www.53381yhb.cn-精品久久亚洲高清不卡,未满十八18禁止免费无码网站,小荡货奶真大水多好紧视频,最近中文字幕高清中文字幕无

<fieldset id="uu6o0"><menu id="uu6o0"></menu></fieldset>
    • <strike id="uu6o0"><input id="uu6o0"></input></strike>
        <strike id="uu6o0"></strike>

        保密知識(shí)

        分保、等保、關(guān)保、密碼應(yīng)用對(duì)比詳解

        2020-09-10 航天藍(lán)西 966

        一、中國(guó)網(wǎng)絡(luò)安全發(fā)展的關(guān)鍵時(shí)間節(jié)點(diǎn):

         1、等級(jí)保護(hù)標(biāo)準(zhǔn)(國(guó)家標(biāo)準(zhǔn):GB):

        1994年2月,國(guó)務(wù)院發(fā)布《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令),規(guī)定“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)”的制度框架。

        2007年6月,公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室制定了《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào)),形成信息安全等級(jí)保護(hù)的基本理論框架。

        2008年6月,《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》標(biāo)準(zhǔn)正式頒布。

        2014年2月,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立。中共中央總書(shū)記、國(guó)家主席、中央軍委主席習(xí)近平親自擔(dān)任組長(zhǎng);李克強(qiáng)、劉云山任副組長(zhǎng)。

        2017年6月1日,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施。明確了“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”,同時(shí)第七十四條明確規(guī)定“違反本法規(guī)定,給他人造成損害的,依法承擔(dān)民事責(zé)任。違反本法規(guī)定,構(gòu)成違反治安管理行為的,依法給予治安管理處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任。”自此,公安執(zhí)法部門(mén)有了安全執(zhí)法依據(jù)。

        2019年12月1日,GB/T 22239-2008 等級(jí)保護(hù)基本要求更新為《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,針對(duì)信息技術(shù)的發(fā)展對(duì)標(biāo)準(zhǔn)要求進(jìn)行了更新。

         

        2、分級(jí)保護(hù)標(biāo)準(zhǔn)(保密標(biāo)準(zhǔn):BMB):

        1997年《中共中央關(guān)于加強(qiáng)新形勢(shì)下保密工作的決定》明確了在新形勢(shì)下保密工作的指導(dǎo)思想和基本任務(wù),提出要建立與《保密法》相配套的保密法規(guī)體系和執(zhí)法體系,建立現(xiàn)代化的保密技術(shù)防范體系。

        2004年12月23日中央保密委員會(huì)下發(fā)了《關(guān)于加強(qiáng)信息安全保障工作中保密管理若干意見(jiàn)》明確提出要建立健全涉密信息系統(tǒng)分級(jí)保護(hù)制度。

        2005年12月28日,國(guó)家保密局下發(fā)了《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》。

         

        3、關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)(國(guó)家標(biāo)準(zhǔn):GB,報(bào)批中未正式發(fā)布)

        2016年12月,全國(guó)信安標(biāo)委秘書(shū)處邀請(qǐng)專家研討《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》標(biāo)準(zhǔn),并討論關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)現(xiàn)狀;

        2018年06月,全國(guó)信安標(biāo)委秘書(shū)處發(fā)布《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)要求》征求意見(jiàn)稿。

        2019年11月5日,《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》(報(bào)批稿)完稿。

        2019年12月3日,《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》(報(bào)批稿)試點(diǎn)工作啟動(dòng)。

         

        4、信息系統(tǒng)密碼應(yīng)用基本要求(國(guó)家標(biāo)準(zhǔn):GB,征求意見(jiàn)中未正式發(fā)布)

        2018年2月,國(guó)家保密局正式發(fā)布實(shí)施密碼行業(yè)標(biāo)準(zhǔn)《GM:T 0054-2018信息系統(tǒng)密碼應(yīng)用基本要求》。

        2018年2月,經(jīng)國(guó)密局批準(zhǔn),行標(biāo)(GM/T 0054-2018 《信息系統(tǒng)密碼應(yīng)用基本要求》)升國(guó)標(biāo)《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》。2018年7月獲得國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)的立項(xiàng)批準(zhǔn)。

        2019年6月,全國(guó)信安標(biāo)委秘書(shū)處發(fā)布《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》征求意見(jiàn)稿。

         

        二、目前網(wǎng)絡(luò)安全主要的幾大標(biāo)準(zhǔn)及其差異:

        1、分級(jí)保護(hù)標(biāo)準(zhǔn)(簡(jiǎn)稱:分保)

        a)管理對(duì)象:所有涉及國(guó)家秘密的信息系統(tǒng),重點(diǎn)是黨政機(jī)關(guān)、軍隊(duì)和軍工單位。

        b)標(biāo)準(zhǔn)要求文件:

