET Core 3 高级编程(第8版) 学习笔记 03

本篇介绍原书的第 18 章&#xff0c;为 19 章 Restful Service 编写基础代码。本章实现了如下内容&#xff1a; 1&#xff09;使用 Entity Framework Core 操作 Sql Server 数据库 2&#xff09;Entity Framework Core 数据库迁移和使用种子数据的方法 3&#xff09;使用中间件…