A. 在三級系統中,以哪些檢查項屬於主機測評
網路安全防護是一種網路安全技術,指致力於解決諸如如何有效進行介入控制,以及何如保證數據傳輸的安全性的技術手段,主要包括物理安全分析技術,網路結構安全分析技術,系統安全分析技術,管理安全分析技術,及其它的安全服務和安全機制策略 。 處理好安全防護技術 物理措施防護:例如,保護網路關鍵設備,制定嚴格的網路安全規章制度,採取防輻射、防火以及安裝不間斷電源(UPS)等措施。訪問控制:對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如,進行用戶身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的許可權,控制網路設備配置的許可權,等等。數據加密防護:加密是防護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。網路隔離防護:網路隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網路安全隔離網扎實現的。其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。提高安全防範意識 擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。定期主機安全檢查 要保證網路安全,進行網路安全建設,第一步首先要全面了解系統,評估系統安全性,認識到自己的風險所在,從而迅速、准確得解決內網安全問題。由安天實驗室自主研發的國內首款創新型自動主機安全檢查工具,徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性,一鍵操作即可對內網計算機進行全面的安全保密檢查及精準的安全等級判定,並對評測系統進行強有力的分析處置和修復。 基本安全方案編輯本段人們有時候會忘記安全的根本,只是去追求某些耀人眼目的新技術,結果卻發現最終一無所得。而在目前的經濟環境下,有限的安全預算也容不得你置企業風險最高的區域於不顧而去追求什麼新技術。當然,這些高風險區域並非對所有人都相同,而且會時常發生變化。不良分子總是會充分利用這些高風險區域實施攻擊,而我們今天所看到的一些很流行的攻擊也早已不是我們幾年前所看到的攻擊類型了。寫作本文的目的,就是要看一看有哪些安全解決方案可以覆蓋到目前最廣的區域,可以防禦各種新型威脅的。從很多方面來看,這些解決方案都是些不假思索就能想到的辦法,但是你卻會驚訝地發現,有如此多的企業(無論是大企業還是小企業)卻並沒有將它們安放在應該放置的地方。很多時候它們只是一種擺設而已。下面給出的5大基本安全方案,如果結合得當,將能夠有效地制止針對企業的數據、網路和用戶的攻擊,會比當今市場上任何5種安全技術的結合都要好。盡管市場上還有其他很多非常有用的安全解決方案,但如果要選出5個最有效和現成可用的方案,那麼我的選擇還是這5項:防火牆 ――這塊十多年來網路防禦的基石,如今對於穩固的基礎安全來說,仍然十分需要。如果沒有防火牆屏蔽有害的流量,那麼企業保護自己網路資產的工作就會成倍增加。防火牆必須部署在企業的外部邊界上,但是它也可以安置在企業網路的內部,保護各網路段的數據安全。在企業內部部署防火牆還是一種相對新鮮但卻很好的實踐。之所以會出現這種實踐,主要是因為可以區分可信任流量和有害流量的任何有形的、可靠的網路邊界正在消失的緣故。舊有的所謂清晰的互聯網邊界的概念在現代網路中已不復存在。最新的變化是,防火牆正變得越來越智能,顆粒度也更細,能夠在數據流中進行定義。如今,防火牆基於應用類型甚至應用的某個功能來控制數據流已很平常。舉例來說,防火牆可以根據來電號碼屏蔽一個SIP語音呼叫。安全路由器 (FW、IPS、QoS、VPN)――路由器在大多數網路中幾乎到處都有。按照慣例,它們只是被用來作為監控流量的交通警察而已。但是現代的路由器能夠做的事情比這多多了。路由器具備了完備的安全功能,有時候甚至要比防火牆的功能還全。今天的大多數路由器都具備了健壯的防火牆功能,還有一些有用的IDS/IPS功能,健壯的QoS和流量管理工具,當然還有很強大的VPN數據加密功能。這樣的功能列表還可以列出很多。現代的路由器完全有能力為你的網路增加安全性。而利用現代的VPN技術,它可以相當簡單地為企業WAN上的所有數據流進行加密,卻不必為此增加人手。有些人還可充分利用到它的一些非典型用途,比如防火牆功能和IPS功能。打開路由器,你就能看到安全狀況改善了很多。