        BMB17《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》

        BMB20《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》

         c)系統(tǒng)定級(jí):根據(jù)其涉密信息系統(tǒng)處理信息的最高密級(jí),可以劃分為秘密級(jí)、機(jī) 密級(jí)和機(jī)密級(jí)(增強(qiáng))、絕密級(jí)三個(gè)等級(jí)。

         d)分級(jí)保護(hù)標(biāo)準(zhǔn)框架:

        e)分級(jí)保護(hù)部分涉及產(chǎn)品(僅供參考):屏蔽機(jī)房、手機(jī)屏蔽柜、保密文件柜、紅黑隔離電源、微機(jī)視頻信息保護(hù)系統(tǒng)、手機(jī)屏蔽儀、主機(jī)監(jiān)控與審計(jì)系統(tǒng)、光盤(pán)刻錄監(jiān)控和審計(jì)系統(tǒng)、打印監(jiān)控和審計(jì)系統(tǒng)、三合一(違規(guī)外聯(lián)監(jiān)控、涉密移動(dòng)存儲(chǔ)介質(zhì)使用管控、非涉密信息單向?qū)耄┫到y(tǒng)、涉密專用優(yōu)盤(pán)、存儲(chǔ)介質(zhì)信息消除工具、計(jì)算機(jī)終端保密檢查系統(tǒng)、惡意代碼輔助檢測(cè)系統(tǒng)、保密碎紙機(jī)、存儲(chǔ)介質(zhì)銷毀機(jī)、身份鑒別系統(tǒng)等等。

         

        2、等級(jí)保護(hù)標(biāo)準(zhǔn)(簡(jiǎn)稱:等保)

        a)管理對(duì)象:

        運(yùn)營(yíng)商和服務(wù)提供商:電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò),經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。

        重要行業(yè):鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國(guó)防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國(guó)土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)、部門(mén)的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。

        重要機(jī)關(guān):市(地)級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。

         b)標(biāo)準(zhǔn)文件:

        GB-T 25070-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》

        GB-T 28448-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》

        GB-T 22240-2020 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》

        GB-T 22239-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》

        GB_T 25058-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》

        c) 系統(tǒng)定級(jí):

        信息系統(tǒng)的安全防護(hù)共分為以下五個(gè)等級(jí):

        第一級(jí)(自主保護(hù)級(jí) )

        信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國(guó)家安全、社會(huì)秩序和公共利益。

        第二級(jí)(指導(dǎo)保護(hù)級(jí) )

        信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國(guó)家安全。

        第三級(jí)(監(jiān)督保護(hù)級(jí) )

        信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害。

        第四級(jí)(強(qiáng)制保護(hù)級(jí) )

        信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。

        第五級(jí)(專控保護(hù)級(jí) )

        信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。

        d) 等級(jí)保護(hù)標(biāo)準(zhǔn)體系框架:

        e) 等級(jí)保護(hù)涉及產(chǎn)品(僅供參考):


         

        3、關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)(簡(jiǎn)稱:關(guān)基、關(guān)保)

        a)管理對(duì)象:電信、廣播電視、能源、金融、交通運(yùn)輸、水利、應(yīng)急管理、衛(wèi)生健康、社會(huì)保障、國(guó)防科技等行業(yè)和領(lǐng)域中一旦遭到破壞或者喪失功能,會(huì)嚴(yán)重危害國(guó)家安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定、公眾健康和安全的業(yè)務(wù)。

        b)標(biāo)準(zhǔn)文件:《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》2019年11月報(bào)批,未正式發(fā)布

        c)什么是關(guān)鍵信息基礎(chǔ)設(shè)施(CII:critical information infrastructure)?

        支撐關(guān)鍵業(yè)務(wù)持續(xù)、穩(wěn)定運(yùn)行不可或缺的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)。在形態(tài)構(gòu)成上,可以是單個(gè)網(wǎng)絡(luò)設(shè)施、信息系統(tǒng),也可以是由多個(gè)網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)組成的集合。在本質(zhì)上,屬于關(guān)鍵業(yè)務(wù)的信息化部分,為關(guān)鍵業(yè)務(wù)提供信息化支撐。

        d)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力等級(jí)有幾個(gè)?

        關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力依據(jù)5個(gè)能力域完成程度的高低進(jìn)行分級(jí)評(píng)估,包括3個(gè)能力等級(jí),從能力等級(jí)1到能力等級(jí)3,逐級(jí)增高,能力等級(jí)之間為遞進(jìn)關(guān)系,高一級(jí)的能力要求包括所有低等級(jí)能力要求。

        能力域明確了運(yùn)營(yíng)者在關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)所需具備的能力,包括識(shí)別認(rèn)定、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、事件處置5個(gè)方面的關(guān)鍵能力,每個(gè)安全能力包含若干能力指標(biāo),每個(gè)能力指標(biāo)包含若干評(píng)價(jià)內(nèi)容。

        能力等級(jí)及特征如下表。

        表 安全能力等級(jí)及特征

        關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力等級(jí)

