iSlot官方网站

无线新履历,不变如磐石 丨 高校关键场景高密无线优良实际分享会
date
预约直播
从此,无线可“磐石" 丨 iSlot官方网站磐石无线解决规划场景颁布会
date
预约直播
iSlot官方网站 - 引领潮水
产品
< 返回主菜单
产品中心
产品
解决规划
< 返回主菜单
解决规划中心
行业
合作同伴
返回主菜单
选择区域/说话
iSlot官方网站 - 引领潮水

您订阅的产品有更新,请实时查阅

查看详情
iSlot官方网站 - 引领潮水 iSlot官方网站 - 引领潮水

等保测评是什么

等保测评用于评估网络系统或利用是否满足相应的安全;さ燃兑,是网络安全等级;すぷ鞯某烈方谥7⒄沟缺2馄揽赡茉滞缭擞呒鹣低炒嬖诘陌踩患,实时对系统进行整改加固。本文就等保测评的概想、流程以及测评内容进行简要介绍。

  • iSlot官方网站 - 引领潮水

    颁布功夫:2022-11-28

  • iSlot官方网站 - 引领潮水

    点击量:

  • iSlot官方网站 - 引领潮水

    点赞:

分享至

iSlot官方网站 - 引领潮水
iSlot官方网站 - 引领潮水
iSlot官方网站 - 引领潮水

我想评论

1 等保测评概述
在会商“等保测评是什么”之前,首先必要相识什么是“等保”。“等保”即网络安全等级;,是指对网络信息和信息载体依照沉要水平划分等级,并基于分级,针对性地发展安全;すぷ。网络安全等级;ぴ於仁俏夜绨踩煊蛳中械母於。
等保的执行流程分为5个环节:系统定级、登记、建设整改、等级测评和监督查抄;而等保测评(也称等级测评)正是其中的一个沉要环节。
等保测评是指由拥有资质的测评机构,凭据国度网络安全等级;す娣痘,依照有关治理规范和技术尺度,对等保对象(如信息系统、数据资源、云推算、物联网、工业节造系统等)的安全等级;で榭鼋屑觳馄拦赖幕疃。单一来说,等保测评用于验证网络系统或利用是否满足相应的安全;さ燃兑,是落实等保造度的关键活动之一。
图1-1 等保执行流程
图1-1 等保执行流程
                                                                                    
注明
本文所论述的等保有关内容,均基于我国目前执行的《GB/T 22239-2019 信息安全技术 网络安全等级;じ蟆贰禛B/T 28449-2018 信息安全技术 网络安全等级;げ馄拦讨改稀返扔泄爻叨,即“网络安全等级;2.0”尺度系统(简称“等保2.0”)。
                                                                                         
2 为什么要做等保测评
对于网络运营者,发展等保测评的必要性重要体此刻如下几点:
鉴别网络潜在风险,提升自身防护能力:
日益专业化、智能化、荫蔽化的网络攻击为网络安全带来了更严格的挑战,网络运营者能够通过等保测评相识系统的安全防护近况,鉴别系统内、表部存在的安全隐患,并在此基础上通过加固整改善步系统的网络安全防护能力,降低被攻击的风险。
满足国度有关司法律规的要求:
司法层面上,国度《网络安全法》的第21条和第31条明确划定了网络运营者和关键信息基础设施运营者该当依照网络安全等级;ぴ於鹊囊,推广有关的安全;な姑。不依法发展等保工作为违法行为,将由有关主管部门责令整改并处以?睢⒅腋娴瘸椭未胧。
提升行业竞争力:
是否发展等保工作是衡量企业信息安全水平的一个沉要尺度。对于企衣反说,进行等保测评不仅可能有效地提高信息系统安全建设的整体水平,还可能在向表部客户提供业务服务时给出信息系统安全性承诺,加强客户、合作同伴及利益有关方的信心。
                                                                               