無線WPA2 ――是這5大方案中最省事的一種。如果你還沒有採用WPA2無線安全,那就請把你現在的安全方案停掉,做個計劃准備上WPA2吧。其他眾多的無線安全方法都不夠安全,數分鍾之內就能被破解。所以請從今天開始就改用帶AES加密的WPA2吧。郵件安全 ――我們都知道郵件是最易受攻擊的對象。病毒、惡意軟體和蠕蟲都喜歡利用郵件作為其傳播渠道。郵件還是我們最容易泄露敏感數據的渠道。除了安全威脅和數據丟失之外,我們在郵件中還會遭遇到沒完沒了的垃圾郵件!今天,大約90%的郵件都是垃圾郵件。而好的郵件安全解決方案就能夠擋住垃圾郵件,過濾惡意軟體。假如你的現有郵件系統接收了大量的垃圾郵件,那麼通過這些郵件你可能被惡意軟體感染的機會就越大。所以,郵件安全解決方案的思路就是,郵件安全網關中的反垃圾郵件功能應該是一個重點,也是一個郵件系統產品的核心競爭力。如果它不能有效地屏蔽掉垃圾郵件,那麼它也肯定不能捕捉到惡意軟體和數據泄密事件。Web安全 ――今天,來自80埠和443埠的威脅比任何其他威脅都要迅猛。有鑒於基於Web的攻擊越來越復雜化,所以企業就必須部署一個健壯的Web安全解決方案。多年來,我們一直在使用簡單的URL過濾,這種辦法的確是Web安全的一項核心內容。但是Web安全還遠不止URL過濾這么簡單,它還需要有注入AV掃描、惡意軟體掃描、IP信譽識別、動態URL分類技巧和數據泄密防範等功能。攻擊者們正在以驚人的速度侵襲著很多高知名度的網站,假如我們只依靠URL黑白名單來過濾的話,那我們可能就只剩下白名單的URL可供訪問了。任何Web安全解決方案都必須能夠動態地掃描Web流量,以便決定該流量是否合法。在此處所列舉的5大安全解決方案中,Web安全是處在安全技術發展最前沿的,也是需要花錢最多的。而其他解決方案則大多數已經相當成熟。Web安全應盡快去掉虛飾,回歸真實,方能抵擋住黑客們發起的攻擊。 安全防禦體系編輯本段根據目前的網路安全現狀,以及各領域企業的網路安全需求,能夠簡單、快捷地實現整個網路的安全防禦架構。企業信息系統的安全防禦體系可以分為三個層次:安全評估,安全加固,網路安全部署。安全評估 通過對企業網路的系統安全檢測,web腳本安全檢測,以檢測報告的形式,及時地告知用戶網站存在的安全問題。並針對具體項目,組建臨時項目腳本代碼安全審計小組,由資深網站程序員及網路安全工程師共通審核網站程序的安全性。找出存在安全隱患程序並准備相關補救程序。安全加固 以網路安全評估的檢測結果為依據,對網站應用程序存在的漏洞、頁面中存在的惡意代碼進行徹底清除,同時通過對網站相關的安全源代碼審計,找出源代碼問題所在,進行安全修復。安全加固作為一種積極主動地安全防護手段,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網路系統受到危害之前攔截和響應入侵,加強系統自身的安全性。網路安全部署 在企業信息系統中進行安全產品的部署,可以對網路系統起到更可靠的保護作用,提供更強的安全監測和防禦能力。 相關法規編輯本段通信網路安全防護管理辦法 (中華人民共和國工業和信息化部令第11號)《通信網路安全防護管理辦法》已經2009年12月29日中華人民共和國工業和信息化部第8次部務會議審議通過,現予公布,自2010年3月1日起施行。部長 李毅中二�一�年一月二十一日通信網路安全防護管理辦法第一條為了加強對通信網路安全的管理,提高通信網路安全防護能力,保障通信網路安全暢通,根據《中華人民共和國電信條例》,制定本辦法。第二條中華人民共和國境內的電信業務經營者和互聯網域名服務提供者(以下統稱「通信網路運行單位」)管理和運行的公用通信網和互聯網(以下統稱「通信網路」)的網路安全防護工作,適用本辦法。本辦法所稱互聯網域名服務,是指設置域名資料庫或者域名解析伺服器,為域名持有者提供域名注冊或者權威解析服務的行為。本辦法所稱網路安全防護工作,是指為防止通信網路阻塞、中斷、癱瘓或者被非法控制,以及為防止通信網路中傳輸、存儲、處理的數據信息丟失、泄露或者被篡改而開展的工作。第三條通信網路安全防護工作堅持積極防禦、綜合防範、分級保護的原則。第四條中華人民共和國工業和信息化部(以下簡稱工業和信息化部)負責全國通信網路安全防護工作的統一指導、協調和檢查,組織建立健全通信網路安全防護體系,制定通信行業相關標准。各省、自治區、直轄市通信管理局(以下簡稱通信管理局)依據本辦法的規定,對本行政區域內的通信網路安全防護工作進行指導、協調和檢查。工業和信息化部與通信管理局統稱「電信管理機構」。