一:什么是三级等保?等保的定义介绍
等保即信息安全等级保护,“三级等保”顾名思义就是安全等级保护三级。是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息在存储、传输、处理这些信息时分等级实行安全保护;对信息系统中使用的信息安全产品实行按等级管理;对信息系统中发生的信息安全事件分等级响应、处置。
二、为什么要做等保
法律对等保的要求:
《中华人民共和国网络安全法》【第二十一条】国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
《中华人民共和国网络安全法》【第三十一条】 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
三、《等级保护测评要求》的测评方法:
1、针对应用系统:
①检查关键应用系统,查看应用系统是否具有对人机接口输入或通信接口输入的数据进行有效性检验的功能。
②测试关键应用系统,可通过对人机接口输入的不同长度或格式的数据,查看系统的反应,验证系统人机接口有效性检验功能是否正确。
③渗透测试主要应用系统,进行试图绕过访问控制的操作,验证应用系统的访问控制功能是否不存在明显的弱点。
2、针对数据库系统:
①、检查关键服务器操作系统和关键数据库管理系统,查看匿名/默认帐户的访问权限是否已被禁用或者限制,是否删除了系统中多余的、过期的以及共享的帐户。
②、检查关键服务器操作系统和关键数据库管理系统的权限设置情况,查看是否依据安全策略对用户权限进行了限制。
③、检查关键服务器操作系统和关键数据库管理系统的补丁是否得到了及时更新。
④、检查关键服务器操作系统和关键数据库管理系统帐户列表,查看管理员用户名分配是否唯一。
⑤、检查关键服务器操作系统和关键数据库管理系统,查看是否提供了身份鉴别措施,其身份鉴别信息是否具有不易被冒用的特点,如对用户登录口令的最小长度、复杂度和更换周期进行要求和限制。
⑥、检查关键数据库服务器的数据库管理员与操作系统管理员是否由不同管理员担任。
四、三级等保、等保的评审流程:
系统定级→系统备案→整改实施→系统测评→运维检查
①、系统定级:编写定级报告、填写定级备案表。
②、系统备案:定级备案表填写完整后,将定级材料提交至公安机关进行备案审核。
③、整改实施:对系统进行调研,开展差距评估,依照国家相关标准进行方案设计,完成相应设备采购及调整、策略配置调试、完善管理制度等工作。
④、系统测评:请当地测评机构,对系统进行全方面测评,测评评分合格后获得合格测评报告,并最终获得等级保护备案证。
⑤、运维检查:系统持续运维与优化,并按照相关要求进行年检。
五、等保常见问题:
1、网站不做等保,出了问题将承担什么责任?
①、网络运营者不履行《中华人民共和国网络安全法》【第二十一条】规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
②、 关键信息基础设施的运营者不履行《中华人民共和国网络安全法》【第三十四条】规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
2、哪些行业需要做等保?
金融行业、游戏行业、教育行业、电商行业、网贷行业、通讯行业、能源行业、运输行业等。
3、递交的备案资料都包括哪些内容?
①、《信息系统安全等级保护备案表》(一式两份)
②、《信息系统安全等级保护定级报告》(一个系统一份)
③、《系统定级评审意见》(或上级主管部门定级审核意见)
④、相关电子数据等
4、整改会不会涉及到要购置设备?如果有些不符合项目不能马上关闭能不能通过备案?
根据《GB T22239-2008信息安全技术信息系统安全等级保护基本要求》,三级系统有如下要求:
①、应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性;
②、应建立备用供电系统;
以上检查项需要购置设备,对二级系统没有此要求,但在二级系统中,构成系统网络安全的必要硬件则必须有;
5、整个周期是多长?其中现场测评时间多长?
①、整个测评周期包括前期调研、现场测评、后期报告编写等,一般情况下一个二级系统会占用3~4周,一个三级系统会占用4~5周(指初次测评,不包括整改和加固时间);
②、 其中现场测评(指在被测系统单位现场的测评)的时间根据系统的数量而定:一般一个二级系统会占用3~4个工作日,一个三级系统会占用5~6个工作日(两组同时进行,每组两人)。
6、等保测评检查周期是多长?
