前言
无论是多部网络安全法律法规的出台,还是最近的“滴滴被安全审查”事件,我们听得最多的一个词,就是“等保。”
只要你接触安全类工作,听得最多的一个词,一定是“等保。”
那么,到底什么是“等保”呢?
等保,全称叫“信息安全等级保护”,它是一种强制性的标准。简单地说,一些特定的行业或者企业,如果没有过等保,就不让经营。
比如互联网医疗行业,想取得线上诊疗资质,就必须过等保。
211、985大学的互联网+教育,比如学生管理系统、学校官网等,也必须过等保。
之所以很多行业,需要过等保,只有一个目的:保护信息安全。
试想一下,如果互联网金融行业,不过等保,会是什么后果。
什么是等保合规?
等保合规是指按照《网络安全法》的要求,通过安全评估、安全测评、安全测试等方式,评估企业的网络安全水平,确定其安全等级,并采取相应的安全保障措施,保障信息系统的安全和可靠性。等保合规是一种国家强制性的安全认证制度,旨在促进网络安全技术和保护水平的提升。
等保到底在“保”什么?
等保评级,会从七个维度进行测评。
- 物理安全
- 门禁控制:评估门禁系统的安全性,包括门禁设备的安装位置和安全性能、身份认证方式的合规性和可靠性、门禁事件日志记录等。
- 人员出入管理:评估人员出入安全管理措施,包括员工、访客和外来人员的身份验证和授权流程、人员进出记录和监控、随身物品检查等。
- 设备保护:评估物理设备的保护措施,包括服务器、网络设备、存储设备等的防护状态、物理锁、摄像监控、防火系统等的部署和有效性。
- 环境控制:评估机房或数据中心的环境控制措施,包括温度、湿度、灰尘、静电等环境参数的监测和控制,以确保设备正常运行和数据的安全性。
- 灾难恢复:评估灾难恢复设施和计划的完备性和有效性,包括备份设备和介质的安全存储和管理、灾难恢复设备的备货状态、应急演练等。
- 物理监控:评估物理监控系统的能力和覆盖范围,包括摄像头、录像和监控中心的布局,视频监控录像的保留时间、监控事件的报警和处理流程等。
物理安全测评旨在评估信息系统物理环境的安全性,发现潜在的物理安全风险,并提出改进和加固的建议,保护信息系统免受物理威胁和攻击。
- 网络安全
网络安全包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护几项。
这一部分比较容易理解。业务高峰期,必须拥有足够的带宽,保证服务器不会宕机。对网络系统中的网络设备运行状况、网络流量、用户行为等进行记录等等。
- 主机安全
主机安全包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。
这一部分要求企业应对登录操作系统和数据库的用户,进行身份标识和鉴别,启用访问控制功能,控制用户对资源的访问。
还要能够检测和记录对重要服务器的入侵行为,如入侵的源IP、攻击类型、攻击目的、攻击事件等等。
- 应用与数据安全
包含应用安全和数据安全及备份恢复。
要求企业提供异地数据备份、本地数据备份等,还规定了备份频率,满足灾难恢复策略的要求。
- 制度与人员安全
这一部分是总体要求,对于安全相关的各类活动都要有相应的制度规范,比如机房管理、保密制度等。
- 系统建设管理
这一部分企业能做的不多。虽然企业可以自己组织专家组为系统定级,但由于成本和复杂度等因素,一般会聘请第三方专家来为系统定级。
第三方专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划等进行论证和审定。
- 系统运维管理
等保要求企业要制定专门的人员,对机房供配电、空调等设施进行维护管理,保护机房安全。具体所需要的要求也非常多。
以上七个部分的内容,只是简单的提了一下,实际上真正的等保测评非常复杂,而且事无巨细
企业为什么要进行安全等保?