第五條通信網路運行單位應當按照電信管理機構的規定和通信行業標准開展通信網路安全防護工作,對本單位通信網路安全負責。第六條通信網路運行單位新建、改建、擴建通信網路工程項目,應當同步建設通信網路安全保障設施,並與主體工程同時進行驗收和投入運行。通信網路安全保障設施的新建、改建、擴建費用,應當納入本單位建設項目概算。第七條通信網路運行單位應當對本單位已正式投入運行的通信網路進行單元劃分,並按照各通信網路單元遭到破壞後可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度,由低到高分別劃分為一級、二級、三級、四級、五級。電信管理機構應當組織專家對通信網路單元的分級情況進行評審。通信網路運行單位應當根據實際情況適時調整通信網路單元的劃分和級別,並按照前款規定進行評審。第八條通信網路運行單位應當在通信網路定級評審通過後三十日內,將通信網路單元的劃分和定級情況按照以下規定向電信管理機構備案:(一)基礎電信業務經營者集團公司向工業和信息化部申請辦理其直接管理的通信網路單元的備案;基礎電信業務經營者各省(自治區、直轄市)子公司、分公司向當地通信管理局申請辦理其負責管理的通信網路單元的備案;(二)增值電信業務經營者向作出電信業務經營許可決定的電信管理機構備案;(三)互聯網域名服務提供者向工業和信息化部備案。第九條通信網路運行單位辦理通信網路單元備案,應當提交以下信息:(一)通信網路單元的名稱、級別和主要功能;(二)通信網路單元責任單位的名稱和聯系方式;(三)通信網路單元主要負責人的姓名和聯系方式;(四)通信網路單元的拓撲架構、網路邊界、主要軟硬體及型號和關鍵設施位置;(五)電信管理機構要求提交的涉及通信網路安全的其他信息。前款規定的備案信息發生變化的,通信網路運行單位應當自信息變化之日起三十日內向電信管理機構變更備案。通信網路運行單位報備的信息應當真實、完整。第十條電信管理機構應當對備案信息的真實性、完整性進行核查,發現備案信息不真實、不完整的,通知備案單位予以補正。第十一條通信網路運行單位應當落實與通信網路單元級別相適應的安全防護措施,並按照以下規定進行符合性評測:(一)三級及三級以上通信網路單元應當每年進行一次符合性評測;(二)二級通信網路單元應當每兩年進行一次符合性評測。通信網路單元的劃分和級別調整的,應當自調整完成之日起九十日內重新進行符合性評測。通信網路運行單位應當在評測結束後三十日內,將通信網路單元的符合性評測結果、整改情況或者整改計劃報送通信網路單元的備案機構。第十二條通信網路運行單位應當按照以下規定組織對通信網路單元進行安全風險評估,及時消除重大網路安全隱患:(一)三級及三級以上通信網路單元應當每年進行一次安全風險評估;(二)二級通信網路單元應當每兩年進行一次安全風險評估。國家重大活動舉辦前,通信網路單元應當按照電信管理機構的要求進行安全風險評估。通信網路運行單位應當在安全風險評估結束後三十日內,將安全風險評估結果、隱患處理情況或者處理計劃報送通信網路單元的備案機構。第十三條通信網路運行單位應當對通信網路單元的重要線路、設備、系統和數據等進行備份。第十四條通信網路運行單位應當組織演練,檢驗通信網路安全防護措施的有效性。通信網路運行單位應當參加電信管理機構組織開展的演練。第十五條通信網路運行單位應當建設和運行通信網路安全監測系統,對本單位通信網路的安全狀況進行監測。第十六條通信網路運行單位可以委託專業機構開展通信網路安全評測、評估、監測等工作。工業和信息化部應當根據通信網路安全防護工作的需要,加強對前款規定的受託機構的安全評測、評估、監測能力指導。第十七條電信管理機構應當對通信網路運行單位開展通信網路安全防護工作的情況進行檢查。電信管理機構可以採取以下檢查措施:(一)查閱通信網路運行單位的符合性評測報告和風險評估報告;(二)查閱通信網路運行單位有關網路安全防護的文檔和工作記錄;(三)向通信網路運行單位工作人員詢問了解有關情況;(四)查驗通信網路運行單位的有關設施;(五)對通信網路進行技術性分析和測試;(六)法律、行政法規規定的其他檢查措施。第十八條電信管理機構可以委託專業機構開展通信網路安全檢查活動。第十九條通信網路運行單位應當配合電信管理機構及其委託的專業機構開展檢查活動,對於檢查中發現的重大網路安全隱患,應當及時整改。第二十條電信管理機構對通信網路安全防護工作進行檢查,不得影響通信網路的正常運行,不得收取任何費用,不得要求接受檢查的單位購買指定品牌或者指定單位的安全軟體、設備或者其他產品。