        等級(jí)特征

        能力等級(jí)1

        能識(shí)別相關(guān)風(fēng)險(xiǎn),防護(hù)措施成體系,能夠開(kāi)展檢測(cè)評(píng)估活動(dòng),具備監(jiān)測(cè)預(yù)警能力;能夠按規(guī)定接受和報(bào)送相關(guān)信息;在突發(fā)事件發(fā)生后能應(yīng)對(duì)并按計(jì)劃恢復(fù)。

        能力等級(jí)2

        能清晰識(shí)別相關(guān)風(fēng)險(xiǎn),防護(hù)措施有效,能夠檢測(cè)評(píng)估出主要安全風(fēng)險(xiǎn),主動(dòng)監(jiān)測(cè)預(yù)警和態(tài)勢(shì)感知,事件響應(yīng)較為及時(shí),業(yè)務(wù)能夠及時(shí)恢復(fù)。

        能力等級(jí)3

        識(shí)別認(rèn)定完整清晰,防護(hù)措施體系化、自動(dòng)化高,能夠及時(shí)檢測(cè)評(píng)估出主要安全風(fēng)險(xiǎn),使用自動(dòng)化工具進(jìn)行監(jiān)測(cè)預(yù)警和態(tài)勢(shì)感知,信息共享和協(xié)同程度高,事件響應(yīng)及時(shí)有效,業(yè)務(wù)可近實(shí)時(shí)恢復(fù)。


        e)  關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評(píng)價(jià)內(nèi)容及方法是什么?

        關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評(píng)價(jià)包括能力域級(jí)別評(píng)價(jià)、等級(jí)保護(hù)測(cè)評(píng)和密碼測(cè)評(píng)三部分。關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評(píng)價(jià)前,關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)首先通過(guò)相應(yīng)等級(jí)的等級(jí)保護(hù)測(cè)評(píng)和相關(guān)密碼測(cè)評(píng)。然后,組織應(yīng)按照評(píng)價(jià)內(nèi)容和評(píng)價(jià)操作方法開(kāi)展評(píng)價(jià)工作,給出對(duì)每項(xiàng)評(píng)價(jià)指標(biāo)的判定結(jié)果和所處級(jí)別,得出每個(gè)能力域級(jí)別,綜合5個(gè)能力域級(jí)別以及等級(jí)保護(hù)測(cè)評(píng)結(jié)果得出關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力級(jí)別。

        關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力應(yīng)綜合考慮5個(gè)能力域級(jí)別與等級(jí)保護(hù)測(cè)評(píng)結(jié)果。對(duì)應(yīng)能力等級(jí)1的關(guān)鍵信息基礎(chǔ)設(shè)施等級(jí)保護(hù)測(cè)評(píng)結(jié)果應(yīng)至少為中;對(duì)應(yīng)能力等級(jí)2的關(guān)鍵信息基礎(chǔ)設(shè)施等級(jí)保護(hù)測(cè)評(píng)結(jié)果應(yīng)至少為良;對(duì)應(yīng)能力等級(jí)3的關(guān)鍵信息基礎(chǔ)設(shè)施等級(jí)保護(hù)測(cè)評(píng)結(jié)果應(yīng)為優(yōu)。

         

        4、密碼應(yīng)用基本要求

        a)管理要求:信息系統(tǒng)中的身份鑒別、數(shù)據(jù)加密、數(shù)據(jù)簽名等密碼技術(shù)功能由密碼算法、密碼技術(shù)、密碼產(chǎn)品、密碼服務(wù)等提供。從信息系統(tǒng)的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全的各個(gè)層面提供全面整體的密碼應(yīng)用安全技術(shù)支撐,從而保障信息系統(tǒng)的用戶身份真實(shí)性、重要數(shù)據(jù)的機(jī)密性和完整性、操作行為的不可否認(rèn)性。

        b)標(biāo)準(zhǔn)文件:行標(biāo)(GM/T 0054-2018 《信息系統(tǒng)密碼應(yīng)用基本要求》)升國(guó)標(biāo)《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》,國(guó)標(biāo)征求意見(jiàn)稿階段,未正式發(fā)布。

        c)系統(tǒng)定級(jí):

        第一級(jí),是信息系統(tǒng)密碼應(yīng)用安全要求等級(jí)的最低等級(jí),信息系統(tǒng)管理者可按照業(yè)務(wù)實(shí)際情況自主應(yīng)用密碼技術(shù)應(yīng)對(duì)可能的安全威脅。

        第二級(jí),是在第一級(jí)的等級(jí)要求上,要求信息系統(tǒng)具備身份鑒別、數(shù)據(jù)安全保護(hù)的非體系化密碼保障能力,可應(yīng)對(duì)當(dāng)前部分安全威脅;

        第三級(jí),是在第二級(jí)的等級(jí)要求上,要求更強(qiáng)的身份鑒別、數(shù)據(jù)安全、訪問(wèn)控制等方面密碼應(yīng)用技術(shù)能力與管理能力,要求信息系統(tǒng)建設(shè)有規(guī)范、可靠、完整的密碼保障體系,是體系化密碼應(yīng)用引導(dǎo)性要求;

