“等保”即等级保护,“等保测评”即网络安全等级保护测评,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
等保工作流程分为5个环节:定级、备案、安全整改、等级测评、监督检查。其中定级和等级测评是等保中的重要环节。
要做等保,首先需要明确以下几个点:
为什么做等保
01
法律要求
从法律要求层面来说,网络安全等级保护是国家信息安全保障基本制度、基本策略、基本方法。《中华人民共和国网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度的要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
也就是说,如果不开展等保工作就等同于违法。
02
行业需求
从行业需求层面来说,等保已成为许多行业的必需品。很多行业主管单位明确要求从业机构的信息系统要开展等保工作,比如金融、电力、广电、医疗、教育等行业。
03
安全需要
从安全要求层面来说,使用单位通过开展等保工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。
等保等级划分
01
定级标准
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据篡改、泄漏、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:
第一级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益;
第二级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或对社会秩序和公共利益造成危害,但不危害国家安全;
第三级:等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;
第四级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;
第五级:等级保护对象受到破坏后,会对国家安全造成特别严重危害。
等级保护对象的定级要素包括受侵害的客体和对客体的侵害程度。等级保护对象受到破坏时所侵害的客体包括公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全三个方面。
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵害程度加以描述。
02
二级和三级的区别
大部分信息系统的安全保护等级处于二级或三级。这里稍微展开一下二级和三级的区别:
1.等保对象的区别
二级等保对象
V****S
三级等保对象
1.不涉及敏感信息及重要信息的信息系统。
2.单纯的展示网站,不涉及用户信息、交付交易、私密信息等。
3.非核心业务系统,不存储个人隐私信息。
4.内部管理系统,协同办公平台。
1.涉及到敏感、重要信息的办公系统和管理系统。
2.涉及客户信息、支付、保密信息的系统。
3.影响力比较大的政企官方网站。
4.用户数据达到一定数量级的网络平台。
2.测评力度的区别
|
等保2.0 | |||
|
要求 |
基本要求类 |
二级 |
三级 |
|
技术 要求 |
安全物理环境 |
15 |
22 |
|
安全通讯网络 |
4 |
8 | |
|
安全区域边界 |
11 |
20 | |
|
安全计算环境 |
23 |
24 | |
|
安全管理中心 |
4 |
12 | |
|
管理 要求 |
安全管理制度 |
6 |
7 |
|
安全管理机构 |
9 |
14 | |
|
安全管理人员 |
7 |
12 | |
|
安全建设管理 |
25 |
34 | |
|
系统运维管理 |
31 |
48 | |
|
测评控制项 |
/ |
135 |
211 |
3.测评周期的区别
根据《信息安全等级保护管理办法》中的规定,第三级信息系统要求每年至少开展一次测评;而第二级不强制要求每年测评,但建议定期找测评机构测评。
03
定级流程
等保对象定级工作的一般流程包括:确定定级对象、初步确定等级、专家评审、主管部门核准和公安机关备案审核。
等级测评基本流程
等级测评过程包括四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。而测评相关方之间的沟通与洽谈应贯穿整个等级测评过程。
谁要做等保
国家信息安全等级保护坚持自主定级、自主保护的原则。公安部在等保2.0宣贯会上提出了等级保护的工作范围:
一是覆盖各地区、 各单位、 各部门、 各企业、 各机构, 即覆盖全社会。
二是基本覆盖所有保护对象,主要包括基础信息网络、云计算平台/ 系统、 大数据应用/平台/资源/物联网、工业控制系统和采用移动互联网技术的系统等。
也就是说,只要你的企业涉及到网络、信息系统等相关的事宜,都需要进行安全等保。
尤其是涉及到关键信息基础设施保护的信息系统,更是公安部门检查的重点。
|
01 |
政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位; |
|
02 |
电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位; |
|
03 |
国防科工、大型装备、化工、食品药品等行业领域科研生产单位; |
|
04 |
广播电台、电视台、通讯社等新闻单位; |
|
05 |
其他重点单位。 |
来源:等级保护网,天下信安综合整理
题外话
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
侵权,请联系删除。