3 等保测评等级划分
等保工作的主题在于“分级”,对于沉要水平分歧的网络系统,安全防护能力要求也有所分歧。在进行等保测评之前,网络运营者必要先实现待测评对象的定级,以明确测评的维度和尺度。
3.1   定级尺度
当前我国尝试的网络安全等级;ぴ於,将等级;ざ韵笠勒帐芊鬯槭彼趾Φ目吞搴投钥吞逶斐汕趾Φ乃,从低到高划分了五个安全;さ燃叮
(1) 第一级:等级;ざ韵笫艿椒鬯楹,会对公民、法人和其他组织的合法权利造成侵害,但不侵害国度安全、社会秩序和公共利益;
(2) 第二级:等级;ざ韵笫艿椒鬯楹,会对公民、法人和其他组织的合法权利产生严沉侵害,或者对社会秩序和公共利益造成侵害,但不侵害国度安全;
(3) 第三级:等级;ざ韵笫艿椒鬯楹,会对公民、法人和其他组织的合法权利产生出格严沉侵害,或者对社会秩序和公共利益造成严沉侵害,或者对国度安全造成侵害;
(4) 第四级:等级;ざ韵笫艿椒鬯楹,会对社会秩序和公共利益造成出格严沉侵害,或者对国度安全造成严沉侵害;
(5) 第五级:等级;ざ韵笫艿椒鬯楹,会对国度安全造成出格严沉侵害。
图3-1 定级身分与安全;さ燃豆叵
图3-1 定级身分与安全;さ燃豆叵
                                                                                      
在现实利用中,定级重要参考行业要求和业务的发展体量,例如通常的门户网站,定为二级已经足够,而存储较多敏感信息(如公民幼我信息)的系统则必要定为三级或三级以上。大部门信息系统的安全;さ燃洞τ诙级或三级。
表3-1 常见的定级对象

二级等保对象

三级等保对象

    不涉及敏感信息及沉要信息的信息系统。

    单纯的展示网站,不涉及用户信息、交付买卖、私密信息等。

    非主题业务系统,不存储幼我隐衷信息。

    内部治理系统,协同办平正台。

    涉及到敏赣注沉要信息的办公系统和治理系统。

    涉及客户信息、支付、保密信息的系统。

    影响力比力大的政企官方网站。

    用户数据达到肯定数量级的网络平台。

示例:学堂的网站、教育系统、事业单元政企官方网站等。

示例:金融系统、财税系统、交通运输系统、医疗系统、物流系统、游戏、涉及用户注册和支付的APP和软件等。
                                                                                    
3.2   定级流程
等保对象定级的通常工作流程蕴含:确定定级对象、初步确定定级、专家评审、主管部门核准和公安机关登记审核。
图3-2 等保对象定级工作的通常流程
图3-2 等保对象定级工作的通常流程
                                                                                        
对于安全;さ燃冻醪饺范ㄎ谝患兜牡燃侗;ざ韵,其网络运营者可凭据尺度自行确定最终安全;さ燃,无需进行专家评审、主管部门核准及登记审核。
而对于安全;さ燃冻醪饺范ㄎ诙级及以上的等级;ざ韵,网络运营者需组织网络安全专家和业务专家对定级了局的合理性进行评审,将定级了局报请行业主管(监管)部门核准,并依照有关治理划定,将定级了局提交公安机关进行登记审核。
                                                                                
