信息安全等級保護,是對信息和信息載體按照重要性等級分級別進行保護的一種工作,在中國、美國等很多國家都存在的一種信息安全領域的工作。
在中國,信息安全等級保護廣義上為涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作;狹義上一般指信息系統安全等級保護。
信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。
信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。信息安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能力,一方面通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現;另一方面分佈在信息系統中的安全技術和安全管理上不同的安全控制,通過連接、交互、依賴、協調、協同等相互關聯關係,共同作用於信息系統的安全功能,使信息系統的整體安全功能與信息系統的結構以及安全控制間、層面間和區域間的相互關聯關係密切相關。因此,信息系統安全等級測評在安全控制測評的基礎上,還要包括系統整體測評。
以下是信息安全等級保護工作十大誤區:
1、雲系統到哪裡進行系統定級備案?
背景:雲系統由於部署在各類雲平臺上面,而云平臺的實際物理地址往往和雲系統網絡運營者不在同一地址,大型雲平臺還有許多物理節點,很難確定雲平臺的具體物理地址,那麼這種情況下雲系統到底到雲平臺所在註冊地址進行系統備案,還是到自己所在註冊地址進行備案,如果自己的運維團隊和註冊經營地址不一致怎麼辦?到底去哪裡備案?不少人以為是到註冊經營地進行備案。
答:雲系統應當在系統實際運維團隊所在地市網安部門進行系統備案,因為這樣方便屬地公安對系統進行監管。
擴展:在雲計算環境中,應將雲服務方側的雲計算平臺單獨作為定級對象定級,雲租戶側的等級保護對象也應作為單獨的定級對象定級。
2、我的系統已經上雲或者系統託管到其他地方,系統就不歸我管了,就不用做等保了?
背景:系統上雲的情況越來越多,不論是公有云(阿里雲、騰訊雲、亞馬遜雲等)還是各類私有云(政務雲、內部雲平臺等)或者就是直接託管到IDC機房,一些客戶認為系統已經不在自己機房了,所以系統的相應安全運維就不歸自己管了,自然等保工作就不需要做了。
答:根據“誰運營誰負責,誰使用誰負責,誰主管誰負責”的原則,該系統責任主體還是屬於網絡運營者自己,所以還是得承擔相應的網絡安全責任,該進行系統定級的還是得定級,該做等保的還是得做等保。
擴展:系統上雲或託管後,並不是安全責任主體轉移,只是系統所在機房地址的變更,當然在公有云模式下,Iaas、Paas、Saas不同模式相應的安全責任會有些區別,但是並不是沒有責任。
3、系統定級越低越好?
背景:一些客戶擔心繫統定級定高了後期給自己工作增加麻煩,一方面等級高了,技術要求高了,需要做的工作多了;另一方面三級系統需要每年都做測評,也覺得麻煩。所以想著系統定個二級就可以了,自己省事。
答:首先系統到底定幾級是根據受侵害的客體以及對客體侵害的程度來確定的,是以事實為根據,而不是拍腦袋決定的。系統等級定低了,乍一看可能工作上是容易做了,但是反而是我們沒有落實好網絡安全保護義務的直接表現,系統等級低了相應的安全防護要求也低了,那麼萬一你的系統不小心被攻擊破壞造成一定不良影響,在主管部門進行責任認定追查時,很有可能就會因為系統定級不合理,安全責任沒有履行到位而被處罰。得不償失,還是安安穩穩把自己該做的工作做好。
擴展:系統定級按照等保1.0的要求是自主定級,有主管部門的需要主管部門審核,最終報送公安機關進行審核。所以定級並不是想定幾級就定幾級的。2019年發佈的等保2.0裡定級流程新增了“專家評審”和“主管部門審核”兩個環節,定級過程變得更加規範,定級也更加準確。
4、系統定完級就有人來管了
背景:一些客戶會覺得系統定了級以後相關主管單位就會不時地來安全檢查了,給自己的工作增加了麻煩,被人管的感覺很不好。
答:所有非涉密系統都屬於等級保護範疇,沒有定級不代表不需要被監管,相反如果沒有被納入監管,反而會比較危險,哪天出了事就比較難收拾殘局。定級後或者被監管,主管單位會在重點時刻對我們的重要信息系統進行一定掃描及保護,會及時告知發現的一些問題,避免發生網絡安全攻擊事件;同時一些重要的政策要求或者行業會議,也會通知你們過來參會,方便大家及時瞭解最新的網絡安全形勢,有利於大家開展好網絡安全工作。
擴展:做了等保後,主管單位並不一定會對你們單位做相關安全檢查,單位很多,重要的系統很多,主管單位也有自己的一些統一安排,到底會不會對你們檢查取決於很多因素,但是一般單位可以不需要有這些顧慮。來檢查是好事,可以及時發現問題,督促指導大家開展好網絡安全工作。
5、等級保護工作就是做個測評就可以?