二级系统每2年进行一次测评检查,三级系统每年检查一次。
等保2.0是由公安部牵头组织开展的等级保护重点标准国家标准的工作,在修订通用安全要求的基础上,增加了关于云计算、大数据、移动互联、工控、物联网等扩展要求,内容涵盖了网络安全基本要求、安全通用要求及安全扩展要求。
下文拟从等保2.0的文件规定、操作流程以及客体防护、开展之后四个方面的常见问题作出解答。
一、文件规定
1.1 等级保护和等级保护2.0有什么区别?
回答:等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
“等级保护2.0”或“等保2.0”是一样的,是指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12月1日,网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。
1.2 等级保护是否是强制性的,可不可以不做?
回答:《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。同时,二十一条进一步要求:网络运营者应当按照网络安全等级保护制度的要求进行网络安全保护,网络运营者不履行等保义务的,将被给予警告并处以罚款,构成犯罪的,依法追究刑事责任。另外,第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。
换言之,网络运营者必须按网络安全法开展等级保护工作,拒不履行等保义务的,有可能要面临刑事处罚。
1.3 我如何确定本单位是否需要需要做等保?
回答:首先,等保的保护对象并不是特定的机构或者公司,而是机构所使用的特定的信息系统。等保关心的是信息系统和信息系统运转依赖的数据、设备、网络、系统和人员。
第二,评价一个系统是否应该做等保,核心问题并不是这个系统有多大,而是这个系统一旦遭受破坏,是否会给国家安全、社会秩序、公共利益以及其他公民、法人或组织的合法权益造成严重损害。
❈ 例如,一个大型企业的OA系统一般需要进行等保保护,但该单位的食堂点餐系统通常并不需要做等保。
第三,定级时定为一级的不用做备案。对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准;
1.4 不同的等保级别大致是如何划分的?
回答:
第一级(自主保护级):一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息系统。系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级(指导保护级):一般适用于县级单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级(监督保护级):一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级(强制保护级):一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级(专控保护级):一般适用于国家重要领域、重要部门中的极端重要系统。信息系统受到破坏后,会对国家安全造成特别严重损害。信息系统安全等级保护的定级准则和等级划分。
1.5 等保2.0安全通用要求与扩展安全要求之间的关系?
回答:扩展要求是为了满足近年来越来越复杂的等级保护对象(云计算、物联网、移动互联、工业控制系统等)而专门独立出来的安全章节,和通用章节关系一致。对实施单位而言,如系统未涉及到云计算、物联网等对象,则扩展要求非必须。
二、操作流程
2.1 等保的实施单位,是需要主动申报还是会有主管部门来提出,还是由第三方机构来发出?
回答:根据有关规定,等保的实施单位,可以主动申报也可由主管部门提出。但是实施单位不要心存侥幸心理,认为自己可以免去评审。根据《网络安全法》21条规定,实行网络安全等级保护制度,不做等保可能会被追究法律问题。另外,当地的网安部门也会检查,并要求企业履行等保义务。
2.2 完整的等保评审流程是什么样的?
回答:等保五步:2007年公安部43号文《信息系统等级保护管理办法》
定级:准备定级材料
备案:到网安处备案
安全建设:进行网络安全等级保护安全建设
测评:进行相应等级的测评
监督检查:网安部门进行监督检查,二级两年测评,三级每年测评,四级半年。
2.3 如何看待等保2.0在定级方面做出的改进?
回答:首先,等保2.0中取消了“自主定级、自主保护”的定级原则。采取专家评审, 主管部门审核的定级方式。
其次,定级流程一般应当包括确定定级对象、初步确定等级、专家评审、主管部门审核以及公安机关备案审查等步骤,由公安机关审查通过后最终确定定级对象的安全保护等级。对于被初步确定为第四级的定级对象,在开展专家评审工作时,其运营使用单位还应当报请国家信息安全等级保护专家评审委员会进行评审。
再次,在具体定级时,基础信息网络、云计算平台和大数据平台平台原则上应不低于其承载的等级保护对象的安全保护等级。比如阿里公有云被评定为3级,阿里公有云上客户如果评定为2级是可以通过评审的,如果被评定为4级,则不能通过评审。
最后,强化了对公民、法人和其他组织合法权益的保护。等保1.0中,对“公民、法人和其他组织”权益遭到特别严重侵害时,确定的保护等级为二级。而在等保2.0中,等级被确定为三级。
2.4 公安机关主要审查哪些内容?