第二十一條電信管理機構及其委託的專業機構的工作人員對於檢查工作中獲悉的國家秘密、商業秘密和個人隱私,有保密的義務。第二十二條違反本辦法第六條第一款、第七條第一款和第三款、第八條、第九條、第十一條、第十二條、第十三條、第十四條、第十五條、第十九條規定的,由電信管理機構依據職權責令改正;拒不改正的,給予警告,並處五千元以上三萬元以下的罰款。第二十三條電信管理機構的工作人員違反本辦法第二十條、第二十一條規定的,依法給予行政處分;構成犯罪的,依法追究刑事責任。第二十四條本辦法自2010年3月1日起施行。 相關新聞編輯本段網路安全防護形勢嚴峻木馬問題引發社會關注 隨著我國互聯網行業的飛速發展,木馬等計算機惡意程序也越來越成為廣大計算機用戶面臨的最大的網路危害之一。新華社記者28日獲悉,國內相關部門正在就治理木馬等計算機惡意程序進行研討,並呼籲針對計算機惡意程序盡快立法。木馬等計算機惡意程序是不法分子在用戶計算機系統中植入的監視工具,伺機竊取用戶資料,並控制用戶計算機來從事非法活動。近年來,木馬等計算機惡意程序和病毒的趨利性在不斷增強,利益的驅動促使盜號產業鏈的形成,這個巨大的灰色產業鏈已經給整個互聯網的安全帶來嚴峻考驗。據艾瑞咨詢最新發布的《2007中國個人網路安全研究報告》顯示,目前通過木馬病毒盜竊互聯網交易平台上的賬號、密碼,已成為網路安全的主要隱患。 28日,在包括國務院信息化辦公室、信息產業部、公安部、國家反病毒中心、中國互聯網協會等多個部門參與的計算機惡意程序治理法律環境高層研討會上,與會人員就中國目前的網路安全形勢以及法律環境問題進行了深入剖析,同時對違法後果的評估和量刑進行了探討,並呼籲對木馬等計算機惡意程序的立法盡快提上議程。 「惡意盜竊互聯網交易平台上的賬號、密碼的行為,不僅嚴重侵害了用戶權益,也極大損害了企業權益。國家盡快出台相關法律法規,切實治理木馬等計算機惡意程序問題。」騰訊公司首席行政官陳一丹說。騰訊公司安全中心負責人盧山認為當前國內網路安全防護面臨嚴峻形勢,他說,在經濟利益的驅使下,新的木馬不斷出現,同時不斷出現新的變種。 奇虎董事長周鴻�認為,以前互聯網最突出的問題是病毒威脅,而現在隨著互聯網越來越生活化,安全已威脅到每一個人。例如,過去不少常公開露面的惡意軟體如今已轉入地下,甚至和病毒結合起來。當前中國互聯網正在進入一個新的應用高峰,如網上炒股,網上購物等,從而使安全形勢更加嚴峻,這些問題單純依靠殺毒軟體是無法解決的。而網路安全對網民來說是起碼的保障,是互聯網的基礎服務,因此他主張安全軟體應對老百姓完全免費。「連搜索、郵箱、IM都免費,更何況最基本的安全問題。」 陳一丹認為,一個企業的力量畢竟有限,要從各個環節入手給予不法分子以嚴厲打擊,這需要各相關企業、用戶、司法機關等社會各界的共同努力,使查殺惡意程序、打擊黑色產業鏈有法可依,有效震懾不法分子。
B. 網路安全中等保一級、二級、三級之間有什麼差異
網路安全等級保護,是對信息和信息載體按照重要性等級分級別進行保護的一種工作,也是在很多國家都存在的一種信息安全領域的工作。信息系統的安全保護等級主要分為五級,一至五級等級逐級增高,那麼等保一級、二級、三級有什麼區別?以下是詳細的內容介紹。
第一:等級的界定不同
等保一級:信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。例如:個體企業、小型私營、中小學,鄉鎮所屬信息系統、縣級單位中一般的信息系統等。
等保二級:信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。例如:縣級其他單位中的重要信息系統;地市級以上國家機關、企事業單位內部一般的信息系統;非涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。
等保三級:信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。例如:地市級以上國家機關、企業、事業單位內部重要的信息系統;涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。
第二:等保測評指標項數量不同
安全物理環境、安全通信網路、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理結構、安全管理人員、安全建設管理、安全運維管理等的各級要求都有所不同。
第三:等保測評的耗時不同
一級:等保中最低級別,無需測評