背景:一些人以為等級保護工作主要就是對系統進行定級備案,然後做個測評就可以了。
答:等級保護工作不僅是一個測評而是包含:定級、備案、測評、建設整改和監督審查五項內容,測評只是其中一項。
擴展:測評只是開始,更重要的是我們通過測評尋找出差距,分析出目前我們的系統存在的風險,及時查漏補缺,進行安全建設整改,提高信息系統的安全防護能力,降低系統受到攻擊破壞的概率。
6、等保測評做過一次就可以了,以後隨便做不做?
背景:一些客戶以為等保測評只要做過一次就行了,以後就不用做了。把等保工作當成一個形式當成應付工程去做。
答:等保工作是一個持續的工作,等保測評也是一個週期性的工作,三級系統要求每年做一次,四級系統每半年做一次,二級系統部分行業明確要求每兩年做一次,沒有明確要求的行業建議大家兩年做一次測評。
擴展:做等保測評不應當抱著應付的心態去做,如果大家的系統真能按照等級保護的要求去做好,那麼你的系統安全防護水平還是很高的。做了等保,一方面是合規,更多的是切切實實協助我們做好單位的網絡安全工作。
7、不做等保沒關係,只要不出事就行?
背景:一些用戶以為做不做等保不要緊,關揵的是不要出網絡安全事件,只要不出事都沒問題。
答:《中華人民共和國網絡安全法》第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改:(五)法律、行政法規規定的其他義務。不做等保就屬於第五個行為,國內目前已經有公開報道的因沒有落實等級保護制度而被處罰的真實案例。所以等保及時去做,不要等。
擴展:網絡安全技術發展日新月異,什麼叫安全?買什麼產品做什麼服務就能安全?絕對的安全是不可能的,我們不能百分百保證我們的系統是安全的,但是我們得把我們能做的工作及時做到位,該做的工作做到了,自然也就相對安全了。
8、系統在內網,就不需要做等保了?
背景:不少用戶的系統都在單位內網或者專網中,覺得系統不對外相對安全,所以就可以不做等保了。
答:首先所有非涉密系統都屬於等級保護範疇,和系統在外網還是內網沒有關係;其次在內網的系統往往其網絡安全技術措施做的並不好,甚至不少系統已經中毒不淺。所以不論系統在內網還是外網都得及時開展等保工作。
擴展:內網不代表安全,而且現在純粹的物理內網很少了,大部分或多或少都與互聯網有些連接。內網一旦中毒,擴散很快,而且很難清除,因為很多技術措施都沒有,幾乎在裸奔狀態,一旦中毒很容易就垮了。
9、給我們單位整體做一個等保測評?
背景:一些用戶或者同行搞不清等保到底是個什麼情況,以為是按照整個單位去做,天真地認為一個單位做一個等保測評就可以。
答:等保測評是按照信息系統來的,以一個信息系統為測評整體,並不是按照一個單位去做的。
擴展:一個完整的信息系統包括承載其的物理機房、服務器、主機、應用、數據庫、網絡設備及安全設備等,測評除了這些具體的實體對象,還包括相對應的安全管理制度。
10、等保測評做完就得花很多錢去整改?
背景:一些客戶有疑慮:測評是沒有多少錢,但是測評後需要進行安全建設整改,需要花很多錢。
答:整改花多少錢取決於你的信息系統等級、系統現有的安全防護措施狀況以及網絡運營者對測評分數的期望值,不一定要花很多錢甚至不花錢。
擴展:整改的內容大體分為:安全制度完善、安全加固等安全服務以及安全設備的添置。在安全制度及安全加固上網絡運營者自己可以做很多整改工作或者委託系統集成方進行加固,往往這是不需要額外付費的或者是包含在你和系統集成方合同約定中的,這兩塊內容整改好,加上你有一定的安全技術措施,基本上是可以達到基本符合的結論的。所以花多少錢看你怎麼去做或者你的期望值是多少。
閱讀更多 天津市大數據協會 的文章