回答:公安机关主要审查:
1、备案材料填写是否完整,是否符合要求,其纸质材料和电子文档是否一致;
2、信息系统所定安全保护等级是否准确。
2.5 怎么做备案申请?流程是什么?
回答:第二级(含)以上信息系统运营、使用单位到保卫关系所在地公安机关网安部门办理备案手续(其中省级单位网站、信息系统到省公安厅网安总队办理,地市级单位网站、信息系统到同级公安局网安支队办理)。申请时需携带的材料:(1)《信息系统安全等级保护备案表》一式两份;(2)《信息系统安全等级保护定级报告》一式两份;若信息系统为第三级及以上,还应提供:(3)系统拓扑结构及说明;(4)系统安全组织机构及管理制度;(5)系统安全保护设施设计方案或改建实施方案;(6)系统使用的安全产品清单以及认证、销售许可证明;(7)信息系统等级保护测评专家评审意见;(8)上级主管部门评审意见;(9)测评后符合系统安全保护等级测评的技术检测评估报告;(纸质、电子版各一份,电子版需刻盘)
特别注意:备案单位将上述(1)-(8)材料提交到所在地公安机关网安部门,主管部门经审核资料无误后,将备案系统对应的等级保护备案编号发放到备案单位。收到备案表号后,备案单位即可组织第三方等级保护测评机构对系统进行等级保护测评工作。完成后再将该项材料提交到所在地公安机关网安部门。
2.6 组织机构在外地,机房和运维在北京。这种情况能在北京做定级备案和测评吗?
回答:可以。
备案是有两个条件:第一是机构注册地,一个是系统开发和运维地,主要看公司重点在那边,如果机房、注册地在广州,运营和维护都在北京,广州没有实际人员办公,那么就在北京备案。
以前备案是有地域限制的,因为测评要当地网安部门的确认,现在没有这个限制了,运维地和注册地均可备案,主要看当地网安是否受理。但如果没有实际的办公地点,这是不可以的。
2.7 等保测评一般需要多长时间?
回答:一个二级或三级的系统整体持续周期1-2个月。现场测评周期一般1周左右,具体时间还要根据信息系统数量及信息系统的规模,以及测评方与被测评方的配合情况等有所增减。小规模安全整改(管理制度、策略配置技术整改)2-3周,出具报告时间1周。
三、客体防护
3.1 部署在公有云上的服务是否需要通过等保测评?
回答:需要。依据等保2.0的相关规定,在对公有云环境下开展等级保护工作需要遵循如下原则:
① 云计算平台不得承载高于其安全保护等级的业务应用系统;比如阿里公有云被评定为3级,阿里公有云上客户如果评定为2级是可以通过评审的,而公有云上的客户如果涉及到金融业务会被评定为4级,则不能通过评审,只能选择被评定为4级的阿里金融云。
② 须确保云基础设施、运维地点、各种数据都部署或存储于中国境内;
云开展等级保护一般分为两个部分:云服务商和云服务客户,二者都是需要做等保的,彼此不可取代。其中,对云服务商本身,等保2.0明确规定,需要先定级测评,再提供云服务;而对云服务客户来说,比如某企业系统在嵌入阿里云后,还需要进行单独备案并进行定级备案。
3.2 如何看待等保2.0新增垃圾邮件的相关描述?
回答:在等保2.0中,新增垃圾邮件防范要求,三级以上系统中做出对垃圾邮件的防护要求,原文描述为 “应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新”。
3.3 如何看待等保2.0新增可信计算的相关描述?
回答:可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。《网络安全等级保护基本要求》中强化了可信计算,充分体现一个中心、三重防御的思想,由被动防御变成主动防御,并强化可信计算安全技术要求的使用。
3.4 如何看待等保2.0对“高中低”位安全运维的相关描述?
