一(yī)、什(shén)麽是三級等保?等保的定義介紹
等保即信息安全等級保護,“三級等保”顧名思義就(jiù)是安全等級保護三級。是指對國家重要信息、法人(rén)和其他組織及公民(mín)的專有信息以及公開信息在存儲、傳輸、處理(lǐ)這(zhè)些(xiē)信息時(shí)分(fēn)等級實行安全保護;對信息系統中使用的信息安全産品實行按等級管理(lǐ);對信息系統中發生(shēng)的信息安全事(shì)件分(fēn)等級響應、處置。
二、法律對等保的要求:
《中華人(rén)民(mín)共和國網絡安全法》【第二十一(yī)條】國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下(xià)列安全保護義務(wù),保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改。
《中華人(rén)民(mín)共和國網絡安全法》【第三十一(yī)條】 國家對公共通信和信息服務(wù)、能(néng)源、交通、水利、金(jīn)融、公共服務(wù)、電子(zǐ)政務(wù)等重要行業和領域,以及其他一(yī)旦遭到破壞、喪失功能(néng)或者數據洩露,可能(néng)嚴重危害國家安全、國計民(mín)生(shēng)、公共利益的關(guān)鍵信息基礎設施,在網絡安全等級保護制度的基礎上(shàng),實行重點保護。關(guān)鍵信息基礎設施的具體(tǐ)範圍和安全保護辦法由國務(wù)院制定。
三、《等級保護測評要求》的測評方法:
1、針對應用系統:
①檢查關(guān)鍵應用系統,查看應用系統是否具有對人(rén)機接口輸入或通信接口輸入的數據進行有效性檢驗的功能(néng)。
②測試關(guān)鍵應用系統,可通過對人(rén)機接口輸入的不同長度或格式的數據,查看系統的反應,驗證系統人(rén)機接口有效性檢驗功能(néng)是否正确。
③滲透測試主要應用系統,進行試圖繞過訪問控制的操作(zuò),驗證應用系統的訪問控制功能(néng)是否不存在明顯的弱點。
2、針對數據庫系統:
①、檢查關(guān)鍵服務(wù)器(qì)操作(zuò)系統和關(guān)鍵數據庫管理(lǐ)系統,查看匿名/默認帳戶的訪問權限是否已被禁用或者限制,是否删除了(le)系統中多餘的、過期的以及共享的帳戶。
②、檢查關(guān)鍵服務(wù)器(qì)操作(zuò)系統和關(guān)鍵數據庫管理(lǐ)系統的權限設置情況,查看是否依據安全策略對用戶權限進行了(le)限制。
③、檢查關(guān)鍵服務(wù)器(qì)操作(zuò)系統和關(guān)鍵數據庫管理(lǐ)系統的補丁是否得到了(le)及時(shí)更新(xīn)。
④、檢查關(guān)鍵服務(wù)器(qì)操作(zuò)系統和關(guān)鍵數據庫管理(lǐ)系統帳戶列表,查看管理(lǐ)員(yuán)用戶名分(fēn)配是否唯一(yī)。
⑤、檢查關(guān)鍵服務(wù)器(qì)操作(zuò)系統和關(guān)鍵數據庫管理(lǐ)系統,查看是否提供了(le)身(shēn)份鑒别措施,其身(shēn)份鑒别信息是否具有不易被冒用的特點,如(rú)對用戶登錄口令的最小長度、複雜度和更換周期進行要求和限制。
⑥、檢查關(guān)鍵數據庫服務(wù)器(qì)的數據庫管理(lǐ)員(yuán)與操作(zuò)系統管理(lǐ)員(yuán)是否由不同管理(lǐ)員(yuán)擔任。
四、三級等保、等保的評審流程:
系統定級→系統備案→整改實施→系統測評→運維檢查
①、系統定級:編寫定級報(bào)告、填寫定級備案表。
②、系統備案:定級備案表填寫完整後,将定級材料提交至公安機關(guān)進行備案審核。
③、整改實施:對系統進行調研,開展差距評估,依照國家相關(guān)标準進行方案設計,完成相應設備采購(gòu)及調整、策略配置調試、完善管理(lǐ)制度等工作(zuò)。
④、系統測評:請當地測評機構,對系統進行全方面測評,測評評分(fēn)合格後獲得合格測評報(bào)告,并最終獲得等級保護備案證。
⑤、運維檢查:系統持續運維與優化(huà),并按照相關(guān)要求進行年檢。
五、等保常見問題:
1、網站(zhàn)不做等保,出了(le)問題将承擔什(shén)麽責任?