        第四級(jí),是在第三級(jí)的等級(jí)要求上,要求更強(qiáng)的身份鑒別、數(shù)據(jù)安全、訪問(wèn)控制等方面密碼應(yīng)用技術(shù)能力與管理能力,信息系統(tǒng)建設(shè)有規(guī)范、可靠、完整、主動(dòng)防御的密碼保障體系,是體系化密碼應(yīng)用的強(qiáng)制要求;

        d)基本要求框架:

        5、幾大標(biāo)準(zhǔn)關(guān)系圖解:


        三、網(wǎng)絡(luò)安全防護(hù)建設(shè)過(guò)程中的十問(wèn):

        1、去網(wǎng)安部門(mén)做了備案,拿到備案證明,是否等于通過(guò)等保?備案后多久需要完成等保測(cè)評(píng)?

        備案證明并不等同于通過(guò)等保,備案只是說(shuō)明你的某個(gè)業(yè)務(wù)系統(tǒng)準(zhǔn)備做對(duì)應(yīng)等級(jí)的網(wǎng)絡(luò)安全防護(hù),通過(guò)等級(jí)保護(hù)測(cè)評(píng)會(huì)由相關(guān)部門(mén)發(fā)放等保測(cè)評(píng)通過(guò)的通知或證書(shū)。一般通過(guò)三級(jí)以上等保測(cè)評(píng)的通知或證書(shū)上都會(huì)有證書(shū)的有效期,到有效期后需要重新對(duì)信息系統(tǒng)進(jìn)行等保測(cè)評(píng);但如果信息系統(tǒng)沒(méi)有新的業(yè)務(wù)或者網(wǎng)絡(luò)改造調(diào)整等對(duì)等保測(cè)評(píng)項(xiàng)可能有影響的變因,則一般不需要再次進(jìn)行網(wǎng)絡(luò)安全整改。

        一個(gè)二級(jí)或三級(jí)的系統(tǒng)現(xiàn)場(chǎng)測(cè)評(píng)周期一般一周左右,具體時(shí)間還要根據(jù)信息系統(tǒng)數(shù)量及信息系統(tǒng)的規(guī)模,以及雙方的配合度等有所增減。小規(guī)模安全整改(管理制度、策略配置、技術(shù)整改)2-3 周,出具報(bào)告時(shí)間一周,整體持續(xù)周期 1-2 個(gè)月。如果整改不及時(shí)或牽涉到購(gòu)買設(shè)備,時(shí)間不好說(shuō),但總的要求一般為一年內(nèi)要完成。

         

        2、通過(guò)等級(jí)保護(hù)測(cè)評(píng)以后,是不是不會(huì)再出安全事故?

        通過(guò)等級(jí)保護(hù)測(cè)評(píng)只能說(shuō)明在測(cè)評(píng)的時(shí)候,業(yè)務(wù)系統(tǒng)達(dá)到了對(duì)應(yīng)等級(jí)的防護(hù)強(qiáng)度,不等于業(yè)務(wù)系統(tǒng)的“保命符”。畢竟駭客攻擊的時(shí)候不會(huì)去看系統(tǒng)通沒(méi)通過(guò)等級(jí)保護(hù)測(cè)評(píng),駭客看的是攻破業(yè)務(wù)系統(tǒng)本身的難度與其自身的實(shí)力的差距,以及攻破業(yè)務(wù)系統(tǒng)對(duì)于其所帶來(lái)的經(jīng)濟(jì)或其他價(jià)值所產(chǎn)生的“性價(jià)比”。

        通過(guò)等級(jí)保護(hù)測(cè)評(píng)后,以下方面有可能導(dǎo)致出現(xiàn)安全事故:

        駭客能力超過(guò)了業(yè)務(wù)系統(tǒng)所對(duì)應(yīng)等級(jí)的防護(hù)強(qiáng)度

        網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)存在不足、網(wǎng)絡(luò)安全設(shè)備未有效使用或策略設(shè)置不當(dāng)、設(shè)備廠商出現(xiàn)漏洞被駭客利用、設(shè)備規(guī)則庫(kù)未及時(shí)更新或無(wú)法滿足業(yè)務(wù)系統(tǒng)所需性能等

        安全管理制度落實(shí)不到位、安全管理人員缺乏培訓(xùn)(安全能力、安全意識(shí)不足)、應(yīng)急演練不足(出現(xiàn)安全事件時(shí)不能及時(shí)有效應(yīng)對(duì))等

         

        3、拿到等保測(cè)評(píng)通過(guò)證書(shū)后,一但出現(xiàn)安全事故是否可以規(guī)避或減輕追責(zé)?

