其实等保测评是用于评估网络系统或应用是否满足相应的安全保护等级要求,是网络安全等级保护工作的重要环节之一。
开展等保测评能够帮助网络运营者识别系统存在的安全隐患,及时对系统进行整改加固。
今天就来聊聊等保测评的重要性、流程、测评内容及测评对象,三分钟带你了解等保测评全流程。
《 网络安全等保相关文件参考》
01 等保测评是什么?
在讨论“等保测评是什么”之前,首先需要了解什么是“等保”。
“等保”即网络安全等级保护,是指对网络信息和信息载体按照重要程度划分等级,并基于分级,针对性地开展安全保护工作。
网络安全等级保护制度是我国网络安全领域现行的基本制度。
等保的实施流程分为5个环节:系统定级、备案、建设整改、等级测评和监督检查;而等保测评(也称等级测评)正是其中的一个重要环节。
等保测评是指由具有资质的测评机构,依据国家网络安全等级保护规范规定,按照有关管理规范和技术标准,对等保对象(如信息系统、数据资源、云计算、物联网、工业控制系统等)的安全等级保护状况进行检测评估的活动。
简单来说,等保测评用于验证网络系统或应用是否满足相应的安全保护等级要求,是落实等保制度的关键活动之一。
02 为什么要做等保测评?
01 识别网络潜在风险,提升自身防护能力
日益专业化、智能化、隐蔽化的网络攻击为网络安全带来了更严峻的挑战,网络运营者可以通过等保测评了解系统的安全防护现状,识别系统内、外部存在的安全隐患。
并在此基础上通过加固整改提高系统的网络安全防护能力,降低被攻击的风险。
02 满足国家相关法律法规的要求
法律层面上,国家《网络安全法》的第21条和第31条明确规定了网络运营者和关键信息基础设施运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。
不依法开展等保工作为违法行为,将由有关主管部门责令整改并处以罚款、警告等惩罚措施。
03 提升行业竞争力
是否开展等保工作是衡量企业信息安全水平的一个重要标准。
对于企业来说,进行等保测评不仅能够有效地提高信息系统安全建设的整体水平,还能够在向外部客户提供业务服务时给出信息系统安全性承诺,增强客户、合作伙伴及利益相关方的信心。
03 等保测评等级怎么划分?
等保工作的核心在于“分级”,对于重要程度不同的网络系统,安全防护能力要求也有所不同。
在进行等保测评之前,网络运营者需要先完成待测评对象的定级,以明确测评的维度和标准
01 定级标准
当前我国实行的网络安全等级保护制度,将等级保护对象按照受破坏时所侵害的客体和对客体造成侵害的程度,从低到高划分了五个安全保护等级:
1.第一级:等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
2.第二级:等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
3.第三级:等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
4.第四级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
5.第五级:等级保护对象受到破坏后,会对国家安全造成特别严重损害。
在实际应用中,定级主要参考行业要求和业务的发展体量,例如普通的门户网站,定为二级已经足够。
而存储较多敏感信息(如公民个人信息)的系统则需要定为三级或三级以上。大部分信息系统的安全保护等级处于二级或三级。
02 常见定级对象
03 定级流程
等保对象定级的一般工作流程包括:确定定级对象、初步确定定级、专家评审、主管部门核准和公安机关备案审核。
对于安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据标准自行确定最终安全保护等级,无需进行专家评审、主管部门核准及备案审核。
而对于安全保护等级初步确定为第二级及以上的等级保护对象,网络运营者需组织网络安全专家和业务专家对定级结果的合理性进行评审。
将定级结果报请行业主管(监管)部门核准,并按照相关管理规定,将定级结果提交公安机关进行备案审核。
04 等保测评具体流程是怎样的?
等保测评流程包括四个基本测评活动:测评准备活动、方案编制活动、现场测评活动和报告编制活动
05 谁要做等保?
国家信息安全等级保护坚持自主定级、自主保护的原则。公安部在等保2.0宣贯会上提出了等级保护的工作范围:
一是覆盖各地区、 各单位、 各部门、 各企业、 各机构, 即是覆盖全社会。
二是覆盖所有保护对象, 包括网络、 信息系统、 信息, 以及云平台、 物联网、 工控系统、 大数据、 移动互联等各类新技术应用。
也就是说,只要你的企业涉及到网络、信息系统等相关的事宜,都需要进行安全等保。
尤其是涉及到众多用户信息安全相关的企业,更是是公安网安部门检查的重点。
等保测评是检测评估等保对象的安全保护能力是否符合相应等级基本要求的过程,是落实网络安全等级保护制度的重要环节。
网络的运营、使用单位依法开展等保工作,落实等保测评流程,以明确网络系统的安全保护现状和存在的安全问题,并在此基础上对系统进行整改加固,构建网络安全管理体系。
题外话
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
侵权,请联系删除。