010-57298809
您的当前位置:主页 > 新闻动态 >

什么是等级保护,你知道多少?等保分为五级,费用多少?

时间:2021-01-26

因为之前做过分等级保护的相关工作,总有人对等级保护有很多的问题,随着信息系统安全在工作中日益重要,特通过几个问题解答帮大家对等级保护增加更多的认识。
什么是信息系统安全等级保护?
信息系统安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息系统安全等级保护工作不仅是加强国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定的政治任务。信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。公安机关等安全监管部门进行信息安全等级保护监督检查时,系统运营使用单位必须提交由具有等级测评资质的机构出具的等级测评报告。
等级保护是对专有信息及信息系统进行分等级保护,对其中的信息安全产品进行按等级管理,对发现的安全事件分等级响应和处置。两个对象,三重管理。
那我们为什么做等级保护服务?
第一、开展等保的最重要原因是为了通过等级保护工作,发现单位系统内部存在的安全隐患和不足,通过安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。一般用户单位内部系统大大小小有很多,用途不一样,受众群体和使用用户也不一样,那我们就需要通过等级保护去梳理和分析我们现有的信息系统,将不同系统分不同重要等级进行分等级保护,这就是等保的定级工作,梳理出了不同等级的系统后,我们就要对不同系统进行不同等级的安全防护建设,保证重要的信息系统在有攻击的情况下能够很好地抵御攻击或者被攻击后能够快速的恢复应用,不造成重大损失或影响。
第二、等级保护是我国关于信息安全的基本政策,网络安全法明确规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。简单总结下就是国家法律法规、相关政策制度要求我们去开展等级保护工作。
第三、很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育等行业,还有一些主管单位发过相关文件或通知要求去做。另外信息安全主管单位要求我们去开展等级保护工作,主要有:公安、网信办、经信委、通管局等行业主管单位。
第四、合理地规避风险。每年都会出现一些大的信息安全事件,我们日常经常听到或看到的有,某某网站网页被篡改了,用户敏感信息被泄露了,更多的一些小范围安全事件我们不清楚,但是在发生。那么发生比较大的安全事件,首先主管单位们要去现场调查,首先就会看我们到底有没开展等级保护工作,那么如果你没有,最直接的一个结论就是你的信息安全工作没有开展好,没有开展到位,国家最基本的信息安全等级保护工作都没做,你说你买了很多防火墙,很多安全设备,那都是说不清道不明的,不如你实实在在拿出备案证明,拿出测评报告说服力强。出了问题难免就会被通报批评,被勒令下线整改,那么开展了等级保护工作和没有开展等级保护工作被通报的内容就显然不同了,这里就不展开了,只可意会不可言传。最简单的例子:一个主观上重视安全工作但是因为技术还不够好而被攻击造成破坏和一个主观上都不重视安全工作被攻击造成破坏的情况,孰轻孰重,一目了然。但是怎么叫主观上重视呢?等保工作有没有开展就是衡量的一个重要标准,因为等级保护是国家基本信息安全制度要求。
那等级保护测评到底测什么?
等级保护测评主要测以下十个层面:技术层面五个,物理安全、主机安全、网络安全、应用安全和数据安全与备份;管理层面五个,安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
技术层面具体的对象是:
机房,本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。说白了,就是检查机房防风防雨防火防盗防破坏能力。
业务应用软件,本测评单位将对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。
主机操作系统,本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。
数据库系统,本测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评,从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。
网络设备,本测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评,从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。
最终经过等级保护测评之后,我们获得的成果主要是:被测系统取得的备案证明资料、等级保护测评报告和安全建设整改方案。补充一项重要的成果:通过等级保护测评之后我们的系统信息安全防护能力得到了提高,安全风险被有效降低,前提是我们在发现问题后进行一定的安全整改。现在每年都有安全检查,主管单位上门检查一部分内容就会是有没有开展等级保护工作,开展的情况,我们把这些资料给他们看,他们就知道我们做了等保,在信息安全上工作上做了不少。因为很难通过你买了什么安全设备就判断你安全工作做好了,没有安全风险了,而等保虽不能证明你一定安全,但至少等保是从不同层面对你的信息系统整体性做了一个安全评估,相对更可信,而且也是书面性的资料。
看上去等保需要做很多内容,好多用户担心会给自己增加很多工作内容,其实这个担心是多余的也是错误的,真正做等保的过程中,一般只需要一到两个对你们单位系统情况,网络设备比较了解的人配合就可以,大部门工作是测评机构在做;另外安全工作不是因为做了等保才要去做,如果单位不做等保这样的工作也是应该贯彻在我们日常工作之中的,只是通过做等保,我们把这样的问题集中暴露出来,更早的把这些问题解决,把安全隐患扼杀在摇篮之中。
那么分级保护与等级保护有什么区别?
分级保护是涉密系统的安全防护标准。主要是涉及系统的,而等级保护是非涉密系统的安全防护标准。