4 等保测评流程
等保测评流程蕴含四个根基测评活动:测评筹备活动、规划假造活动、现场测评活动和汇报假造活动。
图4-1 等保测评流程
图4-1 等保测评流程
                                                                                        
4.1   测评筹备活动
作为等保测评流程中的筹备步骤,该阶段的重要工作蕴含组建等保测评项目组、网络定级对象有关资料、筹备测评工具等,指标是援手测评人员熟悉测评对象和测评工具,对测评对象的安全情况做出初步分析,为后续等保测评的执行做好充分的筹备。
在该阶段,测评委托单元(即网络运营者)必要共同测评机构提供详尽的测评对象有关资料,为信息网络工作提供支持和协助。
4.2   规划假造活动
本阶段的指标是整顿测评筹备活动中获取的定级对象有关资料,为下一步的现场测评活动提供最根基的文档和领导规划。
在本阶段中,等保测评机构必要凭据测评委托方提供的有关信息,通过度析测评对象的整体结构、天堑、网络区域等情况,确定测评对象、测评指标、测评内容以及工具测试步骤,并输出详实的测评规划和测评领导书。
4.3   现场测评活动
4.3.1  重要工作
现场测评活动是等保测评流程中的主题活动,测评人员利用访谈、文档审查、配置稽查、工具测试和实地查看的步骤,依照测评领导书执行现场测评,并将测评过程中获取的证据源进行具体、正确纪录。
在这个过程中,评测委托单元通常必要实现以下工作:
在现场测评前实现系统和数据的备份,并相识测评工作的根基情况。
协助测评机构获得现场测评的授权。
相识现场测评存在的风险,对风险奉告书进行具名确认。
共同测评人员实现业务有关内容的问询、验证和测试。
在工具测试过程中提供有关建议,降低测评过程对系统运行的影响。
4.3.2  测评内容
等保评测内容与等级;ひ笙喽杂,分为安全通用要求和安全扩大要求两部门。
安全通用要求针对共性化;ば枰岢,无论等级;ざ韵笠院沃执缶殖鱿,均需凭据安全;さ燃妒迪窒嘤洞送獍踩ㄓ靡。如表4-1所示,安全通用要求分为技术要求和治理要求;其中技术要求蕴含安全物理环境、安全通讯网络、安全区域天堑、安全推算环境和安全治理中心五个方面;治理要求蕴含安全治理造度、安全治理机构、安全治理人员、安全建设治理和安全运维治理五个方面。
安全扩大要求针对个性化;ば枰岢,合用于选取特定技术或特定利用场景下的等级;ざ韵。目前有关尺度提出的安全扩大要求重要面向云推算、移动互联、物联网和工业节造系统四类利用场景。
表4-1 安全通用要求注明

 

安全节造要求

注明

安全节造点(测评项)

技术要求

安全物理环境

    针对物理机房提出的安全节造要求

    重要对象为物理环境、物理设备和物理设施等

物理地位的选择

物理接见节造

防偷窃和防粉碎

防雷击

防火

防水和防潮

温湿度节造

电力供给

电磁防护

安全通讯网络

    针对通讯网络提出的安全节造要求

    重要对象为广域网、城域网和局域网等

网络架构

通讯传输

可信验证

安全区域天堑

    针对网络天堑提出的安全节造要求

    重要对象为系统天堑和区域天堑等

天堑防护

接见节造

入侵防备

恶意代码和垃圾邮件防备

安全审计

可信验证

安全推算环境

    针对天堑内部提出的安全节造要求

    重要对象为天堑内部的所有对象,蕴含网络设备、安全设备、服务器设备、终端设备、利用系统、数据对象和其他设备等

身份甄别

接见节造

安全审计

入侵防备

恶意代码防备

可信验证

数据齐全性

数据保密性

数据备份与复原

渣滓信息;

幼我信息;

安全治理中心

    针对整个系统提出的安全治理方面的技术节造要求

    要求通过技术伎俩实现集中治理

系统治理

审计治理

安全治理

集中管控

治理要求

安全治理造度

针对整个治理造度系统提出的安全节造要求

安全战术

治理造度

造订和颁布

评审和订正

安全治理机构

针对整个治理组织架构提出的安全节造要求

岗位设置

人员建设

授权和审批

沟通和合作

审核和查抄

安全治理人员

针对人员治理提出的安全节造要求

人员录用

人员离岗

安全意识教育和培训

表部人员接见治理

安全建设治理

针对安全建设过程提出的安全节造要求

定级和登记

安全规划设计

安全产品采购和使用

自行软件开发

表包软件开发

工程执行

测试验收

系统交付

等级测评

服务供给商治理

安全运维治理

针对安全运维过程提出的安全节造要求

环境治理

资产治理

介质治理

设备守护治理

缝隙微风险治理

网络和系统安全治理

恶意代码防备治理

配置治理

密码治理

调换治理

备份与复原治理

安全事务措置

应急预案治理

表包运维治理
                                                                                          
注明
关于等保测评内容的具体介绍,请拜见《GB/T 22239-2019 信息安全技术 网络安全等级;じ蟆贰禛B/T 28448-2018 信息安全技术 网络安全等级;げ馄酪蟆烦叨。
                                                                                              