        拿到等級(jí)測(cè)評(píng)通過(guò)證書(shū)不等于拿到了“免死金牌”。按照標(biāo)準(zhǔn)完成了等級(jí)保護(hù)測(cè)評(píng),可以在一定程度地規(guī)避風(fēng)險(xiǎn),不等于拋棄網(wǎng)絡(luò)安全責(zé)任,也不是將安全責(zé)任交給等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)或其他第三方。出現(xiàn)安全事故后,安全責(zé)任的追責(zé)基本為以下幾種情況。

        等保工作沒(méi)有開(kāi)展,出了網(wǎng)絡(luò)安全事故,安全責(zé)任肯定是甲方自己去承擔(dān)。

        等保工作開(kāi)展了,高危風(fēng)險(xiǎn)沒(méi)有及時(shí)去整改,出了問(wèn)題,安全責(zé)任主要責(zé)任也是甲方的。

        等保工作開(kāi)展了,測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)不合規(guī),對(duì)已有高危風(fēng)險(xiǎn)未檢測(cè)出而導(dǎo)致的安全問(wèn)題,主要責(zé)任應(yīng)當(dāng)由測(cè)評(píng)機(jī)構(gòu)承擔(dān),甲方負(fù)有次要責(zé)任。

        等保工作開(kāi)展了,發(fā)現(xiàn)的高危風(fēng)險(xiǎn)及其他風(fēng)險(xiǎn)也及時(shí)整改了,出了網(wǎng)絡(luò)安全事故,主要責(zé)任不屬于甲方。

         

        4、我已經(jīng)上了安全設(shè)備,為什么還會(huì)出現(xiàn)出安全事故?

        采購(gòu)部署了安全設(shè)備,也不是就把安全漏洞都給完全修復(fù)了。網(wǎng)絡(luò)安全防護(hù)是修“防洪堤”的工程,我們需要保障其合理適度的基礎(chǔ)上,及時(shí)根據(jù)系統(tǒng)現(xiàn)狀做查漏補(bǔ)缺和技術(shù)升級(jí)。如果設(shè)備上了以后沒(méi)有做好以下的幾個(gè)方面,安全事故發(fā)生的幾率就會(huì)加大。

        網(wǎng)絡(luò)安全建設(shè)規(guī)劃不當(dāng):網(wǎng)絡(luò)架構(gòu)不合理;系統(tǒng)安全區(qū)域劃分不合理;安全設(shè)備部署位置不當(dāng);安全設(shè)備功能及策略規(guī)劃不合理等

        網(wǎng)絡(luò)安全運(yùn)維管理不足:網(wǎng)絡(luò)設(shè)備規(guī)則庫(kù)未及時(shí)更新;性能不能滿足業(yè)務(wù)系統(tǒng)需求未及時(shí)更換;信息系統(tǒng)設(shè)備及網(wǎng)絡(luò)安全設(shè)備管理權(quán)限不清晰、責(zé)任劃分不明確等

        安全管理執(zhí)行不到位:安全管理制度浮于形式;網(wǎng)絡(luò)安全人員培訓(xùn)不足,對(duì)新型威脅及行業(yè)發(fā)展動(dòng)態(tài)了解缺乏;應(yīng)急響應(yīng)方案設(shè)計(jì)不當(dāng);應(yīng)急演練進(jìn)行過(guò)少,出現(xiàn)網(wǎng)絡(luò)安全事件時(shí)反應(yīng)不當(dāng)、反應(yīng)不及時(shí)等。

         

        5、應(yīng)該如何選擇安全廠商的產(chǎn)品?

        網(wǎng)絡(luò)安全建設(shè)實(shí)踐過(guò)程中,我們應(yīng)從等保合規(guī)和業(yè)務(wù)系統(tǒng)實(shí)際安全風(fēng)險(xiǎn)兩個(gè)角度區(qū)選擇產(chǎn)品:

        當(dāng)信息系統(tǒng)相較無(wú)特殊安全風(fēng)險(xiǎn)時(shí),產(chǎn)品的選擇基本遵從等保合規(guī)的角度出發(fā),選擇有相關(guān)認(rèn)證證書(shū)的產(chǎn)品優(yōu)先。如“計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證”,“中國(guó)國(guó)家信息安全產(chǎn)品認(rèn)證證書(shū)”,“計(jì)算機(jī)軟件著作權(quán)登記證書(shū)”,“信息技術(shù)產(chǎn)品安全分級(jí)評(píng)估”,“涉密信息系統(tǒng)產(chǎn)品檢測(cè)證書(shū)”,“軍用信息安全產(chǎn)認(rèn)證證書(shū)”等;大部分主流安全廠商常規(guī)合規(guī)產(chǎn)品基本都能滿足,如啟明星辰、天融信、網(wǎng)御星云、奇安信(原360企業(yè)安全)、深信服等。

