近来,网络安全这个话题炽手可热,身处互联网行业的相关人士应该深有体会。其中,关于安全标准这方面,热度最高的应该算是"等保"了。
初识等保
"等保",即网络安全等级保护,是我国网络安全领域的基本国策、基本制度。早在2017年8月,公安部评估中心就根据网信办和信安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《信息安全技术 网络安全等级保护基本要求》一个标准。( GB/T 22239—2019代替 GB/T 22239-2008)该标准于2019年5月10日发布,于2019年12月1日开始实施。
这份标准呢,也就是近期为人所熟知的等保2.0,而等保1.0则为原标准《信息安全技术 信息系统安全等级保护基本要求》( GB/T 22239-2008)。等保2.0在1.0时代标准的基础上,更加注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
等保1.0
在1.0的初期,企业只要有安全意识,能开始做等保,开始测评就已经很不错了;到了中期,整体防护,渗透测试,合规开始等于安全。行业等级保护全面开展,等保开始逐渐的深入人心;再到1.0的后期,无论是企业层面还是国家层面,都更注重实质性的安全。主动防御、态势感知、攻防对抗等安全手段开始流行,云安、大数据、工控安全和移动安全开始占领主要趋势。
等保1.0普及了等保的概念,强化了安全意识,从单个系统到部门、到行业,再到上升到国家层面从合规到攻防对抗,整体提升了网络安全保障能力技术并且不断进行人才的积累,这些都对等保2.0提供了有力的支撑。
等保分级
除演进过程之外,老生常谈就是几级几级等保要求了。等保根据系统重要程度和被破坏后的危害程度,划分为5个等级:一般称为等保一级到五级,从第一级到第五级依次是:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。
等保一级,安全性太低,没人做;等保五级安全性太高,一般涉密,执行分保。所以在做的等保项目都是二级、三级和四级。
等保二级:县级单位,比如区县医院,学校等;
等保四级:金融、军工、电力等高安全单位;
等保三级:除去二级和四级,三级最多。
《网络安全等级保护基本要求》的附录A为规范性附录,就定级标准的选择和使用做了组合说明。
简单的对应关系如下:
通过等保验收之后,国家公安部会发放《信息系统安全等级保护备案证明》。而相关的处罚措施在《网络安全法》第五十九条中有相关规定:
网络运营者不履行义务的:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行义务的 :由有关主管部门责令改正,给予警告; 拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
划重点:用户单位不做等级保护测评,用户单位需要被罚款1万-100万;主管人员需要被罚款5000-100000。
安全通用要求
等保2.0的安全通用要求分类如下:
技术要求部分:安全物理环境、安全通信网络、安全区域边界、安全计算环境;
管理要求部分:安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
和等保1.0标准相比,总体变化不大,等保2.0对要求做了较大幅度的精简。
等保2.0的最大变化是,除了安全通用要求外,还增加了扩展要求,涉及云计算安全、移动互联安全、物联网、工控安全、大数据安全。
等保2.0的内容架构
等级保护五步曲
等保官方规定了五个步骤:系统定级、备案、建设整改、等级评测、监督检查。
❶ 系统定级: 确定建设几级等保,常规三级;
❷ 备案:二级以上需要到公安机关备案(也就是到公安网安备案。等保2.0标准不再自主定级,二级及以上系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格);
❸ 建设整改:根据等保标准,进行安全建设改造(比如漏洞系统扫出哪些漏洞,需要打补丁或升级;边界需要部署防火墙,IPS等,这些是发现问题,解决问题的过程。有钱的单位问题解决得彻底些,缺钱的解决部分也行,毕竟过等保满不用拿满分);
❹ 等级评测:具备评测资格的等保评测机构进行评测,评测条目非常细,参考《等保三级基线要求判分标准》。(相较于等保1.0,等保2.0测评的标准发生了变化,2.0中测评结论分为:优(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分),70分以上才算基本符合要求,基本分调高了,测评要求更加严格。不过得几分还是评测机构说了算);
❺ 监督检查:公安网安部门可以定期抽查,这就是定期查水表,很好理解。
规范文档资料建设
对于信息安全管理,一般建议单位制定一些相关文档,下面简单列区部分名称,可以简单参考:
网站管理办法、
网络信息安全应急管理标准、
计算机终端及外设运行维护管理办法、
重要事件请示审批流程、
OA系统用户帐号与邮件管理规定、
信息安全应急预案管理办法、
办公计算机操作及联网管理规定、
安全检查及审计制度、
操作系统及数据库运行安全管理办法、
数据库运行管理规范、
软件开发与维护管理标准、
信息安全策略纲要、
互联网上网行为管理办法、
信息安全管理制度制定与发布管理办法、
信息系统补丁管理制度、
办公自动化系统管理标准、
安全管理制度、
安全管理组织机构及岗位职责、
数据中心机房运行维护手册、
计算机病毒防治管理办法、
人员安全管理制度、
安全管理机构、
教育培训制度