4.4   汇报假造活动
汇报假造活动是等保测评流程的最后一个步骤,即在现场评测工作实现后,对现场测评获得的测评了局进行汇总分析,形成等保测评结论,并假造测评汇报。
本阶段的工作流程分为7个环节:
(1) 单项测评了局判定:针对每个安全测评项,比对获取的测评证据是否满足预期要求,给出单项测评了局和切合水平得分。单项测评了局分为3类:切合、不切合以及部门切合。
(2) 单元测评了局判定:将单项测评了局进行汇总,分析每个安全节造点下所有测评项的切合情况,给出单元测评了局。
(3) 整体测评:针对单项测评了局中的“不切合”项及“部门切合”项,分析测评项间的关联关系,对测评对象的整体安全;つ芰Ω雠卸。整体测评可能影响单项测评了局,因而必要凭据整体测评情况建改单项测评的切合水平得分和问题严沉水平值。
(4) 系统安全保险评估:综合单项测评和整体测评了局,推算测评对象的安全性得分,并对测评对象的安全保险情况做出总体评价。
(5) 安全问题风险分析:针对测评了局中的“不切合”项及“部门切合”项,分析测评对象可能面对的安全问题以及最大风险了局;而后凭据最大安全风险严沉水平确定测评对象面对的风险等级。风险等级分为“高”“中”“低”三个级别。
(6) 等级测评结论形成:测评人员在实现系统安全保险评估和安全问题风险评估的基础上,找出测评对象与等级;ひ笾浯嬖诘牟罹,推算测评对象的综合得分,并形成等保测评结论。
等保测评结论分为以下三种:
○切合:测评对象不存在安全问题,所有测评项的了局均为“切合”,综合得分为100分。
○根基切合:测评对象存在安全问题,测评了局中蕴含“部门切合”或“不切合”项,但存在的安全问题不会导致测评对象面对高档级安全风险,且综合得分不低于等保要求阈值。
○不切合:测评对象存在安全问题,测评了局中蕴含“部门切合”或“不切合”项,而存在的安全问题会导致测评对象面对高档级安全风险,或者综合得分低于等保要求阈值。
(7) 测评汇报假造:测评机构依照规范体式输出等级测评汇报。等保测评活动所形成的等保测评汇报是等保对象发展整改加固的沉要凭据。
                                                                            
5 总结
等保测评是检测评估等保对象的安全;つ芰κ欠袂泻舷嘤Φ燃陡蟮墓,是落实网络安全等级;ぴ於鹊某烈方。网络的运营、使用单元依法发展等保工作,落实等保测评流程,以明确网络系统的安全;そ龊痛嬖诘陌踩侍,并在此基础上对系统进行整改加固,构建网络安全治理系统。

有关标签:

iSlot官方网站 - 引领潮水 iSlot官方网站 - 引领潮水

点赞

更多技术博文

任何必要,请联系iSlot官方网站

iSlot官方网站 - 引领潮水

返回顶部

收起
iSlot官方网站 - 引领潮水 文档AI副手
iSlot官方网站 - 引领潮水 文档评价
ev-close ev-close-m
该资料是否解决了您的问题?
ev-close ev-close-m
您对当前页面的中意度若何?
不咋滴
极度好
dark-star dark-star dark-star dark-star dark-star
ev-close ev-close-m
您中意的原因是(多。?
您对文档是否还有其它的问题或建议?
为尽快解决问题,请您留下联系方式以便回复
邮箱
手机号
ev-bg
感激您的反。
iSlot官方网站 - 引领潮水
iSlot官方网站 - 引领潮水
iSlot官方网站 - 引领潮水
请选择服务项目
关关征询页
售前征询 售前征询
售前征询
售后服务 售后服务
售后服务
定见反馈 定见反馈
定见反馈
更多联系方式
【网站地图】