        當(dāng)信息系統(tǒng)有特殊安全風(fēng)險(xiǎn)時(shí),產(chǎn)品除了滿足等保合規(guī)的基礎(chǔ)上,也要考慮特殊安全風(fēng)險(xiǎn)的防護(hù),而這些特殊防護(hù)需求的安全防護(hù)設(shè)備是一些主流廠商沒(méi)有或者不具優(yōu)勢(shì)的。如業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)中有公民個(gè)人信息,而業(yè)務(wù)系統(tǒng)有外包開(kāi)發(fā)或?qū)ν馓峁┕駛€(gè)人數(shù)據(jù)印證等情況,則涉及到數(shù)據(jù)脫敏相關(guān)設(shè)備;信息系統(tǒng)覆蓋范圍大、信息端口多,存在非法設(shè)備內(nèi)聯(lián)網(wǎng)絡(luò)的風(fēng)險(xiǎn),則涉及到網(wǎng)絡(luò)準(zhǔn)入相關(guān)設(shè)備;如業(yè)務(wù)系統(tǒng)操作者操作責(zé)任關(guān)聯(lián)現(xiàn)實(shí)身份較強(qiáng),涉及到操作失誤后操作者身份的認(rèn)定,身份鑒別需求較高,則涉及到CA數(shù)字證書(shū)相關(guān)設(shè)備等。

         

        6、網(wǎng)絡(luò)完全建設(shè)時(shí),是采購(gòu)?fù)粡S商的產(chǎn)品比較好,還是采購(gòu)不同廠商的產(chǎn)品比較好?

        網(wǎng)絡(luò)安全建設(shè)時(shí),采購(gòu)?fù)粡S商同一品牌的產(chǎn)品好處在于后期安全運(yùn)維難度較小、后續(xù)安全服務(wù)保障更好,會(huì)一定程度的降低安全管理人員的能力需求和運(yùn)維壓力;缺點(diǎn)是該廠商出現(xiàn)安全漏洞時(shí)安全風(fēng)險(xiǎn)加大,廠商服務(wù)不到位時(shí)替換成本較高,依賴性強(qiáng)等。

        采購(gòu)不同廠商的產(chǎn)品好處在于差異化防護(hù),有效避免個(gè)別廠商出現(xiàn)安全漏洞時(shí)的安全風(fēng)險(xiǎn),對(duì)廠商服務(wù)的依賴性降低,可以比較不同廠商的產(chǎn)品和服務(wù),增加選擇空間;缺點(diǎn)是對(duì)安全管理人員的能力及精力需求較高,出現(xiàn)安全事故時(shí)可能無(wú)法判定出現(xiàn)安全風(fēng)險(xiǎn)的設(shè)備,互相推諉攻擊等。

        故而采購(gòu)設(shè)備時(shí)應(yīng)綜合考慮①單位信息安全管理人員編制數(shù)量;②單位信息安全管理人員能力及培養(yǎng)規(guī)劃;③意向廠商產(chǎn)品業(yè)內(nèi)認(rèn)可度;④意向廠商本地化服務(wù)能力或經(jīng)銷商本地化服務(wù)能力等因素,綜合判斷后來(lái)選擇采購(gòu)方式。

         

        7、在預(yù)算有限的情況下,該如何合理的進(jìn)行網(wǎng)絡(luò)安全防護(hù)建設(shè)?

        在預(yù)算有限的情況下,我們需要先對(duì)單位的信息系統(tǒng)現(xiàn)狀、未來(lái)3~5年單位的信息系統(tǒng)建設(shè)規(guī)劃、單位業(yè)務(wù)系統(tǒng)安全風(fēng)險(xiǎn)點(diǎn)進(jìn)行綜合調(diào)研后,做好安全建設(shè)規(guī)劃。先對(duì)網(wǎng)絡(luò)架構(gòu)進(jìn)行優(yōu)化,明確不同安全區(qū)域間的安全風(fēng)險(xiǎn)及安全防護(hù)策略需求,區(qū)分重點(diǎn)安全防護(hù)風(fēng)險(xiǎn)以匹配對(duì)應(yīng)產(chǎn)品,非高風(fēng)險(xiǎn)防護(hù)產(chǎn)品列入后續(xù)安全建設(shè)規(guī)劃(避免重復(fù)建設(shè)),購(gòu)買性能合適的產(chǎn)品(避免設(shè)備性能不足影響安全防護(hù)效果,性能過(guò)高造成資金浪費(fèi))。

         

        8、在對(duì)產(chǎn)品性能指標(biāo)不太了解的情況下,該選擇什么性能的產(chǎn)品?

        對(duì)各種產(chǎn)品性能指標(biāo)了解不足的情況下,選擇產(chǎn)品可以通過(guò)咨詢相關(guān)產(chǎn)品技術(shù)人員、業(yè)內(nèi)專家、實(shí)際產(chǎn)品測(cè)試等方式選擇。通用等保合規(guī)產(chǎn)品的主要選型要素如下:

        下一代防火墻:主要為吞吐量、應(yīng)用層吞吐量、并發(fā)連接數(shù)、每秒新建連接數(shù),主要考慮設(shè)備部署位置實(shí)際業(yè)務(wù)數(shù)據(jù)帶寬。需注意的是吞吐量參數(shù)不等同于實(shí)際可管理帶寬能力,不同廠商的相同吞吐量設(shè)備,因廠商設(shè)備硬件配置差異、軟件優(yōu)化差異等存在一定差異;特別是當(dāng)下一代防火墻開(kāi)啟入侵防御、病毒查殺、VPN等功能后,其實(shí)際防護(hù)流量大幅下降的情況下。在無(wú)法有效判斷的情況下,可以考慮設(shè)備測(cè)試后再行采購(gòu)。

