谁还不了解等保？！速进！！！

标签：网络安全 速进 信息系统 测评 保护 安全 了解 等级

等保，信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作。

网络安全等级保护制度是我国网络安全领域的基本国策、基本制度和基本方法，《网络安全法》出台后，网络等级保护进入2.0时代。

2019年5月13日，网络安全等级保护制度2.0标准正式发布，已于2019年12月1日开始实施。

等保测评是什么呢？

01

等保测评概述

等保的实施流程分为5个环节：系统定级、备案、建设整改、等级测评和监督检查；而等保测评（也称等级测评）正是其中的一个重要环节。

等保测评是指由具有资质的测评机构，依据国家网络安全等级保护规范规定，按照有关管理规范和技术标准，对等保对象（如信息系统、数据资源、云计算、物联网、工业控制系统等）的安全等级保护状况进行检测评估的活动。简单来说，等保测评用于验证网络系统或应用是否满足相应的安全保护等级要求，是落实等保制度的关键活动之一。

02

做等保测评的好处

1

识别网络潜在风险，提升自身防护能力：

日益专业化、智能化、隐蔽化的网络攻击为网络安全带来了更严峻的挑战，网络运营者可以通过等保测评了解系统的安全防护现状，识别系统内、外部存在的安全隐患，并在此基础上通过加固整改提高系统的网络安全防护能力，降低被攻击的风险。

2

满足国家相关法律法规的要求：

法律层面上，国家《网络安全法》的第21条和第31条明确规定了网络运营者和关键信息基础设施运营者应当按照网络安全等级保护制度的要求，履行相关的安全保护义务。不依法开展等保工作为违法行为，将由有关主管部门责令整改并处以罚款、警告等惩罚措施。

3

提升行业竞争力：

是否开展等保工作是衡量企业信息安全水平的一个重要标准。对于企业来说，进行等保测评不仅能够有效地提高信息系统安全建设的整体水平，还能够在向外部客户提供业务服务时给出信息系统安全性承诺，增强客户、合作伙伴及利益相关方的信心。

03

等保测评究竟测什么呢？

安全物理环境

包括机房位置选择、温湿度控制、防盗、防火、防潮、防水、防雷击、电力供应、电磁防护等，以确保信息系统的物理环境安全。

安全通信网络

对网络安全提出要求，包括广域网、局域网、城域网等，检查网络架构、网络设备配置、网络传输安全等，以保障信息在传输过程中的安全性。

安全区域边界

主要关注边界安全，包括入侵防范、访问控制、安全审计、可信验证等，常用设备有防火墙、入侵检测系统等。

安全计算环境

对信息系统内的各种计算设备进行评估，包括网络设备、安全设备、服务器、数据库、操作系统、中间件等，检查身份鉴别、访问控制、安全审计、入侵防范、数据保护等方面的安全性。

安全管理中心

评估系统管理、审计管理、安全集中管理和集中管控等方面的安全性，以确保信息系统的管理机制和流程符合安全要求。

安全管理制度

评估制定的安全管理制度，包括各类制度文件和规范，如计算机管理制度、机房进出制度、安全培训制度等。

安全管理机构

评估网络安全管理机构的设置与运作，包括机构设置、人员配备、权限控制、审批流程等，以保证安全管理的有效性。

安全管理人员

对安全管理人员的招聘、培训和离岗制度进行评估，以确保安全管理人员具备必要的知识和技能。

安全建设管理

对信息系统的建设和更新过程进行评估，包括定级备案、方案设计、安全设备采购、软件开发、第三方服务商管理等。

安全运维管理

评估信息系统的日常运维管理，包括环境管理、资产管理、漏洞管理、配置管理、密码管理、备份与恢复管理、安全事件处置等。

那么，等保合格就没问题了吗?

目前，想仅仅通过等保测评来保证系统的绝对安全，是不可能的。

例如在每次的HW中，攻击者会使用大量Zero-day Exploit（零日漏洞攻击）：攻击者利用尚未被厂商修复的漏洞来攻击系统，因为厂商还没有发布相应的安全补丁。对应安全设备可能就不会拦截攻击者的请求，从而导致服务器器沦陷。

还有很常见的Phishing（钓鱼攻击）：攻击者通过伪造合法的电子邮件、网站或伪装成一个合法的角色等手段诱使用户泄露个人信息，如账号密码、手机号、身份地址等，攻击者的成功得益于人们对于网络安全意识的淡薄。

另外，等保做的是一个系统，仅包含该系统相关的网络链路，并不包含该单位所有的网络架构，若存其它网络系统存在对应漏洞，也会对单位内部网络造成危害。例如我们做的是单位内部的一个内网系统，而该单位还有门户网站开放在公网，并且该网站存在相应高危漏洞，那么黑客很有可能从该网站作为入口点，通过对应服务器作为中间跳板，来实施内网横向攻击。

诸如此类的问题还有很多，这些问题在当时做等保的时候并不能很直观发现。

等级保护（等保）政策法规

01

国家标准

1994年《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)：第一次提出“计算机信息系统实行安全等级保护”概念。

1999年《计算机信息系统 安全等级保护划分准则》（GB17859）：国家发布关于计算机信息系统安全保护等级划分准则强制性标准。

2008年《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）：明确对于各等级信息系统的安全保护基本要求。

2017年《中华人民共和国网络安全法》：第二十一条明确国家实行等级保护制度，落实等级保护制度已经上升到法律层面。

2019年5月《信息安全技术 网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》等核心标准正式发布。

标签：网络安全,速进,信息系统,测评,保护,安全,了解,等级
From： https://blog.csdn.net/weixin_45840241/article/details/139134830