政企单位大量开展等保工作的原因主要在于需满足等级保护工作是保障我国网络安全的基本动作,目前政企单位大量开展等保工作的主要原因在于满足国家相关法律法规和制度的要求。各单位需按照所在行业及保护对象重要程度,依据网络安全法及相关部门要求,按照“同步规划、同步建设、同步使用”的原则,开展等级保护工作。
《网络安全法》第21条规定,“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施;法律、行政法规规定的其他义务。”
第59条规定,“网络运营者不履行本法第21条、第25条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。”同时第76条规定,“网络运营者是指网络的所有者、管理者和网络服务提供者。”
公安部于2020年7月开始实施《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(以下简称“《指导意见》”),旨在加强网络安全等级保护制度和关键信息基础设施安全保护制度的落地。该文件第2条规定,“按照国家网络安全等级保护制度要求,各单位、各部门在公安机关指导监督下,认真组织、深入开展网络安全等级保护工作,建立良好的网络安全保护生态,切实履行主体责任,全面提升网络安全保护能力。”
其中,网络安全等级保护工作具体又包括深化网络定级备案工作,对第二级以上网络需依法向公安机关备案,并向行业主管部门报备;定期开展网络安全等级测评,三级及以上系统要通过等级测评后才可投入运行;科学开展安全建设整改,落实“同步规划、同步建设、同步使用”三同步要求,可将网络系统迁移上云,或将网络安全服务外包,利用云服务商和网络安全服务商提升保护能力和水平;强化安全责任落实,网络运营者应定期组织专门力量开展自查和评估,上级行业监管部门要组织风险评估;加强供应链安全管理,应采购、使用符合国家法律法规和有关标准要求的网络产品及服务,积极应用安全可信的网络产品及服务;落实密码安全防护要求,第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。
目前国内各地公安部门、网信部门依据《网络安全法》对相关单位进行处罚的案例已有多起。故而,民营企业在参与到政企事业单位的投标工作时,被要求提供“安全等保测评”是为符合招标单位需采购符合法律和有关标准要求的网络产品的合规需求。
企业做好网络安全等级保护认证的合规建议
网络安全等级保护认证是一项比较复杂、专业性强的工作,企业在进行网络安全等级保护认证时,需要遵循一系列规定和要求,作为企业确保信息安全的重要手段,专业人士如律师在网络安全等级保护认证的申请和管理过程中起着至关重要的作用,为企业提供帮助和支持。
- 【制定合规性管理规范】
协助企业建立合规性管理规范,明确网络安全等级保护的标准和要求,包括等级划分、安全措施、风险评估等方面。此外,规范还应包括合规性审查和认证等流程的安排和规定,以确保企业达到等保认证的要求。
- 【设计网络安全等级保护方案】
与企业的信息安全专家、技术人员和管理人员合作,参与制定网络安全等级保护方案。这个方案包括安全管理制度、技术安全措施和应急预案等方面,提高企业应对突发事件的能力。可以帮助企业确定安全等级保护的目标和要求,并提供相应的法律意见和建议。
- 【协助企业进行风险评估】
可以帮助企业进行全面的风险评估,包括对业务流程、系统设施、技术措施等方面的风险评估,识别网络安全威胁和漏洞,制定相应的安全策略和措施,以确定安全等级和安全措施的具体要求,降低网络安全风险。
- 【协助企业进行等级划分】
协助企业进行等级划分,确保企业的安全水平符合等保认证的要求。企业应该根据自身的业务特点、信息系统规模和数据风险等级,合理划分网络安全等级,并建立相应的保护措施。
- 【协助企业进行合规性审查】
可以协助企业审查等保合规性,可以对企业的信息系统进行合规性审查,检查其是否符合网络安全等级保护制度的要求,发现并指出存在的安全隐患和不足,提出改进建议和措施,确保企业的网络和信息安全符合等保认证的要求。
- 【协助企业进行监督检查】
为企业提供监督检查前后的法律咨询和辅导,以及在监督检查中可能出现的问题或争议的处理方法。此外,律师在为企业选择合格的测评机构,协助企业与测评机构签订合同,监督测评过程,审核测评报告,确保测评结果真实有效,以及为企业提供应对行政处罚或司法诉讼等服务,维护企业的合法权益等也具有非常大的作用。
同时,企业自身还需要注意以下几点,以确保网络安全等级保护认证的顺利进行:
- 加强内部管理,完善信息安全管理制度,确保信息系统安全可控。
- 关注最新的网络安全威胁和漏洞,及时采取相应的安全防护措施,确保信息系统安全性。
- 建立完善的安全保护体系,包括安全培训、安全意识提升、安全事件应急预案等,提高企业安全防范能力。
- 注意个人信息保护,依据相关法律法规规定,对个人信息进行保护,确保用户隐私安全。
- 合理选择网络安全等级保护认证机构,选择具有资质、专业、可信度高的认证机构进行认证,确保认证结果合法有效。
企业做好安全等保之后有什么优势
- 建立健全有效的网络安全保障体系;
- 有效的维护和防御系统被入侵和攻击;
- 保障用户信息安全;
- 故障修复速率加快;
- 对企业从事行业起标榜作用;
- 落实个人及单位的网络安全保护义务,合理规避风险。
以上是企业接入等保的情况,下面针对《网络安全等级保护基本要求》关键项解读
安全通信网络
网络架构
划分不同的网络区域,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段,建设高可用、冗余的网络通信传输
通信传输
应采用校验技术、密码技术保证通信过程中数据的完整性和保密性
可信验证
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
安全区域边界
边界防护
应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信,对非授权的内部/外部联接进行检查和限制
恶意代码防范
应在关键网络节点处对恶意代码、垃圾邮件进行检测和防护,并维护恶意代码、垃圾邮件防护机制的升级和更新
安全审计
应在网络边界、重要网络节点对每个用户及重要用户和重要安全事件进行安全审计,并记录和保护审计信息;应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析
安全计算环境
身份鉴别
应对登录的用户进行身份标识和鉴别,同时对身份标识和鉴别有相关安全策略要求,包括身份唯一性、密码策略、账号安全策略、双因素鉴别等
安全审计
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;并记录和保护审计信息;应对审计进程进行保护,防止未经授权的中断
可信验证
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
安全管理中心
系统管理
应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作(系统资源和运行的配置、控制和管理),并对这些操作进行审计
审计管理
应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计
安全管理
应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计
集中管控
对安全设备、安全组件进行集中管控,对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测,对各个设备上的审计数据进行集中审计和分析
安全管理体系
安全管理制度
应建立由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系
安全管理机构
应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或 授权
安全管理人员
应制定人员方面的安全管理策略,确保人员录用、人员离岗、人员培训及外包人员的安全管理
安全建设管理
应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全建设
安全运维管理
应采取必要的措施进行环境、资产、介质、设备维护、漏洞和风险、密码、变更等的安全运维管理