勒索病毒 "WannaCry" 肆虐全球,我们在断网、打补丁、关端口、杀病毒的同时,有没有想到些什么?这样一个事件一下子挑动起大家的神经,让我们突然意识到,那个没有硝烟的战场一直在我们身边,从未远去。希望通过以上几个问题的答案可以让大家更深刻认识等级保护的知识和重要性。
等级保护工作具体步骤是怎样的?
答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:1)是信息系统定级;2)是信息系统备案;3)是系统安全建设;4)是信息系统开始等级测评;5)主管单位定期开展监督检查。
解读:系统定级和备案工作是等级保护工作开展的前提,也是等级保护工作最先要做的内容,系统安全建设可以先做也可以在等级测评之后再进行,第三和第四步没有严格意义上的先后顺序之分。
开展等级保护工作的相关法律法规或文件要求?
答:《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确要求我国信息安全保障工作实行等级保护制度;《信息安全等级保护管理办法》的通知(公通字[2007]43号)具体部署了实施信息安全等级保护工作的操作办法;《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)加快推动了等级保护工作的发展;《中华人民共和国网络安全法》第21条明确了国家实行网络安全等级保护制度。
解读:网络安全法的出台将等级保护工作以法律形式确定下来,等级保护工作至此以法律的形式确定为国家网络安全的基本网络安全制度,不开展等级保护工作就是在违法,大家一定要认识到问题的严重性。
等级保护分为几个等级?
答:分为五个等级,分别为第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)。系统的重要程度从1-5级逐级升高。
我们在日常工作中需要进行等级保护测评的系统是2-4级,经常遇到的是二级和三级信息系统,一级系统要求比较低,不需要进行测评,如果某个系统达到五级系统,那么这个系统很可能就已经涉密了,就不是等级保护范畴了,所以在技术要求里也没有五级的相关标准要求。
去哪里进行信息系统的定级备案工作?
答:全国绝大部分地方规定:各地级市的单位将定级资料交给各自地级市的网安支队,省级单位将资料交给省公安网安总队,特定行业有要求的另说,也有部分地方是先将资料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案。
解读:系统定级资料填写完成之后打印两份,首页盖章,电子档准备一份,带着这些资料去当地公安网安部门进行系统备案,至于到底是哪个网安请根据各地的要求,省、市、区县都有可能。
什么是等级保护测评?
答:等级保护测评指的是等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
解读:测评的主体是测评机构,测评的对象是非涉密的信息系统。
信息系统的测评多久需要测一次?
答:四级信息系统要求每半年至少开展一次测评;三级信息系统要求每年至少开展一次测评;二级信息系统一般每两年开展一次测评,时间上没有强制要求,部分行业有行业标准要求,如教育行业明确二级系统两年做一次测评。
解读:二级系统为什么建议是两年呢?一、系统相对三级没那么重要,所以时间上相对长点;二、系统相对没有定级的系统更重要些,且往往有些二级系统也非常重要,存储了大量重要的信息数据(其实本来是定三级的,种种原因定了二级),不去做测评,风险太大。
等级保护测评一般多长时间能测完?
答:现场测评周期一般一周左右,具体看信息系统数量及信息系统的规模,有所增减。小规模安全整改2-3周,出具报告时间一周,整体持续周期1-2个月。如果整改不及时或牵涉到购买设备,时间上会相对较长。
解读:理论上首次测评之后出具测评报告项目就结束了,但是实际情况好多是客户接受不了结论不符合的报告,所以很多时候是等客户整改后,测评机构再进行复测,复测完成后出具最终的测评报告。所以在首次测评后需要抓紧进行安全整改,整改的快自然结束的快,所以用户单位想早点结束的话就得把安全整改抓紧落实完成。
等级保护测评的费用是多少?
答:测评的费用首先是按照信息系统来算,不是按照一个单位,第二不同等级的测评费用不一样。费用每个省市情况不一样,通常每个省市都有自己的一个价格区间。整体价格的规律是系统等级越高测评费用越多,系统规模越大测评费用越高,具体价格和当地测评机构进行确定。
解读:测评的费用按照系统个数和系统的等级去核算,等级越高的相对费用越高,具体请根据每个省的行情来看。
用户单位需要开展等级保护测评,找谁去做?
答:根据目前最新的测评机构管理办法规定:具有有效的信息安全等级保护测评机构推荐证书且没有被停业整顿的测评机构均有资格开展等级测评工作。
解读:测评必须是有资质有资格的测评公司去做,有些厂商或者集成商号称能做测评,他们可能是有这个技术水平,但是没有这个资格和资质,另外现在全国放开了,理论上想去哪里开展业务都可以。
等级保护测评后的最终结论分为哪几种?
答:测评最终结论分为优、良、中、差四种。除了结论之外还有具体得分,如75分。
解读:测评的结论理论上有符合这种结论,就是满分100分的情况,但是实际上很难达到,也几乎没有出现过,如果你们家测评达到100分了,或者你经常看到有人得100分,那一定是这家测评机构不负责任地在测评。一方面是没有绝对的安全,另一方面等保的一些条款确实很难达到或者不适用。初次做等保能达到75左右就已经不错了。
等级保护测评结论不符合是不是等级保护工作就白做了?
答:等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差,不符合等保的相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准。
解读:测评结论不符合不是最重要的,最重要的是我们已经发现了问题,下面就需要及时对这些问题特别是高危风险及时进行安全整改,消除隐患,降低风险。
关于我们
我们的服务
我们的方案
新闻动态
联系我们

技术支持:悟安 Copyright © 2014-2020 北京旗云天下科技有限公司 版权所有 京公网安备 11011202000939号 京ICP备17058884号-1