二級、三級:耗時大概3-6個月,依據具體的系統數量、規模、業務情況和對接情況而有所增減。
第四、等保測評間隔周期不同
一級:等保中的最低級別,無需測評,按具體情況提交相關申請材料,如果定級符合標准,待公安部門審核通過就可以了。
二級:建議每兩年做一次測評,間隔的時間沒有強制要求,但是部分行業有相關要求,如教育行業明確二級系統兩年做一次測評。
三級:每年至少做一次測評。
C. 等保三級是什麼等保認證有哪些標准
等保三級又被稱為國家信息安全等級保護三級認證,是中國最權威的信息產品安全等級資格認證,由公安機關依據國家信息安全保護條例及相關制度規定,按照管理規范和技術標准,對各機構的信息系統安全等級保護狀況進行認可及評定。
其中按照評定等級可以分為一至五級測評。三級等保是國家對非銀行機構的最高級認證,屬於「監管級別」,由國家信息安全監管部門進行監督、檢查,認證測評內容分別涵蓋5個等級保護安全技術要求和5個安全管理要求,包含信息保護、安全審計、通信保密等近300項要求,共涉及測評分類73類,要求十分嚴格。
三級等保認證最嚴的地方是在技術層面,主要體現在系統安全管理和惡意代碼防範上,簡單的說,就是每當有黑客對平台進行攻擊時,平台具備一定的防範能力。
標准如下:
十三大重要標准
計算機信息系統安全等級保護劃分准則 (GB 17859-1999) (基礎類標准)
信息系統安全等級保護實施指南 (GB/T 25058-2010) (基礎類標准)
信息系統安全保護等級定級指南 (GB/T 22240-2008) (應用類定級標准)
信息系統安全等級保護基本要求 (GB/T 22239-2008) (應用類建設標准)
信息系統通用安全技術要求 (GB/T 20271-2006) (應用類建設標准)
信息系統等級保護安全設計技術要求 (GB/T 25070-2010) (應用類建設標准)
信息系統安全等級保護測評要求 (GB/T 28448-2012)(應用類測評標准)
信息系統安全等級保護測評過程指南 (GB/T 28449-2012)(應用類測評標准)
信息系統安全管理要求 (GB/T 20269-2006) (應用類管理標准)
信息系統安全工程管理要求 (GB/T 20282-2006) (應用類管理標准)
信息安全技術網路安全等級保護基本要求(GB/T 22239-2019)(基礎類標准)
信息安全技術網路安全等級保護安全設計技術要求(GB/T 25070-2019)(應用類建設標准)
信息安全技術網路安全等級保護測評要求(GB/T 28448-2019)(應用類測評標准)
其它相關標准
GB/T 21052-2007 信息安全技術 信息系統物理安全技術要求
GB/T 20270-2006 信息安全技術 網路基礎安全技術要求
GB/T 20271-2006 信息安全技術 信息系統通用安全技術要求
GB/T 20272-2006 信息安全技術 操作系統安全技術要求
GB/T 20273-2006 信息安全技術資料庫管理系統安全技術要求
GB/T 20984-2007 信息安全技術 信息安全風險評估規范
GB/T 20985-2007 信息安全技術 信息安全事件管理指南
GB/Z 20986-2007 信息安全技術 信息安全事件分類分級指南
GB/T 20988-2007 信息安全技術 信息系統災難恢復規范
D. 網路安全等級保護測評相關問題|總結等保三級需要哪些設備
等保即網路安全等級保護,「三級等保」顧名思義就是安全等級保護三級。是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息在存儲、傳輸、處理這些信息時分等級實行安全保護;對信息系統中使用的信息安全產品實行按等級管理;對信息系統中發生的信息安全事件分等級響應、處置。
三級等保、等保的評審流程:
系統定級→系統備案→整改實施→系統測評→運維檢查
①系統定級:編寫定級報告、填寫定級備案表。
②系統備案:定級備案表填寫完整後,將定級材料提交至公安機關進行備案審核。
③整改實施:對系統進行調研,開展差距評估,依照國家相關標准進行方案設計,完成相應設備采購及調整、策略配置調試、完善管理制度等工作。
④系統測評:請當地測評機構,對系統進行全方面測評,測評評分合格後獲得合格測評報告,並最終獲得等級保護備案證。
⑤運維檢查:系統持續運維與優化,並按照相關要求進行年檢。
一般在進行等保測評時,會遇到相關問題,我整理了幾個常見問題,找專業人士(等保測評機構-時代新威提供)做了解答:
1、網站不做等保,出了問題將承擔什麼責任?