①、網絡運營者不履行《中華人(rén)民(mín)共和國網絡安全法》【第二十一(yī)條】規定的網絡安全保護義務(wù)的,由有關(guān)主管部門責令改正,給予警告;拒不改正或者導緻危害網絡安全等後果的,處一(yī)萬元以上(shàng)十萬元以下(xià)罰款,對直接負責的主管人(rén)員(yuán)處五千元以上(shàng)五萬元以下(xià)罰款。
②、 關(guān)鍵信息基礎設施的運營者不履行《中華人(rén)民(mín)共和國網絡安全法》【第三十四條】規定的網絡安全保護義務(wù)的,由有關(guān)主管部門責令改正,給予警告;拒不改正或者導緻危害網絡安全等後果的,處十萬元以上(shàng)一(yī)百萬元以下(xià)罰款,對直接負責的主管人(rén)員(yuán)處一(yī)萬元以上(shàng)十萬元以下(xià)罰款。
2、哪些(xiē)行業需要做等保?
金(jīn)融行業、遊戲行業、教育行業、電商(shāng)行業、網貸行業、通訊行業、能(néng)源行業、運輸行業等。
3、遞交的備案資料都包括哪些(xiē)内容?
①、《信息系統安全等級保護備案表》(一(yī)式兩份)
②、《信息系統安全等級保護定級報(bào)告》(一(yī)個(gè)系統一(yī)份)
③《系統定級評審意見》(或上(shàng)級主管部門定級審核意見)
④、相關(guān)電子(zǐ)數據等
4、整改會不會涉及到要購(gòu)置設備?如(rú)果有些(xiē)不符合項目不能(néng)馬上(shàng)關(guān)閉能(néng)不能(néng)通過備案?
根據《GB T22239-2008信息安全技術信息系統安全等級保護基本要求》,三級系統有如(rú)下(xià)要求:
①、應提供主要網絡設備、通信線路(lù)和數據處理(lǐ)系統的硬件冗餘,保證系統的高可用性;
②、應建立備用供電系統;
以上(shàng)檢查項需要購(gòu)置設備,對二級系統沒有此要求,但(dàn)在二級系統中,構成系統網絡安全的必要硬件則必須有;
5、整個(gè)周期是多長?其中現(xiàn)場(chǎng)測評時(shí)間(jiān)多長?
①、整個(gè)測評周期包括前期調研、現(xiàn)場(chǎng)測評、後期報(bào)告編寫等,一(yī)般情況下(xià)一(yī)個(gè)二級系統會占用3~4周,一(yī)個(gè)三級系統會占用4~5周(指初次測評,不包括整改和加固時(shí)間(jiān));
②、 其中現(xiàn)場(chǎng)測評(指在被測系統單位現(xiàn)場(chǎng)的測評)的時(shí)間(jiān)根據系統的數量而定:一(yī)般一(yī)個(gè)二級系統會占用3~4個(gè)工作(zuò)日,一(yī)個(gè)三級系統會占用5~6個(gè)工作(zuò)日(兩組同時(shí)進行,每組兩人(rén))
6、等保測評檢查周期是多長?
二級系統每2年進行一(yī)次測評檢查,三級系統每年檢查一(yī)次。