        上網(wǎng)行為管理:主要為可管理帶寬(推薦帶寬)、最大可管理人數(shù),主要考慮互聯(lián)網(wǎng)出口帶寬及互聯(lián)網(wǎng)訪問(wèn)人數(shù)。

        堡壘主機(jī)、日志審計(jì):主要為授權(quán)管理設(shè)備數(shù),主要考慮需管理的網(wǎng)絡(luò)設(shè)備及系統(tǒng)數(shù)量。

         

        9、供應(yīng)商提供一份產(chǎn)品采購(gòu)清單后,承諾一定可以通過(guò)等保測(cè)評(píng),是否可信?

        基本不可信。等級(jí)保護(hù)測(cè)評(píng)是有其測(cè)評(píng)標(biāo)準(zhǔn)、測(cè)評(píng)項(xiàng)權(quán)重及算分標(biāo)準(zhǔn)的,在對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行全面的測(cè)試、判定高風(fēng)險(xiǎn)項(xiàng)并改善、通過(guò)算分得出判定結(jié)論前,是無(wú)法判定業(yè)務(wù)系統(tǒng)通過(guò)的。不過(guò)由于等級(jí)保護(hù)是按照標(biāo)準(zhǔn)要求來(lái)進(jìn)行測(cè)評(píng)的,故而有經(jīng)驗(yàn)的專業(yè)網(wǎng)絡(luò)安全建設(shè)商或測(cè)評(píng)人員可以依照以往客戶建設(shè)/測(cè)評(píng)經(jīng)驗(yàn)以及對(duì)產(chǎn)品及信息系統(tǒng)的了解,初步判斷系統(tǒng)中的高風(fēng)險(xiǎn)項(xiàng)、風(fēng)險(xiǎn)點(diǎn)推薦匹配產(chǎn)品,以期達(dá)成或超過(guò)預(yù)期的分?jǐn)?shù)。從而在等級(jí)保護(hù)測(cè)評(píng)時(shí),就算有部分風(fēng)險(xiǎn)點(diǎn)未得以改善的情況下,也可以達(dá)成或超過(guò)通過(guò)等級(jí)保護(hù)測(cè)評(píng)的分?jǐn)?shù)。

        這也是先測(cè)評(píng)再整改還是先整改再測(cè)評(píng)的關(guān)鍵點(diǎn)所在。

        先測(cè)評(píng)再整改:可以根據(jù)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)現(xiàn)場(chǎng)初測(cè)后的專業(yè)建議進(jìn)行整改,有的放矢。但如單位本身風(fēng)險(xiǎn)較大、較多的情況,涉及到設(shè)備采購(gòu),需要方案立項(xiàng)、申請(qǐng)預(yù)算、招投標(biāo)、合同供貨等流程后,等保測(cè)評(píng)機(jī)構(gòu)再次測(cè)試通過(guò)才可以取得測(cè)評(píng)通過(guò)證書(shū)。適合于對(duì)通過(guò)測(cè)評(píng)時(shí)間不迫切,本身網(wǎng)絡(luò)安全建設(shè)了解不足、無(wú)專業(yè)人員協(xié)助網(wǎng)絡(luò)安全建設(shè)規(guī)劃的單位。

        先整改再測(cè)評(píng)(測(cè)評(píng)、整改同時(shí)進(jìn)行):通過(guò)專業(yè)人員/專家的指導(dǎo)協(xié)助,提前對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn)進(jìn)行加固,爭(zhēng)取等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)現(xiàn)場(chǎng)測(cè)評(píng)時(shí)一次通過(guò)。但需要單位本身對(duì)網(wǎng)絡(luò)安全建設(shè)標(biāo)準(zhǔn)由一定的了解,指導(dǎo)協(xié)助的專業(yè)人員不光對(duì)政策標(biāo)準(zhǔn)有足夠的研究,且對(duì)網(wǎng)絡(luò)安全建設(shè)有足夠的項(xiàng)目經(jīng)驗(yàn)。適合于通過(guò)測(cè)評(píng)時(shí)間有要求,自身對(duì)網(wǎng)絡(luò)安全建設(shè)標(biāo)準(zhǔn)有一定的研究或有適合的專業(yè)人員協(xié)助的單位。

         

        10、為什么不同供應(yīng)商提供的方案清單會(huì)有不同,有的所采購(gòu)的產(chǎn)品不同,有的同一產(chǎn)品采購(gòu)的數(shù)量不同?

        由于等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)時(shí)根據(jù)標(biāo)準(zhǔn)要求測(cè)評(píng)項(xiàng)進(jìn)行測(cè)評(píng),測(cè)評(píng)的只是有沒(méi)有實(shí)現(xiàn)相關(guān)的安全防護(hù)要求,而非部署什么產(chǎn)品,其提供的整改建議也以差距分析、需整改項(xiàng)為主。故而即使有等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的整改建議,不同供應(yīng)商提供網(wǎng)絡(luò)安全建設(shè)清單的時(shí)候,根據(jù)其對(duì)政策標(biāo)準(zhǔn)、信息系統(tǒng)了解的不同,以及其對(duì)產(chǎn)品、安全區(qū)域間安全防護(hù)能力理解的差異。以下一代防火墻的部署為例:

        同樣要達(dá)成“網(wǎng)絡(luò)區(qū)域邊界”要求中的“邊界防護(hù)”“訪問(wèn)控制”“入侵防范”,是采用“下一代防火墻+開(kāi)啟入侵防御模塊”(設(shè)備+模塊)僅采購(gòu)一臺(tái)設(shè)備的方式,還是采用“下一代防火墻+入侵防御系統(tǒng)”(設(shè)備+設(shè)備)采購(gòu)兩臺(tái)設(shè)備的方式,就需要結(jié)合業(yè)務(wù)系統(tǒng)的實(shí)際情況以及相關(guān)廠商設(shè)備的功能性能實(shí)現(xiàn)來(lái)決定。在這需要說(shuō)明一點(diǎn),廠商的網(wǎng)絡(luò)安全設(shè)備都是由硬件+軟件組成,其實(shí)際性能取決于所配置硬件的基礎(chǔ)算力和軟件算法優(yōu)化的程度決定的。采用“設(shè)備+模塊”必然對(duì)設(shè)備的性能有所影響。而采用“設(shè)備+設(shè)備”由于兩臺(tái)設(shè)備的硬件都是為自身軟件服務(wù),性能上有保障。另外由于采用“開(kāi)啟入侵防御模塊”的方式,其軟件模塊在安全防護(hù)功能的實(shí)現(xiàn)深度上必然不如單獨(dú)的“入侵防御系統(tǒng)設(shè)備”。不過(guò)采用“設(shè)備+模塊”的方式由于出口網(wǎng)絡(luò)僅串聯(lián)一臺(tái)設(shè)備,故而其出現(xiàn)單點(diǎn)故障的幾率和產(chǎn)品性價(jià)比上要優(yōu)于采用“設(shè)備+設(shè)備”的方式。

        結(jié)論:采用“設(shè)備+模塊”的方式,在產(chǎn)品性能及安全功能實(shí)現(xiàn)細(xì)節(jié)上要遜于“設(shè)備+設(shè)備”的方式,但在設(shè)備故障幾率和價(jià)格上要優(yōu)于“設(shè)備+設(shè)備”的方式。“設(shè)備+模塊”的方式適用于網(wǎng)絡(luò)安全防護(hù)流量較小、安全預(yù)算較少、對(duì)安全防護(hù)能力要求較低的單位;而“設(shè)備+設(shè)備”的方式適用于網(wǎng)絡(luò)安全防護(hù)流量較大、安全預(yù)算充足、對(duì)安全防護(hù)能力要求較高的單位。

        互聯(lián)網(wǎng)出口、上/下級(jí)網(wǎng)絡(luò)聯(lián)網(wǎng)出口、服務(wù)器前端都部署下一代防火墻是不是為了多上設(shè)備坑預(yù)算,等保標(biāo)準(zhǔn)又沒(méi)有明確要部署。實(shí)際上不同位置的實(shí)現(xiàn)的功能效果及部署策略都是不同的,互聯(lián)網(wǎng)出口的防火墻主要過(guò)濾和防御來(lái)自互聯(lián)網(wǎng)的未知來(lái)源威脅,訪問(wèn)的業(yè)務(wù)相對(duì)較復(fù)雜,需要設(shè)置的防護(hù)策略相對(duì)較復(fù)雜、較難屏蔽安全風(fēng)險(xiǎn)因素;而上下級(jí)網(wǎng)絡(luò)由于相對(duì)較安全,其訪問(wèn)來(lái)源可控,訪問(wèn)業(yè)務(wù)較明確,需要設(shè)置的防護(hù)策略相對(duì)較簡(jiǎn)單明了、比較容易屏蔽來(lái)自上下級(jí)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)因素;而服務(wù)器前端部署防火墻,由于服務(wù)器業(yè)務(wù)訪問(wèn)的地址、端口、協(xié)議等相對(duì)比較清晰簡(jiǎn)明,在做安全防護(hù)策略時(shí)可以有針對(duì)性的屏蔽非業(yè)務(wù)訪問(wèn),有效堵截攻擊者的攻擊手段。



        内射白浆一区二区在线观看| 日韩不卡在线视频| 国产97在线 | 亚洲| 国产亚洲欧美日韩在线我不卡| 欧美高清特级在线观看| 亚洲AV片不卡无码久久欣赏网| 精品一区二区三区| 久久人人爽人人爽人人片AV麻烦| 久久精品亚洲热综合一本奇米| 花火视频影视大全免费观看|