①網路運營者不履行《中華人民共和國網路安全法》【第二十一條】規定的網路安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
②關鍵信息基礎設施的運營者不履行《中華人民共和國網路安全法》【第三十四條】規定的網路安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
2、哪些行業需要做等保?
金融行業、游戲行業、教育行業、電商行業、網貸行業、通訊行業、能源行業、運輸行業等。
3、遞交的備案資料都包括哪些內容?
①《信息系統安全等級保護備案表》(一式兩份)
②《信息系統安全等級保護定級報告》(一個系統一份)
③《系統定級評審意見》(或上級主管部門定級審核意見)
④相關電子數據等
4、整改會不會涉及到要購置設備?如果有些不符合項目不能馬上關閉能不能通過備案?
根據《GB T22239-2008信息安全技術信息系統安全等級保護基本要求》,三級系統有如下要求:
①應提供主要網路設備、通信線路和數據處理系統的硬體冗餘,保證系統的高可用性;
②應建立備用供電系統;
以上檢查項需要購置設備,對二級系統沒有此要求,但在二級系統中,構成系統網路安全的必要硬體則必須有;
5、整個周期是多長?其中現場測評時間多長?
①整個測評周期包括前期調研、現場測評、後期報告編寫等,一般情況下一個二級系統會佔用3~4周,一個三級系統會佔用4~5周(指初次測評,不包括整改和加固時間);
② 其中現場測評(指在被測系統單位現場的測評)的時間根據系統的數量而定:一般一個二級系統會佔用3~4個工作日,一個三級系統會佔用5~6個工作日(兩組同時進行,每組兩人)。
6、等保測評檢查周期是多長?
二級系統每2年進行一次測評檢查,三級系統每年檢查一次。
更多問題可直接去時代新威官網查看。
E. 計算機網路安全等級分為哪些
1、D1級
這是計算機安全的最低一級。整個計算機系統是不可信任的,硬體和操作系統很容易被侵襲。D1級計算機系統標准規定對用戶沒有驗證,也就是任何人都可以使用該計算機系統而不會有任何障礙。系統不要求用戶進行登記或口令保護。任何人都可以坐在計算機前並開始使用它。
2、C1級
C1級系統要求硬體有一定的安全機制,用戶在使用前必須登錄到系統。C1級系統還要求具有完全訪問控制的能力,經應當允許系統管理員為一些程序或數據設立訪問許可許可權。C1級防護不足之處在於用戶直接訪問操作系統的根。C1級不能控制進入系統的用戶訪問級別,所以用戶可以將系統的數據任意移走。
3、C2級
C2級在C1級的某些不足之處加強了幾個特性,C2級引進了受控訪問環境的增強特性。這一特性不僅以用戶許可權為基礎,還進一步限制了用戶執行某些系統指令。授權分級使系統管理員能夠分用戶分組,授予他們訪問某些程序的許可權或訪問分級目錄。另一方面,用戶許可權以個人為單位授權用戶對某一程序所在目錄的訪問。如果其他程序和數據也在同一目錄下,那麼用戶也將自動得到訪問這些信息的許可權。C2級系統還採用了系統審計。
4、B1級
B1級系統支持多級安全,多級是指這一安全保護安裝在不同級別的系統中,它對敏感信息提供更高級的保護。比如安全級別可以分為解密、保密和絕密級別。
5、B2級
這一級別稱為結構化的保護。B2級安全要求計算機系統中所有對象加標簽,而且給設備分配安全級別。如用戶可以訪問一台工作站,但可能不允許訪問裝有人員工資資料的磁碟子系統。
6、B3級
B3級要求用戶工作站或終端通過可信任途徑連接網路系統,這一級必須採用硬體來保護安全系統的存儲區。