对比等保1.0,等保2.0更为强调了安全运维的概念:不管是设备的维护还是威胁的分析处理,一定是人借助工具和数据完成安全流程的要求,所以到最后拼的还是人的能力。按照能力级别的划分,可以将安全运维进行高、中、低划分为三级的安全运维体系,如下图所示:
3.5 对一些联合体的项目如何处理?谁将作为等保主体?
回答:这一认定过程非常通俗易懂:对没有及时评审的系统,一旦发生网络安全事故,网安部门会找到谁,谁就是主体,认定权由网安部门而定。
3.6 有没有哪些安全产品对通过等保测评有特殊的优势?
回答:安全产品有销售许可证即可,并没有“哪一种”特殊的产品有独特的优势。
可根据实际情况,如考虑等保测评结果分数与等级、业务系统风险与防护要求等综合考虑安全通信网络防护、安全区域边界防护、安全计算环境防护、安全管理中心、安全建设与运维等投入。
3.7 我单位有大数据系统、物联网系统、云系统如何按照等保2.0开展工作?
回答:大数据系统、物联网系统、云计算平台和云业务系统按照等保2.0相关标准分别进行定级、备案、方案设计、集成实施、系统测评等相关工作。
大数据系统应作为单独定级对象进行定级,安全责任主体相同的大数据、大数据平台和应用可作为一个整体对象定级。
物联网主要包括感知、网络传输和处理应用等特征要素,应将以上要素作为一个整体对象定级,各要素不单独定级。
云平台单独作为定级对象定级、云租户的等级保护对象也应单独作为定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助服务系统化为不同的定级对象。
在设计安全解决方案时,不仅要满足安全通用要求的共性安全需求,还要考虑大数据、物联网和云计算的扩展安全要求的个性安全需求。
四、开展之后
4.1 等保能否成为免责的免死金牌?
回答:事实上从网络安全法实施以来的各类处罚案例来看,并不应该把获得等保合规证书作为网络信息安全工作免责的目标,而是应该理解、使用网络安全等级保护制度标准,结合业务的特点开展体系化的网络安全管理工作。
4.2 是否购买了符合等保技术要求的网络安全设备就能够做到抵御网络风险?
回答:首先,网络安全产品是最低成本、最高效率、解决最基本网络安全问题的手段和工具,倘若全面正确的部署的确能够有效抵御大部分风险,但要说能抵御全部风险就太夸张了。
其次,工具购置齐全后如何利用工具开展有效的网络安全防护规划与执行是至关重要的,换言之,更关键的要素是人。
因此仅认为从合规角度要求购置网络安全产品就算开展了等保工作,是一种看似简单实际是片面的思路。
4.3 如何证明自己已经开展过等保工作?
回答:测评后无合格证书,但是有备案证明或测评报告,即加盖测评机构公章或测评专用章的测评报告以及有主管部门公章的系统备案证明或系统定级备案资料。
这是因为等级保护采用备案与测评机制而非认证机制,公安机关只对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全等级保护备案证明,发现不符合有关标准的,通知备案单位予以纠正,发现定级不准的,通知备案单位重新审核确定。
4.4 等保测评一般需要多长时间可以测完?
回答:一个二级或三级的系统整体持续周期1-2个月。
现场测评周期一般1周左右,具体时间还要根据信息系统数量及信息系统的规模,以及测评方与被测评方的配合情况等有所增减。
小规模安全整改(管理制度、策略配置技术整改)2-3周,出具报告时间1周。
4.5 如何快速理解等保2.0的测评结果?
回答:等级保护2.0测评结果包括得分与结论评价;得分为百分制,及格线为70分;结论评价分为优、良、中、差四个级别,70分以上才算及格,90分以上算优秀。
五、结语
等级保护工作是国家网络安全的基础性工作,是网络安全法要求我们履行的一项安全责任。如今数字经济逐渐成为我国经济发展的新引擎,而数字经济的要素又是信息安全。
为了应对数据这一领域的国家安全风险与挑战,《网络安全法》第21条明确规定“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”。
业务介绍:
商务合作:16710818528(微信同号)
建筑资质链接
===========================