7、A級
這是橙皮書中最高的安全級別,這一級有時也被稱為驗證設計。與前面提到的各級級別一樣,這一級包括它下面各級的所有特性。A級還附加一個安全系統受監視的設計要求,合格的安全個體必須分析並通過這一設計。另外,必須採用嚴格的形式化方法來驗證該系統的安全性。而且在A級,所有構成系統的部件的來源必須安全保證,這些安全措施還必須擔保在銷售過程中這些部件不受損害。
F. 請問等保三級多久測評一次時間長嗎
四級信息系統要求每半年至少開展一次測評;三級信息系統要求每年至少開展一次測評;二級信息系統一般每兩年開展一次測評,時間上沒有強制要求,部分行業有行業標准要求,如電力行業明確二級系統兩年做一次測評。
以北京市為例,等保備案准備階段,若雙方配合度高,材料編制與專家評審會的准備為10個工作日左右;等保備案材料提交准備的時間在3個工作日左右;等保測評的開展需35個工作日左右,最後提交測評報告以及審核階段,在網安接受材料後,以網安下發實際備案證明時間為准。值得注意的是:在全過程中,需要企業進行安全建設整改,具體時間以各企業實際情況為准。
想要快速完成等保測評全流程有五大關鍵要素,在此分享給廣大網路運營者參考。即優選測評機構、系統合理定級、准備工作充分、及時跟進流程、關鍵路徑並進。
01 優選測評機構
選擇測評機構時應盡量選取企業所在地的測評機構,綜合考慮其公司資質與技術能力,如測評公司具有的資質、各等級測評師人員數量、在市場中的口碑、被測評企業所屬行業的測評案例等。同時明確提出本次測評的工期要求與項目預算,並採取邀請招標或公開招標的方式選擇最優的測評機構。例如北京市選擇中國信息安全測評中心、北京時代新威等有《網路安全等級保護測評機構推薦證書》的專業測評機構。
02 系統合理定級
系統定級是等保測評的第一步,無論是在建系統或已建系統,合理定級是關鍵,應參照「定級過低不允許、定級過高不可取」的原則來定級。定級完成後需由安全專家與業務專家共同對定級報告中涉及的系統業務描述、業務網路拓撲、業務受影響的風險分析進行專家評審並形成書面專家評審意見。最後定級報告與專家評審意見需上傳到公安網警的等級保護備案系統中。
03 准備工作充分
做好大量的准備工作是快速完成等保測評的先決條件。從業務系統的全生命周期角度來看,需要具備項目立項、需求說明、實施方案、驗收標准、人員組織、管理制度等過程環節資料。特別是網路安全方面,需要有網路安全的設計方案、建設實施方案、安全策略及安全檢測規范、安全運營管理制度及安全建設運營過程文檔(如漏洞掃描報告、滲透測試報告、代碼審計報告、應急預案與演練記錄、人員培訓記錄等)。針對規模大或重要性要求高的業務系統其建設設計方案、安全保障方案需要聘請外部專家進行專家評審並形成書面專家評審意見。
04 及時跟進流程
企業在公共信息網路安全綜合管理系統填報前應授權一位負責人,並由其跟進後續備案資料收集與文檔掃描、系統填寫與資料上傳,同時關注審核反饋信息及時提交補充資料和修訂資料。及時關注審核結果、獲取備案證明及線下提交測評報告。此過程中,遇到問題應及時反饋給上級領導,並協調資源推進等級保護備案流程。
05 關鍵路徑並進
加快項目進度一般可採取加班與並行趕工的方式,但前提是需要一名優秀的項目經理來分解項目實施步驟,識別並規劃關鍵實施路徑,把控管理項目實施過程風險。等級保護測評過程主要可並行的環節有商務洽談與技術實施、系統建設與安全檢測、系統測評與整改復測。
G. 國家信息安全等級保護制度第三級要求
信息系統的安全保護等級分為以下五級: